Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
RESUMEN
En base al análisis comparativo de ambas normas se puede concluir:
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
__________________________________________________________
ANALISIS
COMPARATIVO ENTRE CARTERA DE IDENTIDAD DIGITAL EUROPEA Y BILLETERA DIGITAL DE
PAGO DE HABERES Y OBLIGACIONES LABORALES EN EL PERU.
INTRODUCCION
El presente artículo pretende comparar el Reglamento Europeo para el establecimiento del marco europeo de identidad digital que habilita la Cartera de Identidad Digital Europea y la Ley peruana Nº 32413 y su Reglamento que habilitan la billetera digital para percibir el pago de haberes y otras obligaciones laborales.
1. Generalidades.
El Reglamento Europeo (UE) 2024/1183,
en adelante el REGLAMENTO, establece del marco europeo de identidad digital
(eIDAS 2.0), que habilita la Cartera de Identidad Digital Europea (EUDI Wallet) y tiene por finalidad
regular la identidad digital de forma segura para los servicios públicos y
privados.
La Ley Nº 32413 y su Reglamento (DS
011-2026-EF), en adelante la LEY, habilita la billetera digital para percibir
el pago de haberes y otras obligaciones laborales.
- Ámbito y Propósito.
2.1. Cartera de Identidad Digital europea o EUDI Wallet
La EUDI
Wallet permite almacenar y compartir credenciales digitales, bajo el
control del usuario, para habilitar servicios y transacciones transfronterizas dentro
de toda la Union Europea, UE, en forma segura.
Credenciales digitales como:
- Documentos de
identidad oficiales digitalizados: DNI, pasaporte.
- Permiso/licencia
de conducir.
- Certificados y
títulos académicos (diplomas, posgrados).
- Certificados
profesionales (colegios profesionales, habilitaciones).
- Carnet o
tarjetas sanitarias o información necesaria para prescripciones médicas
electrónicas.
- Credenciales
para acceso a servicios públicos (tributarios, seguridad social,
educación).
- Datos bancarios
o de domicilio necesarios para abrir cuentas o contratar servicios
financieros.
- Tarjetas de
fidelización y otras credenciales de servicios privados (P. ejemplo,
acceso a plataformas online).
Los tipos de transacciones
transfronterizas pueden ser:
- Abrir
cuentas bancarias en otro país de la UE (onboarding remoto, KYC y AML[1]
con tus credenciales verificadas en la Wallet).
- Firmar
contratos y documentos (alquiler, trabajo, préstamos) con firma
electrónica avanzada reconocida en todos los Estados miembros.
- Acceder
a servicios públicos extranjeros: presentar declaraciones de impuestos,
trámites de seguridad social, eGobierno,
etc.
- Matricular
o acreditar títulos en universidades de otros países compartiendo diplomas
y certificados académicos digitales.
- Usar
servicios de salud transfronterizos: prescripciones electrónicas y seguros de salud en otro
Estado miembro (e‑prescripciones,
tarjetas sanitarias digitales).
- Realizar
operaciones financieras digitales: confirmar pagos, autorizar pagos y mandatos
en el área única de pagos en euros (SEPA), operaciones de préstamos
o financiamiento transfronterizo, o autenticación reforzada del cliente
(SCA) en pagos de alto riesgo.
En suma, la EUDI Wallet actúa como un “pasaporte digital” que permite a la
persona identificarse, autenticarse, firmar y autorizar operaciones financieras
y administrativas en cualquier país de la UE con un único conjunto de
credenciales verificadas.
2.2. Billetera Digital para percibir pagos de haberes y otras obligaciones laborales
La Ley Nº 32413 tiene
por objeto promover la billetera digital como medio de pago válido para haberes
laborales, aplicándose por acuerdo voluntario entre trabajadores y empleadores
de sectores público y privado.
Se aplica
exclusivamente cuando hay acuerdo común entre trabajadores y
empleadores para usar billeteras digitales vinculadas a cuentas de ahorro o
dinero electrónico, supervisadas por la Superintendencia de Banca, Seguros y
Administradoras Privadas de Fondos de Pensiones, SBS, manteniendo la protección
de inembargabilidad de remuneraciones (Art. 4).
Cubre los pagos de
haberes y obligaciones laborales en nuevos soles, con instrumentos como cuentas
básicas o dinero electrónico de las Empresas Emisoras de Dinero
Electrónico EEDE, priorizando conveniencia del trabajador y estándares de
seguridad.
Conforme a Ley, las
billeteras digitales constituyen una alternativa válida a cuentas bancarias
convencionales para abonar sueldos por empleadores públicos/privados. (Art.
1). Su finalidad, según su Reglamento (Art. 2), es ampliar el uso de herramientas
financieras inclusivas para los trabajadores, garantizando la seguridad, transparencia
y derechos vía interoperabilidad con el Banco Central de Reserva del Perú, BCRP
y conforme a los alcances fijados por la SBS (Art. 6).
- Comparación entre la Cartera Digital UE (EUDI Wallet) y la Billetera Digital regulada por la Ley 32413 Perú y su Reglamento DS 011-2026-EF
3.1.
Diferencias.
La principal comparación
respecto de sus finalidades viene
del lado de las diferencias más que por sus semejanzas, entre la Cartera
Digital UE (EUDI Wallet, Reglamento
UE 2024/1183) y la Billetera Digital regulada
por la Ley 32413 Perú y su Reglamento DS 011-2026-EF.
Mientras la primera
constituye un sistema de identidad soberana de la Unión Europea que tiene por finalidad almacenar y compartir credenciales
digitales bajo el control del usuario, para habilitar servicios públicos/privados
y transacciones transfronterizas, la segunda, promueve y habilita la
billetera peruana digital como medio de pago válido para percibir el pago de
haberes y otras obligaciones laborales, aplicándose por acuerdo voluntario entre
trabajadores y empleadores de sectores público y privado en el Perú (Ley Nº
32413 y DS 011-2026-EF).
