TL;DR: El Decreto Supremo 016-2024-JUS aprobó el nuevo Reglamento de la Ley 29733 y está vigente desde el 30 de marzo de 2025. Tres cambios clave: notificación de brechas en 48 horas, alcance extraterritorial, y los datos biométricos bajo el paraguas de datos sensibles con mayor control. La estrategia más eficaz de cumplimiento no es cifrar y guardar: es no retener los datos desde el principio.

Desde que la Ley N.° 29733 (Ley de Protección de Datos Personales) entró en vigor en Perú hace más de una década, su reglamento original no había tenido una actualización de fondo. El panorama tecnológico era otro: no existía la escala actual de procesos de verificación de identidad digital, el uso de biometría facial en empresas era marginal, y los deepfakes eran ciencia ficción.

El Decreto Supremo 016-2024-JUS cambia eso. Publicado en El Peruano el 30 de noviembre de 2024 y vigente desde el 30 de marzo de 2025, eleva significativamente las exigencias para cualquier organización que trate datos personales en Perú — y de manera especial para quienes operan con datos biométricos.

Esta guía explica qué cambió, por qué los datos biométricos son el flanco más sensible bajo el nuevo marco, y cómo la arquitectura de "no almacenar" es hoy la respuesta más inteligente de cumplimiento.

Qué cambió con el nuevo reglamento (DS 016-2024-JUS) y desde cuándo

El Ministerio de Justicia y Derechos Humanos (MINJUSDH) publicó el DS 016-2024-JUS el 30 de noviembre de 2024. La norma reemplaza el reglamento anterior de la Ley 29733 y entró en vigor el 30 de marzo de 2025 — cuatro meses de vacatio legis para que las organizaciones pudieran adecuarse.

Los cambios más relevantes para las áreas de seguridad y compliance de las empresas:

1. Notificación de brechas en 48 horas

Cuando una organización detecte o tenga indicios de un incidente de seguridad que afecte datos personales, tiene 48 horas para notificar a la Autoridad Nacional de Protección de Datos Personales (ANPD), el organismo del MINJUSDH encargado de la supervisión. Este plazo se alinea con los estándares del Reglamento General de Protección de Datos europeo (RGPD/GDPR) — que exige 72 horas — y representa un cambio sustancial respecto al esquema anterior, donde los plazos eran más laxos y menos definidos.

Lo crítico: el plazo corre desde que la organización detecta o tiene indicios de la brecha, no desde que la confirma. Las empresas que no tienen un protocolo de respuesta ya establecido descubren, en el peor momento, que 48 horas no alcanzan para construir el proceso desde cero.

2. Alcance extraterritorial

El nuevo reglamento aplica a cualquier empresa, nacional o extranjera, que trate datos personales de personas ubicadas en Perú, aunque la empresa no esté domiciliada aquí. Una fintech con sede en Miami que onboardea usuarios peruanos, un SaaS español con clientes en Lima, un proveedor cloud que procesa datos de empleados de una empresa peruana: todos están en el ámbito de la norma.

3. Oficial de Datos Personales

Las organizaciones que traten datos en forma habitual o a gran escala, o que manejen categorías especiales de datos — entre ellas los datos biométricos — deben designar un Oficial de Datos Personales responsable del cumplimiento interno. Este rol es análogo al Data Protection Officer (DPO) del RGPD.

4. Refuerzo del principio de minimización

El reglamento consolida que los datos solo deben recogerse en la medida estrictamente necesaria para la finalidad declarada, y no conservarse más allá del tiempo indispensable. Como veremos más adelante, este principio tiene implicancias directas para cualquier sistema que hoy almacene plantillas biométricas.

Tres fechas para recordar: DS 016-2024-JUS publicado el 30-nov-2024; vigente desde el 30-mar-2025; brechas de seguridad deben notificarse a la ANPD en 48 horas.

Por qué los datos biométricos son el caso más delicado

La Ley 29733 establece una categoría de datos que recibe protección reforzada: los datos sensibles. En esta categoría se incluyen el origen racial o étnico, las convicciones políticas o religiosas, la salud, la vida sexual y los datos biométricos.

¿Qué hace que un dato biométrico sea distinto a, digamos, una dirección de correo electrónico? Tres características lo convierten en el dato más delicado que puede tratar una empresa:

Unicidad e irrevocabilidad

Tu correo electrónico lo puedes cambiar; tu rostro, tu huella dactilar, tu iris, no. Si una base de datos con correos es comprometida, los afectados cambian sus contraseñas. Si una base de plantillas biométricas (templates) es comprometida, el daño es permanente. No existe un "restablecimiento de contraseña" para los rasgos biométricos de una persona.

