ANPD: Aumenta la cultura de protección de datos personales

Titular de la entidad, Eduardo Luna, revela que se incrementaron las denuncias por afectaciones vinculadas con el manejo de información personal en entidades públicas y privadas

29/09/2025 09:25 El aumento de las denuncias que se presentan ante la Autoridad Nacional de Protección de Datos Personales (ANPD) constituye “un signo inequívoco” de que existe una mayor conciencia ciudadana respecto al derecho de que se salvaguarde su información personal en las entidades públicas y privadas, sostuvo el titular de la citada institución, Eduardo Luna Cervantes.

Percy Buendia Quijandría

Periodista

pbuendia@editoraperu.com.pe

En diálogo con el Diario Oficial El Peruano, recordó que desde la vigencia del reglamento de la Ley de Protección de Datos Personales, que se aprobó mediante el Decreto Supremo N° 016-2024-JUS (30 de noviembre del 2024), del Ministerio de Justicia y Derechos Humanos, su institución recibió 43 reportes de incidentes de seguridad. Solo en setiembre atendió 24, anotó.

Balance

“Esta situación significó que la autoridad crezca exponencialmente en su labor de fiscalización y de atender las denuncias que tramita. En lo que va del año, recibimos 455 denuncias, que no solo son por medidas de seguridad”, refirió.

Luna reveló que los hechos más frecuentes interpuestos son “por incumplir con el deber de informar, para qué se recolectan los datos, con qué propósito, para qué finalidad; también por violación del principio de consentimiento, recolectaron mis datos sin recabar mi consentimiento; y el tercer rubro más frecuente es justamente las medidas de seguridad. Ya superamos largamente lo que hicimos en todo el 2024, que fueran 259 denuncias”.

“En fiscalizaciones, el año pasado, ejecutamos 454 que representaron visitas a entidades públicas, empresas, etcétera. En lo que va del 2025, ya superamos esa cifra y estamos por 553”, resaltó.

Luna rememoró también que, en promedio, en un año, la ANPD sanciona a 100 entidades por infracciones a la Ley de Protección de Datos Personales y su reglamento, muchas de ellas vinculadas con temas de seguridad.

“En lo que va del 2025, hemos impuesto sanciones a 75, entre públicas y privadas”, detalló. “Las cifras crecieron considerablemente y también nuestra labor de fiscalización y de sanción.

El año pasado, el valor de las multas que impusimos a ese centenar aproximado de entidades que sancionamos llegó a los 13.4 millones de soles. Seguramente este 2025 superaremos esa cifra”, recalcó.

Entonces, destacó, a “partir de nuestra experiencia y de los números que están creciendo en todas nuestras acciones y actividades, podemos apreciar que hay un incremento a propósito del mayor conocimiento ciudadano respecto a su derecho”.

“Existe una mayor conciencia respecto a ser titulares de un derecho y, por lo tanto, de exigir a un privado o a una entidad pública que respete ese derecho, que supone la exigencia de informarle qué datos se están recolectando de él, con qué propósito y de dónde los han obtenido. Y cuando no hay una respuesta satisfactoria, los ciudadanos denuncian y esto se ve reflejado en nuestras cifras”, aseveró.

Luna señaló que, en general, se ha crecido en una cultura de protección de datos. “Hay un marco regulatorio más fino, más robusto, para garantizar los contenidos de la Ley de Protección de Datos Personales y los derechos que derivan de esta norma, tal como lo podemos apreciar”, agregó.

Además, recalcó, se ve un incremento a propósito de los pedidos de capacitaciones, de charlas informativas o de consultas que se formulan ante la ANPD que asume una labor de orientación sobre los contenidos de la ley.

“Nuestras consultas también se dispararon por la vía del correo electrónico, por teléfono y los documentos que emitimos con opiniones. Es decir, esta carga de trabajo que apreciamos año a año parece ser un signo inequívoco de que hay una mayor conciencia ciudadana respecto a este derecho y a las obligaciones que derivan de él”, enfatizó.

Pilar

En este contexto, el titular de la ANPD expresó que la seguridad digital es, hoy por hoy, un pilar fundamental de cualquier entidad pública, organización o empresa, y una exigencia de la Ley de Protección de Datos Personales y su reglamento que establecen una serie de medidas de seguridad para toda entidad que hace un tratamiento de la información particular de las personas.

“En el tratamiento, me refiero a recolectar datos, almacenarlos, transferirlos, enviarlos a alguien más o conservarlos. Cuando una institución asume un tratamiento de datos personales debe adoptar una serie de medidas de seguridad para garantizar la integridad, disponibilidad y seguridad de ese dato”, afirmó.

Luna dijo que el reglamento fija una serie de acciones como, por ejemplo, la trazabilidad de los sistemas. “¿Qué quiere decir esto? Que cuando alguien ingrese en un sistema, lo haga con un usuario y una contraseña autenticados y ese sistema registre a qué hora ingresa, quién ingresa, qué hace en el sistema, si extrae o no información.

Eso se llama trazabilidad. Es una medida básica de seguridad”, explicó. “Es garantizar, y no solo en el mundo digital, que en una clínica o un centro de salud y en un archivero se encuentran las historias clínicas de los pacientes, hay que resguardar ese banco de datos físico con medidas de seguridad que pueden ir desde un candado hasta ambientes seguros para que no cualquiera que transite por allí pueda acceder a esa información”, puntualizó.

Formulario

Eduardo Luna recordó que en los últimos años se emitieron normas importantes en ciberseguridad, lo cual generó un “marco de confianza digital. Hay una ley de seguridad digital, tenemos un nuevo reglamento de datos personales y eso, por ejemplo, determina que exista un Centro Nacional de Reportes de Incidentes de Seguridad”.

“Nos pusimos de acuerdo con la Secretaría de Gobierno y Transformación Digital, de la Presidencia del Consejo de Ministros, para confeccionar un solo formulario de notificación de incidentes [https:// reporte.cnsd.gob.pe/home/ minjus]”, refirió.

Así, dijo, se simplifican las cosas para el incidentado, que no tiene que estar reportando ante varias ventanillas del Estado, sino que en un solo formulario informa sobre lo que puede o no consistir en la vulneración o afectación de datos personales.

“Cuando si se afectaron, ese reporte llega inmediatamente a nosotros, se abren ciertos campos y este centro nos suministra la información que necesitamos para nuestras fiscalizaciones y procedimientos sancionadores”, afirmó.

Accesos

Las medidas de seguridad digitales deben incluir también contraseñas seguras, no colectivas, sino individuales para personas específicas y no que se festinen colectivamente los usuarios y las claves de acceso, precisó Eduardo Luna.

El titular de la Autoridad Nacional de Protección de Datos Personales mencionó la importancia de que existan backups de la información (respaldos, copias de seguridad). “Puede ocurrir algún incidente, un ciberataque, y es necesario por razones de seguridad que haya algún servidor o dispositivo que en estos casos de emergencia almacene la información”, aseveró.

“Entonces, una entidad que cuente con robustos mecanismos y medidas de seguridad evitará pérdidas, deterioro, destrucción de la información y, por supuesto, prevendrá los delitos informáticos, cuya persecución está a cargo del Ministerio Público y la Policía Nacional del Perú [PNP]”, recalcó.

Luna destacó que una institución que guarde seguros sus datos evitará esas fugas de información y que se infrinjan los deberes de confidencialidad. “Por lo tanto, reducirá también el cibercrimen. Nadie está libre de un ciberataque, pero las medidas de seguridad mitigarán los efectos de este”, aseveró.