Otras diferencias adicionales se refieren a los usuarios-objetivo, los requisitos técnicos necesarios, la protección de datos, el estado actual de sus implementaciones y su obligatoriedad. Ver Cuadro Comparativo:
CUADRO COMPARATIVO ENTRE CARTERA DIGITAL UE (REGLAMENTO EUROPEO (UE) 2024/1183 (EUDI WALLET) Y BILLETERA DIGITAL PERUANA (LEY 32413 PERÚ Y REGLAMENTO DS 011-2026-EF) |
|
Norma |
Cartera Digital UE
(EUDI Wallet) |
Ley 32413 Perú y
Reglamento DS 011-2026-EF |
|
Finalidad
principal |
Identidad digital, autenticación
para servicios públicos/privados, firmas electrónicas. |
Pagos de haberes laborales vía
billeteras móviles vinculadas a cuentas reguladas. |
|
Usuarios
objetivo |
Ciudadanos, residentes (Opción Opt-in, consentimiento activo y
voluntario para activar un servicio o compartir datos. Y obligatorio para
proveedores (Empresas de la UE). |
Trabajadores públicos/privados por
acuerdo voluntario. |
|
Requisitos
técnicos |
Estándares comunes,
interoperabilidad UE, código abierto opcional, certificación. |
Interoperabilidad BCRP, supervisión
SBS, límites operativos para dinero electrónico. |
|
Protección
datos |
Control por el usuario sobre sus atributos
personales regulados por el Reglamento General de Protección de Datos,
RGPD, Reglamento UE
2016/679) como normativa principal, complementada por el Reglamento
eIDAS 2.0 (UE 2024/1183) |
Cumplimiento Ley 29733,
ciberseguridad, no injerencia empleador. |
|
Estado
actual |
Reglamento adoptado (eIDAS 2.0),
pilotos en marcha (2026). |
Ley promulgada 2025, reglamento
publicado feb. 2026. |
|
Obligatoriedad |
Estados miembros deben ofrecerla; ciudadanos,
residentes (Opción Opt-in,
consentimiento activo y voluntario para activar un servicio o compartir datos.
Proveedores de ID deben aceptarla. |
Voluntaria, con sanciones por
injerencia. |
Del lado de las semejanzas, sí bien la regulación de la UE como la de Perú enfatizan la seguridad y protección de datos, la UE destaca y prioriza un rasgo más general: la identidad y autenticación digital, mientras, la LEY peruana se enfoca en la interoperabilidad de los pagos supervisados por la SBS.
Aun así, Perú vía la LEY y su entorno legislativo, contribuye en parte, a promover uno de los aspectos de la identidad digital en el Perú a través de la habilitación de una futura como probable cartera o billetera digital peruana, aunque, por ahora solo vinculada a un sector productivo a fin de disminuir la brecha financiera y promover la inclusión digital vinculadas a cuentas de ahorro o de dinero electrónico para pagos voluntarios de sueldos y obligaciones laborales por acuerdos entre el trabajador y el empleador.
3.2.
Consecuencias
Prácticas
La UE busca ampliar
servicios y un mercado único digital vía carteras de identidad digitales
universales, integrando potencialmente pagos pero no enfocados únicamente a la
rúbrica de salarios.
Del lado de Perú se facilita
el acceso financiero sin registro a cuentas bancarias tradicionales,
registrando billeteras digitales autorizadas[2] y actualizando los
registros en las planillas laborales[3].
En el cumplimiento de la protección de datos, la Ley Nº 32413 y su Reglamento (DS 011-2026-EF) se alinean explícitamente con la Ley 29733 (Ley de Protección de Datos Personales) al exigir que las empresas reguladas por la SBS cumplan con su tratamiento adecuado de datos en operaciones con billeteras digitales e implícitamente con el RGPD en principios de transparencia y seguridad.
3.3.
Segmentación
La Cartera Digital UE
(EUDI Wallet, Reglamento UE
2024/1183) pretende construir un sistema
de identidad soberana de la Unión Europea mientras la normativa peruana sobre
billeteras digitales, Ley Nº 32413 y su Reglamento (DS 011-2026-EF), es una
entidad segmentada al limitarse a pagos de haberes laborales para equilibrar
inclusión financiera con riesgos regulatorios.
La opción de segmentación
de la LEY responde – presuntamente - a una necesidad social explícita: promover
pagos digitales en un contexto de economía informal, de brechas en inclusión
financiera, sin pretender extenderse – al menos por ahora – al desarrollo de un
sistema identidad digital general como en la UE, priorizando su aplicación a sectores vulnerables como
trabajadores informales.
Evita así una más amplia
regulación que podría sobrecargar el ecosistema fintech emergente[4], delegando límites
operativos y supervisión a la SBS para mitigar lavado de activos,
financiamiento del terrorismo y cíberriesgos, proponiendo un enfoque voluntario
y por acuerdo trabajador-empleador que refleja una pretendida y equilibrada proporcionalidad
regulatoria, adaptada a la difícil geografía nacional, una mayor conectividad y
una baja bancarización en Perú.
|
CUADRO COMPARATIVO ENTRE BILLETERA DIGITAL Y
PERUANA CARTERA DIGITAL UE |
||
|
Motivo |
Perú (Ley y
Reglamento N° 32413) |
UE (EUDI Wallet) |
|
Alcance |
Pagos laborales específicos. |
Identidad universal y amplios
servicios. |
|
Riesgo
control |
Control, Supervisión MEF, SBS,
interoperabilidad BCRP. |
Estándares RGPD, certificación
europea. |
|
Inclusión |
Financiera vía dinero electrónico. |
Digital transfronteriza. |
|
Flexibilidad |
Voluntaria, límites ajustables. |
Obligatoria para emisores públicos. |
Esta segmentación ha facilitado una implementación rápida (Según la Disposición Complementaria Final Única, la aprobación del Reglamento debiera realizarse 90 días después de promulgada la Ley. En realidad, esta fue aprobada en aproximadamente 210 días) y actualizaciones en planillas laborales, y alineándose con el sistema legislativo relacionado con la protección de datos personales, alrededor de la Ley 29733 y las normas concordantes.
