Derecho
Periodista
pbuendia@editoraperu.com.pe
“Para las empresas peruanas, este tema sigue siendo crítico, porque hoy vivimos en un entorno totalmente digital en el que la confianza es importante dentro de los usuarios”, explica el abogado Alexander Montenegro en declaraciones al Diario Oficial El Peruano.
El letrado expresa que cuando un cliente entrega su nombre, teléfono o número de documento nacional de identidad (DNI) a un negocio lo “hace esperando que esa información no termine en manos de terceros para llamadas spam o, peor aún, en bases de datos de los cuales desconocemos y cuestionamos su fiabilidad”.
Multas
“En nuestro país, la Autoridad Nacional de Protección de Datos Personales (ANPD) es cada vez más activa y las multas por no cuidar estos datos pueden ser bastante altas (llegando a superar las 100 unidades impositivas tributarias-UIT), lo que puede poner en riesgo la estabilidad económica y, sobre todo, reputacional de cualquier empresa”, advierte.
Ahora bien, frente a este panorama el especialista de Monroy & Shima Abogados considera que se vive un cambio importante. “Antes, muchas empresas veían el cuidado de los datos como una buena acción o algo opcional que solo las grandes corporaciones hacían. Sin embargo, hoy existe una realidad innegable: cumplir con la Ley N.° 29733 es una obligación legal tan estricta como pagar impuestos o cumplir con la normativa laboral”, asevera.
“Las empresas ya no solo lo hacen por ética, sino porque saben que el Estado peruano exige que cada dato recolectado tenga un consentimiento claro y una finalidad específica. Ya no basta con decir que se es responsable; ahora las empresas deben demostrarlo teniendo sus bancos de datos inscritos y sus políticas de privacidad a la vista de todos”, afirmó.
No obstante estos avances, Montenegro revela que las infracciones más frecuentes respecto a la protección de datos personales se relacionan con descuidos que parecen menores, pero que generan un gran impacto legal. “Muchas empresas son sancionadas simplemente por no inscribir sus bancos de datos ante el Registro Nacional o no cumplir con el deber de informar, es decir, por no contar con una política de privacidad clara y accesible”, refiere.
Recopilaciones
“Sin embargo, el error más recurrente y costoso sigue siendo el tratamiento de datos sin el consentimiento libre, previo, expreso e informado del titular. Esto ocurre mucho cuando se usan datos recolectados para una venta con el fin de enviar publicidad masiva o se comparten con terceras empresas sin que el cliente lo haya autorizado específicamente”, advierte.
El abogado senior señala también que, en términos de riesgo, las infracciones que ponen en jaque a las organizaciones son aquellas calificadas como graves o muy graves. “Recopilar datos mediante medios fraudulentos o engañosos, así como sufrir filtraciones masivas por no implementar medidas de seguridad técnicas adecuadas, representan el mayor peligro económico, con multas que pueden llegar a las 100 UIT”, remarca.
“Además, el riesgo legal se dispara cuando una empresa intenta obstruir las labores de fiscalización de la autoridad o proporciona información falsa, lo cual es castigado con severidad por la ANPD”, asevera.
Montenegro explica que los sectores o actividades empresariales que manejan datos de forma masiva son los que están bajo la mira constante de la autoridad. “Las empresas de telecomunicaciones, el sector bancario y el educativo lideran el ranking de sanciones”, detalla.
“Un caso que generó gran controversia recientemente fue la sanción a diversas empresas por realizar llamadas “spam” sin consentimiento, un tema que incluso motivó cambios legislativos para prohibir estas prácticas”, recuerda.
El experto refiere que hubo casos como la exposición de datos de millones de peruanos vinculada con vulnerabilidades en plataformas que consumen información del Registro Nacional de Identificación y Estado Civil (Reniec), lo que demuestra que, incluso, “un descuido en la seguridad de un tercero puede arrastrar consecuencias legales y reputacionales devastadoras”.
Para reducir drásticamente el riesgo de sanciones, el letrado menciona que la principal recomendación es adoptar la privacidad desde el diseño, lo cual “significa que cada nuevo producto, servicio o campaña de marketing debe ser evaluado desde su concepción para asegurar que respeta la privacidad del usuario”.
Las medidas mínimas que toda empresa en el Perú debe implementar incluyen la inscripción y actualización en el Registro Nacional de Protección de Datos Personales (RNPDP). “No solo es registrar los bancos de datos personales, sino también mantenerlos actualizados ante cualquier cambio en la finalidad o en los destinatarios de la información”, detalla.
Gestión
Montenegro destaca también la importancia de implementar una adecuada gestión de consentimientos, mediante la habilitación de formularios (físicos o digitales) que garanticen un consentimiento libre, previo, expreso, informado e inequívoco, evitándose las casillas premarcadas.
Los protocolos arco, para que cualquier ciudadano pueda ejercer sus derechos de acceso, rectificación, cancelación y oposición en los plazos que dicta la ley, ayudarán a contar con un procedimiento claro y sencillo, recalca.
Sostiene que la capacitación tiene que ser continua, pues el eslabón más débil siempre es el factor humano. “El personal que maneja datos debe en tender que un descuido con un Excel puede costar miles de soles en multas”, anota.
“La protección de datos ya no es una carga regulatoria, es el cimiento de la confianza de los clientes. En un mercado tan competitivo como el peruano, la empresa que no cuida la privacidad de sus clientes no solo se expone a multas devastadoras, sino también envía el mensaje de que no valora a quien le da vida a su negocio”, enfatiza.
Para el experto, adecuar los procesos en la compañía no es un gasto, constituye una inversión en la reputación y sostenibilidad a largo plazo de su marca. “En suma, invertir en una adecuada gestión de datos personales permitirá marcar la diferencia a nivel empresarial”, anota.
El 28 de enero de 1981, en Estrasburgo (Francia), el Consejo de Europa adoptó el Convenio 108-Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal.
El objetivo de este instrumento es garantizar a cualquier persona sin importar cual sea su nacionalidad o residencia, el respeto de sus derechos y libertades fundamentales, en específico a la vida privada con relación al tratamiento automatizado de sus datos con carácter personal.
Por iniciativa del Consejo de Europa, se instauró que a partir del 2006, cada 28 de enero, se conmemore el Día Internacional de la Protección de Datos Personales.
Mientras, el 3 de julio del 2011 se publicó en el Diario Oficial El Peruano la Ley N° 29733, Ley de Protección de Datos Personales.
Lea también en El Peruano:
Conoce cómo la innovación pública ahora es ley y mejora los servicios del Estado ? https://t.co/XKnxhTAbfZ pic.twitter.com/Ae1ISmfxq9
— Diario El Peruano (@DiarioElPeruano) January 20, 2026