La Ley 29733, Ley de Protección de Datos Personales (LPDP) de Perú, regula cómo las empresas pueden recolectar, tratar y utilizar datos personales de los ciudadanos. Su Reglamento más reciente, aprobado por el Decreto Supremo 016-2024-JUS, entró en vigencia el 31 de marzo de 2025 y reforzó significativamente las exigencias sobre consentimiento, especialmente para marketing y publicidad. Para empresas peruanas que hacen marketing digital, ignorarla ya no es opción: las sanciones pueden ir desde 0,5 UIT hasta 100 UIT según la infracción. Esta guía explica los conceptos clave, las obligaciones que aplican al marketing y un checklist práctico de cumplimiento.
Nota importante: este artículo es información general y no sustituye asesoría legal especializada. Las normas vigentes, los rangos de sanciones y los criterios de aplicación pueden cambiar; consulta con un abogado especializado en protección de datos y verifica la información actualizada en el portal oficial de la Autoridad Nacional de Protección de Datos Personales del MINJUS antes de tomar decisiones de cumplimiento.
Por qué la Ley 29733 te afecta aunque no lo notes
Si tu empresa tiene un formulario web, una base de clientes en Excel, envía email marketing, hace remarketing con pixel de Meta o Google, almacena leads en un CRM, o trabaja con WhatsApp Business para vender, entonces estás tratando datos personales. La Ley 29733 te aplica desde el primer dato recolectado. La fiscalización se ha intensificado con el nuevo Reglamento de 2024–2025 y la ANPD del MINJUS ha publicado sanciones a empresas, incluyendo bancos, por uso indebido de datos para fines comerciales.
Conceptos básicos (titular, banco de datos, tratamiento, consentimiento)
Definiciones clave en lenguaje claro. Titular: la persona dueña de los datos (tu cliente, tu prospecto, tu suscriptor de newsletter). Dato personal: cualquier información que identifique o haga identificable a una persona (nombre, email, teléfono, dirección, IP, DNI, comportamiento de navegación). Banco de datos personales: cualquier conjunto organizado de datos personales (tu CRM, tu lista de email, tu base de Excel). Tratamiento: cualquier operación sobre esos datos (recolectar, almacenar, usar, transferir, eliminar). Consentimiento: la autorización informada, expresa, previa y libre del titular para tratar sus datos.
Consentimiento informado: cómo pedirlo bien en formularios y popups
El consentimiento, según la Ley 29733, debe ser previo (antes del tratamiento), informado (con propósito claro), expreso (acción afirmativa del titular, no por defecto), y libre (sin coerción). En la práctica para marketing digital: checkbox sin pre-marcar (el usuario debe marcar activamente), texto claro de qué se hará con los datos, finalidad específica (no «para fines diversos»), link a política de privacidad accesible. Si pides datos para enviar contenido + para marketing + para compartir con terceros, son consentimientos separados, no uno solo.
Bases de datos: registro ante la autoridad, transferencias y plazos
Obligaciones clave para empresas. Inscripción de bancos de datos: las bases de datos personales que cumplen ciertos criterios deben inscribirse en el Registro Nacional de Protección de Datos Personales (gestionado por la ANPD). Notificación de incidentes: brechas de seguridad deben reportarse según los plazos del Reglamento. Transferencia internacional: si transfieres datos a servidores fuera de Perú (lo que pasa con casi todo SaaS internacional: HubSpot, Mailchimp, Meta), hay obligaciones específicas que cumplir. Plazos de conservación: no puedes guardar datos indefinidamente; el plazo depende de la finalidad.
Email marketing, WhatsApp y publicidad: requisitos para no estar en infracción
Tres áreas donde más empresas peruanas infringen sin darse cuenta. Email marketing: solo a quienes consintieron explícitamente; opción de desuscripción visible en cada envío; sin compra de listas. WhatsApp: el nuevo Reglamento refuerza el consentimiento para llamadas y mensajes publicitarios; enviar mensajes promocionales a quien no consintió es infracción. Remarketing y pixel: la cookie / pixel cuenta como tratamiento; requiere consentimiento previo (banner de cookies bien configurado, no aceptación implícita). Conectar con la guía de email deliverability y la guía de WhatsApp Business API.
