Mediante el Decreto Supremo 016-2024-JUS, aprueban el Reglamento de Ley de Protección de Datos Personales. Esta normativa refuerza el marco jurídico para garantizar el manejo adecuado de la información personal de los ciudadanos, asegurando su privacidad y uso responsable.
Entre los aspectos destacados, se incluyen nuevas obligaciones para los responsables de los datos, como implementar medidas técnicas y organizativas que garanticen la seguridad de la información y cumplir con mayores estándares de transparencia en el manejo de los datos personales.
Por otra parte, el decreto regula con mayor detalle las sanciones aplicables en caso de incumplimiento, incluyendo multas administrativas significativas, y refuerza las competencias de la Autoridad Nacional de Protección de Datos, otorgándole mayores herramientas para supervisar y garantizar el cumplimiento de la normativa.
DECRETO SUPREMO QUE APRUEBA EL REGLAMENTO DE LA LEY Nº 29733, LEY DE PROTECCIÓN DE DATOS PERSONALES
DECRETO SUPREMO Nº 016-2024-JUS
LA PRESIDENTA DE LA REPÚBLICA
CONSIDERANDO:
Que, el numeral 6 del artículo 2 de la Constitución Política del Perú señala que toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar;
Inscríbete aquí Más información
Que, el artículo 1 de la Ley N.º 29733, Ley de Protección de Datos Personales, señala que dicha Ley tiene el objeto de garantizar el derecho fundamental a la protección de los datos personales, previsto en el numeral 6 del artículo 2 de la Constitución Política del Perú, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen;
Que, el artículo 32 de la precitada Ley, dispone que el Ministerio de Justicia y Derechos Humanos ejerce la Autoridad Nacional de Protección de Datos Personales;
Que, mediante el Decreto Supremo N.º 003-2013-JUS se aprueba el Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales, el cual en su artículo 1 señala que tiene como objeto desarrollar la mencionada Ley, a fin de garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado tratamiento, tanto por las entidades públicas, como por las instituciones pertenecientes al sector privado;
Que, el Decreto Legislativo N.º 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, Fortalece el Régimen de Protección de Datos Personales y la Regulación de la Gestión de Intereses, a través de su tercera disposición complementaria modificatoria reformó algunas disposiciones de la Ley N.º 29733, Ley de Protección de Datos Personales;
Que, el literal a) del párrafo 4.2 del artículo 4 del Decreto de Urgencia N.º 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento, establece que uno de los ámbitos de la confianza digital en el entorno digital es la protección de datos personales y transparencia, siendo el Ministerio de Justicia y Derechos Humanos, quien ejerce las Autoridades Nacionales de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, y en el marco de sus funciones y competencias, norma, dirige, supervisa y evalúa la materia de transparencia y protección de datos personales;
Que, mediante Decreto Legislativo N.º 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, en sus párrafos 5.3 y 5.10 del artículo 5, se establecen como principios rectores del marco de gobernanza del gobierno digital, el principio de privacidad desde el diseño, por el cual, en el diseño y configuración de servicios digitales se adoptan las medidas preventivas de tipo tecnológico, organizacional, humano y procedimental; así como, el principio de nivel de protección adecuado para los datos personales, por el cual, el tratamiento de los datos personales debe realizarse conforme a lo establecido en la Ley de Protección de Datos Personales y su Reglamento;
Que, debido a los cambios en el marco normativo y los desafíos contemporáneos que representan la irrupción de nuevas tecnologías digitales, resulta necesario aprobar un nuevo Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales que permita que el país cuente con un marco normativo moderno y sólido que garantice una adecuada tutela de los derechos de los ciudadanos frente a los riesgos generados para los datos personales por el uso de las nuevas tecnologías digitales;
Que, mediante Resolución Ministerial N.º 0270-2023- JUS, publicada el 26 de agosto de 2023 en el Diario Oficial El Peruano, se dispuso la publicación del Proyecto de Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales y la Exposición de Motivos que lo sustenta, por un plazo de treinta (30) días calendario, a fin de recibir sugerencias, comentarios o recomendaciones de las entidades públicas, instituciones privadas, organizaciones de la sociedad civil, así como de las personas naturales en general. Que, la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales recibió, procesó y sistematizó las sugerencias, comentarios y/o recomendaciones presentadas por ciudadanos y diversas instituciones, tanto del ámbito privado como público;
De conformidad con lo dispuesto en el numeral 6) del artículo 2 y el numeral 8 del artículo 118 de la Constitución Política del Perú; la Ley N.º 29733, Ley de Protección de Datos Personales; la Ley N.º 29158, Ley Orgánica del Poder Ejecutivo; el Decreto de Urgencia N.º 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento; la Ley N.º 29809, Ley de Organización y Funciones del Ministerio de Justicia y Derechos Humanos; el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo N.º 013-2017-JUS; y el Reglamento de la Ley Marco para la producción y Sistematización Legislativa, aprobado por Decreto Supremo N.º 007-2022-JUS;
Con el voto aprobatorio del Consejo de Ministros;
DECRETA:
Artículo 1. Aprobación
Se aprueba el Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales, cuyo texto está compuesto de un (1) Título Preliminar, tres (3) Títulos, ciento treinta y cinco (135) artículos, seis (6) Disposiciones Complementarias Finales y dos (2) Disposiciones Complementarias Transitorias, que forman parte integrante del presente Decreto Supremo.
