Inicio Derecho Constitucional El derecho a la protección de los datos personales: la realidad que enfrentamos en la actualidad
Derecho ConstitucionalDerecho Digital

El derecho a la protección de los datos personales: la realidad que enfrentamos en la actualidad

por PÓLEMOS
4 vistas

Paulo Cesar Gómez Lopez

Estudiante de Derecho en la Universidad Científica del Sur. Miembro honorario de la Clínica Jurídica de Interés Público Científica (CJIP) – Capítulo Penal. Miembro de la Clínica de Litigación Ambiental Científica (CLAC) – Unidad de Investigación Jurídica.

Sumario: 1. Introducción 2. Fundamentos jurídicos y marco normativo de la protección de datos personales 2.1. Origen y evolución doctrinal del derecho a la protección de datos 2.2. Marco normativo peruano de protección de datos personales 2.3. Aplicación práctica y evidencia de incumplimientos 3. Retos contemporáneos y estrategias para la protección efectiva 4. Conclusiones 5. Referencias bibliográficas.

Resumen

Este estudio se centra en la importancia de la acelerada transformación digital desde la visión del derecho de protección de datos personales para identificar los desafíos que existen para salvaguardar este derecho humano. El presente artículo analiza el marco jurídico peruano de protección de datos personales, evaluando su eficacia frente a los desafíos derivados del uso de inteligencia artificial, sistemas de vigilancia y bases de datos interconectadas. Se sostiene que, pese a la existencia de una estructura normativa formalmente garantista, su aplicación práctica resulta insuficiente debido a debilidades institucionales y limitaciones en la fiscalización. Finalmente, se proponen reformas orientadas al fortalecimiento normativo, institucional y educativo como condición para garantizar efectivamente el derecho fundamental a la autodeterminación informativa.

Palabras clave: Datos personales, intimidad, protección, nuevas tecnologías, privacidad, inteligencia artificial.

1. Introducción

Hoy en día, la información es poder y en los últimos años se han creado numerosas empresas especializadas en la recopilación de todo tipo de datos personales, en su gran mayoría para fines comerciales (Arellano, 2020, p. 164). En el ámbito nacional, la Ley de Protección de Datos Personales, y su Reglamento aprobado por el Decreto Supremo N.º 016-2024-JUS, establecen los principios y garantías para la tutela de la información personal. A pesar de ello, el vertiginoso avance de la inteligencia artificial, las bases de datos interconectadas y los sistemas de vigilancia digital superan ampliamente la capacidad de control y fiscalización del marco normativo vigente.

Este artículo sostiene que, aunque el ordenamiento jurídico peruano exhibe una estructura legal formalmente garantista, la aplicación efectiva de la protección de datos personales —y en particular de los datos biométricos— resulta débil, fragmentada y susceptible de usos abusivos tanto por parte del Estado como de entidades privadas. Ello configura una amenaza constante al derecho fundamental a la intimidad y a la autodeterminación informativa, reconocidos en la Constitución Política del Perú.

El artículo 2, inciso 6, de la Constitución Política del Perú, establece el derecho de toda persona “a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”, mientras que el inciso 7 del referido cuerpo normativo protege expresamente “el honor, la buena reputación, la intimidad personal y familiar, así como la voz y la imagen propias”. A partir de estos mandatos constitucionales, se evidencia la centralidad de la protección de los datos personales dentro del sistema de derechos fundamentales. No obstante, el principal problema no radica en la inexistencia de normas, sino en la brecha entre el reconocimiento formal del derecho y su eficacia real en un entorno digital caracterizado por la recopilación masiva de información biométrica.

2. Fundamentos jurídicos y marco normativo de la protección de datos personales

2.1. Origen y evolución doctrinal del derecho a la protección de datos

El derecho a la protección de datos personales surge como respuesta jurídica frente al acelerado desarrollo tecnológico del siglo XX. En efecto, Cruzatt (2008) sostiene que este derecho apareció en el contexto del avance de los sistemas informáticos desde la década de los sesenta, los cuales permitieron procesar, relacionar y transmitir información a gran velocidad, configurando una verdadera revolución tecnológica (p. 260), escenario que generó riesgos inéditos para la esfera privada de las personas, haciendo necesaria la construcción de un marco jurídico específico que limitara el poder de almacenamiento y tratamiento masivo de información.