3.4.
Principios
Compartidos
El REGLAMENTO tanto
como la LEY, ambas normativas comparten semejanzas atinentes a principios, priorizando
el consentimiento informado, la finalidad lícita y seguridad en el tratamiento
de datos personales de trabajadores particularmente, en el caso de datos
sensibles[5] (Pre-nombres, apellidos, cuentas
y haberes), vinculando billeteras a cuentas supervisadas para evitar
tratamientos ilícitos.
El Reglamento de la
LEY 29733 refuerza también obligaciones de ciberseguridad, continuidad de
servicio y protección.
La libre elección del
trabajador supone igualmente respeto al principio de transparencia en el tratamiento
de datos, alineada con los derechos ARCO (Entre ellos: Acceso, Rectificación, Cancelación,…)
de la Ley 29733.
3.4.1. Obligaciones Principales
- Cartera Digital
UE (EUDI Wallet, Reglamento UE
2024/1183).
La obligación
principal del marco de la EUDI
Wallet es garantizar que toda persona usuaria tenga el control
exclusivo, transparente y seguro sobre sus datos de identidad y atributos
digitales al interactuar con servicios públicos y privados en toda la UE.
Esta obligación
comprende tres aspectos: su obligatoriedad en los Estados miembros, la obligación
en relación al usuario y la obligación respecto de los proveedores de
servicios.
1.- Obligación de los Estados miembros
Cada Estado miembro
debe ofrecer una EUDI Wallet
certificada a sus ciudadanos y residentes, directamente o a través de
entidades públicas/privadas reconocidas.
Esa cartera debe
permitir solicitar, combinar, almacenar, eliminar, compartir y presentar datos
de identidad y otros atributos, siempre bajo el control del usuario,
permitiendo además la divulgación selectiva (solo los datos
estrictamente necesarios para cada servicio).
2.-
Obligaciones frente al usuario (protección de datos)
El Reglamento detalla, entre otras,
tres grandes obligaciones funcionales de la Wallet:
· Incluir un “panel común” activado por defecto
que muestre con claridad:
o Con qué
entidades se comparten datos.
o Qué atributos
exactos se han compartido.
o
Fecha y hora de cada transacción.
Ese panel debe
permitir también pedir la supresión inmediata de los datos a la parte
usuaria (ejercicio del derecho de supresión – cancelación- del art. 17 RGPD)
y denunciar solicitudes ilícitas o sospechosas directamente a la
autoridad de protección de datos.
· Integrar tecnologías de protección de la
privacidad,
como pruebas de conocimiento cero (Zero-Knowledge Proof), de forma que se
pueda verificar una afirmación (P. ex. “mayor de 18 años”) sin revelar el
dato completo subyacente (fecha de nacimiento, número de documento,
etc.).
·
Garantizar
que la
cartera sea segura desde el diseño:
o Cifrado de
extremo a extremo en comunicaciones con otras Wallets y servicios.
o Almacenamiento
cifrado solo accesible y descifrable por el usuario.
o Protección
frente a usurpación de identidad, apropiación de datos y otras ciberamenazas,
con certificación y evaluación de conformidad.
3.-
Obligación de aceptación por parte de servicios
Muchos servicios están ya legalmente obligados a identificar de forma fiable a sus clientes (banca, determinados servicios regulados, administración electrónica), sujetos a la obligación de aceptar la EUDI Wallet como medio de identificación y autenticación. Esto convierte a la Wallet en un instrumento obligatorio de uso posible para el usuario y obligatorio de aceptación para el proveedor.
- La Ley Nº 32413, su Reglamento (DS
011-2026-EF) y normativa concordante.
La normativa
relacionada a la habilitación de la billetera digital, relativa a obligaciones laborales para percibir el pago
de haberes y otras obligaciones regulada por el MEF, SBS, BCRP en el Perú, imponen
obligaciones específicas a las billeteras digitales vinculadas a cuentas de
ahorro o dinero electrónico como su concordancia con la protección de datos para
garantizar el tratamiento adecuado de estos conforme a la Ley 29733, su
Reglamento y Directivas.
Las empresas del
sistema financiero y Empresas Emisoras
de Dinero Electrónico, EEDE que gestionan estas billeteras deben adoptar
medidas de protección de datos, incluyendo ciberseguridad y continuidad
operativa, para prevenir accesos, transferencias no autorizadas de datos e
informaciones de trabajadores como pre-nombres, apellidos, domicilio, cuentas y/o
haberes.
Existe, además, la obligación de transparencia total de proporcionar información clara, actualizada sobre condiciones de uso, limitaciones, responsabilidades y medidas de seguridad al trabajador, alineado con principios de finalidad lícita y consentimiento informado.
3.4.2. Obligaciones Especificas
El Cuadro anexo establece algunas obligaciones específicas de la Ley 32413 y DS 011-2026-EF en relación a la Ley N° 29733 de Protección de Datos Personales
OBLIGACIONES ESPECÍFICAS DE LA LEY 32413 Y DS 011-2026-EF Y LEY 29733 EN LA PROTECCION DE DATOS PERSONALES |
|
Aspecto |
Ley
32413 y DS 011-2026-EF |
Ley
29733 |
|
Tratamiento
datos |
Cumplir normativa SBS, MEF, BCRP, Ley
29733 y Reglamento para cuentas vinculadas. |
Consentimiento previo, finalidad
explícita, datos no fraudulentos. |
|
Seguridad |
Gestión de riesgos, ciberseguridad,
notificación incidentes. |
Medidas adecuadas, obligaciones del titular/encargado,
Oficial de Protección de Datos Personales, ODP. |
|
Transparencia |
Información clara sobre condiciones
y riesgos. |
Derechos del titular de los datos
personales: acceso, rectificación, cancelación, oposición,… |
|
Supervisión |
SBS establece límites; sanciones por
injerencia. |
ANPDP registra, fiscaliza supervisa,
vela infracciones y sanciona. |
Estas obligaciones aseguran
el respeto de los derechos fundamentales, la privacidad, la promoción de la inclusión
financiera de los pagos laborales.
