Compliance digital en el Perú: protección de datos personales

Fuente: ADEN

I. Introducción

La digitalización ha dejado de ser una tendencia para convertirse en una condición permanente del funcionamiento social. Las actividades cotidianas, desde una consulta médica hasta una transacción bancaria o una simple compra por internet, dependen hoy de sistemas que almacenan, procesan y circulan grandes volúmenes de información personal. Esta nueva dinámica ha ampliado las oportunidades para empresas y entidades públicas, pero también ha revelado una serie de vulnerabilidades que antes pasaban desapercibidas.

En el caso peruano, la discusión sobre la protección de datos personales no puede desligarse de un contexto marcado por la modernización acelerada, los vacíos en la gestión institucional y la creciente exposición de los ciudadanos a prácticas inadecuadas de tratamiento de información. El derecho, la tecnología y la organización interna de las entidades convergen en un mismo reto: asegurar que la digitalización no se convierta en una amenaza para la privacidad ni para la confianza pública. En este escenario toma especial relevancia el compliance digital, entendido como un conjunto de prácticas, políticas y mecanismos que buscan garantizar que las organizaciones actúen de manera preventiva frente a riesgos legales y operativos derivados del uso de tecnologías. Más que un requisito formal, constituye una herramienta que ayuda a ordenar procesos, asignar responsabilidades y asegurar que la innovación se desarrolle dentro de parámetros éticos y jurídicos.

II. Compliance digital

2.1. Definición

El compliance digital se define como el conjunto de políticas, procedimientos y tecnologías que aseguran que una organización cumpla con las normas legales, éticas y técnicas vinculadas a su operación digital, particularmente en lo referido a datos personales, ciberseguridad, propiedad intelectual y comercio electrónico. No se trata únicamente de evitar sanciones, sino de buscar crear una cultura de cumplimiento que proteja la integridad digital de las organizaciones y los derechos fundamentales de las personas. Al respecto Ortega, J. (2024) menciona que:

Se ha convertido en un elemento fundamental de las políticas de compliance, sobre todo ahora que muchas empresas asumen su proceso de digitalización. En esa transformación digital se detectan riesgos inherentes al negocio que surgen como consecuencia de su desarrollo. Siempre que existe una posibilidad de afrontar un nuevo riesgo, hay que mitigarlo, venga de donde venga. El compliance digital ayuda a prevenir determinados riesgos de la organización. (párr. 10)

En definitiva, el compliance digital permite a las organizaciones anticipar y gestionar los riesgos propios del entorno tecnológico, fortaleciendo su seguridad jurídica y operativa.

2.2. Ventajas

Adoptar un sistema de compliance digital no implica solamente cumplir con la Ley N.°29733; sino también aplicar una herramienta estratégica que repercute en el ámbito legal, organizacional y reputacional (posteriormente analizados). En términos prácticos, ayuda a reducir el riesgo de sanciones y conflictos legales, considerando que la normativa prevé multas que pueden llegar a las 100 UIT. Contar con protocolos de seguridad, registros ordenados y políticas internas bien definidas no solo disminuye la posibilidad de recibir una sanción, sino que permite que la institución tenga mejores argumentos de defensa ante cualquier indagación de la autoridad.

En ese orden de ideas, el compliance contribuye directamente a fortalecer la imagen y credibilidad de la organización. Es innegable que las personas al contratar valoren que las instituciones traten sus datos con responsabilidad, y demostrar transparencia en este aspecto puede marcar una diferencia importante, sobre todo en sectores sensibles como salud, educación, banca o servicios digitales. A nivel interno, la implementación también genera impactos positivos en razón de que promueve la revisión de los procesos, impulsa una cultura preventiva y facilita que la incorporación de nuevas tecnologías se haga de manera segura. En muchos casos termina siendo un componente clave para una transformación digital responsable, que reduce riesgos y protege los derechos de los usuarios, así como refuerza la sostenibilidad institucional en el largo plazo.

2.3. Implementación efectiva

Poner en marcha este sistema implica un desafío real para las organizaciones, ya que no existe un modelo único aplicable a todas, cada entidad debe adaptar el proceso a su realidad, considerando su estructura, el sector en el que opera y el nivel de uso que hace de los datos personales, además del carácter novedoso en su manejo. En líneas generales, el proceso incluye:

a) Diagnóstico legal y técnico: El punto de partida es identificar qué actividades implican el tratamiento de datos personales, en concordancia con lo dispuesto por el Reglamento de la Ley N.°29733, que exige determinar el tipo de información tratada y los riesgos asociados a dicho tratamiento, con mayor alcance en su artículo 40. Esto implica revisar contratos, formularios, bases de datos y flujos de información para determinar dónde puede haber exposición o vulnerabilidad.

