Seguridad de datos personales en Perú: obligaciones técnicas para tu negocio

Por qué la seguridad de datos personales ya no es un tema de «informáticos»

Durante años, muchas empresas peruanas trataron la seguridad de datos como un problema del área de sistemas. «Que lo vea el de IT» era la respuesta habitual cuando alguien preguntaba quién se encargaba de proteger la base de clientes. Ese enfoque dejó de funcionar hace tiempo y, con el nuevo Reglamento de la Ley de Protección de Datos Personales vigente desde marzo de 2025, pasó a ser directamente peligroso.

Hoy, la seguridad de los datos personales es una obligación legal que puede costarle a tu empresa hasta S/ 550,000 en multas, más reputación, más clientes perdidos, más tiempo invertido en procesos sancionadores con la ANPD. Y no importa si eres una bodega con 200 clientes en una hoja de Excel o un ecommerce con 50,000 suscriptores: el principio de seguridad aplica a todos.

Este artículo explica qué dice la ley sobre seguridad, qué añadió el nuevo reglamento de 2024, qué medidas concretas debes implementar y cómo construir un plan de seguridad sin volverte loco ni gastar fortunas. Si quieres ver cómo encaja esta obligación con el resto del marco peruano, revisa la guía completa de protección de datos personales en Perú.

Qué dice la Ley 29733 sobre seguridad

El principio de seguridad es uno de los 8 principios rectores de la Ley N° 29733. Dice, en lenguaje simple, que quien maneja datos personales debe protegerlos con medidas técnicas, organizativas y legales proporcionales al riesgo. No basta con tener buena intención: la ley exige evidencia de que aplicaste controles concretos.

La ley no entra en detalles técnicos. Ese desarrollo lo hace el reglamento y, antes del reglamento de 2024, lo hacía la Directiva de Seguridad aprobada por la Resolución Directoral N° 019-2013-JUS/DGPDP. Esa directiva sigue siendo una referencia técnica útil, pero ahora hay que leerla a la luz del nuevo reglamento, que elevó el nivel de exigencia.

La Directiva de Seguridad de 2013: qué sigue valiendo

La Directiva de 2013 clasificó los bancos de datos en categorías según el riesgo que suponen. Ese enfoque de «proporcionalidad» sigue vigente conceptualmente, aunque el reglamento de 2024 lo complementó con más obligaciones.

La lógica es simple: más riesgo implica más controles. Una lista de suscriptores a un newsletter no necesita los mismos controles que la base de pacientes de una clínica.

Qué añadió el reglamento de 2024

El Decreto Supremo N° 016-2024-JUS elevó las obligaciones de seguridad a nivel de texto reglamentario directamente, dando más fuerza jurídica a los requisitos. Entre lo nuevo destacan:

• Privacidad desde el diseño y por defecto: la seguridad se incorpora al diseñar productos, servicios y procesos, no después.
• Evaluación de impacto en protección de datos (EIPD): obligatoria para tratamientos de alto riesgo.
• Notificación de brechas en 48 horas ante la ANPD.
• Responsabilidad proactiva: tienes que poder demostrar con evidencia documentada que implementaste las medidas.
• Contratos formales con encargados del tratamiento, con cláusulas específicas de seguridad.
• Oficial de Datos Personales (ODP) obligatorio en empresas grandes.

Para un detalle completo de los cambios del nuevo reglamento, revisa el artículo sobre el nuevo reglamento D.S. 016-2024-JUS.

Los tres tipos de medidas de seguridad que debes implementar

La ley exige medidas técnicas, organizativas y legales. Son tres capas que trabajan juntas. No puedes tener una sin las otras.

Medidas técnicas: la base imprescindible

Estas son las medidas técnicas mínimas que cualquier empresa debe implementar, sin importar su tamaño. Son el piso, no el techo.

Control de acceso

• Usuario único por persona, nunca cuentas compartidas.
• Contraseñas con mínimo 10 caracteres, mezclando mayúsculas, minúsculas, números y símbolos.
• Cambio obligatorio de contraseñas cada cierto tiempo.
• Doble factor de autenticación (2FA) en correos, CRM y paneles administrativos.
• Bloqueo automático tras 5 intentos fallidos de autenticación.
• Revisión semestral de privilegios de acceso con registro documentado.

Cifrado

• HTTPS (certificado SSL/TLS) en todo el sitio web, sin excepciones.
• Cifrado en reposo para bases de datos con datos sensibles.
• Cifrado en tránsito cuando los datos viajan entre sistemas.
• Contraseñas almacenadas con funciones hash seguras (bcrypt, argon2), nunca en texto plano.

Respaldos

• Backups automáticos y periódicos (al menos diarios para datos críticos).
• Copia fuera del servidor principal para evitar pérdida total por ransomware.
• Pruebas de restauración periódicas (un backup que no se puede restaurar no sirve).
• Retención definida por tiempo y por tipo de dato.