Detalle por Artículo del DS 011-2026-EF
|
Obligación |
Descripción
Específica |
|
Cumplimiento
de la LEY 29733 (Art. 5) |
Tratar datos personales conforme a
la normativa de protección de datos; garantizar identificación del titular. |
|
Seguridad
y riesgos (Art. 4.d, 5) |
Implementar gestión de riesgos,
ciberseguridad, protección de fondos y notificación de incidentes. |
|
Transparencia (Art.
4.e) |
Ofrecer datos oportunos sobre
cuentas/billeteras, incluyendo riesgos y derechos del usuario. |
|
Interoperabilidad
segura (Art. 4.f) |
Solo billeteras autorizadas por
BCRP, asegurando transferencias seguras sin exposición innecesaria de datos. |
Estas medidas aseguran que los pagos laborales digitales respeten los derechos ARCO y eviten tratamientos ilícitos, bajo supervisión de la SBS y que a su vez se declaren y registren los bancos de datos, ante la autoridad competente, conforme a un determinado procedimiento.
- Registro de un banco de datos para
carteras digitales ante la autoridad peruana.
El registro de un
banco de datos para operaciones con carteras digitales (billeteras digitales
vinculadas a pagos de haberes sujetos a la Ley Nº 32413) se realiza ante la
ANPDP.
- Autoridad Competente
La ANPDP es la
entidad encargada de inscribir el Registro Nacional de Bancos de Datos para cualquier banco que trate datos
personales de trabajadores; datos de pre-nombres y apellidos, domicilio, número
de DNI, cuentas y haberes en billeteras digitales.
Las empresas emisoras
(empresas del sistema financiero o EEDE supervisadas por SBS) deben declarar y registrar
sus bancos de datos, antes de iniciar operaciones, asegurando cumplimiento con las
normas de ciberseguridad, Ley 29733 y su Reglamento, exigidas además en el Artículo
5 del Reglamento DS 011-2026-EF.
- Procedimiento para Declaración y Registro
Reunir, organizar,
seleccionar documentación: Identificar tipo de banco (datos laborales/trabajo,
sensibles por ingresos), titular/encargado/OPD, medidas de seguridad (gestión
riesgos, interoperabilidad BCRP) y política de privacidad alineada con
principios de Ley 32413 (transparencia, seguridad datos).
o Accesión al
formulario:
Ingresar al portal de la ANPDP (https://www.gob.pe/institucion/anpd/pages/8060-inscribir-banco-de-datos-en-el-registro-nacional-de-proteccion-de-datos-personales), completar
Formulario Único de Inscripción con detalles del banco (finalidad: pagos
haberes vía billetera digital).
o
Presentación: Envío en
línea (On line) o remisión presencial
en oficinas del ANPDP, adjuntando poder si aplica. Inscripción gratuita, incluye
revisión.
o
Aprobación y
publicación:
Una vez validado, se emite constancia de inscripción, código del banco de
datos, publicación por la ANPDP; rectificación, actualización, cancelación sí
cambios (nuevas finalidades, transferencias).
- Consideraciones Específicas Ley 32413
|
Requisito |
Aplicación
a Carteras Digitales |
|
Finalidad
lícita |
Limitada a pagos haberes; informar
trabajadores claramente. |
|
Seguridad
obligatoria |
Detallar medidas SBS
(ciberseguridad, protección de fondos). |
|
Derechos
ARCO |
Procedimientos para
acceso/rectificación-actualización/ cancelación/oposición de datos laborales. |
|
Sanciones |
Diversas, Infracciones leves, graves,
muy graves. |
Este proceso asegura su
alineación con supervisión de la SBS y los principios de inclusión financiera
segura de la normativa.
- Sanciones por incumplimiento de
protección de datos en servicios de la billetera digital
Las sanciones por
incumplimiento de protección de datos en servicios de billetera digital bajo la
Ley Nº 32413 y su Reglamento (DS 011-2026-EF) se rigen principalmente por la
Ley 29733, aplicables a empresas del sistema financiero y EEDE que gestionan
cuentas vinculadas.
- Tipos de Sanciones
La ANPDP, clasifica
infracciones en leves, graves y muy graves, con multas progresivas hasta 100
UIT (S/ 530,000 en 2026). Incluyen falta de registro en el Registro respectivo,
ausencia de medidas de ciberseguridad o transparencia en datos laborales (pre-nombres,
apellidos, domicilio, haberes, cuentas,…).
Algunas sanciones
específicas previstas por la Ley Nº 32413 incluyen la injerencia en la elección
de la billetera digital (muy grave, supervisada MTPE) y violaciones a
interoperabilidad/seguridad (SBS), agravadas si afectan pagos oportunos.
Escala
de Infracciones
|
Infracción |
Clasificación |
Sanción
Máxima |
|
No informar condiciones/riesgos |
Leve |
1 UIT + amonestación |
|
Falta de consentimiento o ARCO |
Grave |
10-50 UIT |
|
Ciberseguridad deficiente o brechas |
Muy grave |
50-100 UIT + suspensión |
|
Injerencia empleador/no
interoperabilidad |
Muy grave |
Sanciones MTPE/SBS + multas |
Adicionalmente, la SBS puede imponer medidas administrativas (límites operativos, revocatoria autorización) por riesgos ligados a lavado de activos; financiamiento del terrorismo, cíberriesgos, priorizando inclusión financiera con proporcionalidad.
