Derecho
Las organizaciones, entonces, se rigen actualmente por dos marcos normativos activos y simultáneos sobre notificación de incidentes, cuyas diferencias es pertinente precisar.
El D.S. N° 126-2025-PCM define el incidente de seguridad digital como el evento que puede comprometer la confianza, la prosperidad económica o la protección de personas e información a través de tecnologías digitales. Los incidentes críticos, según esta norma, deben notificarse al Centro Nacional de Seguridad Digital (CNSD) en un plazo no mayor de 48 horas. En cambio, el D.S. N° 016-2024-JUS define el incidente de seguridad de datos personales como el evento que compromete la confidencialidad, integridad o disponibilidad de datos personales, y exige notificación a la Autoridad Nacional de Protección de Datos Personales (ANPD) también en 48 horas.
Así podrían calificar como reportables ante ambas autoridades eventos como una interrupción significativa de sistemas en una entidad financiera o de comercio electrónico, siempre que involucren datos personales. En cambio, el envío masivo de información personal a destinatarios no autorizados o la pérdida de un dispositivo sin cifrado podrían constituir incidentes de datos personales reportables a la ANPD; pero, si no son cometidos por proveedores de servicios digitales críticos, no generan obligación de notificación al CNSD.
Ante un incidente reportable, se recomienda evaluar si este activa uno o ambos regímenes y tener claridad sobre los responsables: el Oficial de Seguridad y Confianza Digital para el CNSD (facultativo para entidades privadas) y el Oficial de Datos Personales para la ANPD (obligatorio para entidades privadas y públicas). De corresponder, ambas gestiones deben ser reportadas. Cabe precisar que la PCM, de la que depende la CNSD, no tiene facultades sancionadoras; por lo tanto, la consecuencia legal relevante (multas de hasta 50 UIT) se activa únicamente cuando el incidente involucra datos personales y no se notifica a la ANPD.
Dicho esto, el mejor protocolo es el preventivo: implementar medidas legales, técnicas y organizacionales antes de que ocurra un incidente no solo reducen su probabilidad, sino que también demuestran responsabilidad proactiva ante las autoridades.
Por último, cabe señalar que aún no existe una clasificación nacional de incidentes que permita determinar con certeza cuándo un incidente es “crítico”, y que la plataforma habilitada para centralizar las notificaciones se encuentra inactiva; lo cual deja difuso el propósito del marco normativo.
??¿Sabías que inscribir la sucesión intestada en Sunarp es fundamental cuando no existe un testamento?
— Diario El Peruano (@DiarioElPeruano) March 25, 2026
Este proceso permite a los herederos acceder legalmente a los bienes y evita conflictos familiares??https://t.co/hFNlQAGT6m pic.twitter.com/H6KwejmfKC