Piloto
·10 min lectura

Ley 29733 para profesionales de salud independientes: guía práctica 2026

Qué dice la Ley 29733 de Protección de Datos Personales en Perú, cómo afecta a psicólogos y nutricionistas independientes, y qué debes hacer para cumplirla.

GL
Guillermo Lobos
Fundador de Piloto

Si atiendes pacientes por tu cuenta en Perú —como psicólogo, nutricionista, coach o médico independiente— la Ley 29733 te aplica desde el primer paciente que agendas. Esta guía explica qué dice la ley, qué debes hacer para cumplirla y qué riesgos asumes si no lo haces. Un mapa accionable, no un tratado jurídico.

¿Qué es la Ley 29733?

La Ley N.º 29733, Ley de Protección de Datos Personales, fue publicada en julio de 2011 y reglamentada por el Decreto Supremo N.º 003-2013-JUS. Su propósito es garantizar el derecho fundamental a la protección de datos personales —reconocido en el artículo 2, inciso 6 de la Constitución Política del Perú— estableciendo reglas claras sobre cómo se recolectan, almacenan, usan, transfieren y eliminan los datos de las personas.

La autoridad de aplicación es la Autoridad Nacional de Protección de Datos Personales (ANPDP), órgano del Ministerio de Justicia y Derechos Humanos (MINJUS). La ANPDP emite directivas, atiende reclamos, fiscaliza a los responsables de bancos de datos e impone sanciones. Desde su vigencia, la ley ha sufrido modificaciones relevantes —la más importante en 2022— que ajustaron obligaciones de registro y actualizaron derechos del titular.

¿A quién aplica?

La ley aplica a toda persona natural o jurídica que realice tratamiento de datos personales en territorio peruano. Desde grandes clínicas hasta un psicólogo que atiende en consultorio compartido dos tardes por semana. No hay umbral mínimo: si guardas el nombre y teléfono de un solo paciente, ya estás tratando datos personales bajo la ley.

Tampoco importa el formato: archivos en papel, planillas de Excel, mensajes de WhatsApp, fichas en la nube o notas en Google Drive. Cualquier conjunto estructurado de datos personales es un "banco de datos" para efectos legales. Y si eres extranjero atendiendo pacientes peruanos por telemedicina, la ley igual te aplica: el criterio es la ubicación del titular de los datos o de los medios usados para tratarlos.

Categorías de datos personales según la ley

La Ley 29733 y su reglamento distinguen tres grandes categorías de datos, con niveles de protección distintos:

  • Datos personales ordinarios: cualquier información que identifique o haga identificable a una persona (nombre, DNI, dirección, teléfono, correo).
  • Datos sensibles: los que revelan intimidad del titular o cuyo uso indebido puede generar discriminación. Incluyen origen racial, opiniones políticas, convicciones religiosas, vida sexual, ingresos económicos y —crítico para ti— datos biométricos y datos de salud.
  • Datos especiales (biométricos / datos de menores): requieren protecciones adicionales y, en muchos casos, consentimiento expreso y por escrito.
CategoríaEjemplos en consulta de saludNivel de protección
OrdinariosNombre, DNI, teléfono, correo, dirección, RUC del pacienteProtección estándar — consentimiento informado
Sensibles (salud)Diagnóstico, historia clínica, resultados de laboratorio, prescripciones, notas de sesión, evaluación psicológicaConsentimiento expreso y por escrito + medidas reforzadas de seguridad
BiométricosHuella digital, reconocimiento facial si usas apps de videoconsulta con ese control, voz grabada para dictadoConsentimiento expreso + finalidad estrictamente justificada

Datos sensibles y de salud: por qué requieren protección especial

El artículo 2, inciso 5 define los datos sensibles e incluye expresamente los datos relativos a la salud. Esto abarca diagnósticos, resultados de exámenes, notas de evaluación, derivaciones, tratamientos en curso, antecedentes familiares clínicos e incluso el simple hecho de que una persona es paciente tuya.