Registro y auditoría

• Logs de accesos a bases de datos con datos personales.
• Logs de cambios (quién modificó qué y cuándo).
• Revisión periódica de logs para detectar actividad anómala.
• Retención de logs durante el tiempo exigido legalmente.

Medidas organizativas: lo que cuesta más cambiar

Lo técnico se compra o se instala. Lo organizativo cuesta porque implica cambiar cómo trabaja el equipo.

Roles y responsabilidades

• Definir quién accede a qué base de datos y para qué.
• Principio de menor privilegio: cada persona accede solo a lo mínimo necesario para hacer su trabajo.
• Documentar las responsabilidades por escrito en el manual de funciones.

Formación del equipo

• Capacitación inicial a todo colaborador que trate datos personales.
• Refresco anual con casos prácticos.
• Formación específica para áreas sensibles (atención al cliente, marketing, ventas, RR.HH.).

Procedimiento de gestión de incidentes

Este es el más importante porque cuando ocurre el incidente, las 48 horas pasan volando. Sin un protocolo listo, es imposible cumplir el plazo de notificación a la ANPD.

El procedimiento debe cubrir:

1. Detección: cómo se identifica un incidente y quién reporta.
2. Contención: pasos inmediatos para detener la propagación.
3. Evaluación: alcance, datos afectados, número de titulares.
4. Notificación: plantilla lista con los contenidos mínimos del artículo 34 del reglamento.
5. Comunicación a titulares: cuando corresponda, en el mismo plazo de 48 horas.
6. Análisis post-incidente: lecciones aprendidas y mejoras.
7. Documentación: todo el proceso guardado para auditorías.

Medidas legales: los papeles que te salvan

La parte legal suele ser la más descuidada porque no se ve, pero es la primera que revisa la ANPD en una fiscalización.

Documentos internos obligatorios

• Política de privacidad: pública, visible en el footer del sitio, completa y actualizada.
• Aviso de privacidad: versión corta en cada punto de recolección.
• Política interna de protección de datos: para colaboradores y proveedores.
• Procedimiento de gestión de derechos ARCO-PI: cómo atender solicitudes de titulares.
• Registro de actividades de tratamiento: inventario vivo de bancos de datos.

Contratos con terceros

• Contrato de encargo con hosting, email marketing, CRM, contabilidad en la nube, pasarelas de pago.
• Cláusulas de confidencialidad con empleados.
• Acuerdos de nivel de servicio (SLA) con proveedores de infraestructura.
• Cláusulas específicas para transferencias internacionales de datos.

Checklist técnico para PYMES y ecommerce

Si manejas una web o tienda online, este checklist cubre el 80% de los puntos críticos de seguridad.

• Certificado SSL/TLS activo en todo el dominio.
• Panel administrativo protegido con contraseña fuerte y doble factor.
• Contraseñas de usuarios almacenadas con hash (bcrypt o equivalente).
• Formularios con protección contra bots (reCAPTCHA o similar).
• Base de datos con usuario específico y privilegios limitados.
• Backups automáticos diarios en ubicación separada del servidor principal.
• Actualizaciones de CMS, plugins y temas al día.
• Firewall de aplicación web (WAF) activo.
• Logs de acceso al admin revisados periódicamente.
• Política de privacidad visible en footer y enlazada desde formularios.
• Gestor de cookies con opciones granulares.
• Checkboxes de consentimiento sin premarcar.
• Contratos con proveedores que tocan datos firmados y archivados.
• Procedimiento de notificación de incidentes documentado.
• Responsable interno de datos personales designado (ODP si aplica).

Si necesitas construir o rehacer tu tienda cumpliendo estos puntos desde cero, conviene revisar opciones de tiendas WooCommerce con cumplimiento de datos o de diseño web profesional con política de privacidad conforme.

Errores de seguridad que más sanciona la ANPD

Estas son las fallas que más se repiten en los procedimientos sancionadores publicados y que conviene evitar a toda costa.

• Bases de datos de clientes en Excel sin contraseña en computadoras compartidas.
• Correos corporativos reenviados a cuentas personales de Gmail.
• Accesos compartidos entre varios empleados con un mismo usuario.
• Ausencia de backups o backups que nunca se han probado.
• Plugins y temas de WordPress desactualizados con vulnerabilidades conocidas.
• Formularios de contacto enviados sin cifrado.
• Datos sensibles almacenados sin cifrar.
• Proveedores externos sin contrato de tratamiento.
• Ausencia total de capacitación al equipo.
• No tener procedimiento de incidentes antes de que ocurra uno.

Preguntas frecuentes sobre seguridad de datos personales

¿Tengo que cifrar toda mi base de datos?

Depende del riesgo. Las medidas deben ser proporcionales. Si tratas datos sensibles (salud, biométricos, financieros), el cifrado en reposo es prácticamente obligatorio. Si tratas datos básicos (nombre, email), bastan medidas más ligeras pero con control de acceso estricto.

¿Un plugin de WordPress me hace cumplir la ley?

