Ley 29733 de Perú: protección de datos para tu sitio web

Si tu sitio web atiende a personas en Perú, casi seguro recopilas datos personales: un correo en el formulario de contacto, un teléfono para coordinar un envío, un nombre y una dirección al cerrar una venta. Ese acto cotidiano te convierte en responsable del tratamiento de datos personales bajo la Ley 29733, la Ley de Protección de Datos Personales del Perú.

No importa si tienes una tienda online, una landing, un blog con suscriptores o un negocio local con formulario de reservas. La buena noticia: no necesitas ser abogado para cumplir lo esencial, porque la mayoría de las obligaciones se traducen en decisiones concretas sobre tu sitio. En esta guía te explicamos qué te exige la Ley 29733, qué rol juega la autoridad, qué derechos tienen tus usuarios y, sobre todo, qué puedes revisar hoy.

Nota: esto es una guía práctica, no asesoría legal. Los montos de sanciones, los umbrales y los plazos cambian; cuando algo sea incierto te diremos que verifiques el texto vigente o consultes con un especialista.

Qué es la Ley 29733

La Ley 29733, Ley de Protección de Datos Personales, es la norma general que regula cómo se pueden tratar los datos personales en Perú. Junto con su reglamento, desarrolla un derecho que la Constitución reconoce: que cada persona controle la información que existe sobre ella.

En palabras simples: si recoges, guardas, usas, compartes o borras datos de una persona identificada o identificable, haces "tratamiento de datos personales", y la ley te asigna deberes. Conviene fijar tres roles, porque reparte obligaciones distintas según cuál seas:

• Titular: la persona a quien se refieren los datos. Tu cliente, tu suscriptor, tu visitante.
• Responsable del tratamiento: quien decide para qué y cómo se tratan los datos. Si es tu sitio o tu negocio, normalmente eres tú.
• Encargado del tratamiento: quien trata datos por cuenta del responsable. Tus proveedores: el hosting, la plataforma de la tienda (Shopify, Wix), el correo masivo, la pasarela de pago, la analítica.

Importa porque tu relación con cada proveedor debería quedar documentada, y porque la responsabilidad frente al titular sigue siendo tuya aunque delegues el procesamiento en una herramienta externa.

Los principios que rigen el tratamiento

La Ley 29733 fija principios que deben cumplirse siempre. No los memorices; entiende la intención, porque guían cómo configuras tu sitio:

• Legalidad: el tratamiento se ajusta a la ley; no vale recoger datos por medios desleales o engañosos.
• Consentimiento: como regla general, necesitas el permiso del titular para tratar sus datos.
• Finalidad: los datos se recogen para un propósito determinado y explícito. No pidas el DNI "por si acaso".
• Proporcionalidad: pides solo los datos necesarios para esa finalidad.
• Calidad: la información debe ser veraz y mantenerse actualizada. Por eso existen los flujos de "editar mis datos".
• Seguridad: debes adoptar medidas técnicas y organizativas para proteger los datos.

Fíjate en el principio de seguridad: la ley no te pide buenas intenciones, te pide medidas. Más adelante verás cómo eso se vuelve observable en tu sitio web.

El rol de la Autoridad Nacional de Protección de Datos Personales

En Perú existe una Autoridad Nacional de Protección de Datos Personales, dentro del Ministerio de Justicia y Derechos Humanos, encargada de velar por el cumplimiento de la Ley 29733. ¿Qué hace y por qué te debe importar?

• Vigila el cumplimiento de la ley y su reglamento.
• Atiende reclamos de titulares cuando un responsable no resuelve sus solicitudes.
• Puede iniciar procedimientos sancionadores e imponer multas y otras medidas.
• Administra el Registro Nacional de Protección de Datos Personales (ver la siguiente sección).

Las sanciones se clasifican por gravedad (leves, graves y muy graves) y pueden ser significativas. No citamos un monto exacto aquí porque los topes se actualizan y suelen expresarse en unidades que cambian de valor cada año; si necesitas la cifra vigente, consúltala con la autoridad o con tu asesor legal. El punto práctico es claro: la autoridad puede sancionar, y el incumplimiento tiene costo.

El banco de datos personales (con prudencia)

La Ley 29733 usa el concepto de banco de datos personales: cualquier conjunto organizado de datos personales, esté en una hoja de cálculo, un CRM, la base de tu tienda online o el listado de tu boletín. Casi todo sitio que recoge correos termina creando uno.

La ley contempla la inscripción de bancos de datos en el Registro Nacional que administra la autoridad. Aquí toca ser prudente: las condiciones, exenciones y procedimientos pueden variar con el tiempo y dependen del tipo de banco y su finalidad.

Si manejas bancos de datos personales en Perú, verifica la aplicabilidad y el procedimiento vigentes directamente con la Autoridad Nacional de Protección de Datos Personales antes de concluir que estás (o no) obligado. Es un trámite administrativo, separado de las medidas técnicas, y conviene resolverlo con información actual.

La inscripción es una obligación administrativa que conviene chequear con la fuente oficial: no es algo que tu sitio resuelva, pero sí algo que tu checklist de cumplimiento debe contemplar.

El consentimiento del titular

Bajo la Ley 29733, como regla general necesitas el consentimiento previo, informado, expreso e inequívoco del titular. "Informado" significa que la persona entiende qué datos recoges y para qué; "expreso e inequívoco", que no se asume por silencio ni por casillas premarcadas. Algunas pautas prácticas:

• El consentimiento puede recogerse por distintos medios, siempre que puedas conservar prueba de él. En la web suele ser un checkbox explícito (no premarcado) junto a un enlace a tu política de privacidad.
• Evita el "consentimiento empaquetado" donde aceptar los términos implica aceptar cualquier uso. Separa lo necesario de lo opcional (por ejemplo, recibir promociones).
• Los datos sensibles (salud, origen racial o étnico, datos biométricos, vida sexual, convicciones religiosas o políticas, entre otros) tienen un régimen reforzado. Si tu sitio los toca, revísalo con cuidado.
• Los datos de niños, niñas y adolescentes tienen protección especial.