Artículo 2. Publicación
El presente Decreto Supremo y el Reglamento aprobado en el artículo 1 son publicados en la Plataforma Digital Única del Estado Peruano para Orientación al Ciudadano (www.gob.pe) y en la sede digital del Ministerio de Justicia y Derechos Humanos y de la Presidencia del Consejo de Ministros, el mismo día de su publicación de la presente norma en el Diario Oficial El Peruano.
Artículo 3. Financiamiento
La implementación de lo dispuesto en el presente Decreto Supremo y el Reglamento aprobado en el artículo 1 se sujeta a la disponibilidad presupuestal de los pliegos involucrados, sin demandar recursos adicionales al Tesoro Público.
Artículo 4. Refrendo
El presente Decreto Supremo es refrendado por el Ministro de Justicia y Derechos Humanos.
DISPOSICIÓN COMPLEMENTARIA DEROGATORIA
Única. Derogación Se deroga el Decreto Supremo N.º 003-2013-JUS que aprueba el Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales.
Dado en la Casa de Gobierno, en Lima, a los veintinueve días del mes de noviembre del año dos mil veinticuatro.
DINA ERCILIA BOLUARTE ZEGARRA
Presidenta de la República
EDUARDO MELCHOR ARANA YSA
Ministro de Justicia y Derechos Humanos
REGLAMENTO DE LA LEY Nº 29733, LEY DE PROTECCIÓN DE DATOS PERSONALES
TÍTULO PRELIMINAR
Artículo I. Objeto
El presente Reglamento tiene por objeto establecer disposiciones para la adecuada aplicación de la Ley N.º 29733, Ley de Protección de Datos Personales, en adelante la Ley, a fin de garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado tratamiento por parte de las personas naturales, entidades públicas y las instituciones pertenecientes al sector privado, particularmente, en el entorno digital.
Artículo II. Finalidad
El presente Reglamento tiene por finalidad garantizar una adecuada tutela del derecho fundamental a la protección de datos personales establecido en el numeral 6 del artículo 2 de la Constitución Política del Perú y la Ley N.º 29733, Ley de Protección de Datos Personales, frente a los riesgos que pueden generar el uso de las nuevas tecnologías digitales.
Artículo III. Definiciones
Para la aplicación del presente Reglamento, sin perjuicio de las definiciones contenidas en la Ley, complementariamente, se debe entender las siguientes definiciones:
1. Banco de datos personales: Es el conjunto de datos de personas naturales computarizado o no, y estructurado conforme a criterios específicos, que permita acceder sin esfuerzos desproporcionados a los datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica.
2. Bloqueo: Es la medida que consiste en la identificación y reserva de los datos personales adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización, durante el periodo en que se esté procesando alguna solicitud de actualización, inclusión, rectificación o supresión, en concordancia con lo que dispone el tercer párrafo del artículo 20 de la Ley. Se dispone también como paso previo a la cancelación por el tiempo necesario para determinar posibles responsabilidades en relación a los tratamientos durante el plazo de prescripción legal o prevista contractualmente.
