Ley 29733 y Ley 30096 en Perú: lo que las empresas deben cumplir
Perú cuenta con dos leyes fundamentales para la seguridad digital empresarial: la Ley Nº 29733 de Protección de Datos Personales y la Ley Nº 30096 de Delitos Informáticos. Juntas definen los derechos de los ciudadanos sobre su información, las obligaciones de las empresas que tratan esos datos y las sanciones penales para quienes cometan delitos en el entorno digital. Entender su alcance es el primer paso para construir un programa de cumplimiento sólido.
¿Qué es la Ley Nº 29733?
La Ley Nº 29733, Ley de Protección de Datos Personales, es la norma marco que regula el tratamiento de información personal en Perú. Establece los derechos de los titulares de datos (acceso, rectificación, cancelación y oposición) y las obligaciones de las empresas que recopilan, almacenan, procesan o transfieren esa información.
Entre los requisitos centrales de la Ley 29733 para las empresas se encuentran:
- Consentimiento informado: el tratamiento de datos personales requiere el consentimiento previo, libre, expreso e inequívoco del titular.
- Finalidad legítima: los datos solo pueden usarse para el propósito declarado al momento de la recopilación.
- Seguridad de la información: las empresas deben adoptar medidas técnicas, organizativas y legales para proteger los datos frente a accesos no autorizados, pérdida o alteración.
- Registro de bancos de datos: las bases de datos con información personal deben inscribirse en el Registro Nacional de Protección de Datos Personales a cargo de la ANPD.
- Transferencias internacionales: la transferencia de datos a terceros países requiere garantías equivalentes de protección.
El incumplimiento puede resultar en sanciones económicas y, en casos de negligencia grave, en consecuencias penales para los responsables del tratamiento.
Ley Nº 30096 — Delitos Informáticos
La Ley Nº 30096, vigente desde 2013, tipifica los delitos cometidos mediante tecnologías de la información. Establece penas de privación de libertad para conductas como:
- Acceso no autorizado a sistemas informáticos o bases de datos.
- Interceptación de datos o comunicaciones sin autorización.
- Daño a datos informáticos o sistemas de información.
- Fraude informático mediante manipulación de sistemas o datos.
- Suplantación de identidad en entornos digitales.
Para las empresas, la Ley 30096 tiene implicancias en dos sentidos: las obliga a proteger sus sistemas para no ser víctimas de estos delitos y les exige asegurarse de que sus propios empleados y proveedores no incurran en conductas tipificadas como delito.
Un programa de cultura de ciberseguridad que incluya formación periódica al personal sobre el uso ético y legal de los sistemas de información es una medida preventiva directa frente a los riesgos de la Ley 30096.
SBS y la regulación de servicios financieros
Para las empresas del sector financiero, la Superintendencia de Banca, Seguros y Administradoras (SBS) añade una capa adicional de exigencias a través de la Resolución SBS 504-2021. Esta resolución complementa la Ley 29733 con controles específicos de ciberseguridad orientados a la resiliencia operacional, la autenticación robusta y el reporte de incidentes.
El resultado es que las entidades financieras peruanas deben cumplir con la ley general de protección de datos (Ley 29733), los delitos informáticos (Ley 30096) y la regulación sectorial de la SBS. Esta superposición de marcos legales requiere un enfoque integrado de gestión de cumplimiento.
Comité Nacional de Ciberseguridad
Perú está en proceso de desarrollar un Comité Nacional de Ciberseguridad con dos funciones principales: el diseño e implementación de una estrategia nacional comprensiva de ciberseguridad y la coordinación de la respuesta ante el creciente volumen de incidentes cibernéticos en el país.
Este desarrollo institucional responde a los datos del panorama de amenazas: las denuncias de ciberdelitos en Perú pasaron de 8,674 en 2020 a más de 42,000 en 2024. El 70% de esos incidentes involucra fraude computacional y robo de identidad. La creación del Comité es una señal de que el gobierno peruano está avanzando hacia una política de ciberseguridad nacional más estructurada, lo que previsiblemente incrementará las exigencias regulatorias en los próximos años.
Qué deben hacer las empresas peruanas
El cumplimiento de la Ley 29733 y la Ley 30096 no es opcional, pero tampoco es suficiente con tener políticas escritas. Las empresas deben demostrar que sus controles funcionan en la práctica.
Un plan de acción de cumplimiento para empresas peruanas debe incluir:
- Inventario de datos personales: identificar qué datos recopilan, dónde los almacenan y quién tiene acceso.
- Política de privacidad y consentimiento: actualizar formularios y aviso de privacidad alineados con los requisitos de la Ley 29733.
- Controles técnicos de seguridad: cifrado, control de accesos, gestión de contraseñas, y gestión de vulnerabilidades continua.
- Plan de respuesta a incidentes: procedimientos documentados para detectar, contener y notificar brechas de seguridad.
- Formación al personal: capacitación en las obligaciones legales y en el uso seguro de los sistemas de información.
- Evaluaciones periódicas de seguridad: como mínimo, pruebas de penetración anuales mediante ciberseguridad con enfoque en aplicaciones y redes.
Las empresas que traten datos de clientes de entidades financieras o que estén bajo la supervisión de la SBS deben además revisar los requisitos específicos de la Resolución SBS 504-2021.
¿Necesitas evaluar el estado de cumplimiento de tu empresa con la legislación peruana de protección de datos? Contacta a WhiteJaguars para una evaluación de ciberseguridad adaptada al marco regulatorio de Perú.