Derivación de información sensible

Una plantilla biométrica facial puede revelar etnia, condiciones de salud o estados emocionales. Los modelos de inteligencia artificial modernos extraen correlaciones que los titulares de los datos nunca consintieron compartir — y que el responsable del tratamiento quizás ni sabe que están siendo inferidas.

Doble uso fraudulento

Los datos biométricos robados no solo permiten suplantar la identidad en el sistema que los capturó. Pueden usarse para atacar otros sistemas que usen el mismo rasgo biométrico en otras organizaciones. Una plantilla facial robada de un sistema de acceso corporativo puede intentar usarse para vulnerar un proceso de KYC (Know Your Customer) bancario.

Por estas razones, cualquier empresa que recopile, almacene o transmita plantillas biométricas está operando en la categoría de mayor riesgo regulatorio y reputacional bajo el nuevo reglamento. La ANPD tiene facultades sancionadoras sobre este tipo de tratamiento, y la responsabilidad puede alcanzar tanto al responsable del tratamiento como al encargado del tratamiento — el proveedor o integrador que procesa los datos en nombre de la empresa.

Si tu empresa opera en sectores como fintech, banca o RRHH y usa verificación biométrica, próximamente publicamos un artículo sobre biometría facial en fintech con el contexto regulatorio para ese sector específico.

El cambio de mentalidad: "no almacenar" supera a "almacenar cifrado"

Durante años, la respuesta estándar de la industria de seguridad ante el tratamiento de datos sensibles fue: "guárdalos, pero bien cifrados". La lógica era razonable: si la bóveda es suficientemente fuerte, el contenido está protegido.

El nuevo marco regulatorio — tanto el DS 016-2024-JUS como el RGPD en Europa — invierte ese razonamiento con el principio de minimización de datos: si no necesitas retener el dato para cumplir la finalidad del servicio, no debes retenerlo. Almacenar datos que no son necesarios no es "precaución"; bajo la ley, es una infracción potencial al principio de finalidad limitada.

Antes: "¿Cómo almacenamos estos datos de forma segura?"
Ahora: "¿Necesitamos almacenar estos datos en absoluto?"

Para el caso de la verificación biométrica, la respuesta suele ser no. La verificación de identidad es un proceso de comparación puntual: ¿el rostro que veo ahora corresponde al rostro de referencia? Una vez realizada la comparación, el resultado es binario — verificado o no verificado — y la plantilla biométrica ha cumplido su función.

Retenerla más allá de ese instante crea pasivo regulatorio sin generar valor adicional para el negocio. Y en caso de brecha, la diferencia entre una empresa que almacenaba plantillas y una que no lo hacía es la diferencia entre un incidente grave y un incidente con impacto mínimo.

La arquitectura zero-knowledge traslada este principio a la ingeniería: el sistema ejecuta la comparación en memoria, sin persistir la plantilla en ningún servidor. Lo que queda en el sistema es el resultado de la verificación, no los datos biométricos que lo hicieron posible.

Cómo compartir y verificar datos sensibles sin retenerlos

El principio de minimización aplica también al intercambio de documentos y datos sensibles, no solo a la autenticación. Muchas empresas manejan flujos donde envían información confidencial — resultados médicos, contratos firmados, credenciales financieras, datos de empleados — a través de canales que retienen copias: correo electrónico, plataformas de almacenamiento cloud, mensajería corporativa.

Un modelo de entrega segura sin retención funciona en cuatro pasos:

1. Enlace de entrega biométrica

El remitente crea un enlace seguro (BioLink) al que solo puede acceder el destinatario correcto. El contenido no se almacena en los servidores del intermediario; viaja cifrado de extremo a extremo (E2E) desde el dispositivo del remitente hasta el del destinatario.

2. El rostro como llave

El destinatario accede tomándose una selfie en tiempo real. El sistema compara el rostro en vivo con la foto de referencia que el remitente proporcionó. Si hay match, el acceso se abre; si no, el enlace permanece sellado. El proceso de liveness detection garantiza que el acceso no puede ser forzado con una foto estática, un video pregrabado o un deepfake generado por IA.

3. Zero-knowledge por diseño

La plantilla biométrica del destinatario no persiste en ningún servidor después de la comparación. La clave de descifrado del contenido nunca sale del dispositivo del destinatario en texto claro. El intermediario nunca tiene acceso al contenido ni a los datos biométricos en forma utilizable.

4. Trazabilidad sin PII biométrica

El sistema puede generar un log de auditoría — quién accedió, cuándo, desde qué dispositivo — sin necesidad de almacenar los datos biométricos que ejecutaron la verificación. Los registros de auditoría son metadata, no información de identificación personal (PII) biométrica.

