El 1 de abril entrará en vigor el nuevo Reglamento de la Ley de Protección de Datos Personales en Perú, lo que generará cambios en la supervisión y cumplimiento de esta normativa.
Según Bruno Mejía, líder de Competencia y Mercados de EY Law Perú, en los últimos años las inspecciones llevadas a cabo por la Autoridad Nacional de Protección de Datos Personales han mostrado una tendencia creciente, y considera que esta tendencia podría continuar en 2025.
De acuerdo con datos recopilados, en 2023 aproximadamente 330 entidades fueron objeto de fiscalización, mientras que en 2024 esta cifra subió a 450 entidades.
Para el presente año, Mejía estima que el número de inspecciones podría superará las cifras anteriores, especialmente a partir del segundo trimestre, cuando la normativa ya estará plenamente implementada. Según subrayó: “se viene una ola de fiscalizaciones”, lo que significará un mayor control y supervisión sobre el tratamiento de datos personales en distintos sectores.
El período de abril a junio podría ser clave en la ejecución de las primeras fiscalizaciones bajo el nuevo marco regulatorio, con miras a que los procedimientos sancionadores se desarrollen entre julio y diciembre.
LEA TAMBIÉN: El mundo tecnológico organiza su respuesta ante el aumento de los deepfakes
Sectores con mayor supervisión
Se espera que las fiscalizaciones se centren sobre todo en sectores que manejan grandes volúmenes de datos personales, especialmente el financiero, el de salud, el educativo y el de retail.
En el sector financiero y bancario, se supervisará el uso de información recopilada en la contratación de productos como préstamos, tarjetas de crédito y cuentas bancarias. La fiscalización abarcará desde la recopilación inicial hasta el almacenamiento y uso posterior de estos datos, garantizando el cumplimiento de disposiciones sobre confidencialidad y derechos de los clientes.
En el sector salud, las entidades médicas manejan datos sensibles relacionados con diagnósticos, tratamientos y antecedentes médicos. La normativa exige que el tratamiento de estos datos cuente con consentimiento expreso y por escrito. Además, se verificará la seguridad en el almacenamiento de la información y la confidencialidad de las historias clínicas, en cumplimiento con la Ley General de Salud.
El sector educativo, que incluye colegios, institutos y universidades, también será objeto de fiscalización, especialmente en el manejo de datos de menores de edad. La normativa establece que los datos de niños de 0 a 14 años solo pueden ser tratados con consentimiento de los padres o tutores, mientras que los adolescentes de 14 a 18 años pueden dar su consentimiento bajo ciertas condiciones. También se revisará el uso de imágenes de estudiantes en redes sociales y plataformas digitales de instituciones educativas.
En el sector retail, donde se manejan grandes volúmenes de información en compras en línea, programas de fidelización y estrategias de marketing, la fiscalización se enfocará en la correcta obtención del consentimiento para el uso de datos en publicidad, la protección de información en transacciones electrónicas y el manejo de bases de datos de clientes.
LEA TAMBIÉN: Criptomonedas y su relación con el lavado de activos: riesgos y modalidades delictivas
Multas y criterios de sanción
Las sanciones en Perú no han sufrido modificaciones en cuanto a su monto, aunque existen diferencias significativas con otros países de la región, según analiza EY. En Chile, las multas pueden alcanzar hasta US$ 1.4 millones, mientras que en Ecuador las empresas pueden enfrentar sanciones de hasta el 1% de sus ingresos brutos.
En el caso peruano, la magnitud de las multas dependerá de varios factores. Uno de ellos es el alcance del daño en el mercado, ya que, si la infracción afecta a un gran número de consumidores o involucra datos sensibles a nivel nacional, la sanción podría ser más severa.
Otro criterio es la duración de la infracción, diferenciando entre incumplimientos ocasionales y prácticas prolongadas en el tiempo. Además, se considerará el nivel de ingresos de la empresa infractora, ya que las entidades con mayores recursos podrían enfrentar sanciones más elevadas en proporción a su capacidad económica.
La probabilidad de detección de la infracción también es relevante. Se analizará si la violación a la normativa fue descubierta a raíz de una denuncia o si la empresa expuso la información de manera pública y accesible.
Finalmente, el impacto reputacional juega un rol fundamental en la evaluación de las sanciones. Casos recientes han demostrado que entidades financieras y del sector salud han sido objeto de multas debido al posible daño a su imagen corporativa por fallas en la protección de datos personales.
LEA TAMBIÉN: Empieza evaluación del primer piloto de innovación con dinero digital del BCRP