4. Ámbito de Regulación
La Ley Nº 32413 y el DS 011-2026-EF que habilitan la billetera
digital para percibir el pago de haberes y otras obligaciones laborales se
centra en operaciones financieras digitales limitadas a haberes y obligaciones
laborales, definiendo principios como interoperabilidad y seguridad para
cuentas de ahorro/dinero electrónico.
Por el contrario, la
Ley N° 29733 y su Reglamento, DS 016-2024-JUS, regulan el tratamiento amplio de
datos personales en todos los sectores, detallando obligaciones de los titulares,
encargados de los datos, oficiales de protección de datos y la ANPDP.
Consecuentemente, si
bien ambas normas promueven la seguridad de datos, la primera tiene alcance sectorial
(financiero-laboral) mientras la segunda, su alcance es horizontal
(universal).
Diferencias
Claves
|
Aspecto |
Ley
N° 32413 y DS 011-2026-EF |
Ley
29733 y DS 016-2024-JUS |
|
Objeto
principal |
Habilitar billeteras para pagos
laborales seguros. |
Regular y reglamentar protección
datos de manera general. |
|
Ámbito |
Empresas SBS/EEDE, trabajadores por
acuerdo. |
Todos titulares/encargados,
oficiales de protección de datos. |
|
Definiciones |
Billetera digital, dinero
electrónico, haberes. |
Datos personales, datos sensibles,
bancos de datos. |
|
Obligaciones
datos |
Referencia explícita a Ley 29733
(Art. 5); ciberseguridad financiera. |
Procedimientos ARCO, consentimiento,
registro detallado. |
|
Supervisión |
SBS, MTPE, BCRP (límites
operativos). |
ANPDP/Indecopi (sanciones hasta 100
UIT). |
|
Estructura |
8 artículos + modificatorias a
planillas laborales. |
Normas procesales exhaustivas
(Habeas Data, sanciones). |
Implicaciones
Prácticas
El DS 011-2026-EF integra la Ley 29733
incluyendo como requisito: (…) garantizar el
tratamiento adecuado de los datos personales en el marco de la Ley Nº 29733,
Ley de Protección de Datos Personales y su reglamento (Art. 5); añadiendo especificidades fintech como lista de billeteras
interoperables y no injerencia empleador.
El DS 016-2024-JUS proporciona el marco base para cumplimiento general, aplicable transversalmente a carteras digitales.
Sanciones
por incumplimiento de protección de datos en servicios de billetera digital.
Las sanciones por incumplimiento de
protección de datos en servicios de billetera digital (Ley Nº 32413 y DS
011-2026-EF) se aplican vía Ley 29733, con Indecopi/ANPDP como autoridad
principal, complementadas por medidas de SBS y MTPE.
Marco
Sancionador General
La Ley 29733 clasifica infracciones en
leves (amonestación + 1 UIT), graves (10-50 UIT) y muy graves (50-100 UIT,
~S/530,000 en 2026), por fallas como no registrar sus bancos de datos, omitir
consentimiento o medidas de seguridad en datos laborales (DNI, cuentas,
haberes).
En el contexto fintech, se agravan las sanciones por riesgos financieros: SBS
puede limitar operaciones o revocar autorizaciones por lavado de activos,
financiamiento del terrorismo, cíberriesgos, vinculado a datos débiles; el Ministerio de Trabajo, MTPE
sanciona la injerencia en la elección de billetera digital como falta muy
grave.
Modelos
Comunes de Consentimiento
El consentimiento debe ser libre,
informado y granular[6], vía notificaciones
emergentes (pop-ups) o flujos, secuencias guiadas (onboarding) que detallen finalidades (pagos interoperables,
almacenamiento de DNI/haberes), riesgos y derechos ARCO, con opción de
revocación en cualquier momento.
Al registrarse una cuenta para
haberes, puede mostrarse una notificación emergente como: "Autorizo
tratamiento de mis datos personales (DNI, cuenta, sueldos) conforme a la Ley
29733 para recibir pagos vía billetera, con medidas SBS de ciberseguridad.
Puedo ejercer derechos ARCO en [enlace política privacidad]"; y Casilla de
verificación obligatorias usadas en formularios web para obtener consentimiento
granular pulsando el botón de aceptar (Checkbox
obligatorio + botón "Aceptar".
Elección
de billetera:
Flujo con el empleador: "Confirmo libre elección de [Yape/Plin/…] para
abono haberes (Art. 5 Ley 32413). Consentimiento para interoperabilidad BCRP y notificación
de pulsar".
Transacciones
recurrentes:
Notificación previa por pago: "¿Autorizas abono de S/XXX desde
[empleador]? Datos se procesan seguros bajo Ley 29733". Biometría o PIN
como doble factor.
Ejemplos
Prácticos en Apps
|
App
Ejemplo |
Implementación
Consentimiento |
Cumplimiento
Leyes N°s 32413/29733 |
|
Yape |
Pop-up granular al activar
"Cobrar haberes": detalla datos, revocación vía app > Ajustes
> Privacidad. |
Transparencia riesgos + ARCO en 1
clic. |
|
Plin |
Flujo QR para haberes: "Acepto
vincular cuenta MEF/SBS, datos protegidos interoperables". |
Libre elección sin injerencia
empleador. |
|
Tunki |
Banner onboarding: "Consentimiento
explícito para pagos laborales, ver Política Datos [Ley 29733]". Opt-out anual. |
Seguridad cíber + lista SBS
autorizada. |
La Cartera Digital
Europea (EUDI Wallet) incluye
criterios avanzados de identidad soberana, interoperabilidad transfronteriza y
gobernanza técnica que no están previstos en la normativa peruana de billeteras
digitales (Ley Nº 32413 y DS 011-2026-EF).
