Vínculo
Inicio
Cumplimiento normativo

Cumplimiento de la Ley N.° 29733

La información clínica de tus pacientes es dato sensible. Esta página explica, en lenguaje claro, cómo cumplimos con la Ley de Protección de Datos Personales del Perú y cómo te ayudamos a cumplirla a ti.

Última actualización: 30 de abril de 2026 Marco normativo: Ley N.° 29733 · D.S. N.° 003-2013-JUS

1. Marco normativo aplicable

La protección de datos personales en el Perú se rige principalmente por:

  • Ley N.° 29733 — Ley de Protección de Datos Personales (publicada el 03/07/2011).
  • D.S. N.° 003-2013-JUS — Reglamento de la Ley N.° 29733.
  • Directivas de la Autoridad Nacional de Protección de Datos Personales (en adelante, "ANPD"), órgano del Ministerio de Justicia y Derechos Humanos (MINJUSDH).
  • Ley N.° 26842 — Ley General de Salud, en lo aplicable a la confidencialidad de la información clínica.
  • Código de Ética y Deontología del Colegio de Psicólogos del Perú.

Vínculo se rige por estas normas y diseña sus procesos para cumplir con ellas desde el origen ("privacy by design").

2. Roles y responsabilidades

Es clave entender quién es quién frente a la ley:

Titular del banco de datos

Tú, el psicólogo

Eres el responsable de los datos clínicos de tus pacientes. Decides qué datos recoger, para qué y por cuánto tiempo. Tienes obligación de obtener su consentimiento informado y de declarar el banco de datos cuando corresponda.

Encargado del tratamiento

Vínculo S.A.C.

Procesamos los datos por cuenta tuya y siguiendo tus instrucciones. No los usamos para finalidades propias. No accedemos a las notas clínicas. Aplicamos medidas de seguridad y te apoyamos a cumplir con tus obligaciones.

Esta separación de roles está expresamente prevista en el artículo 2 de la Ley N.° 29733 y en los artículos 4 y 5 de su reglamento.

3. Principios que aplicamos

El Título II de la Ley N.° 29733 establece principios rectores. Así los aplicamos en Vínculo:

1

Legalidad

Tratamos datos solo cuando hay una base legal válida: tu consentimiento, la ejecución del contrato, una obligación legal o un interés legítimo proporcionado.

2

Consentimiento

Recogemos tu consentimiento informado al momento del registro. El paciente debe darle su consentimiento al psicólogo, y el psicólogo lo conserva.

3

Finalidad

Usamos los datos solo para los fines declarados al recogerlos. No los reutilizamos para fines incompatibles.

4

Proporcionalidad y calidad

Recogemos los datos mínimos necesarios. Procuramos que estén actualizados y permitimos que tú y tus pacientes los corrijan.

5

Seguridad

Aplicamos medidas técnicas y organizativas razonables y proporcionales al riesgo y a la naturaleza sensible de los datos clínicos.

6

Disposición de recurso

Cualquier titular puede ejercer sus derechos ARCO ante nosotros y, si no queda satisfecho, ante la ANPD.

7

Nivel de protección adecuado

Cuando trabajamos con proveedores en el extranjero, exigimos garantías equivalentes a las de la Ley N.° 29733.

4. Datos sensibles de salud: protección reforzada

El artículo 2.5 de la Ley N.° 29733 califica como dato sensible a la información relativa a la salud. Las notas clínicas, diagnósticos y motivos de consulta de un paciente caen en esta categoría y exigen una protección reforzada.

En Vínculo aplicamos medidas adicionales sobre estos datos:

  • Cifrado en reposo con AES-256 de los campos de notas clínicas y motivos de consulta.
  • Acceso restringido: ningún empleado de Vínculo accede al contenido de las notas clínicas en el curso ordinario de sus funciones. El acceso por motivos de soporte requiere autorización expresa del psicólogo y queda registrado.
  • Sin reutilización: no entrenamos modelos, no agregamos estos datos a analíticas, no los usamos para nada que no sea mostrártelos a ti.
  • Eliminación efectiva: al eliminar una nota, se purga de respaldos y de logs según los plazos publicados.

5. Banco de datos personales y registro ante la ANPD

La Ley N.° 29733 exige que los bancos de datos personales se inscriban en el Registro Nacional de Protección de Datos Personales (RNPDP) que administra la ANPD.

5.1 Inscripción de Vínculo

Vínculo S.A.C. mantiene inscritos sus bancos de datos propios (cuentas de profesionales, lista de marketing, soporte) en el RNPDP, con el detalle de finalidades, flujos y medidas de seguridad.

5.2 Inscripción del psicólogo

Como titular del banco de datos clínicos de tus pacientes, te corresponde a ti inscribirlo cuando concurran los supuestos del artículo 29 de la ley. Vínculo te facilita un resumen de configuración técnica que puedes anexar a tu trámite ante la ANPD: medidas de seguridad aplicadas, ubicación física de los datos, flujos hacia encargados.

Si necesitas este resumen, escríbenos a privacidad@vinculo.pe.

6. Encargo de tratamiento (DPA)

Conforme al artículo 29 del reglamento, cuando un titular (tú) encarga el tratamiento de datos a un tercero (Vínculo), debe existir un acuerdo escrito que regule esa relación.

