20-01-2026 | CPB, Noticias
1. ¿Quiénes deben designar un ODP?
A. Sector Público: Entidades del sector público y Empresas bajo FONAPE.
B: Sector Privado (empresas): Cuando el tratamiento se realiza sobre grandes volúmenes de datos personales o cuando el giro o actividad principal de la entidad implica tratamiento de datos sensibles (p.e: bancos o centros de salud).
2. Evaluación de grandes volúmenes de datos personales
La Directiva establece cinco criterios de evaluación, distinguiendo entre:
- Criterios determinantes A, B y C.
- Criterios complementarios (moduladores): D y E.
3. Criterios determinantes:
- Criterio A: número de titulares de datos personales:
- Nivel ALTO: > 50,000 titulares.
- Nivel MEDIO: 10,000 a 49,000 titulares.
- Nivel Bajo: Tratamiento puntuales, ocasionales o excepcionales (campañas únicas, encuentras o proyectos específicos.
2. Criterio E: Ubicación del tratamiento:
- Nivel ALTO: Bancos de Datos contenidos en servidores o servicios en la nube ubicados fuera del país.
- Accesos remotos frecuentes a bancos de datos nacionales desde el extranjero (VPN, SSH, FTP, SFTP, etc). Por parte de usuarios o administrados localizados fuera del país.
- Nivel Medio: Bancos de datos contenidos en servidores o infraestructuras localizadas en el territorio nacional.
- Nivel Bajo: Datos gestionados locamente en soportes físicos o servidores nacionales. Sin acceso a internet ni conexiones remotas internacionales.
4. Reglas de decisión: Anexo 1 de la Directiva
1.Se considera de gran volumen de datos personales cuando:
- Si al menos uno de los criterios determinantes A,B o C se encuentra en nivel ALTO.
- Si al menos dos de los criterios determinantes A,B o C se encuentran en nivel MEDIO.
- Si al menos uno de los criterios determinantes A,B o X se encuentran a nivel MEDIO, y adicionalmente, al menos uno de los criterios complementarios D o E se encuentra en nivel MEDIO o ALTO.
2. No se considera de gran volumen de datos personales cuando:
- Si los tres criterios determinantes (A,B y C) se encuentran simultáneamente en nivel BAJO.
5. Perfil y requisitos del ODP
- Experiencia:
- Experiencia general: Mínimo 2 años en labores a fines a protección de datos personales o áreas relacionadas (seguridad de la información, ciberseguridad, gobierno digital, IA, etc), de manera continua o acumulada.
- Experiencia específica: Mínimo 1 año dedicado directamente a protección de datos personales de manera continua o acumulada.
2. Formación académica:
Se requiere al menos una de las siguientes:
- Posgrado en protección de datos personales y/ materias afines.
- Certificación especializada en datos personales o materias afines (mínimo 90 horas).
- Diplomado especializado en datos personales o materias afines (mínimo 120 horas).
- Docencia o investigación continua en la materia.
Los certificados y diplomados deben ser impartidos por instituciones de reconocido prestigio en datos personales.
6. ¿Quién NO puede ser designado ODP?
No puede ser OPD quien:
- Tenga sentencia condenatoria firme por delito doloso.
- Mantenga sanción o inhabilitación vigente como consecuencia de procedimientos disciplinario y otro análogo.
- Se encuentre investigado por delitos informáticos.
- Registre sanciones ética vinculadas al tratamiento de información y protección de datos personales.
7. Funciones del ODP:
1.Funciones principales:
- Coordinar programas de capacitación y sensibilización del personal en protección de datos personales.
- Gestionar la conformación de un equipo de apoyo cuando las funciones de supervisión o asesoramiento lo requieran.
- Elaborar informes, opiniones o recomendaciones técnicas sobre el cumplimiento de la normativa, dirigidos a la alta dirección o directorio.
- Recabar información de las unidades o departamentos pertinentes para verificar el cumplimiento de la normativa.
- Revisar periódicamente documentos emitidos por la ANPD relevantes para sus funciones.
- Promover una cultura de protección de datos personales dentro de la entidad, organización o empresa.
2. Funciones excluidas:
El ODP no:
- Define la finalidad del tratamiento.
- Ejecuta directamente tratamientos de datos personales.
- Reemplaza al responsable del tratamiento.
- Toma decisiones propias del negocio.
8. Comunicación de designación del ODP
1. Ante la ANPD:
- Nombres y apellidos.
- Documento de identidad.
- Cargo.