Para tratar datos sensibles, el artículo 13.5 establece una regla más estricta: el consentimiento debe ser expreso, por escrito (o por medio equivalente que deje constancia), informado, previo, libre e inequívoco. No sirve un consentimiento tácito ni uno vago tipo "autorizo el uso de mis datos" sin especificar para qué.

En la práctica: antes de la primera sesión necesitas un documento firmado (físico, con firma electrónica o con mecanismo que deje trazabilidad) donde el paciente entienda qué datos vas a recolectar, con qué finalidad, por cuánto tiempo, con quién podrías compartirlos y cómo puede retirar su consentimiento.

Principios fundamentales que debes cumplir

La ley articula el cumplimiento en ocho principios rectores. Cada uno guía cómo debes operar:

  • Principio de legalidad: el tratamiento debe estar permitido por la ley. No puedes recolectar datos por medios fraudulentos ni usarlos para fines ilícitos.
  • Principio de consentimiento: necesitas autorización del titular, salvo las pocas excepciones legales (emergencia médica, orden judicial, ejecución de contrato).
  • Principio de finalidad: los datos se recolectan para un fin específico, explícito y lícito; no puedes reutilizarlos para fines incompatibles sin nuevo consentimiento.
  • Principio de proporcionalidad: solo recolectas los datos necesarios para la finalidad declarada. Pedir el estado civil a un nutricionista por costumbre, sin justificar, es desproporcionado.
  • Principio de calidad: los datos deben ser exactos, completos y actualizados. Si el paciente cambia de teléfono, corregirlo es obligación tuya cuando te lo notifique.
  • Principio de seguridad: debes adoptar medidas técnicas, organizativas y legales razonables para proteger los datos de pérdida, acceso no autorizado, alteración o divulgación indebida.
  • Principio de disposición del recurso: el titular siempre puede ejercer sus derechos y reclamar ante la ANPDP; no puedes bloquearlo.
  • Principio de nivel de protección adecuado: si transfieres datos al extranjero, el destino debe garantizar un nivel de protección equivalente al peruano.

Derechos ARCO del paciente (+ portabilidad y oposición)

Tus pacientes tienen derechos concretos sobre sus datos que tú debes atender. Se conocen como derechos ARCO, más algunos que la reforma de 2022 incorporó o reforzó:

  • Acceso: el paciente puede pedirte una copia de todos los datos que tienes sobre él y saber para qué los usas. Plazo para responder: 20 días hábiles desde la solicitud.
  • Rectificación: si un dato es inexacto, incompleto o desactualizado, puede pedir que lo corrijas. Mismo plazo: 20 días hábiles.
  • Cancelación (supresión): puede pedir que elimines sus datos cuando ya no sean necesarios para la finalidad original o cuando retire el consentimiento. Ojo: hay excepciones para historias clínicas por plazos de conservación sanitaria.
  • Oposición: puede oponerse al tratamiento por motivos legítimos, incluso si antes dio consentimiento, salvo que haya una base legal que obligue a continuar.
  • Información: antes de recolectar, debes informar al titular quién eres, qué recolectas, para qué, por cuánto tiempo y con quién compartirás los datos.
  • Portabilidad: el paciente puede pedir que sus datos le sean entregados en un formato estructurado y de uso común (por ejemplo, PDF o CSV), o transferidos a otro profesional.

Si no respondes en 20 días hábiles, el paciente puede acudir directamente a la ANPDP y abrir un procedimiento administrativo sancionador contra ti. Este es uno de los motivos de sanción más frecuentes en la práctica.

