El ecosistema jurídico peruano ha experimentado una transformación significativa en materia de cumplimiento tecnológico tras la reciente entrada en vigor del Reglamento de la Ley de Confianza Digital, aprobado mediante el Decreto Supremo N° 126-2025-PCM. Esta norma, establece un marco de observancia obligatoria para los proveedores de servicios en sectores críticos tales como el financiero, salud, educación, transporte e hidrocarburos. No obstante, este despliegue reglamentario no opera de forma aislada, sino que converge con el Reglamento de la Ley de Protección de Datos Personales, contenido en el Decreto Supremo N° 016-2024-JUS. Esta coexistencia normativa obliga a las organizaciones a distinguir entre dos conceptos fundamentales: el incidente de seguridad digital y el incidente de seguridad de datos personales.
Bajo la óptica del Decreto Supremo N° 126-2025-PCM, un incidente de seguridad digital se define formalmente como aquel evento capaz de comprometer la confianza digital, la prosperidad económica o la protección de las personas mediante el uso de tecnologías. Por otro lado, la normativa tutelada por el Ministerio de Justicia define el incidente de seguridad de datos personales como cualquier suceso que afecte la confidencialidad, integridad o disponibilidad de la información personal. La distinción es sustancial, pues mientras un fallo sistémico en una entidad bancaria podría activar ambos regímenes, un envío erróneo de correos electrónicos con datos sensibles solo activaría el marco de protección de datos, siempre que la entidad no sea considerada un proveedor de servicios digitales críticos por la Presidencia del Consejo de Ministros.
En cuanto a la operatividad procesal, los sujetos obligados deben informar los eventos críticos al Centro Nacional de Seguridad Digital en el caso de la Ley de Confianza Digital, y a la Autoridad Nacional de Protección de Datos Personales cuando se vea comprometida la información de personas naturales. Es imperativo señalar que el responsable de estas gestiones varía según el fuero: el Oficial de Seguridad y Confianza Digital asume el rol para el primero, siendo facultativo para el sector privado, mientras que el Oficial de Datos Personales mantiene un carácter obligatorio tanto para entidades públicas como privadas bajo el régimen de protección de datos.
A pesar de la rigurosidad técnica de los plazos y definiciones, el panorama actual presenta matices de incertidumbre jurídica que los oficiales de cumplimiento deben monitorear. Actualmente, no existe una clasificación nacional que delimite con exactitud jurídica la criticidad de un incidente, y la plataforma centralizada para las notificaciones aún no se encuentra operativa. En términos de responsabilidad administrativa, es relevante precisar que la Presidencia del Consejo de Ministros carece de facultades sancionadoras directas en este ámbito; sin embargo, la omisión de notificar a la Autoridad Nacional de Protección de Datos Personales puede derivar en contingencias legales severas, con multas que ascienden hasta las 50 Unidades Impositivas Tributarias. Ante este escenario, la doctrina preventiva sugiere la implementación de medidas organizacionales y técnicas proactivas como el único mecanismo eficaz para mitigar riesgos legales y reputacionales.