- Datos de contacto.
2. Frente a los titulares:
- Publicación del nombre completo y correo del ODP en la política de privacidad.
Si necesitas más información a asesoría en materias de protección de datos personales, escríbenos a contacto@compliancelatam.legal
23-09-2025 | CPB, Noticias
PRINCIPIOS RECTORES
Se establecen principios rectores que deben regir el desarrollo, implementación y uso de la Inteligencia Artificial (IA) en todo ámbito. Algunos ejemplos son los siguientes:
- No discriminación
- Privacidad de los datos personales
- Protección de derechos fundamentales
- Respecto al derecho de autor
- Seguridad, proporcionalidad y fiabilidad
- Sostenibilidad
- Supervisión Humana
- Transparencia
CLASIFICACION DE RIESGOS
El Reglamento clasifica los sistemas de IA en tres categorías de riesgo:
- USO INDEBIDO: Sistemas de IA que se usen para impactar de manera irreversible, significativa y negativa en los derechos fundamentales y bienestar de las personas. Este uso está prohibido.
- RIESGO ALTO: Sistemas de IA cuyo uso puede suponer un riesgo para la vida humana, la dignidad, la libertad, la seguridad física y demás derechos fundamentales de las personas. Su uso se encuentra permitido sólo si se cumplen con determinadas obligaciones y medidas.
- RIESGO ACEPTABLE: Todos los sistemas de IA que no se encuentren comprendidos en las dos clasificaciones anteriores. Su uso se encuentra permitido en cumplimiento de la normativa respectiva.
OBLIGACIONES GENERALES APLICABLES AL SECTOR PRIVADO
Se contemplan las siguientes obligaciones que deben ser cumplidas por todo desarrollador o implementador de los sistemas basados en IA:
- Establecer políticas y procedimientos que permitan preservar la seguridad, transparencia y privacidad.
- Fomentar la educación y concientización interna de los colaboradores respecto a los riesgos asociados al uso de IA.
OBLIGACIONES APLICABLES AL SECTOR PRIVADO PARA SISTEMAS DE RIESGO ALTO
Asimismo, se establecen obligaciones que deben ser cumplidas específicamente en el desarrollo o implementación de sistemas basados en IA de riesgo alto:
Transparencia algorítmica: Implementar mecanismos que permitan informar al usuario, de forma previa, clara y sencilla, sobre la finalidad o uso del sistema basado en IA, sus funcionalidades y el tipo de decisiones que puede tomar (por ejemplo, mediante etiquetado).
Supervisión humana: Implementar mecanismos de supervisión humana en la toma de decisiones que pudiesen implicar un impacto significativo en sectores de salud, educación, justicia, finanzas y acceso a programas y servicios básicos.
Documentación: Mantener un registro actualizado sobre los principios del funcionamiento del sistema, las fuentes de datos utilizadas y la lógica del algoritmo, los impactos sociales y éticos esperados.
SUPERVISIÓN E IMPLEMENTACIÓN
La Secretaría de Gobierno y Transformación Digital (SGTD) tendrá a su cargo realizar acciones de monitoreo y supervisión sobre el desarrollo e implementación de sistemas de IA de riesgo alto o uso indebido, así como la identificación y provisión de cursos, programas, talleres y otras modalidades formativas para crear capacidades en IA.
El Reglamento entra en vigencia el 22 de enero del 2026.
Sin embargo, se contempla un cronograma de implementación para las obligaciones mencionadas de acuerdo al rubro de uso del sistema de IA:
- Sectores de salud, educación, justicia, seguridad, economía y finanzas: 10 de setiembre del 2026
- Sectores de transporte, comercio y trabajo: 10 de setiembre del 2027
- Sectores de producción, agricultura, energía y minería: 10 de setiembre del 2028
- Usos no incluidos en sectores anteriores: 10 de setiembre del 2026.
Si necesitas más información y saber como impacta en tu organización, escríbenos a contacto@compliancelatam.legal
25-08-2025 | CPB
En el día a día empresarial, la relación entre empleador y trabajador se mueve bajo una premisa clara: el empleador tiene la facultad de supervisar que las labores se realicen dentro de ciertos estándares. Estos estándares no solo alcanzan al desempeño directo, sino también al uso de las herramientas otorgadas por la empresa: computadoras, laptops y correos corporativos. Su utilización debe darse con responsabilidad y siguiendo lineamientos previamente establecidos. Cuando surge un hecho que genera sospechas o contingencias, el empleador no solo puede, sino que debe iniciar una investigación interna. Muchas veces, la información clave puede encontrarse en los dispositivos entregados al trabajador.