5.1.
Criterios
Exclusivos de la UE
La EUDI prioriza
control selectivo de atributos (compartir solo datos necesarios, como edad sin
DNI completo) y certificación obligatoria de wallets por eIDAS 2.0, con revocación remota de credenciales
digitales para mitigar fraudes.
Otros elementos
ausentes en Perú incluyen auditorías independientes de código abierto opcional,
accesibilidad universal (para discapacitados) e integración con firma
electrónica avanzada (qualified
electronic signatures) para contratos digitales transnacionales.
Comparación Detallada
|
Criterio UE (EUDI Wallet) |
Presente en Perú
(Ley 32413) |
Razón de Ausencia
en Perú |
|
Identidad soberana |
No (solo pagos haberes) |
Enfoque financiero, no ID general. |
|
Selectividad datos |
No (datos laborales completos) |
Prioridad inclusión vs.
Granularidad. |
|
Revocación remota credenciales |
No |
Supervisión SBS reactiva, no
proactiva. |
|
Código abierto/auditorías |
No |
Regulación privada EEDE/SBS. |
|
Accesibilidad WCAG |
No (accesibilidad genérica) |
Falta estándar europeo inclusivo. |
|
Firmas electrónicas avanzada |
No |
Limitado a transferencias BCRP. |
|
Transfronterizo |
No (nacional) |
Sin integración regional LATAM. |
5.2. Ventajas de adoptar estándares europeos.
Adoptar estándares
europeos como los de la EUDI Wallet
en la normativa peruana de billeteras digitales (Ley Nº 32413) ofrecerían mayor
robustez en identidad digital y protección de datos, superando el enfoque
actual limitado a pagos laborales.
5.3.
Beneficios en
Seguridad y Privacidad
Los estándares eIDAS
2.0 y adaptación al RGPD permitirían control selectivo de datos (compartir solo
atributos necesarios, como edad sin DNI completo), reduciendo riesgos de
brechas en haberes y alineando con Ley 29733 de forma más granular que las
obligaciones SBS actuales.
Esto facilitaría
revocación remota de credenciales y auditorías independientes, minimizando
sanciones ANPDP (hasta 100 UIT) por ciberincidentes en apps como Yape o Plin.
5.4.
Ventajas
Competitivas
|
Estándar Europeo |
Ventaja para Perú |
Impacto Actual
Limitado |
|
Interoperabilidad
transfronteriza |
Integración Mercosur/remesas
seguras. |
Solo nacional (BCRP
interoperabilidad). |
|
Directrices de Accesibilidad para el Contenido Web (WCAG)[7].
W3C |
Inclusión discapacitados en pagos
digitales. |
Genérica, sin estándares
certificados. |
|
Código
abierto opcional |
Innovación fintech local auditada. |
Propietario EEDE, menos
transparencia. |
|
Firmas
electrónicas avanzadas |
Contratos laborales electrónicos
válidos. |
Transferencias
simples, no contratos. |
|
Gobernanza
central |
Certificación UE. Reconocida para exportar servicios. |
Supervisión SBS reactiva. |
5.5. Implicaciones Estratégicas
La inclusión
financiera transregional contribuiría a facilitar la atracción de la inversión fintech europea, elevando Perú por
encima del promedio LATAM en madurez digital, aunque requeriría adaptación gradual
para no sobrecargar el ecosistema emergente de billeteras locales.
Adoptar estándares
europeos como los de la EUDI Wallet
en la normativa peruana de billeteras digitales (Ley Nº 32413) permitiría una mayor
madurez tecnológica y confianza internacional, superando limitaciones actuales
en identidad y privacidad.
5.6.
Seguridad
Avanzada
Los criterios eIDAS
2.0 permiten compartir de forma selectiva de datos (solo edad o calificación
sin necesidad de exponer los datos completos del DNI), la revocación remota de
credenciales y la certificación obligatoria, reduciendo brechas en los
aplicativos como Yape frente a los requisitos SBS básicos de ciberseguridad.
Esto alinearía al Perú con el RGPD mejorando los alcances de la Ley 29733 en granularidad, minimizando sanciones ANPDP por tratamientos ilícitos en pagos de haberes.
Ventajas Económicas
|
Estándar UE |
Beneficio para
Perú |
Limitación Actual |
|
Transfronteriza |
Remesas Mercosur seguras, export fintech. |
Solo interoperabilidad nacional
BCRP. |
|
Accesibilidad WCAG |
Inclusión total (discapacitados
rurales). |
Genérica sin certificación. |
|
Auditorías código |
Innovación transparente, inversión
UE. |
Propietario EEDE sin estándares. |
|
Firmas avanzadas |
Contratos laborales digitales
vinculantes. |
Transferencias simples sin validez
legal plena. |
|
Gobernanza |
Certificación reconocida
globalmente. |
Supervisión SBS/MTPE local. |
Facilitaría, además, la escalabilidad fintech Perú (Con 29 entidades interconectadas ya[8]), atrayendo capital europeo y posicionando Perú como una Plataforma LATAM digital.
Adoptar estándares
europeos como los de la EUDI Wallet
en la normativa peruana de billeteras digitales (Ley Nº 32413) traería mayor
madurez tecnológica y confianza internacional, superando limitaciones actuales
en identidad y privacidad.
5.7.
Diferencias de
enfoque
El RGPD enfatiza
minimización de datos y privacidad desde el diseño ("Privacy by design") desde el desarrollo de los aplicativos,
permitiendo compartir atributos selectivos (ej. solo edad sin DNI), mientras la
Ley 29733 exige consentimiento genérico y seguridad básica para haberes, sin
granularidad equivalente.