Este modelo satisface simultáneamente tres exigencias del nuevo marco regulatorio:

  • Minimización: no se retiene más allá de lo estrictamente necesario.
  • Finalidad limitada: los datos biométricos se usan exclusivamente para la verificación, no para perfilado u otros fines.
  • Integridad y confidencialidad: el cifrado E2E protege el contenido en tránsito y en reposo hasta que el destinatario legítimo lo abre.

Checklist de cumplimiento práctico bajo el nuevo marco

Acciones prioritarias bajo el DS 016-2024-JUS para tener un punto de partida concreto:

  • Mapear los datos biométricos que se tratan: ¿dónde se capturan, quién los procesa, cuánto tiempo se retienen y con qué base legal?
  • Revisar las bases legales del tratamiento: ¿hay consentimiento expreso del titular para datos sensibles? ¿Está documentado y es específico para la finalidad declarada?
  • Designar un Oficial de Datos Personales si tu organización trata datos sensibles de forma habitual o a gran escala.
  • Actualizar los contratos con encargados del tratamiento (proveedores TI, integradores biométricos) para incluir cláusulas de responsabilidad bajo el nuevo reglamento.
  • Establecer un protocolo de respuesta a brechas en menos de 48 horas: cadena de comunicación interna → notificación a la ANPD → comunicación a los titulares afectados cuando corresponda.
  • Evaluar si el almacenamiento de plantillas biométricas es necesario o si puede reemplazarse por una arquitectura zero-knowledge con comparación en memoria.
  • Revisar las políticas de retención de datos: eliminar datos personales que ya no son necesarios para la finalidad declarada.
  • Realizar una evaluación de impacto en protección de datos (EIPD) para tratamientos de alto riesgo, incluyendo biometría a escala.

Errores frecuentes al adecuarse al nuevo reglamento

Error 1: Confundir cifrado con cumplimiento

Cifrar una base de datos de plantillas biométricas no elimina la obligación de justificar por qué esas plantillas existen. El cifrado protege ante brechas técnicas; no protege ante una auditoría que cuestione la base legal del tratamiento. La pregunta del auditor no es "¿estaban cifrados los datos?" sino "¿necesitabas tener esos datos?".

Error 2: Ignorar la responsabilidad del encargado del tratamiento

Si tu empresa contrata un proveedor de verificación biométrica que almacena las plantillas en sus servidores, tu empresa sigue siendo responsable del tratamiento ante la ANPD. El contrato con el proveedor debe especificar obligaciones de protección de datos, y tu empresa debe verificar que se cumplen — no basta con confiar.

Error 3: Asumir que el reglamento solo aplica a empresas grandes

El alcance extraterritorial y la categoría de datos sensibles aplican independientemente del tamaño de la empresa. Una fintech de 20 personas que hace KYC con biometría, un estudio médico que verifica identidad de pacientes de forma remota, una plataforma educativa que autentica a sus usuarios: todos están en el ámbito de la norma.

Error 4: Tratar las notificaciones de brechas como un trámite posterior

Las 48 horas para notificar a la ANPD empiezan desde que la organización "detecta o tiene indicios" del incidente — no desde que lo confirma ni desde que lo investiga. Muchas empresas no tienen el protocolo activado en el momento T0. Cuando se activa, ya llevan horas de retraso.

Error 5: Obtener consentimiento genérico para datos sensibles

El consentimiento para datos biométricos debe ser expreso, específico e informado: el titular debe saber exactamente qué dato biométrico se recoge, para qué finalidad, cuánto tiempo se retiene y quién más lo procesa. Un checkbox genérico de "acepto términos y condiciones" no cumple este estándar. La ANPD puede declarar inválido ese consentimiento en una auditoría.

Dónde encaja Bio'lock en este escenario

Bio'lock es la tecnología de verificación biométrica facial que Altimea representa en exclusiva en Perú y Latinoamérica. Su arquitectura fue diseñada, desde su origen francés, para responder a los requisitos del RGPD europeo — el mismo marco que inspiró las mejoras del DS 016-2024-JUS peruano. Cinco hechos técnicos que lo diferencian:

  1. Zero-knowledge por diseño: las plantillas biométricas no se almacenan en ningún servidor de Bio'lock. La comparación facial se ejecuta en memoria y el resultado se descarta junto con la plantilla una vez completada la verificación.
  2. Cifrado de extremo a extremo: el contenido que se comparte a través de un BioLink viaja cifrado desde el dispositivo del remitente hasta el del destinatario. Bio'lock no tiene acceso al contenido en ningún punto del flujo.
  3. Liveness detection certificado: bloquea intentos de suplantación con fotos estáticas, videos pregrabados y deepfakes generados por IA — una amenaza en crecimiento en el mercado peruano.
  4. Cumplimiento GDPR nativo: al ser tecnología de origen francés, Bio'lock fue construido bajo los estándares europeos de privacidad más exigentes del mundo.
  5. Integración sin fricción: SDK JavaScript y API REST plug-and-play. El destinatario no necesita instalar nada; funciona desde cualquier navegador o app móvil.

