Ir al contenido principal
Digital y Tecnología

Política de privacidad web: qué exige la Ley 29733

Publicado el 2026-05-30 · Actualizado 2026-07-06 · Modelo.pe

Datos rápidos

NormaLey 29733
Reglamento vigenteD.S. 016-2024-JUS (desde 29 mar 2026)
ConsentimientoLibre, previo, expreso, informado e inequívoco
AutoridadANPDP (Minjusdh)
Novedades 2026Oficial de datos y portabilidad
Política de privacidad web: qué exige la Ley 29733 — guía legal digital Perú 2026

¿Cuándo necesitas una política de privacidad?

Si tu web, app o tienda online recoge cualquier dato personal (nombre, correo, teléfono, DNI, datos de pago o cookies de seguimiento), estás tratando datos personales y la Ley 29733 te obliga a informar al usuario cómo los usas. La política de privacidad es el documento que cumple ese deber.

Esto aplica a formularios de contacto, registros de cuenta, newsletters, carritos de compra y cualquier captura de información. No importa si eres una gran empresa o un emprendedor con una landing: si capturas datos, necesitas política de privacidad. Ignorarlo te expone a sanciones de la autoridad y a perder la confianza del usuario.

Publicidad

El consentimiento según la Ley 29733

La regla central de la ley es el consentimiento. Para tratar datos personales necesitas la autorización del titular, que debe reunir cinco atributos:

  • Libre: sin presión ni condicionamiento abusivo.
  • Previo: obtenido antes de recoger el dato.
  • Expreso: mediante una acción clara del usuario.
  • Inequívoco: sin margen de duda sobre que aceptó (una casilla marcada, por ejemplo).
  • Informado: el usuario sabe para qué se usarán sus datos.

No basta con una aceptación tácita ni con casillas premarcadas. Documenta el consentimiento con el modelo de consentimiento para tratamiento de datos personales (Ley 29733).

Qué debe incluir la política de privacidad

Una política conforme a la Ley 29733 debe informar, como mínimo:

  • Identidad y domicilio del responsable del banco de datos.
  • Qué datos se recogen y con qué finalidad concreta.
  • Si se transfieren a terceros y a quiénes (por ejemplo, pasarelas de pago o proveedores de correo).
  • El tiempo de conservación de los datos.
  • Cómo ejercer los derechos ARCO (acceso, rectificación, cancelación y oposición).
  • Las medidas de seguridad aplicadas para proteger la información.

Usa el modelo de política de privacidad (Ley 29733) como base y personalízalo con los datos reales de tu negocio.

Cookies, términos y el nuevo reglamento 2026

Si usas cookies de seguimiento o analítica, necesitas además una política de cookies y un aviso de consentimiento visible. Y todo sitio que ofrece servicios debe tener sus términos y condiciones para regular la relación con el usuario.

El nuevo reglamento de la Ley 29733 (D.S. 016-2024-JUS) entró en vigor el 29 de marzo de 2026 e incorpora figuras nuevas como el oficial de datos personales (similar al DPO europeo) y el derecho a la portabilidad de datos. Complementa tu web con la política de cookies y los términos y condiciones de sitio web para cubrir todo el marco legal digital.

Publicidad

Sanciones por no cumplir la Ley 29733

No tener política de privacidad o tratar datos sin consentimiento no es un tema menor. La Autoridad Nacional de Protección de Datos Personales (ANPDP) puede imponer multas administrativas calculadas en UIT (la UIT 2026 es de S/ 5,500), que escalan según la gravedad de la infracción.

Las infracciones se clasifican en leves, graves y muy graves. Recoger datos sin consentimiento, no atender los derechos ARCO o transferir datos sin base legal caen en las categorías más severas. El costo de cumplir (una política bien hecha y un flujo de consentimiento) es mínimo frente al riesgo de una multa y del daño reputacional de una filtración mal gestionada.

Derechos del usuario y la autoridad de control

Los usuarios pueden ejercer sus derechos ARCO en cualquier momento: acceder a sus datos, rectificarlos, cancelarlos u oponerse a su tratamiento. Tu política debe explicar el canal para hacerlo (un correo, un formulario) y un plazo razonable de respuesta.

La autoridad de control es la Autoridad Nacional de Protección de Datos Personales (ANPDP), que depende del Ministerio de Justicia y Derechos Humanos y puede investigar y sancionar. Si un usuario quiere ejercer sus derechos formalmente y no le respondes, puede presentar la solicitud de acceso, rectificación o cancelación de datos ante la autoridad.

Checklist para poner tu web en regla

Si quieres cumplir la Ley 29733 sin dar vueltas, sigue esta lista concreta:

  1. Publica una política de privacidad accesible desde el pie de página de toda la web.
  2. En cada formulario, añade una casilla de consentimiento (no premarcada) que enlace a la política.
  3. Si usas cookies, muestra un banner de cookies con opción de aceptar o configurar.
  4. Define un canal para los derechos ARCO (un correo dedicado) y responde en plazo razonable.
  5. Documenta con quién compartes datos (pasarelas de pago, email marketing, analítica).
  6. Revisa si tu volumen de tratamiento exige un oficial de datos bajo el reglamento de 2026.

Con estos seis puntos cubiertos, tu web queda en una posición sólida frente a la ANPDP. Lo demás es mantener el criterio: pedir solo los datos que realmente necesitas y usarlos únicamente para lo que informaste al usuario. Menos datos recogidos significa menos riesgo, menos obligaciones y más confianza de quienes te compran.

Publicidad

Preguntas frecuentes

¿Toda web necesita política de privacidad en Perú?

Si la web recoge datos personales (formularios, registros, cookies de seguimiento), sí. La Ley 29733 obliga a informar al usuario cómo se tratan sus datos.

¿Qué tipo de consentimiento exige la Ley 29733?

Un consentimiento libre, previo, expreso, informado e inequívoco. No basta con una aceptación tácita: debe haber una acción clara del usuario.

¿Qué cambió con el reglamento de 2026?

El D.S. 016-2024-JUS, vigente desde el 29 de marzo de 2026, sustituyó el reglamento anterior e incorporó figuras como el oficial de datos personales y el derecho de portabilidad de datos.

¿Quién fiscaliza el cumplimiento de la Ley 29733?

La Autoridad Nacional de Protección de Datos Personales (ANPDP), bajo el Ministerio de Justicia y Derechos Humanos, que puede investigar y sancionar.

¿La política de privacidad es lo mismo que los términos y condiciones?

No. La política de privacidad regula el tratamiento de datos personales (Ley 29733); los términos y condiciones regulan el uso del servicio o la web. Lo ideal es tener ambos.

¿Sirve copiar la política de privacidad de otra web?

No es recomendable. La política debe reflejar los datos reales que tú recoges, tus finalidades y tu responsable del banco de datos. Copiar una ajena suele dejar información falsa o incompleta, lo que igual constituye incumplimiento ante la ANPDP.

¿Necesito registrar mi banco de datos ante la autoridad?

El reglamento de la Ley 29733 establece obligaciones de registro y de designación de un oficial de datos según el volumen y tipo de tratamiento. Revisa el D.S. 016-2024-JUS vigente desde marzo de 2026 para ver si tu caso exige inscripción o un oficial de datos.

Modelos relacionados (descarga gratis)