Seguridad y proteccion de datos en el Libro de Reclamaciones Virtual 2026: Ley 29733 y DS 016-2024-JUS

Cuando un consumidor presenta un reclamo en tu Libro de Reclamaciones Virtual, te entrega datos sensibles: su DNI, correo, teléfono, dirección y, muchas veces, detalles del producto adquirido o del servicio contratado. Esa información está protegida por la Ley 29733 de Protección de Datos Personales y su reglamento actualizado por el DS 016-2024-JUS. Si no la proteges correctamente, la multa de INDECOPI por el reclamo mal atendido es solo el inicio: la Autoridad Nacional de Protección de Datos Personales (ANPDP) puede imponer sanciones adicionales que, en 2026, llegan hasta 100 UIT (S/550,000).

En KOM Agencia Digital hemos auditado más de 200 Libros de Reclamaciones Virtuales en Perú y detectamos patrones repetidos: formularios sin HTTPS, bases de datos sin cifrado, correos de notificación enviados en texto plano y, lo más grave, ausencia total de registro del tratamiento ante la ANPDP. Este artículo resume el marco legal vigente y los siete controles mínimos que todo proveedor debe implementar antes del 31 de diciembre de 2026.

Marco legal: qué exige la Ley 29733 al Libro Virtual

La Ley 29733 aplica a cualquier tratamiento de datos personales realizado en territorio peruano, sin importar si la plataforma está alojada en Perú o en el extranjero. El artículo 13 exige consentimiento previo, informado, expreso e inequívoco del titular; el artículo 28 obliga a adoptar medidas técnicas, organizativas y legales que garanticen confidencialidad, integridad y disponibilidad; y el artículo 29 ordena la inscripción del banco de datos ante la ANPDP antes del inicio del tratamiento.

El DS 016-2024-JUS, vigente desde marzo 2024, añadió tres obligaciones que impactan directamente al Libro Virtual:

• Notificación de brechas en 72 horas: si detectas un acceso no autorizado a reclamos, debes reportarlo a la ANPDP y a los titulares afectados dentro de ese plazo.
• Evaluación de impacto (DPIA): obligatoria para tratamientos de riesgo alto, como los que involucran datos de menores, salud o geolocalización.
• Designación de Delegado de Protección de Datos (DPD): obligatoria para empresas con más de 10,000 titulares tratados al año o que manejen datos sensibles de forma sistemática.

Ley 29571 artículo 150: plazo y reserva

El artículo 150 del Código de Protección y Defensa del Consumidor exige mantener el Libro de Reclamaciones a disposición del consumidor y de INDECOPI por dos años como mínimo. Durante ese período, los datos deben conservarse de manera que permitan su exhibición ante fiscalización, pero con acceso restringido al personal autorizado. La Directiva 004-2010/DIR-COD-INDECOPI complementa que la información del reclamante no puede divulgarse a terceros sin su consentimiento, salvo mandato judicial.

Los siete controles mínimos de seguridad

1. HTTPS con certificado válido en todo el flujo

El formulario del Libro Virtual, la página de confirmación, el panel administrativo y los enlaces enviados al consumidor deben viajar cifrados vía TLS 1.2 o superior. Revisa tu certificado con SSL Labs y exige calificación A o A+. Si tu página aparece como «no segura» en Chrome, estás vulnerando el artículo 28 de la Ley 29733.

2. Cifrado de base de datos en reposo

Los reclamos almacenados en MySQL, PostgreSQL o cualquier motor deben estar cifrados en disco mediante AES-256 o equivalente. En servicios cloud como AWS RDS, Azure Database o Google Cloud SQL, activa el cifrado por defecto. En servidores propios, implementa LUKS o dm-crypt a nivel de volumen.

3. Control de acceso basado en roles (RBAC)

No todos los empleados necesitan ver todos los reclamos. Define tres roles mínimos: operador (solo su vertical), supervisor (toda la empresa) y auditor (lectura con trazabilidad). Cada acceso debe quedar registrado en un log inmutable con fecha, hora, usuario y acción realizada.

4. Autenticación de dos factores para administradores

Los usuarios con permiso para responder, exportar o eliminar reclamos deben autenticarse con 2FA obligatorio. Google Authenticator, Authy o llaves FIDO2 son opciones válidas. Las contraseñas deben tener mínimo 12 caracteres y renovarse cada 90 días.

5. Registro del banco de datos ante la ANPDP

Ingresa al portal registronacional.minjus.gob.pe y declara tu banco «Libro de Reclamaciones Virtual». El trámite es gratuito, toma 10 días hábiles y debe renovarse cuando cambies finalidad, categorías de datos o responsable. No estar inscrito es infracción grave sancionable con 50 UIT (S/275,000) en 2026.

6. Política de privacidad visible y firmada

En el formulario del Libro Virtual incluye un checkbox obligatorio (no premarcado) que diga: «He leído y acepto la política de privacidad y consiento el tratamiento de mis datos personales para atender mi reclamo.» Enlaza a una política que detalle finalidad, plazo de conservación, destinatarios, derechos ARCO (acceso, rectificación, cancelación, oposición) y canal para ejercerlos.