No. Los plugins ayudan con piezas concretas (banner de cookies, gestor de consentimiento, formularios conformes), pero el cumplimiento es un programa integral que incluye documentos, procesos, formación y contratos. Ningún plugin reemplaza eso.

¿Mi hosting es responsable si hay una brecha?

El hosting es encargado del tratamiento. Tiene sus propias obligaciones, pero tú, como titular del banco de datos, sigues siendo el responsable principal frente al titular y frente a la ANPD. Por eso es crítico tener contrato formal con cláusulas de seguridad.

¿Cuánto cuesta implementar seguridad básica?

Para una PYME con web estándar, la mayor parte del cumplimiento técnico básico se puede lograr con inversión baja: certificado SSL gratuito, backups automáticos del hosting, doble factor en correos, actualizaciones al día. Lo que cuesta es el tiempo de implementación y la disciplina de mantenerlo.

¿Las microempresas también tienen que cumplir?

Sí. La ley aplica a todos. Las medidas deben ser proporcionales al tamaño y al riesgo, pero no hay exenciones totales por tamaño de empresa.

¿Qué hago si detecto una brecha el viernes por la noche?

Las 48 horas cuentan desde la detección. No puedes esperar al lunes. Por eso el procedimiento de incidentes debe incluir canales de contacto fuera de horario y personas de guardia. Notificar tarde es otra infracción adicional.

Cierre: la seguridad es un programa, no un producto

No hay una herramienta mágica que te haga cumplir. La seguridad de datos personales es un programa continuo que combina tecnología, procesos, documentos y formación. Se empieza con lo básico y se sube el nivel según el riesgo y el crecimiento del negocio.

El nuevo reglamento de 2024 subió la vara. Pero también ordenó el terreno y dio reglas más claras. Para una empresa que quiere hacer las cosas bien, hoy es más fácil saber qué se espera de ella que hace cinco años. Lo que no se puede es ignorar el tema y esperar que no pase nada: la ANPD fiscaliza, las multas llegan a S/ 550,000 y los casos se publican.

Si todavía no tienes un plan de seguridad, empieza por el checklist de este artículo y revisa la guía completa de protección de datos personales en Perú para conectar la seguridad con el resto de tus obligaciones legales.

Fuentes consultadas

1. Ley N° 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano, 3 de julio de 2011. https://spij.minjus.gob.pe
2. Decreto Supremo N° 016-2024-JUS, Reglamento de la Ley N° 29733. Diario Oficial El Peruano, 30 de noviembre de 2024. https://busquedas.elperuano.pe/dispositivo/SE/2349653-1
3. Resolución Directoral N° 019-2013-JUS/DGPDP, Directiva de Seguridad de la Información administrada por los Bancos de Datos Personales. 11 de octubre de 2013. https://cdn.www.gob.pe/uploads/document/file/1401560/Directiva%20de%20seguridad.pdf
4. Resolución Ministerial N° 476-2025-JUS/SG, metodología de cálculo de multas. Diciembre de 2025. https://www.gob.pe/institucion/anpd/normas-legales/7575999-476-2025-jus-sg
5. Decreto Supremo N° 301-2025-EF, valor de la UIT 2026 en S/ 5,500. https://lpderecho.pe/valor-uit-2026-decreto-supremo-301-2025-ef/
6. Autoridad Nacional de Protección de Datos Personales (ANPD). Portal oficial. https://www.gob.pe/anpd
7. Banco de Datos Personales. https://bancodatos.minjus.gob.pe/bancodatos/public/index.xhtml
8. Ministerio de Justicia y Derechos Humanos. «ANPD impuso multas por más de S/ 13 millones por infracciones a la normativa el año 2024». 10 de enero de 2025. https://www.gob.pe/institucion/minjus/noticias/1088896-autoridad-nacional-de-proteccion-de-datos-personales-impuso-multas-por-mas-de-s-13-millones-por-infracciones-a-la-normativa-el-ano-2024
9. Infobae Perú. «Empresas en Perú enfrentarán sanciones de hasta 535 mil soles por filtración de datos personales». 29 de enero de 2025. https://www.infobae.com/peru/2025/01/29/empresas-en-peru-enfrentaran-sanciones-de-hasta-535-mil-soles-por-filtracion-de-datos-personales-que-hacer-ante-ciberataques/
10. EY Perú. «Multas por infracciones en materia de protección de datos personales». https://www.ey.com/es_pe/newsroom/2023/02/multas-infracciones-proteccion-datos-personales
11. LP Derecho. «Reglamento de la Ley de protección de datos personales [D.S. 016-2024-JUS]». https://lpderecho.pe/reglamento-ley-proteccion-datos-personales-decreto-supremo-016-2024-jus/
12. IAPP. «Se publica el nuevo reglamento de protección de datos personales en Perú». https://iapp.org/news/a/se-publica-el-nuevo-reglamento-de-protecci-n-de-datos-personales-en-per-