b) Diseño de políticas internas: Una vez reconocido el panorama, se elaboran políticas relacionadas con privacidad, gestión de incidentes, accesos y uso de dispositivos. El Reglamento, en el artículo 7, lo entiende como una forma de cumplimiento del deber de información y del principio de transparencia.

c) Designación de un responsable: Nombrar a un responsable de la protección de datos, quien informará y asesorará sobre las obligaciones en materia de protección de datos, además, verificará el cumplimiento de las normas y políticas de protección de datos, y actuará como punto de contacto entre la organización y la ANPD (EY Perú, 2025). En organizaciones medianas y grandes, se recomienda designar un responsable especializado, lo que en Europa se ha puesto en práctica con el Data Protection Officer (DPO), quien se encarga de coordinar y supervisar el sistema de cumplimiento de datos.

d) Medidas tecnológicas: El sistema debe complementarse con herramientas y controles técnicos como cifrado, autenticación, monitoreo de accesos, copias de seguridad y mecanismos de respuesta frente a ataques informáticos. Lo presente se encuentra dentro del artículo 46 del Reglamento que menciona la “Seguridad para el tratamiento de datos a través de medios digitales”.

e) Capacitación del personal: La protección de datos no se limita al área legal o tecnológica, CEMEFI nos menciona que se debe “Garantizar que todos los empleados comprendan la importancia de la protección de datos y sus responsabilidades”. (s.f)

f) Evaluación permanente: De acuerdo con la norma internacional ISO/IEC 27701:2025, los sistemas de gestión de privacidad deben mantenerse mediante monitoreo, auditorías y procesos de mejora continua (ISO, 2025). El compliance digital no es estático, por lo que se hace necesario el control continuo.

III. Normativa digital en el Perú y la ANPD

La existencia de un marco jurídico sólido no solo garantiza la tutela de los derechos fundamentales, como la privacidad y el honor, sino que también brinda seguridad jurídica a las organizaciones que operan en entornos digitales.

3.1. Normativa principal

La Ley N.°29733, promulgada en 2011, tiene como objetivo garantizar el derecho constitucional a la protección de datos personales, recogido en el artículo 2, inciso 6. Esta ley se desarrolla a través de su Reglamento, aprobado por el Decreto Supremo N.°016-2024-JUS, el cual detalla las obligaciones y responsabilidades de los titulares y encargados de bancos de datos personales.

Entre los principios rectores establecidos se encuentran:

a) Legalidad, que exige que el tratamiento de datos se realice conforme a ley. Consentimiento, el cual debe ser libre, previo, expreso e informado.
b) Finalidad, que limita el uso de los datos a los fines específicos declarados. Proporcionalidad y calidad, que establece que los datos deben ser adecuados, pertinentes y actualizados.
c) Seguridad, que obliga a implementar medidas técnicas y organizativas adecuadas.

Estos principios se traducen en obligaciones concretas: el registro de bancos de datos personales ante la ANPD, la atención a los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), la adopción de medidas de seguridad, y la implementación de políticas de privacidad claras. El incumplimiento de estas disposiciones puede conllevar sanciones de hasta 100 UIT (Unidad Impositiva Tributaria), según la gravedad de la infracción.

Además de la Ley N.°29733, otras normas relevantes en el ecosistema jurídico digital peruano incluyen:

a) La Ley N.°27291, que regula el uso de firmas digitales y electrónicas en trámites y contratos electrónicos.
b) La Ley N.°27806, Ley de Transparencia y Acceso a la Información Pública, que establece obligaciones específicas para entidades del sector público.
c) Las directrices de ciberseguridad impulsadas por la Secretaría de Gobierno y Transformación Digital de la PCM, en coordinación con el Centro Nacional de Seguridad Digital.

Lo expuesto evidencia que existe un marco normativo que demanda a las organizaciones implementar sistemas de cumplimiento digital, ahora depende de cada persona jurídica adaptar las disposiciones a sus diferentes rubros y con ello poder mitigar los riesgos tecnológicos cambiantes y requisitos normativos aún crecientes.

3.2. Rol de la Autoridad Nacional de Protección de Datos Personales (ANPD)

La ANPD entidad adscrita al Ministerio de Justicia tiene la tarea de supervisar que se cumpla lo establecido en la Ley N.°9733, por ello, cumple con el rol de fiscalizar los bancos de datos personales, recibir y tramitar denuncias, imponer sanciones cuando corresponda y emitir lineamientos técnicos que orientan a las organizaciones. La presente entidad fue creada en el año 2011, durante la segunda etapa del ex mandatario Alan García, entre otros roles desempeñados tiene la responsabilidad de representar al país en espacios internacionales vinculados a la protección de datos, además de coordinar y cooperar con organismos extranjeros para fortalecer el cumplimiento de la normativa y establecer mecanismos de apoyo mutuo. También debe administrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, así como promover campañas de información sensibilización dirigidas a la ciudadanía sobre la importancia de resguardar su información personal.

