Protección de Datos Personales Perú 2026: Tus Derechos ARCO

Una empresa de cobranza tiene tu teléfono y no sabes cómo lo consiguió. Una app te pide acceso a tus contactos y no sabes para qué. El banco te envía publicidad de productos que nunca pediste. Todos estos son escenarios donde la Ley de Protección de Datos Personales (Ley 29733) te da derechos concretos para exigir información, corrección o eliminación de tus datos.

Los cuatro derechos ARCO que tienes

  • Acceso: tienes derecho a saber qué datos personales tuyos tiene una empresa, de dónde los obtuvo, para qué los usa y a quién los ha cedido.
  • Rectificación: tienes derecho a corregir datos incorrectos o desactualizados (por ejemplo, un teléfono antiguo o una dirección errónea en una base de datos).
  • Cancelación: tienes derecho a pedir que eliminen tus datos cuando ya no son necesarios para el propósito para el que se recopilaron o cuando retiras tu consentimiento.
  • Oposición: tienes derecho a oponerte a que traten tus datos para ciertos fines, como marketing directo o perífiling.

Cómo ejercer tus derechos ARCO

  1. Identifica quién tiene tus datos y por qué quieres ejercer un derecho ARCO.
  2. Dirige una solicitud escrita (carta, correo electrónico o formulario online si la empresa lo tiene) al Área de Protección de Datos o al responsable del tratamiento. Incluye tu DNI, qué derecho quieres ejercer y el motivo.
  3. La empresa tiene 20 días hábiles para responder tu solicitud.
  4. Si no responden o rechazan tu solicitud sin justificación válida, puedes presentar denuncia ante la Autoridad Nacional de Protección de Datos Personales (ANPD), dependiente del Ministerio de Justicia.

El derecho a no recibir publicidad no solicitada

Si una empresa te envía publicidad por correo, SMS o teléfono y no diste tu consentimiento, puedes ejercer el derecho de oposición y pedir que te retiren de sus listas de marketing. La empresa tiene 5 días hábiles para cumplirlo. Si sigue enviando publicidad después de tu solicitud, es una infracción.

Preguntas frecuentes

¿Las apps de celular pueden usar mis datos sin permiso?

Las apps deben informarte qué datos recopilan y para qué (política de privacidad) y pedir tu consentimiento antes de acceder a información sensible. Sin embargo, en la práctica muchos usuarios aceptan sin leer. Si quieres revocar el acceso, puedes hacerlo desde la configuración de privacidad de tu celular.

¿El banco puede compartir mis datos con otras empresas?

Solo si firmaste un contrato que lo autoriza o si existe una norma legal que lo permita. En Perú, los bancos comparten información crediticia con las centrales de riesgo (Equifax, Sentinel, SBS) por mandato legal. Pero compartir tus datos para marketing o céderlos a otras empresas requiere tu consentimiento expreso. Si no lo diste, puedes ejercer tu derecho de oposición.

Datos sensibles: protección reforzada

La Ley 29733 establece una categoría de datos con protección reforzada: los datos sensibles. Incluyen:

  • Datos biométricos (huella digital, reconocimiento facial)
  • Datos de salud y condición médica
  • Orientación sexual
  • Creencias religiosas o convicciones políticas
  • Origen racial o étnico
  • Antecedentes penales y judiciales

Para estos datos, el consentimiento debe ser explícito e informado. No basta con una cláusula general en el contrato. Si una empresa los trató sin consentimiento expreso, está ante una infracción grave.

La ANPD: cómo denunciar

Si una empresa no responde a tu solicitud ARCO en 20 días hábiles, si rechaza tu solicitud sin justificación válida, o si detectas un uso indebido de tus datos, puedes denunciarlo ante la Autoridad Nacional de Protección de Datos Personales (ANPD), que funciona dentro del Ministerio de Justicia (Minjus).

El proceso:

  1. Presenta tu queja o denuncia en la plataforma digital del Minjus o en su Mesa de Partes presencial.
  2. Adjunta la evidencia de tu solicitud ARCO y la respuesta (o la ausencia de respuesta) de la empresa.
  3. La ANPD investiga y, si determina infracción, puede imponer sanciones económicas a la empresa desde 0.5 UIT hasta 100 UIT (S/2,675 a S/535,000 según la UIT 2026).

Casos prácticos donde estos derechos aplican

Algunos escenarios concretos donde la Ley 29733 te protege:

  • Empresa de cobranza que te llama al trabajo: si no les diste ese número, pueden estar usando datos obtenidos ilegalmente. Puedes denunciarlo a la ANPD y a INDECOPI (que también regula las prácticas de cobranza).
  • Ex empleador que comparte tu historial laboral: si el exjefe cuenta detalles privados de tu desempeño o de motivos de salida sin tu autorización, puede ser una violación de la ley.
  • Tienda que guarda tus datos de tarjeta sin SSL: tiene la obligación de proteger los datos con medidas de seguridad adecuadas. Un hackeo por descuido del comercio puede generar responsabilidad.
  • App que vende tus datos de ubicación: si la app te pide permiso de ubicación para una función específica pero vende esos datos a terceros sin informártelo, viola la ley.

En Perú la cultura de protección de datos todavía está maduraándose. Pocas empresas tienen procesos claros para responder solicitudes ARCO. Pero la ley existe y las sanciones son reales — empezar a ejercer estos derechos es lo que los hace efectivos.

Para el conjunto de derechos del consumidor en Perú, visita protección al consumidor en Perú. Para reclamos generales ante entidades, revisa el Libro de Reclamaciones.

Scroll to Top