Obligaciones prácticas para tu consulta

Más allá de los principios, hay acciones concretas que debes implementar. En orden de prioridad:

  1. Documentar el consentimiento informado antes de la primera sesión: finalidad, plazo de conservación, terceros involucrados y mecanismo para retirar el consentimiento.
  2. Implementar medidas técnicas razonables: cifrado de archivos sensibles, contraseñas fuertes, doble factor, copias de seguridad, control físico de papeles.
  3. Mantener una política de privacidad visible y entendible, idealmente pública en tu sitio web o link de agenda, que describa qué datos tratas y cómo.
  4. Responder solicitudes ARCO dentro de los 20 días hábiles, dejando registro escrito de la respuesta.
  5. Evaluar si debes inscribir tu banco de datos ante la ANPDP (ver sección siguiente).
  6. Notificar brechas de seguridad: si sufres un incidente que compromete datos personales, tienes la obligación de informar a la ANPDP y, según el caso, a los afectados, dentro de los plazos establecidos por la directiva vigente.
  7. Capacitar a cualquier persona que te apoye (secretaria, asistente, contador): todos deben entender que los datos del paciente son confidenciales y no pueden divulgarse.
  8. Firmar acuerdos de confidencialidad con proveedores que accedan a datos (por ejemplo, contador, soporte informático, plataforma de gestión).

Cuándo debes inscribir tu banco de datos

Hasta 2022, la ley obligaba a inscribir todos los bancos de datos personales en el Registro Nacional de Protección de Datos Personales. Modificaciones posteriores relajaron esa obligación general: hoy no todos los titulares de bancos deben registrarlos automáticamente. Sin embargo, cuando hay datos sensibles en volumen, transferencias internacionales o tratamientos complejos, la inscripción puede seguir siendo exigible o recomendable. Para un profesional con consulta propia y sin integraciones externas, el riesgo formal bajó, pero las obligaciones sustantivas (consentimiento, seguridad, derechos) siguen intactas.

Sanciones por incumplimiento

La ANPDP puede imponer sanciones económicas graduadas según la gravedad. Los rangos se expresan en UIT (Unidad Impositiva Tributaria); verifica el valor de la UIT vigente al ejercicio correspondiente antes de calcular un monto.

Tipo de infracciónEjemplosRango de sanción
LevesNo informar al titular sobre la finalidad, no atender a tiempo una solicitud ARCO simple, no mantener actualizada la política de privacidad0.5 a 5 UIT
GravesTratar datos sin consentimiento, no adoptar medidas de seguridad razonables, no atender derechos ARCO luego del plazo, no notificar incidentes5 a 50 UIT
Muy gravesTratar datos sensibles sin consentimiento expreso, transferir datos al extranjero sin garantías, vender o divulgar datos, obstruir fiscalización50 a 100 UIT

Más allá del monto, una sanción firme queda registrada y puede comprometer tu reputación profesional, especialmente si tu colegio profesional contempla sanciones éticas adicionales por mal manejo de información clínica.

Checklist práctico para profesionales independientes

Si quieres salir de esta guía con un plan de acción, este es el checklist mínimo:

  1. Redactar o descargar un modelo de consentimiento informado adaptado a tu especialidad y hacerlo firmar a cada paciente antes de la primera sesión.
  2. Publicar una política de privacidad en tu sitio web o link de agenda con los datos que tratas y cómo ejercer derechos ARCO.
  3. Cifrar archivos sensibles: activar FileVault en Mac o BitLocker en Windows; usar carpetas con contraseña.
  4. Activar doble factor en tu correo, plataforma de gestión y cualquier herramienta con datos de pacientes.
  5. Usar correos con TLS (Gmail y Outlook lo tienen por defecto) y evitar canales inseguros para datos sensibles.
  6. Si usas WhatsApp, limitarlo a confirmaciones y recordatorios; no enviar diagnósticos, resultados ni notas clínicas.
  7. Hacer copias de seguridad cifradas al menos una vez al mes y validar que se restauran correctamente.
  8. Firmar acuerdo de confidencialidad con tu secretaria, contador o soporte técnico si tienen acceso a datos.
  9. Definir un plazo de conservación: cuánto tiempo guardas fichas tras el alta y cuándo las eliminas de forma segura.
  10. Mantener un registro simple de solicitudes ARCO recibidas y cómo fueron respondidas.
  11. Preparar un protocolo corto de qué hacer si pierdes el equipo (laptop robada, teléfono extraviado): cambio de contraseñas, bloqueo remoto, notificación.
  12. Revisar anualmente que esta lista sigue al día y que los cambios en la ley no te tomen por sorpresa.