Guarda registro de cuándo y cómo se otorgó el consentimiento. El día que un titular o la autoridad pregunte, querrás poder demostrarlo.

Los derechos del titular

La Ley 29733 reconoce a las personas un conjunto de derechos sobre sus datos, resumidos como derechos "ARCO": Acceso, Rectificación, Cancelación y Oposición. En la práctica, el titular puede:

• Acceder: saber qué datos tienes sobre él y cómo los usas.
• Rectificar: corregir datos inexactos o incompletos.
• Cancelar (suprimir): pedir que borres sus datos cuando ya no sean necesarios o retire su consentimiento.
• Oponerse: rechazar un tratamiento concreto, como el envío de publicidad.

La ley fija plazos para responder, y pueden actualizarse, así que verifica los términos vigentes y diseña tu operación para cumplirlos. En tu sitio esto se traduce en cosas reales: un canal visible para ejercer derechos, poder editar o exportar los datos de una persona, y poder borrarlos de verdad cuando lo pida (no solo "ocultarlos").

La política de privacidad

La Ley 29733 espera que el responsable informe con claridad cómo trata los datos. En la práctica, es tu página de "Política de Privacidad", enlazada desde el footer y los formularios, y debería describir:

• Quién es el responsable (tu negocio o tú) y un dato de contacto.
• Qué datos recoges y con qué finalidades.
• Si compartes datos con terceros y con quiénes.
• Los derechos del titular y el canal para ejercerlos.

No copies una política genérica de internet sin revisarla: si dice que recoges datos que no recoges, o calla los que sí, deja de ser veraz, y la veracidad es uno de los principios de la ley.

Las medidas de seguridad: donde el cumplimiento se vuelve técnico

Aquí está la parte que muchas guías legales omiten. El principio de seguridad de la Ley 29733 no se queda en el papel: se manifiesta en cosas que cualquiera puede observar desde afuera de tu sitio. Si un atacante puede interceptar el formulario donde tu cliente escribe su correo y su dirección, no estás aplicando "medidas técnicas razonables", por mucho que tu política diga lo contrario. Ejemplos de seguridad observable que respaldan el cumplimiento:

• HTTPS en todo el sitio, no solo en la página de pago. Los datos personales viajan por muchos formularios.
• Cabeceras de seguridad (como HSTS y una buena Content-Security-Policy) que reducen la interceptación y los ataques de inyección.
• Cookies marcadas como Secure y HttpOnly cuando corresponde, para proteger la sesión.
• Ausencia de fugas evidentes: páginas de administración expuestas, errores que revelan la estructura interna, archivos de configuración o copias de seguridad accesibles.

Estas señales son auditables: son justo el tipo de hallazgos que un escáner detecta en minutos. Pasar un escáner no te vuelve "cumplidor" de la Ley 29733 (el cumplimiento es más amplio), pero una configuración técnica débil contradice directamente el principio de seguridad y es lo primero que conviene cerrar.

En Pursecure pegas la URL de tu sitio y recibes un puntaje de 0 a 100 con los hallazgos ordenados por gravedad. Cada uno trae una explicación clara y un prompt listo para que lo arregles tú, tu equipo o tu herramienta de IA. Puedes correr un escaneo gratis en pursecure.app.

Qué revisar en tu sitio hoy

Una lista accionable, mitad legal y mitad técnica, para cualquier sitio que atienda a personas en Perú.

Lo legal y administrativo

• Política de privacidad publicada, veraz y enlazada desde el footer y los formularios.
• Consentimiento explícito (checkbox no premarcado) y prueba de cuándo se otorgó.
• Pides solo los datos necesarios para una finalidad declarada (finalidad y proporcionalidad).
• Canal claro para ejercer derechos de acceso, rectificación, cancelación y oposición.
• Encargados identificados (hosting, tienda, correo, pagos, analítica) y relación documentada.
• Verificaste si te aplica la inscripción de bancos de datos con la autoridad.
• Si tratas datos sensibles o de menores, revisaste el régimen reforzado.

Lo técnico (observable)

• Todo el sitio sirve por HTTPS y redirige el tráfico HTTP.
• HSTS activo y cabeceras de seguridad configuradas (CSP, X-Content-Type-Options).
• Cookies de sesión con los flags Secure y HttpOnly.
• Sin páginas de administración, copias de seguridad ni archivos de configuración expuestos.
• Los formularios no filtran información en mensajes de error.
• Puedes borrar de verdad los datos de una persona que lo solicite.

Si marcaste las casillas técnicas a ojo, confírmalo con una medición. Muchas fallan en silencio: el HTTPS está, pero falta el redirect; la cookie existe, pero sin Secure.

Conclusión

La protección de datos en Perú no es un trámite que se resuelve una sola vez. La Ley 29733 te pide tratar los datos de tus usuarios con finalidad, consentimiento, transparencia y, muy concretamente, seguridad. La Autoridad Nacional vigila, la inscripción de bancos de datos puede aplicarte (verifica con la fuente) y tus usuarios tienen derechos que tu sitio debe poder atender.

La parte legal la trabajas con cuidado y, si hace falta, con un especialista. La de seguridad técnica la puedes empezar a cerrar hoy, porque es medible. Pega la URL de tu sitio en pursecure.app/scan, revisa los hallazgos por gravedad y usa los prompts para arreglar lo que el principio de seguridad te exige. Es el paso más concreto que puedes dar esta semana hacia un cumplimiento real.