Para empresas en Perú que operan con datos sensibles — especialmente en fintech, banca, RRHH, eHealth y profesiones reguladas — Bio'lock reduce el riesgo de cumplimiento no añadiendo controles sobre una arquitectura de almacenamiento, sino eliminando el almacenamiento problemático desde el diseño.

El Libro de Reclamaciones Digital es otro ejemplo de cómo Altimea diseña soluciones con cumplimiento normativo peruano integrado desde el inicio — en ese caso, la Ley 29733 en el tratamiento de datos de los reclamantes.

Preguntas frecuentes sobre el DS 016-2024-JUS y la protección de datos biométricos

¿Cuándo entró en vigor el nuevo reglamento de protección de datos en Perú?

El DS 016-2024-JUS fue publicado el 30 de noviembre de 2024 en el diario oficial El Peruano y entró en vigencia el 30 de marzo de 2025.

¿En qué plazo debo notificar una brecha de seguridad de datos personales?

48 horas desde que la organización detecte o tenga indicios de la brecha. Este plazo debe contar con un protocolo de respuesta ya establecido, porque 48 horas no es tiempo suficiente para construir el proceso desde cero en medio de un incidente.

¿Los datos biométricos son datos sensibles en Perú?

Sí. Bajo la Ley 29733, los datos biométricos son una categoría de datos sensibles que requieren consentimiento expreso del titular y protección reforzada. Este estatus preexiste al DS 016-2024-JUS; el nuevo reglamento refuerza las obligaciones de su tratamiento.

¿El reglamento aplica a empresas extranjeras que operan en Perú?

Sí. El nuevo reglamento tiene alcance extraterritorial: aplica a cualquier organización, nacional o extranjera, que trate datos personales de personas ubicadas en Perú, aunque la empresa no esté domiciliada aquí.

¿Qué es el principio de minimización de datos?

Es el principio que establece que solo se pueden recopilar los datos estrictamente necesarios para la finalidad declarada, y que no deben conservarse más allá del tiempo indispensable. En el contexto de datos biométricos, esto favorece las arquitecturas zero-knowledge que no almacenan plantillas.

¿Qué es una arquitectura zero-knowledge en biometría?

Es un diseño técnico en el que la comparación biométrica se ejecuta en memoria sin persistir la plantilla en ningún servidor. Una vez completada la verificación, los datos biométricos utilizados se descartan. Solo queda el resultado: verificado o no verificado.

¿Quién es la ANPD y qué facultades tiene?

La ANPD (Autoridad Nacional de Protección de Datos Personales) es el organismo del MINJUSDH encargado de velar por el cumplimiento de la Ley 29733 y su reglamento, tramitar denuncias de titulares de datos y sancionar a las organizaciones que incumplan. Más información en gob.pe/anpd.

¿Qué debe incluir el consentimiento para tratar datos biométricos?

Debe ser expreso, específico e informado: indicar qué dato biométrico se recoge (ej. imagen facial para verificación de identidad), la finalidad exacta, el tiempo de retención, si se comparte con terceros y los derechos del titular (acceso, rectificación, supresión). Un checkbox genérico de términos y condiciones no cumple este estándar bajo la Ley 29733.

Conclusión: el nuevo reglamento favorece a quienes no acumulan

El DS 016-2024-JUS no es un trámite administrativo más. Es la señal más clara hasta ahora de que Perú está convergiendo hacia los estándares internacionales de protección de datos — con especial énfasis en la categoría de mayor riesgo: los datos biométricos.

Las empresas que entiendan esto como una oportunidad para revisar su arquitectura de tratamiento de datos — y no solo como una multa que evitar — tendrán una ventaja competitiva real: la confianza de sus clientes y la reducción del pasivo regulatorio.

La jugada más inteligente no es acumular datos cifrados. Es no acumularlos en primer lugar. El nuevo reglamento, al reforzar el principio de minimización, está esencialmente premiando el diseño zero-knowledge.

Si tu empresa está evaluando cómo cumplir con el DS 016-2024-JUS en sus flujos de verificación biométrica o intercambio de datos sensibles, conoce Bio'lock — la solución que Altimea representa en exclusiva en Perú y que fue diseñada desde el inicio para este escenario.

Altimea

Equipo Altimea

Fábrica de software con +26 años en Perú

Altimea es una fábrica de software con más de 26 años de experiencia y 100+ clientes en Perú y Latinoamérica. Diseñamos, construimos e integramos soluciones digitales a la medida, y representamos en exclusiva tecnologías de clase mundial como Bio'lock para ayudar a nuestros clientes a operar con estándares internacionales.