Cookies, pixel y tracking: cuándo y cómo informar
Las cookies y pixels que rastrean comportamiento del usuario son tratamiento de datos. Buen práctica para 2026. Banner de cookies que aparece antes de cargar pixel/tracking. Opciones claras: aceptar todas / rechazar todas / personalizar (no solo «aceptar» como única opción visible). Información de qué cookies usa el sitio. Link a política de cookies y privacidad. No activar pixel/tracking hasta consentimiento. Herramientas: Cookiebot, OneTrust, plugins como Complianz para WordPress.
Derechos ARCO+P (Acceso, Rectificación, Cancelación, Oposición y Portabilidad)
La Ley 29733 reconoce derechos del titular sobre sus datos. Acceso: pedir saber qué datos tienes de él. Rectificación: corregir datos incorrectos. Cancelación: eliminar sus datos. Oposición: oponerse al tratamiento para finalidades específicas (marketing, perfiles). Portabilidad (introducida en el nuevo Reglamento): recibir sus datos en formato estructurado para llevarlos a otro proveedor. Obligación de la empresa: tener un canal claro para que el titular ejerza estos derechos (email dedicado a privacidad, formulario), y responder en los plazos que establezca el Reglamento.
Sanciones y casos reales
Las infracciones se clasifican en leves, graves y muy graves. Según información pública del MINJUS y el Reglamento vigente. Infracciones leves: 0,5 UIT a 5 UIT. Tratamiento de datos para prospección comercial sin consentimiento previo: rango referencial entre 5 y 50 UIT. Uso de datos obtenidos de fuentes ilícitas: rango referencial entre 50 y 100 UIT. La ANPD del MINJUS ha publicado sanciones a empresas reconocidas, incluyendo entidades bancarias, por uso indebido de datos para fines comerciales. La UIT 2026 se actualiza anualmente; verificar el valor vigente al calcular. Disclaimer: los rangos exactos pueden variar; siempre verificar con la fuente oficial.
Checklist práctico para una empresa peruana
Plan mínimo de cumplimiento. Política de privacidad publicada, clara, accesible. Banner de cookies funcional (no decorativo). Consentimiento explícito en cada formulario (checkbox no pre-marcado). Política de email marketing (solo opt-in, unsubscribe visible). Inventario de bancos de datos (qué datos tienes, dónde, para qué). Inscripción de bancos en el Registro Nacional cuando corresponda. Canal para derechos ARCO+P (email dedicado o formulario). Acuerdos con proveedores (cláusulas de protección de datos en contratos). Auditoría anual.
Cómo encaja con GDPR si tienes clientes en Europa
Si tu empresa tiene clientes en la Unión Europea, además de la Ley 29733 debes cumplir con el RGPD (GDPR). GDPR es más exigente en varios aspectos: consentimiento aún más explícito, mayores sanciones (hasta 4% del facturado global o EUR 20M), figura del DPO (Data Protection Officer) en ciertos casos. Para empresas peruanas que exportan servicios a Europa, cumplir GDPR es además ventaja competitiva: los clientes europeos lo exigen contractualmente.
Errores típicos en empresas peruanas
- Comprar listas de email. Casi siempre infracción; los emails no consintieron.
- Checkbox de aceptación pre-marcado. Consentimiento implícito; el nuevo Reglamento lo rechaza.
- Política de privacidad copiada de otra empresa. Genérica e inaplicable; mejor adaptada al negocio.
- Banner de cookies que solo permite «aceptar». Falta la opción de rechazar o personalizar.
- WhatsApp masivo a no-consentidos. El nuevo Reglamento lo penaliza explícitamente.
- Sin canal para ARCO+P. El titular pide y la empresa no sabe cómo responder.