Pero aquí surge la gran pregunta:
¿Hasta qué punto el empleador puede investigar sin afectar derechos fundamentales del trabajador?
En este escenario entran en juego derechos como la intimidad, la protección de datos personales y el secreto e inviolabilidad de las comunicaciones. La jurisprudencia peruana ha trazado algunos criterios:
- Casación Laboral N.º 48825-2022 Lima: el correo electrónico, aunque conferido por el empleador, no puede ser abierto sin mandamiento judicial motivado.
- Casación Laboral N.º 14614-2016 Lima: el control empresarial debe ser funcional (relacionado al ámbito laboral) y racional (fundamentado en un proceso intelectual que lo justifique).
- Exp. N.º 04386-2017-PA/TC: es válido acceder al correo si existe un fin legítimo, el trabajador fue informado previamente del uso laboral del medio, y la medida es necesaria, razonable y proporcional.
- Opinión Consultiva N.º 035-2022-DGTAIPD: el empleador debe informar claramente la existencia de software de monitoreo, sus supuestos de activación y los datos a los que tendrá acceso.
Lo cierto es que no existe aún un criterio vinculante, lo que abre la puerta a que un trabajador cuestione judicialmente la legitimidad de estas prácticas. Una alternativa es que empleador y trabajador celebren acuerdos voluntarios que regulen el uso de dispositivos y posibles intervenciones. Sin embargo, tales medidas nunca deben vulnerar derechos fundamentales ni desconocer los parámetros jurisprudenciales.
Conclusión; Las investigaciones internas son legítimas, pero deben ejecutarse con especial atención y con respeto por los derechos fundamentales.
Mario Pinatte, Socio Senior CPB Abogados.
16-12-2024 | CPB, Noticias
Fue publicado, en el Diario Oficial El Peruano, el Decreto Supremo N° 016-2024-JUS, mediante el cual se aprueba un nuevo Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, el “Reglamento”). A través de esta norma, se imponen nuevas obligaciones para los titulares de bancos de datos personales y/o responsables de su tratamiento, tales como:
- Notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas siguientes de conocimiento de un incidente de seguridad que genere exposición de grandes volúmenes de datos personales o un grave perjuicio a sus titulares. Ello también deberá ser notificado a los titulares afectados en el mismo plazo, salvo el incidente haya sido superado o no se haya producido tal afectación. Asimismo, todo incidente de seguridad que acontezca deberá ser debidamente documentado y guardar registro de ello.
- Designar a un Oficial de Protección de Datos Personales, cuando se realice el tratamiento de grandes volúmenes de datos personales o de datos sensibles, el cual será el encargado de supervisar el cumplimiento de las obligaciones y ser el punto de contacto con la Autoridad. Cuando se traten de grupos empresariales, se podrá designar un solo oficial por grupo.
- Contar con un documento de seguridad, el cual debe ser aprobado formalmente y será de obligatorio cumplimiento para el personal con acceso a los sistemas de información. Debe estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información.
Asimismo, se establecen mecanismos de responsabilidad proactiva, de carácter facultativo, que representan el compromiso del responsable con el cumplimiento de la normativa y podrán ser considerados atenuantes de responsabilidad en un eventual procedimiento administrativo sancionador, tales como:
- La realización de Evaluaciones de Impacto Relativo a la Protección de Datos Personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad, entre otros.
- La implementación de Códigos de Conducta, en los que se establecen reglas específicas para el cumplimiento de la normativa dentro de la entidad o grupo empresarial, tales como procedimientos que faciliten el ejercicio de derechos, mecanismos de supervisión, cláusulas para la obtención de consentimientos, entre otros.
Por otro lado, el nuevo Reglamento establece novedades como el reconocimiento de la portabilidad como manifestación del derecho de acceso a los datos personales de sus titulares, lo que supone el traslado de los datos a otro responsable o titular de bancos de datos personales, cuando sea solicitado y las posibilidades tecnológicas lo permitan, así como la posibilidad de establecer un primer contacto para obtener el consentimiento expreso del titular para fines de publicidad y prospección comercial (de no obtenerlo, no podrá realizarse un nuevo contacto).