En el ámbito internacional, García y Perea (2020) señalan que la protección de los datos personales fue concebida inicialmente dentro del marco normativo europeo y posteriormente replicada por diversos países de América Latina, incluyendo el Perú (p. 281), lo que implica que la influencia europea ha sido determinante en la configuración de estándares comunes orientados a garantizar el respeto por la privacidad, el consentimiento informado y la responsabilidad de quienes gestionan información personal. De esta manera, este proceso de recepción normativa demuestra la consolidación progresiva de la protección de datos como un derecho autónomo dentro del constitucionalismo contemporáneo.

Desde la perspectiva doctrinal, Eguiguren (2015) explica que el derecho a la protección de los datos personales es conocido en la doctrina constitucional como “autodeterminación informativa” o “libertad informática” (p. 132), y subraya que el titular de los datos no solo posee un interés pasivo en la confidencialidad, sino un poder activo de control sobre la recopilación, uso y difusión de su información personal. Es así que la autodeterminación informativa implica la facultad de decidir quién accede a los datos, con qué finalidad y bajo qué condiciones.

2.2. Marco normativo peruano de protección de datos personales

En el ordenamiento jurídico peruano, la Ley de Protección de Datos Personales (en adelante, LPDP), reconoce en su artículo 1 que su objeto es “garantizar el derecho fundamental a la protección de los datos personales”, reconociendo expresamente esta materia como un derecho de rango constitucional y alineándola con los estándares constitucionales y supranacionales. En coherencia, el artículo 2, inciso 5, de la referida norma, define los datos sensibles como aquellos que incluyen datos biométricos que permiten identificar al titular, información sobre origen racial o étnico, ingresos económicos, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, así como datos relativos a la salud o vida sexual.

La LPDP desarrolla los principios rectores que deben orientar todo tratamiento de datos personales. En particular, el artículo 6 consagra el principio de finalidad, estableciendo que los datos deben ser recopilados para un propósito determinado, explícito y lícito, y que no pueden ser utilizados para fines distintos a los informados al momento de su obtención, salvo en supuestos de valor histórico, estadístico o científico mediante procedimientos de disociación o anonimización.

Por su parte, el artículo 7 incorpora el principio de proporcionalidad, según el cual el tratamiento de datos debe ser adecuado, relevante y no excesivo en relación con la finalidad perseguida, lo que impide la recopilación indiscriminada de información innecesaria, promoviendo un tratamiento racional y limitado. Complementariamente, el artículo 28 exige la adopción de medidas técnicas, organizativas y legales destinadas a garantizar la seguridad de los datos, evitando su acceso, alteración o pérdida no autorizada.

El derecho de información reconocido en el artículo 18 de la LPDP establece que el titular debe ser informado de manera previa, detallada, sencilla, expresa e inequívoca sobre la finalidad del tratamiento, los destinatarios de los datos, la existencia del banco de datos, la identidad del responsable, el carácter obligatorio o facultativo de sus respuestas —especialmente en el caso de datos sensibles—, el tiempo de conservación, la posibilidad de transferencias y los mecanismos para ejercer sus derechos. En el entorno digital, estas obligaciones pueden cumplirse mediante políticas de privacidad fácilmente accesibles e identificables.

Empero, pese a la solidez formal, su aplicación práctica presenta deficiencias significativas: múltiples entidades públicas y privadas recopilan datos biométricos de manera masiva —como huellas dactilares en instituciones financieras, reconocimiento facial en universidades o grabación de voz en centros de llamadas— sin garantizar un consentimiento plenamente informado ni mecanismos efectivos de supervisión. Estas prácticas contravienen directamente los principios de finalidad, proporcionalidad y seguridad, así como el deber de información previsto en el citado artículo 18.

2.3. Aplicación práctica y evidencia de incumplimientos

Lo indicado en el acápite anterior se materializa en la imposición de sanciones por parte de la ANPD, la cual ha comunicado públicamente que impuso multas de hasta S/ 577 368 a entidades del sistema financiero por el tratamiento indebido de datos personales biométricos, práctica que pone en riesgo la seguridad, identidad y privacidad de los ciudadanos. Las sanciones impuestas alcanzan al Banco de Crédito del Perú (BCP), ALFIN Banco y BanBif, tras comprobarse la recolección, almacenamiento y uso no informado de huellas dactilares y minucias (puntos característicos de las huellas) biométricas, datos altamente sensibles que permiten identificar de manera única a una persona (Ministerio de Justicia y Derechos Humanos, 15 ene. 2026, párrs. 1-2).

