Nuevo Reglamento de Datos Personales: Responsabilidad Proactiva, ¿viejo conocido?

Tiempo de lectura: 4 minutos

Publicado por: BFE+

El sábado 30 de noviembre de 2024 se publicó en El Peruano el nuevo Reglamento de la Ley de Protección de Datos Personales (el “Reglamento”), que reemplaza al primer reglamento de dicha ley, publicado en 2013. Con excepción de algunas obligaciones sobre el oficial de datos personales y la portabilidad de datos, el reglamento entrará en vigencia a fines de marzo de 2025.

Este nuevo Reglamento pone el foco del régimen normativo en la protección de datos en el entorno digital1, considerando que -como ya advertía en 2010 la Unión Europea- en estos ecosistemas existe un “diluvio de datos2.

Dentro de los principales cambios respecto al reglamento anterior, se incorpora expresamente3 la figura del “Principio de responsabilidad proactiva”. Bajo este principio, quienes traten datos personales “deben aplicar las medidas legales, técnicas y organizativas a fin de garantizar el cumplimiento efectivo de la normativa de datos personales”, así como estar en capacidad de acreditar dicho cumplimiento4

Si bien parece proponer una tautología (i.e., “los sujetos obligados deben aplicar las medidas necesarias para cumplir sus obligaciones”), la responsabilidad proactiva puede reenfocar el cumplimiento de las obligaciones sobre datos personales. En lugar de limitar el análisis al tratamiento de datos en sí, la responsabilidad proactiva extiende el análisis a los procesos técnicos y organizativos de los agentes económicos, a fin de que se “actúe de forma diligente y anticipada5” en todas estas etapas.

En el caso peruano, la responsabilidad proactiva ha sido vinculada a los criterios de privacidad por diseño y por defecto, analizados por la ANDP en un procedimiento sancionador contra la Superintendencia Nacional de Migraciones6. Además, la responsabilidad proactiva ha sido incorporada a dos figuras del Reglamento: las evaluaciones de impacto en protección de datos y el Código de Conducta.  

  1. Privacidad por diseño y por defecto

    Al resolver el procedimiento sancionador contra la Superintendencia de Migraciones, la ANDP analizó el desarrollo e implementación de su Sistema Integrado de Migraciones, que permitió la filtración irregular de reportes migratorios, bajo el principio de responsabilidad proactiva. En este caso, la ANDP concluyó que la responsabilidad proactiva exigía a dicha entidad aplicar enfoques de privacidad por defecto y desde el diseño en su sistema, basándose en estándares de soft law y normas de otros países7.

    La Exposición de Motivos del proyecto de Reglamento también reconoce que estos enfoques son parte de la responsabilidad proactiva8, según la cual la protección de datos debe incorporarse desde la arquitectura de los sistemas, en cada etapa del diseño de los productos, y -al implementarlos- debe ser la opción predeterminada, sin requerir el opt-in de los usuarios. 

    En el caso comentado, una conducta “diligente y anticipada” habría analizado el contexto y los riesgos involucrados en el tratamiento de datos que involucra el Sistema Integrado de Migraciones, permitiéndole implementar criterios de privacidad desde el diseño o evaluaciones ex post sobre la efectividad de las medidas de seguridad adoptadas. 

  2. Evaluaciones de Impacto 

    Las evaluaciones de impacto permiten determinar los riesgos que cada tratamiento puede tener, según el caso en concreto. Con estas evaluaciones, las medidas aplicadas al tratamiento de datos tomarán de cuenta su naturaleza, contexto y el grado de riesgos relacionados a estos. 

  3. Códigos de Conducta

    Los Códigos de Conducta (mecanismo voluntario ya previsto en el reglamento anterior, pero cuyas reglas se han precisado) desarrollan y permiten acreditar el cumplimiento de las obligaciones sobre protección de datos personales, ya sea dentro de una organización o un grupo empresarial. En este caso, el Reglamento indica expresamente que este es un mecanismo de responsabilidad proactiva. 

Por lo pronto, el Reglamento solo prevé recompensas por la implementación de la responsabilidad proactiva: la implementación de Códigos de Conducta o Evaluaciones de Impacto puede calificar como atenuantes de responsabilidad en caso de posibles infracciones a las normas de datos personales. A pesar de ello, si la incorporación expresa de este principio al Reglamento facilita su aplicación en procedimientos sancionadores, deberá prestarse especial atención a que ello no se utilice como fundamento para extender más allá de lo previsto el alcance de las obligaciones sobre protección de datos personales.


  1. Nuevo Reglamento de la Ley de Protección de Datos Personales (Decreto Supremo No. 016-2024-JUS). 
    “Artículo I. Objeto
    El presente Reglamento tiene por objeto establecer disposiciones para la adecuada aplicación de la Ley N.º 29733, Ley de Protección de Datos Personales, en adelante la Ley, a fin de garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado tratamiento por parte de las personas naturales, entidades públicas y las instituciones pertenecientes al sector privado, particularmente, en el entorno digital.” ↩︎
  2. Grupo de Trabajo del Artículo 29 (2010). “Dictamen 3/2010 sobre el principio de responsabilidad”, p. 5. El Grupo de Trabajo trataba cuestiones sobre protección de datos personales hasta antes de la entrada de la normativa europea actual, el Reglamento General de Protección de Datos. ↩︎
  3. Decimos “expresamente” pues la Autoridad Nacional de Protección de Datos Personales ha aplicado este principio en casos anteriores, como describimos más adelante. ↩︎
  4. Nuevo Reglamento de la Ley de Protección de Datos Personales. “Artículo IX. Principios rectores
    El titular del banco de datos personales, o en su caso, quien resulte responsable del tratamiento de datos personales, debe cumplir con el régimen jurídico en materia de protección de los datos personales de acuerdo con los principios rectores establecidos en la Ley; y, asimismo, conforme a los siguientes principios específicos:
    2. Principio de responsabilidad proactiva: En el tratamiento de datos personales se deben aplicar las medidas legales, técnicas y organizativas a fin de garantizar el cumplimiento efectivo de la normativa de datos personales, y el titular del banco de datos personales o quien resulte responsable, debe ser capaz de demostrar tal cumplimiento. ↩︎
  5. Exposición de Motivos del primer proyecto de Reglamento de la Ley de Protección de Datos Personales, (pre–publicado por Resolución Ministerial No. 0270-2023-JUS), p. 14. ↩︎
  6. Resolución Directoral No. 655-2022-JUS/DGTAIPD-DPDP, cuya apelación fue resuelta mediante R.D. No. 023-2022-JUS/DGTAIPD. Resoluciones disponibles en el siguiente enlace: https://www.gob.pe/institucion/anpd/normas-legales/2751193-pas-superintendencia-nacional-de-migraciones↩︎
  7. Resolución Directoral No. 655-2022-JUS/DGTAIPD-DPDP, p. 13-14. Además, ver: SANTAMARÍA RAMOS, Francisco José (2020). “El principio de responsabilidad proactiva: una oportunidad para un mejor cumplimiento de la normativa en materia de protección de datos de carácter personal en el ámbito latinoamericano”, en: Revista Derecho PUCP No. 85, p. 145. ↩︎
  8. Exposición de Motivos del primer proyecto de Reglamento de la Ley de Protección de Datos Personales, pp. 14-15. ↩︎