IV. Compliance ausente, crisis presente

A partir de lo analizado, se demuestra que la ausencia de un sistema sólido de compliance digital se convierte en un factor que eleva de forma considerable el riesgo de sufrir incidentes de seguridad y filtraciones de datos personales, esto se debe a la falta de controles adecuados que terminan en potenciales sanciones y responsabilidades legales, mermando también la confianza de los usuarios y los socios comerciales, perjudicando la sostenibilidad del negocio en el mediano y largo plazo.

4.1. Avance tecnológico irrestricto

En los últimos años, el proceso de transformación digital en el Perú ha impulsado el uso de tecnologías como inteligencia artificial, big data, servicios en la nube y sistemas electrónicos de gestión; sin embargo, este avance no siempre ha ido acompañado de una gestión adecuada de los riesgos ni del cumplimiento normativo previsto.

Durante 2022, las denuncias relacionadas con vulneraciones de datos personales aumentaron de manera notable, especialmente en los sectores financiero, telecomunicaciones, comercio electrónico y entidades públicas (Andina, 2023). Entre las infracciones más frecuentes se encontraron el uso de datos para fines publicitarios sin consentimiento, la solicitud injustificada de fotografías del DNI y la negativa a atender los derechos ARCO. Este incremento evidenció no solo deficiencias en la gestión de datos por parte de diversas organizaciones, sino también la necesidad urgente de fortalecer los mecanismos internos de cumplimiento, capacitar al personal y adoptar prácticas más estrictas de protección de la información.

4.2. Casos de fuga de datos por negligencia o mala gestión interna

En el Perú, varias filtraciones de datos no han sido producto de ciberataques sofisticados, sino de errores y deficiencias internas en la gestión de información. La negligencia y la ausencia de políticas claras son factores recurrentes que propician incidentes graves, que en múltiples ocasiones acarrea una sanción a la entidad.

En octubre de 2024, por ejemplo, se expuso en foros de ciberataques una base de datos de aproximadamente tres millones de clientes de Interbank, que incluía información sensible como números de DNI, credenciales API, contraseñas y datos de tarjetas de crédito. Este incidente reveló no sólo una posible brecha tecnológica, sino también la falta de respuesta oportuna y transparente, lo que agravó el impacto reputacional.

De manera más amplia, entre 2019 y 2024, la Autoridad Nacional de Protección de Datos Personales registró 185 denuncias por vulneraciones de datos personales contra entidades financieras, siendo 2022 el año con más casos, 52 casos presentados, con menciones recurrentes a Interbank, BBVA Perú y BCP. Estas cifras evidencian que la gestión deficiente de la información, sumada a la falta de capacitación del personal y la inexistencia de procedimientos internos robustos, continúa siendo uno de los principales riesgos en la protección de datos.

En febrero de 2025 se produjo en el Perú un caso emblemático de vulneración de datos personales cuando la información médica de la cantante Shakira fue filtrada desde una clínica privada. El Ministerio de Justicia se pronunció de inmediato recordando la obligación de proteger la intimidad de las personas y de cumplir la Ley N.°29733 (Infobae, 2025). La clínica involucrada emitió un comunicado público, pero la difusión de los datos ya había generado un impacto negativo en su reputación (El Comercio, 2025). Posteriormente, SUSALUD sancionó a la Clínica Delgado con una multa de 125 UIT por la filtración.

La reiteración de incidentes similares demuestra que el verdadero eslabón débil en la cadena de seguridad no suele ser la tecnología, sino las personas y los procesos. En ese sentido, la implementación de un modelo integral de compliance, basado en medidas preventivas, controles internos y programas de formación continua, resulta indispensable para evitar que la negligencia o la mala gestión se transformen en crisis legales, económicas y de imagen institucional.