La imposición de las citadas multas en el marco de procedimientos administrativos sancionadores no solo confirma la existencia de infracciones graves, sino que evidencia la materialización de los riesgos advertidos por la doctrina respecto al uso indiscriminado de información biométrica. En efecto, los datos biométricos, por su carácter sensible y su capacidad de identificación, exigen estándares reforzados, traducidos en la correcta implementación de medidas técnicas, organizativas y legales que se ajusten a los criterios de legalidad, necesidad y proporcionalidad establecidos en la normativa.

Cabe señalar que el Informe N.º 001-2026-JUS/DGTAIPD precisa que, en cuanto a la necesidad de personal de la Dirección de Protección de Datos Personales, el número de servidores resulta insuficiente para cumplir adecuadamente las labores ordinarias previstas en el Reglamento de Organización y Funciones del MINJUSDH. La necesidad de nuevo personal se justifica, en primer lugar, por la reciente aprobación del Reglamento de la Ley N.º 29733, que incorpora nuevas figuras jurídicas y garantías que requieren implementación progresiva; y, en segundo lugar, por el incremento de la demanda en las funciones resolutiva, orientativa y de difusión (p. 133).

En consecuencia, se considera necesario incrementar el personal bajo el régimen de Contrato Administrativo de Servicios (CAS), a fin de fortalecer la capacidad operativa de la autoridad de control. Esta situación revela una tensión estructural: mientras el marco normativo se amplía y se sofistica, la protección de los datos personales requiere una tutela efectiva a efectos de sancionar comportamientos como los mencionados anteriormente, los recursos institucionales para su fiscalización no crecen en la misma proporción, lo que incide directamente en la eficacia real de la protección otorgada por la ley.

Ahora bien, un caso interesante se encuentra en la Resolución Directoral N.º 1241-2025-JUS/DGTAIPD-DPDP (en adelante, RD 1241), en la cual se sancionó al Banco de Crédito del Perú (BCP) con fecha 5 de enero de 2023, el denunciante reportó que, en un establecimiento del Banco de Crédito del Perú, se le requirió su identificación biométrica sin justificación para realizar un depósito. Posteriormente, se le entregó un voucher en el que se indicaba lo siguiente: “(…) te informamos que tus huellas serán almacenadas por el BCP en nuestra base de Biometría (…)”.

Según consta en la resolución, al denunciante se le explicó que la entidad estaba autorizada para dicho tratamiento; sin embargo, no se le mostró normativa alguna que sirviera de base jurídica para tal acción, ni se le informó previamente sobre la posibilidad de que la operación quedara condicionada a la entrega de su dato biométrico (p. 1). Por lo que el suministro del dato sensible fue convertido en un requisito para la prestación del servicio, sin que mediara información previa, suficiente y transparente.

En la RD 1241, la ANPD determinó la responsabilidad del BCP por el tratamiento indebido de datos biométricos, imponiéndole una multa de 24,75 UIT por haber tratado datos sensibles (huellas dactilares) de manera excesiva, innecesaria y no pertinente, infringiendo los artículos 7 y 28.3 de la LPDP, configurándose la infracción grave prevista en el artículo 132.2 literal d) de su Reglamento. Asimismo, se le sancionó con 4,89 UIT por haber tratado datos biométricos sin informar previamente y de manera completa al titular, incumpliendo el artículo 18 de la LPDP, constituyendo también infracción grave conforme al artículo 132.2 literal a) del Reglamento.

Además de las multas, se dispuso las siguientes medidas correctivas: la supresión de las huellas dactilares almacenadas (o la acreditación de imposibilidad técnica), el cese de su almacenamiento y la adecuada implementación y difusión de la cláusula de “Consentimiento informado biometría – facial y dactilar”, detallando las consecuencias de otorgar o no dichos datos, otorgándole un plazo de 55 días hábiles para su cumplimiento

En conjunto, la resolución no solo confirma la vulneración de los principios de finalidad, proporcionalidad e información, sino que evidencia cómo el uso de datos biométricos en el sector financiero puede devenir en prácticas excesivas cuando no se respeta el estándar reforzado que exige el tratamiento de datos sensibles.

3. Retos contemporáneos y estrategias para la protección efectiva

Para garantizar una protección efectiva y sostenible del derecho a la autodeterminación informativa, el Perú debe avanzar hacia una reforma integral de la Ley N.º 29733, adaptándola a los desafíos tecnológicos que plantea el uso de la inteligencia artificial, la biometría y el big data. La regulación vigente, aunque valiosa en su concepción, resulta insuficiente frente a la complejidad de los sistemas automatizados de recolección y análisis de datos.

