Desde el 30 de marzo de 2025, se encuentra en vigencia el nuevo Reglamento de la Ley de Protección de Datos Personales en Perú. Esta actualización normativa viene implicando un cambio importante en la manera en que las organizaciones recopilan, almacenan y utilizan los datos personales. 

En esta serie de publicaciones, te contamos los puntos más importantes y sus implicancias a fin de evitar sanciones. 

Tratamiento de datos personales para fines publicitarios 

Se establece que: 

El tratamiento solo será lícito cuando se cuente con el consentimiento directo del titular. 

El consentimiento del titular puede ser obtenido mediante el primer contacto. 

No obstante, sino se obtiene, no podrás volver a contactar ni iniciar ningún tipo de tratamiento de los datos. 

Nota: El primer contacto es la primera comunicación con el titular de los datos. Para este puedes usar información obtenida de fuentes accesibles al público, pero debes informar al titular dónde obtuviste sus datos si lo solicita. 

Nuevas medidas de seguridad 

1. Copias de respaldo y verificación de integridad 

Las empresas al menos una vez a la semana, deben realizar copias de respaldo siempre y cuando haya habido alguna actualización de los datos personales. Si no la hubo puede prescindir de hacer la copia. 

Las copias de seguridad deben ser almacenadas y transferidas con las medidas de seguridad necesarias, y deben eliminarse de forma segura cuando ya no sean necesarias. 

En caso de daño o interrupción, debe ser posible recuperar los datos a su estado original, para garantizar la protección de la información personal. 

1. Documento de seguridad  

Las deben detallar en el documento de seguridad los procedimientos para la gestión de accesos a los sistemas de información y la verificación periódica de privilegios asignados, como en plataformas tecnológicas, aplicaciones móviles y bases de datos. 

Los documentos pueden basarse en las mejores prácticas del sector o en estándares como las NTP. 

Nota: El cumplimiento del Documento de Seguridad es obligatorio para todo el personal con acceso a los sistemas de información 

1. Designación del PDO (Oficial de datos personales) 

La obligación de contar con un DPO aplica a todas las empresas que manejen grandes volúmenes de datos personales o cuando se produzca un perjuicio evidente a derechos o libertades del titular del dato personal, o se trate data sensible. 

Nota: La empresa debe publicar los datos de contacto del Oficial de Datos Personales o Encargado en un lugar visible y debe comunicar a la autoridad sobre su designación.