3. Cancelación: Es la acción o medida que en la Ley se describe como supresión, cuando se refiere a datos personales, que consiste en eliminar o suprimir los datos personales.
4. Datos personales: Es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, de localización, identificadores en línea o de cualquier otro tipo concerniente a aspectos físicos, económicos, culturales o sociales de las personas naturales que las identifica o las hace identificables. Se considera identificable cuando se puede verificar la identidad de la persona de manera directa o indirectamente a partir de la combinación de datos a través de medios que puedan ser razonablemente utilizados.
5. Datos personales relacionados con la salud: Es aquella información concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo la información que se derive de un acto médico, el grado de discapacidad y su información genética.
6. Datos sensibles: Es aquella información relativa a datos genéticos o biométricos de la persona natural, datos neuronales, datos morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la afiliación sindical, salud física o mental u otras análogas que afecten su intimidad.
7. Desindexación: Es el proceso mediante el cual una dirección URL o contenido específico de un sitio web es eliminado o excluido de los resultados de motores de búsqueda. Este procedimiento, dependiendo de la situación y las circunstancias específicas, puede ser efectuado por el propietario del sitio web o por el motor de búsqueda.
8. Días: Días hábiles.
9. Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales: Es el órgano encargado de ejercer la Autoridad Nacional de Protección de Datos Personales a que se refiere el artículo 32 de la Ley, pudiendo usarse indistintamente cualquiera de dichas denominaciones en el presente Reglamento.
10. Encargado de tratamiento de datos personales: Es la persona natural, persona jurídica de derecho privado o entidad pública que realiza tratamiento de datos por cuenta u orden del responsable de tratamiento o titular del banco de datos personales.
11. Elaboración de perfiles: Es la forma de tratamiento automatizado de datos personales que permite evaluar aspectos de una persona natural, de manera específica y continua, para analizar o predecir aspectos relativos a su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamientos o hábitos, ubicación o movimientos.
12. Emisor o exportador de datos personales: Es el titular del banco de datos personales o aquel que resulte responsable del tratamiento de dichos datos, situado dentro del territorio nacional y que realiza una transferencia de datos personales a otro país, conforme a lo dispuesto en el presente Reglamento.
13. Evaluación de impacto relativo a la protección de datos personales: Es el mecanismo de responsabilidad proactiva que consiste en que el titular del banco de datos personales o responsable del tratamiento de datos realice, de forma previa al tratamiento de los mismos, un análisis o evaluación del impacto o riesgos que implica el tratamiento de esos datos.
14. Fines de tránsito: Implica que los medios no son usados para la finalidad específica de realizar el tratamiento de datos personales, tales como procesamiento, almacenamiento, descarga, visualización y/o similares, sino exclusivamente para hacer pasar datos personales de un lugar a otro.
15. Flujo transfronterizo de datos personales: Se denomina fl ujo transfronterizo o transferencia internacional de datos personales a la transferencia de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban.
16. Incidente de seguridad de datos personales: Es toda vulneración de la seguridad que ocasione la destrucción, pérdida, alteración ilícita de los datos personales o la comunicación o exposición no autorizada a dichos datos.
17. Oficial de Datos Personales: Es la persona designada por el responsable de tratamiento o encargado del tratamiento de datos personales para la verificación, asesoramiento e implementación del cumplimiento del régimen jurídico sobre protección de datos personales.
18. Receptor o importador de datos personales: Es toda persona natural o jurídica de derecho privado, incluyendo las sucursales, filiales, vinculadas o similares o entidades públicas, que recibe los datos en caso de transferencia internacional, ya sea como titular del banco de datos personales o encargado del tratamiento.
19. Rectificación: Es aquella acción destinada a afectar o modificar un dato personal ya sea para actualizarlo o corregirlo con datos exactos.
20. Representante: Es la persona natural o jurídica designada de manera expresa, por el titular del banco de datos personales o responsable, para fines del tratamiento de datos personales.
21. Repertorio de jurisprudencia: Es el banco de resoluciones judiciales o administrativas, dictámenes fiscales, laudos arbitrales, resoluciones de comités de ética o similares, que se encuentra en soporte físico o digital, y organiza, entre otros, datos personales como fuente de consulta y habitualmente pública.
