¿Estamos listos para enfrentar una filtración?

27/12/2025 01:17 En los últimos meses, el Perú ha enfrentado un aumento de filtraciones de datos personales que han afectado tanto a entidades privadas como públicas. Estos incidentes han evidenciado la fragilidad de los sistemas de información y la urgencia de reforzar la protección de datos. Para los líderes empresariales, la pregunta es clara: ¿son suficientes las medidas de seguridad exigidas por la normativa y adoptadas por las empresas?, ¿existe una supervisión real que garantice su implementación?

Carlos Rodríguez Summers

KPMG en Perú

La protección de datos personales está regulada por la Ley N.° 29733, que alinea el derecho constitucional a la privacidad con la obligación de tratar adecuadamente la información obtenida por las empresas en el desarrollo de sus actividades. Sin embargo, el avance tecnológico y el incremento de los ciberataques han impulsado una actualización normativa más rigurosa.

El nuevo Reglamento de la ley (D. S. 016-2024-JUS), vigente desde marzo, impone obligaciones estrictas a los responsables del tratamiento de datos. Entre los requisitos clave están: designación obligatoria de un Oficial de Protección de Datos Personales (DPO), notificación de incidentes de seguridad en un plazo máximo de 48 horas y la implementación de medidas técnicas y organizativas más robustas que garanticen la integridad, disponibilidad y confidencialidad de la información. Estas medidas eran recomendaciones recogidas en la Directiva de Seguridad; ahora son exigencias legales fiscalizables. La Autoridad Nacional de Protección de Datos Personales (ANPD), adscrita al Ministerio de Justicia, ha fortalecido su rol de supervisión. Tras los últimos ciberataques, exige evidencia técnica para verificar el cumplimiento normativo. En estas fiscalizaciones, cada vez más frecuentes, las empresas deben demostrar protocolos efectivos de seguridad: gestión de accesos e identidades (IAM), controles de acceso lógico, protección de credenciales, seguridad en servidores, evaluaciones de riesgos y planes de continuidad.

A pesar de estos avances, persisten las dudas sobre la suficiencia y consistencia de las medidas. El reglamento busca armonizar estándares peruanos con los internacionales, pero su eficacia dependerá de dos factores clave: compromiso corporativo: Las empresas deben fomentar una cultura sólida de protección de datos, integrando la seguridad en todos los niveles operativos, y rigor regulatorio: la capacidad de la ANPD para fiscalizar y exigir el cumplimiento será determinante.

El mensaje para las compañías es claro: reducir la exposición a ciberataques y proteger el derecho fundamental a la privacidad exige preparación genuina y disposición a una supervisión rigurosa. Solo mediante esta doble vía –implementación real y control riguroso– se podrá garantizar un espacio confiable, adaptable y seguro en un entorno cada vez más digital.