En el Expediente 4739-2007- PHD/TC, el Tribunal Constitucional también precisó que:

(…) El derecho a la autodeterminación informativa protege al titular del mismo frente a posibles abusos o riesgos derivados de la utilización de los datos, brindando al titular afectado la posibilidad de lograr la exclusión de los datos que considera “sensibles” y que no deben ser objeto de difusión ni de registro, así como le otorga la facultad de poder oponerse a la transmisión y difusión de los mismos. (fundamento 4)

Este pronunciamiento reafirma que la protección de datos no es un derecho meramente declarativo, sino una garantía concreta frente a los riesgos tecnológicos. El Tribunal reconoce expresamente la facultad del titular de excluir, oponerse y controlar el flujo de su información, consolidando la dimensión activa del derecho a la autodeterminación informativa.

En primer lugar, es urgente incorporar mecanismos obligatorios de auditoría algorítmica y de evaluación de impacto en la privacidad antes de la implementación de tecnologías biométricas o sistemas de vigilancia inteligente. Estas medidas permitirían anticipar y mitigar los riesgos derivados del tratamiento masivo de datos sensibles, en concordancia con los principios de seguridad y proporcionalidad previstos en los artículos 7 y 9 de la Ley. Del mismo modo, deberían establecerse sanciones efectivas y proporcionales para los responsables que vulneren estos principios, superando la debilidad punitiva actual de la ANPD.

En segundo término, es indispensable fortalecer institucionalmente a la ANPD, dotándola de autonomía técnica, funcional y presupuestal, tal como se reconoce en el artículo 34 de la Ley, pero que en la práctica no se ha materializado plenamente. Una autoridad con recursos limitados carece de capacidad real de fiscalización, lo que deja a los ciudadanos en una situación de indefensión frente a las grandes corporaciones tecnológicas y entidades públicas con acceso a bases de datos masivas.

Finalmente, debe promoverse una política pública de educación y alfabetización digital, que incorpore la cultura de protección de datos en todos los niveles del sistema educativo. Comprender el valor de la información personal y los riesgos asociados a su mal uso es un paso esencial para que los ciudadanos ejerzan sus derechos de acceso, rectificación, cancelación y oposición.

4. Conclusión

De lo presentado en el artículo podemos advertir que la protección de los datos personales continúa siendo un reto estructural más que una realidad efectiva. A pesar de contar con un marco normativo vigente, el sistema nacional de protección aún enfrenta serias limitaciones: fiscalización insuficiente, débil cultura ciudadana sobre derechos digitales y uso creciente, indiscriminado y poco transparente de datos biométricos por parte de entidades públicas y privadas.

En este escenario, resulta imperativo impulsar una reforma integral que actualice el marco normativo peruano y capacitación adecuada a los funcionarios frente a los avances de la inteligencia artificial y el tratamiento automatizado de datos. Dicha reforma debe sustentarse en una ética pública centrada en la dignidad humana como eje rector del ordenamiento jurídico, asegurando que el progreso tecnológico no se imponga sobre los derechos fundamentales. De igual forma, es indispensable fortalecer la autonomía técnica, funcional y presupuestal de la Autoridad Nacional de Protección de Datos Personales, a fin de garantizar una supervisión eficaz y sanciones verdaderamente disuasivas.

Por tanto, la consolidación de una ciudadanía digital consciente y empoderada constituye un pilar esencial para la efectividad del sistema. La protección de datos no puede depender exclusivamente de la intervención estatal; requiere también que los individuos comprendan el valor de su información personal y ejerzan activamente sus derechos.

Referencias bibliográficas

Arellano López, C. A. (2020). El derecho de protección de datos personales. Biolex12(23), 163-174. https://doi.org/10.36796/biolex.v0i23.194

Autoridad Nacional de Protección de Datos Personales – MINJUSDH. (2025). Resolución Directoral N.º 1241-2025-JUS/DGTAIPD-DPDP (PAS: Banco de Crédito del Perú, Exp. 097-2024). Plataforma del Estado Peruano. https://www.gob.pe/institucion/anpd/normas-legales/7622903-pas-banco-de-credito-del-peru

Cruzatt, K. C. (2008). El derecho fundamental a la protección de datos personales: aportes para su desarrollo en el Perú. Ius et Veritas, (37), 260-276. https://revistas.pucp.edu.pe/index.php/iusetveritas/article/download/12229/12795

Eguiguren Praeli, F. J. (2015). El derecho a la protección de los datos personales. Algunos temas relevantes de su regulación en el Perú. THEMIS Revista De Derecho, (67), 131–140. https://revistas.pucp.edu.pe/index.php/themis/article/view/14462

García, D. F., & Perea, A. Q. (2020). La protección de datos personales y el derecho al olvido en el Perú. A propósito de los estándares internacionales del Sistema Interamericano de los Derechos Humanos. Derecho PUCP: Revista de la Facultad de Derecho, (84), 271-299. https://dialnet.unirioja.es/servlet/articulo?codigo=7662979

Congreso de la República del Perú. (1993). Constitución Política del Perú. Diario Oficial El Peruano, 29 de diciembre de 1993.