22. Responsable del tratamiento: Es la persona natural, persona jurídica de derecho privado o entidad pública que decide sobre la finalidad y medios del tratamiento de datos personales. Esta definición no se restringe al titular del banco de datos, sino que incluye a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales.
23. Tratamiento: Es cualquier operación o conjunto de operaciones, automatizados o no, que se realicen sobre los datos personales o conjuntos de datos personales.
24. Tercero: Es toda persona natural, persona jurídica de derecho privado o entidad pública, distinta del titular de los datos personales, del titular del banco de datos o responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa de aquellos. La referencia a “tercero” que hace el artículo 30 de la Ley constituye una excepción al significado previsto en este numeral.
Artículo IV. Ámbito de aplicación
4.1 El presente Reglamento es de aplicación al tratamiento de los datos personales, aun cuando no se encuentren en un banco de datos personales.
4.2 Se aplica a toda modalidad de tratamiento de datos personales, ya sea efectuado por personas naturales, entidades públicas o instituciones del sector privado, independientemente del soporte en el que se encuentren.
4.3 La existencia de normas o regímenes particulares o especiales, aun cuando incluyan regulaciones sobre datos personales, no excluye a las entidades públicas o instituciones privadas a las que dichos regímenes se aplican del ámbito de aplicación de la Ley y del presente Reglamento.
4.4 Lo dispuesto en el párrafo precedente no implica la derogatoria o inaplicación de las normas particulares, en tanto su aplicación no genere la afectación del derecho a la protección de datos personales.
Artículo V. Excepciones al ámbito de aplicación
5.1 Las disposiciones de la Ley y del presente Reglamento no son de aplicación a los siguientes supuestos:
1. El tratamiento de datos personales realizado por personas naturales para fines exclusivamente domésticos, personales o relacionados con su vida privada o familiar.
2. Los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de la administración pública, solo en tanto la finalidad vigente del tratamiento resulte necesaria para el estricto cumplimiento de competencias asignadas por ley a las respectivas entidades públicas y siempre que tengan por objeto: a) La defensa nacional, b) La seguridad pública, c) El desarrollo de actividades en materia penal para la investigación y represión del delito.
5.2 En el caso de que las entidades públicas referidas en el numeral 2 del párrafo 5.1. del presente artículo realicen el tratamiento de datos personales para una finalidad distinta a la vinculada al estricto cumplimiento de sus competencias, o para fines de archivo, administrativos, investigación histórica, científica o estadística, les es aplicable lo dispuesto en la Ley y en el presente Reglamento en lo pertinente.
Inscríbete aquí Más información
Artículo VI. Ámbito de aplicación en y para territorio peruano
Las disposiciones de la Ley y del presente Reglamento son de aplicación al tratamiento de datos personales cuando:
1. Sea efectuado en un establecimiento ubicado en territorio peruano correspondiente al titular del banco de datos personales o de quien resulte responsable del tratamiento.
2. Sea efectuado por un encargado del tratamiento, con independencia de su ubicación, a nombre de un titular de banco de datos personales establecido en territorio peruano o de quien sea el responsable del tratamiento.
3. El titular del banco de datos personales o quien resulte responsable no se encuentre establecido en territorio peruano, pero utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento de datos personales. Esta disposición comprende los siguientes supuestos:
3.1. El titular del banco de datos personales o quien resulte responsable del tratamiento no se encuentre en territorio peruano, pero realiza actividades relacionadas a la oferta de bienes o servicios dirigidos a los titulares de datos personales ubicados en territorio peruano.
3.2. El titular del banco de datos personales o quien resulte responsable del tratamiento no se encuentre en territorio peruano, pero realiza actividades orientadas al análisis de comportamiento de los titulares de datos personales ubicados en territorio peruano, así como la elaboración de perfiles que busquen predeterminar conductas, preferencias, hábitos o similares.
4. El titular del banco de datos personales o quien resulte responsable del tratamiento no esté establecido en territorio peruano, pero le resulte aplicable la legislación peruana, por disposición contractual o del derecho internacional.
[Continúa…]
