Incidentes de seguridad en Perú: balance de las primeras fiscalizaciones bajo el nuevo Reglamento de la Ley de Protección de Datos Personales

Desde marzo de 2025, el nuevo Reglamento de la Ley de Protección de Datos Personales exige la notificación obligatoria de incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales (ANPDP) dentro de las 48 horas de conocidos, incluso si el incidente fue resuelto internamente.

Las primeras fiscalizaciones evidencian que, aunque el responsable del tratamiento es el principal obligado frente a dicho organismo y los titulares de datos, en incidentes de gran impacto la revisión alcanza también a encargados y subcontratistas, poniendo bajo escrutinio no solo las medidas de seguridad implementadas, sino también el nivel de cumplimiento de los proveedores críticos de la organización.

A continuación, detallamos algunas reflexiones específicas a tener en cuenta:

• Protocolo de respuesta y notificación. Contar con un procedimiento interno que permita cumplir con la notificación dentro de las 48 horas, incluyendo plantillas con el contenido mínimo exigido (naturaleza del incidente, datos del Oficial de Datos Personales, consecuencias y medidas de remediación), identificación del equipo responsable y canales de comunicación con la ANPDP.
• Designar un Oficial de Datos Personales. La ANPDP verifica su existencia y datos de contacto como parte del contenido mínimo de la notificación. Su designación formal es indispensable. El incumplimiento supone una infracción pasible de multa.
• Contratos de encargo de tratamiento robustos. La ANPDP requiere información sobre la existencia y contenido de los acuerdos de encargo, los mismos que deberán contar con mecanismos de protección y/o repetición para salvaguardar los datos que tiene bajo su responsabilidad.
• Mapear toda la cadena de tratamiento. La ANPDP evalúa al encargado, subcontratistas tecnológicos y cualquier tercero que intervenga. Hay que tener identificados a todos los actores con documentación que acredite las medidas de seguridad exigidas a cada uno.
• Supervisar activamente a los encargados. No basta con suscribir un acuerdo. La ANPDP solicita evidencia de mecanismos de supervisión periódica como auditorías, reportes de cumplimiento o certificaciones.
• Cumplir con las medidas de seguridad. La ANPDP evalúa específicamente controles de acceso, gestión de respaldos y protección frente a amenazas externas en sistemas de información y gestores de bases de datos.
• Adoptar medidas correctivas oportunas. Se valora positivamente la implementación oportuna de acciones de contención, erradicación y recuperación (aislamiento de sistemas, rotación de credenciales, reinstalación de servidores, migración de proveedores, monitoreo continuo).
• Evaluar el riesgo de concentración en proveedores críticos. Un solo incidente en un proveedor masivo puede desencadenar la fiscalización simultánea de cientos de empresas clientes. Se debe evaluar críticamente la concentración de datos sensibles y exigir garantías de seguridad