La UE impone Delegados (Oficiales) de Protección de Datos, DPO obligatorio y evaluaciones de riesgos obligatorios (Data Protection Impact Assessment, DPIA) para riesgos altos (como brechas en pagos), frente a obligaciones reactivas controladas por la SBS/ANPDP en Perú, con sanciones hasta 4% ingresos globales de las empresas contra un máximo 100 UIT (~S/530k).
Comparación Detallada
|
Criterio |
Estándares
Europeos (RGPD/eIDAS) |
Normas Peruanas
(Ley 29733/Ley 32413) |
|
Minimización datos |
Selectiva (atributos verificables). |
Completa (DNI/haberes para pagos). |
|
Consentimiento |
Granular, revocable en cualquier
momento. |
Explícito pero general (Art. 5
Reglamento). |
|
Responsable protección |
DPO obligatorio en entidades
grandes. |
No requerido; SBS supervisa
ciberseguridad. |
|
Evaluación riesgos |
DPIA obligatoria para alto riesgo. |
Gestión riesgos SBS, sin DPIA
formal. |
|
Sanciones |
4% ingresos globales + acciones
colectivas. |
1-100 UIT + suspensión operativa. |
|
Transfronterizo |
Estándares únicos UE-wide. |
Nacional (interoperabilidad BCRP). |
|
Privacidad por diseño |
Obligatorio en desarrollo Wallet. |
Implícito en Art. 4.d Reglamento. |
5.8.
Implicaciones
para Implementación
Adoptar elementos RGPD elevaría a los aplicativos peruanos (Yape, Plin) a estándares globales, reduciendo riesgos relacionados al lavado de activos; financiamiento del terrorismo, cíberriesgos y atrayendo inversión UE, aunque requeriría adaptar la supervisión SBS hacia gobernanza proactiva similar a la que realiza la Agencia de la Unión Europea para la Ciberseguridad ENISA.
CONCLUSIONES
En base al análisis de los textos
legislativos: el Reglamento Europeo (UE) 2024/1183, que establece del marco
europeo de identidad digital (eIDAS 2.0), que habilita la Cartera de Identidad
Digital Europea (EUDI Wallet) y tiene
por finalidad regular la identidad digital de forma segura para los servicios
públicos y privados, y la Ley peruana Nº 32413 y su Reglamento (DS
011-2026-EF), que habilita la billetera digital para percibir el pago de
haberes y otras obligaciones laborales, se puede concluir:
- Acerca del enfoque, la UE a través de la EUDI Wallet construye una identidad
digital soberana universal y transfronteriza, mientras Perú, mediante la
LEY y legislación complementaria de la SBS, MEF, EEDE, MTPE, entre otras,
segmenta el uso de la billetera digital para pagos laborales voluntarios, por
acuerdos entre trabajador-empleador, en vistas a optimizar la inclusión
financiera controlada.
- Cuanto a la finalidad, la EUDI Wallet constituye un pasaporte digital para el uso de servicios
públicos/privados (DNI, títulos, salud, banca), mientras Perú, mediante la
LEY y legislación complementaria, limita el uso de la billetera digital
para pagos laborales voluntarios...
- Respecto
de su obligatoriedad, la UE
obliga a los Estados miembros a ofrecerla, a los proveedores a aceptarla y
a los ciudadanos y residentes a elegir la opción Opt-in[9].
En el Perú la billetera digital es voluntaria (acuerdo
trabajador-empleador), con sanciones por injerencia (MTPE).
- En lo
relativo a la Protección Datos,
el RGPD UE toma en cuenta la protección de los datos de la persona física,
asociándola a principios como Prueba de conocimiento cero (O ZKP,
protocolo criptográfico que permite demostrar la veracidad de una
afirmación sin revelar la información subyacente), granularidad o
capacidad del titular del datos para autorizar de forma específica y
separada cada finalidad del tratamiento de sus datos y de forma selectiva,
además de la privacidad desde el diseño que exige integrar la protección
de datos personales desde la fase inicial de desarrollo de sistemas,
productos o servicios, no como corrección posterior. En el Perú la Ley N° 29733, su nuevo
Reglamento y Directivas - como las normas complementarias asociadas de la
SBS, MEF, EEDE, MTPE, si bien cumplen con las normas internacionales ISO y
Normas Técnicas peruanas en materia de Sistema de Gestión de Seguridad de
la Información (SGSI), no toman en cuenta principios como ZKP,
granularidad o Privacy by design
equivalente.
- Sobre el
alcance, la UE tiene un ámbito
transfronterizo, como la Zona Única
de Pagos en Euros (SEPA, Single
Euro Payments Area), iniciativa de la UE que permite pagos
electrónicos en euros con condiciones idénticas en 41 países; o la Autenticación
Reforzada del Cliente (SCA, Strong
Customer Authentication), requisito de la Segunda Directiva de
Servicios de Pago [( PSD2 UE, Payment
Services Directive 2, Directiva UE 2015/2366), marco regulatorio que
abrió el mercado europeo a fintechs
vía APIs (XS2A) y mandata SCA para pagos electrónicos seguros en
SEPA.) que exige dos de tres factores para pagos electrónicos:
conocimiento (PIN), posesión (Smartphone)
e inherencia (biometría)]. El alcance de la billetera digital en el Perú se
circunscribe – por ahora – al ámbito nacional y las billeteras digitales
como Yape, Plin, Tuki, Bim, son interoperables con el Banco Central de
Reserva del Perú, el Banco de la Nación, Banco Municipales y la Banca Privada[10].