Obligaciones por tipo de empresa
| Tipo | Obligaciones mínimas | Riesgo si incumple |
|---|---|---|
| Pyme con web + formulario | Política de privacidad + consentimiento | Sanciones bajas pero existen |
| Empresa con CRM + email marketing | Lo anterior + opt-in documentado + ARCO+P | Sanciones medias |
| E-commerce con pixel + remarketing | Lo anterior + banner cookies + consentimiento tracking | Sanciones medias-altas |
| Empresa con base grande + transferencia internacional | Lo anterior + inscripción + acuerdos con proveedores | Sanciones altas |
| Banco / seguros / salud (datos sensibles) | Lo anterior + DPO + protocolos reforzados | Sanciones muy altas |
Tabla 1. Obligaciones mínimas por tipo de empresa.
Checklist de cumplimiento para marketing
| Ítem | Estado | Acción |
|---|---|---|
| Política de privacidad publicada | — | Texto adaptado al negocio |
| Consentimiento explícito en formularios | — | Checkbox no pre-marcado + texto claro |
| Opt-in documentado para email marketing | — | Registro con fecha y origen |
| Unsubscribe visible en cada email | — | Link funcional en footer |
| Banner de cookies con opciones reales | — | Aceptar / rechazar / personalizar |
| Canal para derechos ARCO+P | — | Email dedicado a privacidad |
| Política de retención de datos | — | Plazos según finalidad |
| Acuerdos con proveedores (Meta, Google, etc.) | — | Cláusulas de protección de datos |
Tabla 2. Checklist de cumplimiento para marketing.
Sanciones tipificadas (referenciales)
| Falta | Rango referencial | Ejemplo |
|---|---|---|
| Leve | 0,5 UIT a 5 UIT | Política de privacidad sin actualizar |
| Grave | 5 UIT a 50 UIT | Email marketing sin consentimiento |
| Muy grave | 50 UIT a 100 UIT | Uso de datos de fuentes ilícitas |
| Reiteración | Aumenta el rango | Misma falta repetida |
Tabla 3. Sanciones tipificadas (referenciales). Verificar rangos exactos y UIT vigente con la fuente oficial.
La fuente oficial con normas vigentes, comunicados y guías es la Autoridad Nacional de Protección de Datos Personales del MINJUS, donde se publican el texto completo de la Ley, el Reglamento vigente y las sanciones impuestas.
Preguntas frecuentes sobre Ley 29733
¿La Ley 29733 aplica si soy pyme?
Sí. La Ley 29733 aplica a toda persona natural o jurídica que trate datos personales en Perú, sin importar el tamaño. Las sanciones se aplican proporcionalmente, pero la obligación existe desde el primer dato recolectado.
¿Necesito registrar mi base de datos?
Depende del tipo y volumen. Bancos de datos personales que cumplen ciertos criterios deben inscribirse en el Registro Nacional. Para casos específicos (sectores sensibles, gran volumen), consultar con un abogado especializado o directamente con la ANPD.
¿Puedo enviar email marketing sin consentimiento previo?
No. La Ley 29733 y su Reglamento exigen consentimiento previo, expreso e informado para tratamiento con fines de marketing. Comprar listas o enviar a contactos no consentidos es infracción.
¿Cómo me protejo en el formulario de contacto?
Checkbox no pre-marcado con texto claro: «Acepto el tratamiento de mis datos personales para [finalidad específica], según la política de privacidad [link]». Si pides datos para múltiples finalidades, checkboxes separados.
¿La Ley 29733 es como el GDPR?
Tienen principios comunes (consentimiento informado, derechos del titular, transparencia). GDPR es más exigente y aplica a empresas con clientes en la UE. Si tienes clientes en Europa, debes cumplir GDPR además de la Ley 29733.
¿Qué pasa si uso datos de un proveedor externo (lead lists)?
Riesgo alto. Si el proveedor no documentó consentimiento de cada persona, infringes. La compra de bases de datos para marketing es una de las prácticas más sancionadas. Mejor invertir en captación legítima de leads con consentimiento explícito; ver guía de marketing automation.
Próximo paso: auditemos tu cumplimiento de Ley 29733
¿Tu marketing cumple con la Ley 29733? Auditemos tu nivel de cumplimiento operativo y conectémoslo con tus procesos de marketing digital. Conversemos sobre tu proyecto. Recuerda: para temas estrictamente legales (interpretación de norma, defensa ante sanción), consulta con un abogado especializado en protección de datos.