Por último, se establece la gratuidad del registro de bancos de datos personales y la creación de la plataforma “Yo cuido mis datos personales” para la atención ciudadana
La entrada en vigencia del nuevo Reglamento será a los 120 días calendarios siguientes a su publicación en el Diario Oficial. Específicamente, las obligaciones referidas a la designación de un Oficial de Cumplimiento entrarán en vigencia progresivamente en un calendario de 4 años, dependiendo del volumen de ventas de las empresas responsables. En cuanto a lo relativo al derecho de Portabilidad, ello surte efecto a partir de los 6 meses de la entrada en vigencia del Reglamento.
Para mayor información o en caso de cualquier consulta sobre el tema, contáctanos al siguiente correo: innovacion@cpb-abogados.com.pe
14-11-2024 | CPB, Noticias
NDECOPI sancionó recientemente a una empresa[1] y a su Gerente General por incluir una cláusula abusiva en la Política de Privacidad de su sitio web, al considerarla contraria al principio de consentimiento de la Ley de Protección de Datos Personales (LPDP).
Doble riesgo:
Con este precedente, tanto la Autoridad de Protección de Datos como INDECOPI pueden sancionar a la empresa si su Política de Privacidad no cumple con la LPDP.
Riesgos para el Gerente:
INDECOPI mantiene una postura estricta, y, hasta la fecha, ha sancionado a Gerentes Generales de diversas industrias por infracciones relativas a:
- Cláusulas abusivas en T&C y Política de Privacidad.
- Libro de Reclamaciones Virtual no conformes al reglamento.
- No actuar diligentemente para evitar que se infrinjan los derechos de los consumidores
[1] Ver Resolución Final N° 1802-2024/CC2
Para más información: innovacion@cpb-abogados.com.pe
27-09-2024 | CPB, Noticias
Se publicó la Resolución SBS N° 02648-2024, una norma crucial para la prevención del lavado de activos y del financiamiento del terrorismo (LAFT) aplicable a los Proveedores de Servicios de Activos Virtuales (PSAV).
Importancia
Esta resolución es especialmente relevante para aquellos que operan en el mercado de activos virtuales (criptomonedas), garantizando que sus actividades se realicen dentro de un marco regulatorio que minimice riesgos y promueva la transparencia.
Ámbito de Aplicación y Alcance
A partir de julio de 2023, los PSAV fueron incorporados como sujetos obligados a informar a la UIF-Perú mediante el D.S. Nº 006-2023-JUS.
Ahora, con esta resolución, se establecen las normas específicas que regularán el Sistema de Prevención de LAFT para todos los PSAV domiciliados o constituidos en Perú.
¿Qué son los PSAV y qué actividades realizan?
Los PSAV, o Proveedores de Servicios de Activos Virtuales, son entidades que facilitan transacciones y servicios relacionados con activos virtuales, como criptomonedas (Bitcoin, Ethereum y otras). Según el artículo 2° de la resolución, los PSAV pueden realizar actividades tales como:
- Intercambio entre activos virtuales y moneda fiat o de curso legal.
- Intercambio entre una o más formas de activos virtuales.
- Transferencia de activos virtuales.
- Custodia y/o administración de activos virtuales o instrumentos que permitan el control sobre estos.
- Participación y provisión de servicios financieros relacionados con la oferta de un emisor y/o venta de un activo virtual
Obligaciones de los PSAV
- El PSAV debe implementar un sistema de prevención del LA/FT (SPLAFT) gestionando los riesgos a los que se expone. Esto incluye políticas y procedimientos adecuados para conocer a los clientes, identificar operaciones inusuales y asegurar la capacitación de los empleados.
- Los PSAV deben registrarse ante la Unidad de Inteligencia Financiera (UIF-Perú) como SO y mantener actualizada su condición de sujetos obligados.
- En caso de cesar sus actividades o modificarse su normativa, los PSAV deben notificarlo a la UIF-Perú dentro de 30 días.
- Los PSAV deben cumplir con requisitos específicos de debida diligencia para conocer a sus clientes y reportar operaciones sospechosas-
Vigencia:
- La norma entró en vigencia a partir del 02 de agosto de 2024.
- El capítulo VIII, denominado “Travel Rules”, que incluye disposiciones específicas sobre la transferencia de información en transacciones de activos virtuales, entra en vigencia a los dos años, en agosto de 2026.
Plazo de Adecuación:
Los PSAV tienen un plazo de 120 días para adecuarse a las nuevas disposiciones. Este período es esencial para implementar los sistemas y procedimientos necesarios para cumplir con la norma
Para conocer más detalle o como realizar la adecuación de la norma puede comunicarse con nosotros: compliance@cpb-abogados.com.pe