4.3. El impacto reputacional, legal y económico de no tener un sistema de compliance

La ausencia de un sistema de compliance digital genera consecuencias directas que afectan la estabilidad y sostenibilidad de las organizaciones. Estos impactos pueden clasificarse en tres grandes dimensiones:

a) Impacto legal y económico: El incumplimiento de la Ley N.°29733 y su reglamento expone a las organizaciones a multas significativas. En 2024, la Autoridad Nacional de Protección de Datos Personales (ANPD) impuso sanciones por más de S/ 13.4 millones tras iniciar 133 procesos sancionadores y fiscalizar a 454 entidades (Ministerio de Justicia y Derechos Humanos, 2024). En 2023, las multas alcanzaron más de S/ 7.6 millones. Las sanciones pueden llegar hasta 100 UIT por infracción muy grave, equivalentes a S/ 495,000, lo que representa un impacto financiero considerable para cualquier organización (EY, 2023).

b) Impacto reputacional: La reputación corporativa es uno de los activos intangibles más importantes de cualquier organización, ya que influye directamente en la confianza del público, de los consumidores y de los propios inversionistas. En la actualidad, se reconoce que un ciberataque puede destruir en cuestión de minutos la imagen que una empresa ha construido lentamente con el pasar de los años, afectando la relación con todos sus grupos de interés. Más allá de las consecuencias legales o económicas inmediatas, este tipo de incidentes puede generar una pérdida prolongada de credibilidad y afectar seriamente la legitimidad institucional.

c) Impacto operativo: Después de una brecha de seguridad, las organizaciones suelen enfrentar una serie de gastos no previstos asociados a la investigación del incidente, el refuerzo de su infraestructura digital, la asesoría legal y la gestión de la comunicación pública. A nivel internacional, el costo promedio de una filtración de datos durante 2023 fue de USD 4.45 millones, considerando tanto los gastos directos como los indirectos (Meta Compliance 2023). Si bien no existen estudios equivalentes en el contexto

En conjunto, la ausencia del compliance no solo expone a las organizaciones a multas, sino que las deja vulnerables en los frentes donde más se juega su permanencia: la confianza, la continuidad y la credibilidad. En un entorno donde una brecha digital puede escalar en minutos y sus efectos prolongarse por años, ignorar el cumplimiento ya no es una omisión administrativa, sino un riesgo estratégico que puede comprometer la estabilidad misma del negocio.

V. Conclusiones

5.1. La transformación digital en el Perú avanza más rápido que la capacidad de muchas organizaciones para gestionar los riesgos asociados, lo que evidencia la necesidad de fortalecer sus procesos internos.

5.2. La mayoría de incidentes en el manejo de datos, avalado por la experiencia reciente, proviene de fallas internas y falta de capacitación, por lo que resulta imprescindible implementar medidas preventivas y protocolos claros dentro de las instituciones.

5.3. Las filtraciones de información tienen un impacto inmediato en la reputación y continuidad operativa de las entidades, por lo que integrar prevención, seguridad y cumplimiento resulta indispensable para afrontar un entorno tecnológico cada vez más exigente

5.4. La protección de la información ya no puede entenderse como un asunto restringido al área tecnológica, sino como una tarea transversal que involucra a cada organización.

VI. Referencias

Andina. 2023. “Crecen denuncias por vulnerar datos personales en Perú.” Andina Agencia Peruana de Noticias. https://goo.su/8s8JU

CEMEFI. (s. f.). Protección de datos personales. https://tinyurl.com/nhdp9hya

Decreto Supremo N.º 016-2024-JUS. (2024, 30 de noviembre). Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano.

El Comercio. 2024. “El caso Interbank y otros 6 incidentes de ciberseguridad que marcaron el 2024 en Latinoamérica.” El Comercio (Perú), 31 de diciembre de 2024. https://goo.su/2xEBZ5B

EY. 2023. “Multas por infracciones a la protección de datos personales.” EY Perú. https://goo.su/J38U5L

EY Perú. (2025). Protección de Datos Personales en Perú: nuevo reglamento y su impacto en las empresas. ttps://tinyurl.com/4by8345f

Infobae. 2025. “Shakira: Ministerio de Justicia se pronunció ante filtración de datos íntimos de la cantante colombiana en clínica local.” Infobae, 16 de febrero de 2025. https://goo.su/ssedm7

International Organization for Standardization. (2025). ISO/IEC 27701:2025. Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de la información de privacidad — Requisitos y orientación (2.ª ed.). ISO. https://www.iso.org/standard/27701

MetaCompliance. 2023. “5 Damaging Consequences of a Data Breach.” MetaCompliance. https://n9.cl/sgfbjx

Ministerio de Justicia y Derechos Humanos (MINJUSDH). 2011. Ley N.º 29733, Ley de Protección de Datos Personales. Lima: Diario Oficial El Peruano.

Ministerio de Justicia y Derechos Humanos. 2024. “Autoridad Nacional de Protección de Datos Personales impuso multas por más de S/ 13 millones.”

Presidencia del Consejo de Ministros (PCM). 2023. Lineamientos de Política

Nacional de Ciberseguridad. Lima: Secretaría de Gobierno y Transformación Digital.

World Compliance Association. 2025. “Jesús Ortega: ‘El compliance digital ayuda a prevenir los riesgos derivados de la transformación digital de cualquier entidad’.” World Compliance Association. https://n9.cl/6tn6p