- Finalmente,
cuanto a las expectativas, la
Ley peruana Nº 32413 y su Reglamento (DS 011-2026-EF), que habilita la
billetera digital para percibir el pago de haberes y otras obligaciones
laborales si bien no constituyen un paso directo hacia un símil de la EUDI Wallet europea debido a sus
principios, finalidades, enfoques y alcances distintos, podría evolucionar
hacia un modelo híbrido sí Perú:
o
integra, concierta marcos legislativos e
institucionales como el Poder Judicial, el Ministerio Público, el Registro
Nacional de Identificación y Estado Civil de Perú, RENIEC[11], Superintendencia de
Migraciones, Superintendencia de Educación, Superintendencia de Salud, Superintendencia
de Administracion Tributaria, Ministerio de Salud, Ministerio de Educacion,
Ministerio de Justicia, Ministerio de Trabajo y Promocion del Empleo, Ministerio
de Transportes y Comunicaciones, Gobiernos Regionales y Municipalidades
provinciales, respecto a la emisión de licencias de conducir, de diversas categorías,
...
o
también se requiere el concurso de los
Colegios Profesionales, Universidades… Y a su vez se requiere establecer marcos digitales, de interoperabilidad
y de interconexión (Secretaria de Gobierno y Transformación Digital, SGTD,
Programa Nacional de Telecomunicaciones de Perú. PRONATEL[12],..) con ID verificables
(similares a los previstos para la Infraestructura Europea de Servicios
Blockchain (European Blockchain Services
Infrastructure EBSI en UE), pero que actualmente carecen de
estandarización, gobernanza pública y funcionalidades no financieras de la
EUDI. Para todo ello se requiere regulación específica en identidad digital
para cerrar la brecha.
[1] · El onboarding remoto es el proceso digital de incorporación de clientes a servicios financieros sin necesidad de presencia física. Se realiza a través de apps o web, usando videollamada, selfie o escaneo de documentos para verificar identidad rápidamente.
· KYC (Know Your Customer) KYC significa "Conoce a tu Cliente" y consiste en verificar la identidad del usuario mediante documentos como DNI, pasaporte o prueba de domicilio. Su objetivo es prevenir fraudes y cumplir regulaciones, formando parte del ciclo continuo de gestión del cliente.
· AML (Anti-Money Laundering) AML es "Anti-Lavado de Dinero", un conjunto de medidas para detectar y prevenir el blanqueo de capitales o financiación del terrorismo. Incluye evaluación de riesgos, monitoreo de transacciones y controles en onboarding, a menudo integrado con KYC.
[2]
El Ministerio de Economía y Finanzas, MEF, en coordinación con BCRP y la
SBS, deben publicar la lista actualizada de billeteras digitales
autorizadas para pagos interoperables de haberes en su sede digital (www.gob.pe/mef), según
Art. 8.1 del Reglamento DS 011-2026-EF.
[3] El aplicativo de Planilla Electrónica administrado por el
Ministerio de Trabajo y Promoción del Empleo
presenta un problema de vulnerabilidad y limitación de infraestructura
informática que derivó en un Convenio de encargo de gestión con la SUNAT e
igualmente uno similar entre SUNAT y OSINERGEMIN, ver: EL ENCARGO DE GESTIÓN COMO CABALLO DE TROYA A LOS
DATOS PERSONALES EN EL SISTEMA DE NOTIFICACIONES ELECTRÓNICAS DE
OSINERGMIN-SUNAT CLAVE SOL.
[4] El ecosistema Fintech está conformado por empresas
tecnológicas que ofrecen servicios financieros innovadores, pretendidamente más
eficientes, accesibles y económicos que los bancos tradicionales, asociando los
conceptos de finanzas y tecnología.
[5] Ley 29733
Articulo 2 Definiciones. 5.
Datos sensibles. Datos
personales constituidos por los datos biométricos que por sí mismos pueden
identificar al titular; datos referidos al origen racial y étnico; ingresos
económicos, opiniones o convicciones políticas, religiosas, filosóficas o
morales; afiliación sindical; e información relacionada a la salud o a la vida
sexual.
[6] El consentimiento granular es un concepto clave en la protección de datos personales, especialmente bajo el RGPD (UE) y regulaciones similares como la Ley 29733 en Perú. Se refiere a la capacidad del titular de los datos para autorizar de forma específica y separada cada finalidad del tratamiento de sus datos personales, en lugar de un "todo o nada" genérico.
[7] Web Content Accessibility Guidelines
[8] Cámara de Compensación
Electrónica, empresa privada supervisada por el BCRP, mas 10 bancos, 6 cajas de ahorro, 1 financiera, la Empresa
Emisora de Dinero Electrónico EEDE, la empresa de Pagos Digitales Peruanos
S.A., PDP, entre otras.
[9] Ver: Cuadro
Comparativo entre Cartera Digital UE (Reglamento Europeo (Ue) 2024/1183 (Eudi
Wallet) y Billetera Digital Peruana (Ley 32413 Perú y Reglamento DS
011-2026-Ef) Pág. 3
[10] Yape es la billetera digital líder
en Perú, desarrollada por el Banco de Crédito del Perú (BCP) desde 2016.
Se integra con cuentas BCP o cajas
municipales para inclusión financiera. Plin es
otra billetera digital en Perú, lanzada por un consorcio de bancos (BBVA,
Interbank, Scotiabank, BanBif y cajas municipales. Tunki esta respaldada por el Banco de la Nación (BN), enfocada en
inclusión financiera para poblaciones no bancarizadas. Bim: está asociada a la Financiera Oh! (Grupo Intercorp), permite
transferencias, pagos y recargas sin cuenta bancaria tradicional. Las primeras
billeteras interoperables peruanas autorizadas por la SBS en marzo 2026, han
sido Yape Pay y Plin Laboral
[11] Perú integra ya
algunos elementos de identidad digital vía RENIEC (DNI electrónico) y el MTC
(brevetes digitales), que podrían escalar hacia un modelo híbrido similar a
EUDI.
[12] Además, Pronatel
y la Secretaría de Gobiernoya Digital (SGTD) en términos de interoperabilidad nacional, participan ya en
la escalabilidad de la billetera peruana a pagos laborales e inclusive realiza prueba
para subsidios estatales.
No hay comentarios:
Publicar un comentario