Congreso de la República del Perú. (2011). Ley N. 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano.

Ministerio de Justicia y Derechos Humanos. (2024). Decreto Supremo N.º 016-2024-JUS, Reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales. Diario Oficial El Peruano

Ministerio de Justicia y Derechos Humanos. (2026, 8 de enero). Informe N.° 001-2026-JUS/DGTAIPD: Descripción de actividades realizadas en el año 2025 por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.https://cdn.www.gob.pe/uploads/document/file/9295394/7624039-informe-2025.pdf?v=1768511912

Ministerio de Justicia y Derechos Humanos. (15 de enero de 2026). MINJUSDH multa a bancos por uso indebido de datos biométricos y alerta a ciudadanos sobre sus derechos. Plataforma del Estado Peruano. https://www.gob.pe/institucion/minjus/noticias/1333997-minjusdh-multa-a-bancos-por-uso-indebido-de-datos-biometricos-y-alerta-a-ciudadanos-sobre-sus-derechos

Tribunal Constitucional, Exp. N.° 04739-2007-PHD/TC, Sala Primera, Lima, 15 de octubre de 2007.

Artículos relacionados

Nadie quiere otro Baguazo: la Amazonía sin títulos de propiedad es una bomba de tiempo

Control de constitucionalidad y control de convencionalidad: tensiones, límites y posibles excesos en el análisis...

La intangibilidad de las Áreas Naturales Protegidas frente a la promoción de hidrocarburos: El principio...

El ambiente y su protección en la denominada “Constitución ecológica” del sistema jurídico peruano

El derecho a la consulta de las personas con discapacidad

Democracia y Constitución en tiempos de crisis: esbozos para un programa de política constitucional

El Constitucionalismo Latinoamericano Contemporáneo: Entre la Democratización y la Concentración del Poder

Populismo Punitivo y Justicia Juvenil: Fundamentos Constitucionales para la Inaplicación de la Ley 32330

Retroceso Normativo en Salud Sexual y Reproductiva: La Resolución 200-2025-DG-INMP/MINSA y los Riesgos Médicos Ignorados...

Ciberseguridad y Constitución

Deja un comentario

Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez que comente.

¿Quieres publicar en Pólemos? Envía tu artículo y revisa nuestras Políticas de Publicación antes de enviarlo.

 

    descargar políticas de publicación

    El Portal Jurídico-Interdisciplinario «Pólemos» es un espacio académico orientado al análisis de temas jurídicos y de actualidad. Nos distinguimos por tratar el Derecho desde un enfoque interdisciplinario, integrando conocimientos de distintas disciplinas para ofrecer una comprensión más integral y enriquecedora.

    Facebook X-twitter Youtube Linkedin Instagram Tumblr

    EQUIPO EDITORIAL

    Directora: Mariana Isabel García Jiménez

    Consejo Editorial:

    Luis Sebastian Cabrejos Vilcarino

    María Fernanda Rojas Linares

    Luz Violeta Arce Castro

    Alessandro Paredes Chumpitazi

    Geraldine Chuquillanqui Guerra

    Ariana Delia Aleman Benites

    Claudia Ximena Saravia Carbajal

    Alvaro Rodrigo Poma Florez

    Sheccid Morelia Matamoros Poma

    Mayara Taiha Ramirez Montalbán

    SELECCIONADO POR EDITORES

    El derecho a la protección de los datos personales: la realidad que enfrentamos...
    ¿La autopuesta en peligro de la víctima elimina el deber de auxilio? Análisis...
    La divergencia entre la moral de la justicia poética y el derecho positivo...

    ÚLTIMOS ARTÍCULOS

    El derecho a la protección de los datos personales: la realidad que enfrentamos en la actualidad
    ¿La autopuesta en peligro de la víctima elimina el deber de auxilio? Análisis del homicidio por omisión impropia en accidentes de tránsito
    La divergencia entre la moral de la justicia poética y el derecho positivo en el sistema jurídico peruano
    Áreas naturales protegidas y pueblos indígenas: modelos de gestión en Australia y Nueva Zelanda