7. Respaldo y plan de continuidad

Realiza copias de seguridad diarias cifradas, con retención mínima de 90 días y prueba de restauración trimestral. Documenta un plan de continuidad que permita responder al consumidor en los 15 días hábiles legales incluso ante caída de infraestructura o ransomware.

Brecha de datos: protocolo de respuesta en 72 horas

Si detectas que un atacante accedió a la base de reclamos, que un empleado exfiltró datos o que un backup se filtró en internet, activa este protocolo:

1. Hora 0 a 4: contener el incidente, aislar sistemas comprometidos, preservar evidencia forense.
2. Hora 4 a 24: evaluar alcance (cuántos titulares, qué categorías de datos, nivel de exposición), convocar al comité de crisis.
3. Hora 24 a 48: redactar notificación a la ANPDP con naturaleza de la brecha, número de afectados, medidas adoptadas y de contacto del DPD.
4. Hora 48 a 72: enviar comunicación a los titulares afectados explicando qué datos se vieron comprometidos, qué deben hacer (cambiar contraseñas, monitorear cuentas) y cómo ejercer sus derechos.

Omitir la notificación o hacerla fuera de plazo es infracción muy grave sancionable con hasta 100 UIT (S/550,000) en 2026.

Caso real: farmacia en Lima con multa duplicada

Una cadena de farmacias con 18 locales en Lima recibió en enero 2025 una fiscalización de INDECOPI por reclamos no respondidos. Durante la inspección, el fiscal detectó que la base de datos del Libro Virtual estaba en un Excel compartido en Google Drive sin cifrado, accesible para 47 empleados. El caso escaló automáticamente a la ANPDP.

Resultado: INDECOPI multó con 8 UIT por reclamos no atendidos y la ANPDP impuso 25 UIT adicionales por ausencia de medidas de seguridad y falta de registro del banco de datos. Total: 33 UIT equivalentes a S/181,500 al valor de la UIT 2025. La farmacia migró su Libro Virtual a reclamavirtual.com, que ya cumplía los siete controles, y en abril 2025 aprobó la fiscalización de seguimiento sin observaciones.

Derechos ARCO: cómo responderlos

Todo consumidor que presentó un reclamo puede ejercer sus derechos de acceso, rectificación, cancelación y oposición (ARCO). La ley exige responder en un máximo de 20 días hábiles desde recibida la solicitud. Habilita en tu web un canal específico (formulario o correo dpd@tuempresa.com) y mantén un registro de todas las solicitudes con su resolución. Negar o demorar respuestas ARCO es infracción grave con multa hasta 50 UIT.

Encargado del tratamiento: responsabilidad del proveedor SaaS

Si usas un proveedor externo como reclamavirtual.com para gestionar tu Libro Virtual, él actúa como encargado del tratamiento y tú como responsable. La Ley 29733 exige firmar un contrato de encargo que detalle finalidad, categorías de datos, medidas de seguridad, subencargados autorizados y obligación de asistencia en derechos ARCO y brechas. Exige a tu proveedor que te entregue este contrato firmado antes de iniciar el servicio.

Preguntas frecuentes

¿Debo registrar el Libro Virtual ante la ANPDP?

Sí. Cualquier banco de datos que contenga más de un titular y sea tratado de forma automatizada requiere inscripción previa, sin importar el tamaño de la empresa.

¿Cuánto tiempo debo conservar los reclamos?

Mínimo dos años según el artículo 150 de la Ley 29571. La ANPDP recomienda eliminar o anonimizar los datos al cumplirse el plazo, salvo que exista un litigio en curso.

¿Puedo usar el correo del reclamante para marketing?

No. El consentimiento otorgado al presentar un reclamo es exclusivo para atender ese reclamo. Usar esos datos para publicidad sin nuevo consentimiento expreso constituye infracción grave.

¿Qué pasa si mi proveedor SaaS sufre una brecha?

Tú sigues siendo responsable ante la ANPDP y ante los titulares. El proveedor debe notificarte de inmediato y asistirte en la comunicación, pero la responsabilidad legal primaria es tuya.

¿Necesito un Delegado de Protección de Datos (DPD)?

Es obligatorio si tratas datos de más de 10,000 titulares al año o datos sensibles de forma sistemática. Para empresas menores es recomendable aunque no obligatorio; puede ser un empleado con formación o un servicio externo.

Conclusión

La seguridad del Libro de Reclamaciones Virtual no es un tema técnico menor: es una obligación legal con sanciones acumulativas de INDECOPI y ANPDP que, en 2026, pueden superar los S/800,000 si coinciden infracciones. Los siete controles descritos (HTTPS, cifrado en reposo, RBAC, 2FA, registro ANPDP, política de privacidad y respaldo) son el piso mínimo exigible.

Si implementarlos en infraestructura propia te resulta costoso, migrar a un SaaS certificado como reclamavirtual.com te entrega los siete controles por S/125 anuales + IGV, con contrato de encargo firmado, inscripción ante ANPDP incluida y soporte para respuesta de brechas en 72 horas. Solicita la demo gratuita y audita tu cumplimiento antes de la próxima fiscalización.