Este acuerdo está integrado en nuestros Términos y Condiciones y, en lo pertinente, en esta página. Sus puntos esenciales:

  • Vínculo trata los datos solo bajo tus instrucciones documentadas (lo que configuras en la Plataforma).
  • Vínculo no usa los datos clínicos para finalidades propias.
  • Vínculo aplica las medidas de seguridad descritas en la sección 7.
  • Vínculo te asiste para responder a solicitudes de derechos ARCO.
  • Al terminar el contrato, Vínculo te permite exportar los datos y luego los elimina (salvo lo que la ley exija conservar).

Si tu institución requiere un DPA en documento separado y firmado, podemos proveerlo a solicitud.

7. Medidas de seguridad implementadas

Estas medidas son proporcionales al nivel "crítico" exigido por la Directiva de Seguridad de la ANPD para datos de salud:

7.1 Técnicas

  • Cifrado en tránsito: TLS 1.2 o superior con suites criptográficas modernas.
  • Cifrado en reposo: AES-256 para la base de datos y respaldos.
  • Aislamiento por inquilino: separación lógica estricta entre cuentas.
  • Autenticación robusta y opción de doble factor (2FA).
  • Política de contraseñas con longitud mínima y bloqueo por intentos fallidos.
  • Monitoreo de seguridad y alertas en tiempo real.
  • Respaldos cifrados con periodicidad diaria y prueba de restauración trimestral.

7.2 Organizativas

  • Política interna de privacidad y manual de seguridad de la información.
  • Capacitación obligatoria para todo el personal con acceso a datos personales.
  • Acuerdos de confidencialidad con empleados y proveedores.
  • Gestión de altas y bajas de accesos vinculada al ingreso y salida del personal.
  • Registro de auditoría de accesos a datos sensibles.
  • Procedimiento documentado de respuesta a incidentes.

7.3 Físicas

  • Servidores alojados en datacenters certificados (ISO 27001, SOC 2 Tipo II) con control de acceso físico, redundancia eléctrica y protección contra incendios.

8. Derechos ARCO de los pacientes

Los pacientes tienen los mismos derechos ARCO+ que cualquier titular: acceso, rectificación, cancelación, oposición, información y revocación. La obligación de atenderlos recae en ti como titular del banco de datos.

Cómo Vínculo te ayuda

  • Exportación de la ficha del paciente en PDF o CSV, lista para entregar (derecho de acceso).
  • Edición y eliminación granular de campos del paciente desde la Plataforma (rectificación y cancelación).
  • Pausa de comunicaciones automáticas a un paciente con un solo clic (oposición).
  • Registro de la solicitud en el historial del paciente para tu trazabilidad.

Recuerda que los plazos legales son de 20 días para acceso y 10 días para rectificación, cancelación u oposición, contados desde el día siguiente a la recepción de la solicitud.

9. Brechas de seguridad: detección y notificación

En caso de un incidente que pueda afectar la confidencialidad, integridad o disponibilidad de los datos personales:

  1. Detectamos y contenemos: activamos nuestro plan de respuesta a incidentes.
  2. Investigamos: determinamos alcance, datos afectados y causa raíz.
  3. Te notificamos: sin demoras indebidas, con la información que la normativa exige (qué pasó, qué datos, qué medidas, recomendaciones).
  4. Reportamos a la ANPD cuando los criterios de la directiva vigente lo exijan.
  5. Documentamos: conservamos un registro interno del incidente conforme a la normativa.

10. Transferencias internacionales

Algunos proveedores de infraestructura procesan datos fuera del Perú. Cuando esto ocurre:

  • Verificamos que el país tenga un nivel adecuado de protección o, en su defecto, suscribimos cláusulas contractuales que extiendan las garantías de la Ley N.° 29733.
  • Aplicamos cifrado en tránsito y reposo, de modo que el proveedor de infraestructura no pueda leer los datos en claro.
  • Mantenemos un registro de transferencias que podemos compartirte a solicitud.

11. Cómo te ayudamos a cumplir tú también

Cumplir la ley no es solo nuestra responsabilidad: como titular del banco de datos clínicos, tú tienes deberes propios. Vínculo está diseñado para hacerte el cumplimiento más fácil:
  • Plantilla de consentimiento informado editable, alineada al artículo 13 de la ley, que puedes adaptar a tu práctica.
  • Aviso de privacidad para pacientes que puedes incluir en tu enlace de reserva.
  • Resumen técnico para inscripción del banco de datos ante la ANPD.
  • Bitácora de accesos a la información del paciente, con exportación.
  • Recordatorios de revisión anual de tus prácticas de tratamiento.

12. Autoridad de control y contacto

Encargado de protección de datos de Vínculo:

Autoridad Nacional de Protección de Datos Personales (ANPD):

  • Adscrita al Ministerio de Justicia y Derechos Humanos (MINJUSDH).
  • Sitio web: www.gob.pe/anpd
  • Mesa de partes virtual disponible en el portal del MINJUSDH.

Tienes derecho a presentar reclamos directamente ante la ANPD si consideras que tus derechos como titular no han sido atendidos adecuadamente.