En medio de un escenario digital cada vez más complejo, la compañía tecnológica Sovos Latinoamérica organizó un conversatorio en Lima donde se discutieron los desafíos más urgentes en torno a la protección de datos personales y la ciberseguridad en Perú.

El encuentro contó con la participación del Dr. Erick Iriarte Ahon, CEO de eBIZ y especialista en derecho digital, junto a Alberto Juárez, vicepresidente global de verificación de identidad y servicios de confianza de Sovos Latinoamérica. Ambos analizaron las implicancias del nuevo Reglamento de la Ley N.º 29733, que entró en vigencia el 30 de marzo de 2025, y que establece nuevas obligaciones para las empresas que gestionan datos personales.

Uno de los temas centrales del encuentro fue la incorporación obligatoria del Oficial de Datos Personales (ODP), figura que será responsable de garantizar el cumplimiento normativo, atender incidentes y responder a los reclamos de los usuarios. Las empresas tienen plazos diferenciados para cumplir con esta disposición, según su tamaño:

• Empresas grandes (más de 2,300 UIT): hasta el 30 de noviembre de 2025
• Medianas empresas (1,700 a 2,300 UIT): hasta el 30 de noviembre de 2026
• Pequeñas empresas (150 a 1,700 UIT): hasta el 30 de noviembre de 2027
• Microempresas (menos de 150 UIT): hasta el 30 de noviembre de 2028

250527Bannergiftiempoa

250527Bannergiftiempob

250526Bannergiftiempoc

250526Bannergiftiempod

250526Bannergiftiempoe

El incumplimiento de esta obligación puede generar sanciones de entre 0.5 y 5 UIT. Además, el ODP será considerado corresponsable en caso de incumplimientos normativos.

Desde el primer semestre de 2025, todas las organizaciones que traten datos personales también deberán cumplir con nuevas obligaciones operativas:

• Notificar incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales (APDP) en un plazo máximo de 48 horas. Si el incidente ocurre en un entorno digital, también debe informarse al Centro Nacional de Seguridad Digital.
• Informar a los titulares de los datos cuando sus derechos hayan sido vulnerados.
• Implementar medidas de seguridad reforzadas, especialmente al tratar con datos sensibles.
• Atender el derecho a la portabilidad de los datos en tiempo y forma.
• Realizar evaluaciones de impacto (aunque estas son facultativas, pueden servir como atenuantes en caso de una sanción).

Las multas por incumplimiento pueden llegar hasta las 50 UIT, y la falta de documentación sobre la gestión del incidente puede ser considerada una obstrucción y agravar la situación.

«El Oficial (de Datos Personales) no solo debe responder solicitudes o incidentes, sino también promover políticas internas, evaluaciones de riesgo y capacitar al personal».

Dr. Erick Iriarte Ahon, CEO de eBIZ

Durante su intervención, el Dr. Erick Iriarte explicó que el ODP debe ser un profesional capacitado que actúe como punto de contacto entre la empresa, la autoridad reguladora y los titulares de datos. Puede pertenecer al área legal, tecnológica o de compliance, y su designación debe ser formalmente documentada por la organización.

«El Oficial no solo debe responder solicitudes o incidentes, sino también promover políticas internas, evaluaciones de riesgo y capacitar al personal. Puede ser interno o tercerizado, pero tendrá responsabilidad funcional en caso de incumplimiento».

Por su parte, Alberto Juárez subrayó que el desafío de las empresas es encontrar el equilibrio entre seguridad, privacidad y experiencia del usuario. Señaló que «una buena estrategia de protección de datos debe partir desde la concepción del producto. Se debe tener presente que cada dato que el usuario comparte es una llave de su identidad. Por ello, la privacidad no es un valor agregado, sino el núcleo sobre el cual debemos forjar la tecnología que nos permitirá identificarnos en una comunidad digital segura».

«El solo hecho de que alguien vea a la seguridad como un costo y no como una inversión indica que no está entendiendo el problema».

Alberto Juárez, vicepresidente global de verificación de identidad y servicios de confianza de Sovos Latinoamérica

Además, el especialista compartió una serie de recomendaciones clave para proteger adecuadamente los datos personales y evitar sanciones o daños reputacionales:

• Autoevaluación y mejora continua: realizar auditorías periódicas, aplicar estándares como ISO 27001 e identificar vulnerabilidades antes de que sean explotadas.
• Educación y capacitación: formar a empleados, aliados y clientes sobre los riesgos y las buenas prácticas.
• Minimización de datos personales: recolectar solo la información estrictamente necesaria para las operaciones.
• Transparencia en el manejo de datos: redactar políticas de privacidad simples y accesibles, que permitan al usuario comprender el tratamiento de su información.
• Colaboración multisectorial: trabajar con el Estado, gremios y ciudadanos para fortalecer un ecosistema digital seguro.
• Cambio de mentalidad: dejar de ver la seguridad como un gasto y empezar a considerarla una inversión en confianza y reputación.

Tanto Iriarte como Juárez coinciden en que el nuevo entorno regulatorio peruano requiere madurez digital, liderazgo corporativo y una cultura de ciberseguridad transversal. Ya no basta con cumplir lo mínimo: se exige proactividad, transparencia y responsabilidad.

«Las compañías deben adoptar una actitud más preventiva y menos reactiva frente a los potenciales intentos de fraude o robo de datos personales. El solo hecho de que alguien vea a la seguridad como un costo y no como una inversión indica que no está entendiendo el problema», concluyó el especialista de Sovos Latinoamérica.