Cómo Piloto te ayuda a cumplir con la Ley 29733

Piloto está diseñado bajo los principios de la Ley 29733. Los datos se cifran en reposo (AES-256-GCM) y en tránsito (TLS 1.3), el aislamiento entre profesionales es a nivel de fila, y cada ficha queda protegida tras autenticación con doble factor. Registramos los accesos a información sensible para trazabilidad. Revisa nuestras medidas en /seguridad y descarga un modelo de consentimiento editable en /recursos/plantillas/consentimiento-informado-psicologia para operar en regla en menos de una hora.

Preguntas frecuentes

¿Necesito registrar mi base de datos de pacientes ante la ANPDP?

Depende del volumen y del tipo de tratamiento. Desde 2022 la obligación general de registrar todos los bancos se relajó, pero si manejas volumen significativo, compartes datos con terceros o transfieres al extranjero, puede seguir correspondiendo. Para un profesional con consulta propia sin integraciones complejas, las obligaciones sustantivas suelen pesar más que la inscripción formal. Ante dudas, consulta con un abogado.

¿Sirve un consentimiento firmado por el paciente en WhatsApp?

Puede servir como evidencia, pero no es lo ideal para datos sensibles. La ley exige consentimiento expreso, previo, informado e inequívoco, preferentemente por escrito para datos de salud. Un mensaje de WhatsApp aceptando de forma vaga no cumple el estándar. Mejor: un PDF firmado con firma electrónica simple o firma manual escaneada donde el paciente acepte puntos concretos.

¿Qué pasa si un paciente pide que elimine sus datos?

Debes atender en 20 días hábiles. La eliminación total no siempre procede: la normativa sanitaria exige conservar historias clínicas por plazos mínimos según la especialidad. En esos casos, responde explicando que parte de los datos deben conservarse por obligación legal, pero que dejarás de usarlos para otros fines y los bloquearás. Documenta la respuesta.

¿Puedo compartir datos de un paciente con otro profesional por interconsulta?

Sí, pero con condiciones. Informa al paciente y obtén su consentimiento expreso para la interconsulta específica, indicando con quién se comparte y para qué. Si el otro profesional queda tratando los mismos datos, firma un acuerdo de confidencialidad. Compartir por un grupo de WhatsApp abierto o enviar la ficha por email sin cifrado es un riesgo que la ANPDP puede calificar como falta de medidas de seguridad razonables.

¿La Ley 29733 aplica a profesionales extranjeros atendiendo en Perú?

Sí, cuando el titular de los datos está en Perú o cuando el tratamiento se realiza con medios ubicados en Perú. Un psicólogo argentino que atiende pacientes peruanos por telemedicina y guarda sus fichas debe cumplir con la Ley 29733 respecto de esos pacientes. Esto incluye consentimiento, seguridad, atención de derechos ARCO y eventuales notificaciones de incidentes.

¿Cuánto tiempo debo guardar la ficha de un paciente después del alta?

La Ley 29733 no fija un plazo único: remite a la finalidad y a otras leyes aplicables. En salud, la normativa sanitaria establece plazos mínimos de conservación (habitualmente varios años según la especialidad). Consulta la normativa de tu profesión y colegio. Como regla práctica, define un plazo por escrito en tu política de privacidad y cúmplelo: "Conservamos las fichas por X años tras el alta, luego se eliminan de forma segura".

¿Qué hago si hay una brecha de seguridad (hackeo, pérdida de laptop)?

Primero, contener: cambia contraseñas, bloquea remotamente el dispositivo, revoca accesos. Segundo, documentar qué datos pudieron comprometerse. Tercero, evaluar notificación: la normativa peruana contempla informar a la ANPDP y, según el riesgo, a los titulares afectados. Cuarto, revisar causa y reforzar controles. Si no estás seguro del alcance, busca asesoría especializada antes de responder a la autoridad.

Sigue leyendo