Mientras clínicas y empresas privadas son sancionadas por vulnerar la Ley de Protección de Datos Personales, entidades estatales peruanas exponen información sensible de millones de ciudadanos sin recibir sanción alguna. RENIEC, SUNAT, EsSalud y más han protagonizado filtraciones sin que ningún CISO sea llamado siquiera al orden. ¿Dónde queda la frase “nadie tiene corona”? En otros países, organismos públicos sí son multados. En Perú, reina la impunidad. Urge actuar: modificar la ley, aplicar sanciones reales al Estado y proteger de verdad la información de todos los peruanos.
¿Y el Estado? Cuando los datos personales de los peruanos quedan al aire y nadie responde
Mientras clínicas privadas y empresas son sancionadas por vulnerar la Ley de Protección de Datos Personales, entidades públicas del Perú siguen exponiendo datos sensibles sin control ni consecuencias. En este reportaje se cuestiona la ausencia de responsabilidad, se evidencian casos locales y extranjeros, y se proponen soluciones concretas.
(americasistemas.com.pe. Lima, Perú – 09 de julio 2025) En el Perú, la protección de datos personales pareciera ser una obligación que solo aplica para el sector privado. Empresas como Clínica Delgado-Auna, Pacífico Seguros, Beat Perú, Gold’s Gym, y hasta el Colegio Humboldt han recibido sanciones por violaciones a la Ley de Protección de Datos Personales (Ley N.º 29733). Incluso, la multa de casi 190 mil dólares impuesta a la Clínica Delgado por divulgar datos médicos de la cantante Shakira fue celebrada como un hito por SUSALUD. El mensaje del superintendente adjunto, Erick Muñoz Arce, fue claro: “Nadie tiene corona”.
Pero, ¿qué pasa cuando los que vulneran nuestros datos son las mismas entidades del Estado?
La realidad es alarmante. Diversos organismos públicos han expuesto —y siguen exponiendo— datos personales y sensibles de millones de ciudadanos, sin que se emitan sanciones ejemplares o, al menos, llamados de atención públicos. No hay un solo CISO (Chief Information Security Officer) en el aparato estatal peruano que haya sido removido, amonestado o cuestionado por estas fallas.
Casos de violación de datos en entidades estatales peruanas:
RENIEC: Varias filtraciones de bases de datos, accesos indebidos a registros de identidad y validación biométrica mal usada. Hasta ahora, sin responsables sancionados.
SUNAT: En 2023, un archivo de contribuyentes con información tributaria y financiera fue encontrado en foros de venta de datos. ¿Resultado? Silencio administrativo.
EsSalud: Se denunció en 2022 la publicación de listados con información médica sin anonimización. No hubo reacción oficial.
MINEDU: Listas de postulantes y docentes publicadas con DNI, direcciones y notas personales, accesibles sin medidas de seguridad básicas.
Municipalidades y gobiernos regionales: Contrataciones, hojas de vida y expedientes personales expuestos libremente en sus portales web.
La lista es copiosa amigos lectores, pese a todo esto, la Autoridad Nacional de Protección de Datos Personales (ANPD), dependiente del Ministerio de Justicia, ha sido rigurosa —y aplaudida— cuando sanciona al sector privado, pero mucho más laxa cuando el infractor es del Estado.
¿Dónde queda la igualdad ante la ley?
La frase “nadie tiene corona” se desdibuja completamente cuando los ciudadanos comprueban, una y otra vez, que el Estado sí tiene corona. La impunidad reina cuando los responsables son entidades públicas. Esta omisión sistemática mina la confianza ciudadana y desprotege derechos fundamentales como la intimidad, la dignidad y la autodeterminación informativa.
Comparativa internacional: Estados que sí sancionan a su propio aparato público
Otros países de la región ya han marcado una diferencia:
España: En 2020, la Agencia Española de Protección de Datos (AEPD) multó al Ayuntamiento de Granada por exponer datos personales en su portal. La sanción superó los 60 mil euros.
Chile: La Subsecretaría de Salud Pública fue investigada en 2022 por la filtración de datos de vacunación. Aunque la ley chilena aún no es tan estricta, el hecho derivó en responsabilidades administrativas.
Colombia: La Superintendencia de Industria y Comercio ha sancionado a entidades como el Ministerio de Salud por tratamiento indebido de datos.
Brasil: Bajo la LGPD (Ley General de Protección de Datos), la Autoridad Nacional de Protección de Datos ha emitido alertas y sanciones a organismos públicos.
¿Qué hacer en el Perú? Recomendaciones concretas:
Nombrar CISO obligatorios en todas las entidades estatales, con responsabilidad legal directa ante incidentes de ciberseguridad y protección de datos.
Crear una unidad autónoma de auditoría digital y de datos públicos, separada del control político del Ejecutivo.
Modificar la Ley 29733 para incluir sanciones obligatorias al Estado en igualdad de condiciones que el sector privado.
Capacitación obligatoria y continua en protección de datos para todos los funcionarios con acceso a información sensible.
Involucrar a la Contraloría y al Congreso para hacer seguimiento de las negligencias reiteradas de las instituciones públicas.
La protección de los datos personales no puede ser una medida decorativa ni aplicarse con sesgo. Si el Estado exige, debe también dar el ejemplo. Cada peruano tiene derecho a que su información esté segura, sin importar quién la custodia. Y es hora de que esa custodia tenga consecuencias cuando se incumple.
3 respuestas
No tiene sentido multar a las instituciones públicas, son los que pagamos impuestos los que terminamos pagando esas multas. La sanción tiene que ser a los responsables directos (sanciones, despidos)
Se debería incorporar en el reglamento interno de trabajo de cada institución este tipo de irregularidades y responsabilidades individuales para que puedan ser sujetos de sanciones administrativas, despidos, etc.
Para lograr entidades del estado más competitivas se debería lograr incorporar los principios y criterios que rigen en el sector privado para en este caso de inconductas funcionales.
Y esa practica viene desde hace mucho tiempo. Recuerdan la epoca de la creación de las AFPs. Con la finalidad de agenciarse los datos de las personas que ganaban mas de 5000 soles, en los corrillos de la asociación existía el comentario (a modo de leyenda urbana) que un personaje de una institución pública vendía la base de datos en cinta (probablemente proveniente de un backup) en la suma de 10 mil dólares. Es de suponer que la oportunidad de poseer esa info de tal importancia definitivamente fue aprovechada con creces.