La transformación digital acelerada por la pandemia de COVID-19 cambió la forma en la que los servicios, el comercio y el entretenimiento se ofrecen, y el sector de los juegos de azar no es la excepción. Casinos presenciales, operadores de máquinas tragamonedas, casas de apuestas deportivas y plataformas de eGaming incorporaron nuevas tecnologías para captar usuarios, personalizar experiencias y operar con eficiencia. Este crecimiento vertiginoso de tecnologías digitales, aumentó el flujo de datos en línea y, con ello, la exposición a nuevos riesgos tales como el robo de información personal, la recolección masiva sin control y el uso de algoritmos para influir en decisiones de los usuarios. Por lo tanto, esta realidad se ha convertido en una de las variables estratégicas más importantes para los operadores, pues no se trata solo de cumplir con una obligación legal, sino de fortalecer la confianza del usuario, asegurar la continuidad del negocio y prevenir contingencias que pueden comprometer su reputación o viabilidad.
Desde la entrada en vigencia de la Ley de Protección de Datos Personales, Ley N.º 29733, en julio de 2011, y su reglamento aprobado por Decreto Supremo N.º 003-2013-JUS, el Perú cuenta con un marco normativo que reconoce y protege el derecho fundamental a la protección de los datos personales. La autoridad encargada de supervisar su cumplimiento es la Autoridad Nacional de Protección de Datos Personales, facultada para fiscalizar, sancionar y emitir directivas vinculantes. Sin embargo, ante la necesidad estratégica de elevar los estándares de gobernanza de datos en una economía globalizada, el Perú modificó el Reglamento de la Ley de Protección de Datos Personales a través del Decreto Supremo N.º 016-2024-JUS[1], con vigencia desde el 31 de marzo de 2025 alineándose con los estándares internacionales y estableciendo nuevas exigencias que impactan directamente al sector del juego y que les obliga no solo a enfocarse en evitar multas, sino en adoptar la gobernanza de datos como ventaja competitiva.
El nuevo reglamento introduce obligaciones reforzadas en aspectos clave siendo los más relevantes para el sector los siguientes:
- Se incluyen datos de localización e identificación en línea dentro del concepto de datos personales. Esto impacta directamente a plataformas online, casas de apuestas deportivas y cualquier software que rastree comportamientos del usuario, los operadores deben revisar sus políticas de cookies, sistemas de rastreo y registros de actividad del usuario.
- Se incorporan los datos neuronales como sensibles, lo que aplica a tecnologías que monitorean comportamientos de usuarios para fines de personalización de experiencia, lo que conlleva a obligaciones reforzadas de seguridad y consentimiento y a contar con un Estudio de Impacto de la Privacidad.
- Se amplía el ámbito de aplicación territorial al alcanzar a empresas extranjeras sin presencia física en Perú si ofrecen servicios a peruanos o monitorean su comportamiento.
- Se introduce el principio de responsabilidad proactiva que exigen un cambio de cultura organizacional, dado que obliga a implementar y demostrar la existencia de medidas legales, organizativas y técnicas adecuadas para garantizar el cumplimiento. Los operadores no solo deben contar con políticas de seguridad documentadas, sino también estar en condiciones de presentar esos documentos y evidencias si la autoridad se lo solicita.
- Cualquier filtración o atentando a la seguridad debe ser reportada a la Autoridad y al titular afectado dentro de las 48 horas, incluso si la situación fue subsanada. Los operadores deben responder a incidentes con trazabilidad.
- El Oficial de Datos Personales es obligatorio para empresas con datos sensibles (imagen, datos biométricos, comportamiento, hábitos de consumo), gran volumen de usuarios o impacto en derechos.
- Se exige consentimiento previo, libre e informado del titular de los datos generando la obligación de detallar claramente la finalidad de la recopilación de datos, el uso que se les dará, las condiciones de su transferencia, entre otros.
- Promueve el principio de Privacy by Design (Privacidad desde el Diseño), es decir la norma motiva a tener un enfoque preventivo que implica diseñar la privacidad de datos desde el inicio. Todo sistema, ya sea una estructura organizacional, una plataforma digital o un sistema de juego, debe incorporar desde su concepción medidas legales y técnicas que garanticen la privacidad y la protección de los datos personales.
- La norma contempla también la obligación de las empresas de implementar mecanismos digitales que faciliten a los titulares de los datos el ejercicio de sus derechos ARCO (acceso, rectificación, cancelación y oposición).
Como se advierte la norma regula medidas de seguridad legales, organizativas y técnicas que deben ser implementadas por las empresas que van desde la adecuación de contratos y políticas internas para garantizar el cumplimiento de la ley, una estructura administrativa que contemple el tratamiento de los datos identificando responsables y políticas de delimitación de responsabilidades, hasta medidas de protección específica, como controles de acceso, gestión de contraseñas, logs, auditorías, entre otros. Es de resaltar que, desde un enfoque preventivo, es recomendable realizar una evaluación de impacto a la privacidad para analizar y evaluar los riesgos inherentes para la protección de los datos personales.
Finalmente, cabe señalar que, las consecuencias del incumplimiento son significativas, pudiendo implicar multas desde 0.5 hasta 100 UIT[2] por cada infracción.
En ese contexto, la adecuación hacia una gobernanza de datos, debe verse como inversión estratégica que genera la reducción del riesgo sancionador y el incremento de la confianza de usuarios y entes reguladores, lo que reditúa en un mayor valor empresarial al influir en la sostenibilidad y diferenciación empresarial.
[1] “El rápido desarrollo tecnológico permite que todas las personas puedan hacer uso de las tecnologías de la información, lo que incrementa el riesgo que los gobiernos, las empresas y personas puedan llevar a cabo actividades de vigilancia, interceptación y recopilación de datos” (Exposición de Motivos, D.S. 016-2024-JUS, p.2).
[2] En el 2025 el valor de La Unidad Impositiva Tributaria es S/ 5,350.00.
