Las otras tres normas aprobadas en el mismo paquete corresponden a fertilizantes y aditivos alimentarios, y no tienen implicancia para equipos de software
Enfoque de decisión
Si tu equipo opera infraestructura cloud con datos de usuarios peruanos, o si clientes en Perú procesan información personal usando tus plataformas, esta actualización normativa merece atención de tu área legal y de seguridad antes de que se traduzca en requerimientos contractuales.
Las normas NTP-ISO/IEC 27018:2026 y NTP-ISO/IEC 27701:2026, recién adoptadas por el Instituto Nacional de Calidad del Perú (Inacal), no son estándares nuevos a nivel global: son las versiones ISO ya conocidas. El cambio es que ahora tienen estatus de norma técnica peruana oficial, lo que puede crear ancla regulatoria en auditorías, contratos gubernamentales o requerimientos de proveedores en ese mercado.
Resumen en 90 segundos
En el cierre de la semana, inacal aprobó en marzo de 2026 cinco nuevas Normas Técnicas Peruanas mediante la Resolución Directoral N.° 000004-2026-INACAL/DN, dos de las cuales corresponden a estándares ISO/IEC sobre privacidad en nube pública y sistemas de gestión de privacidad. Las normas NTP-ISO/IEC 27018:2026 y NTP-ISO/IEC 27701:2026 establecen, respectivamente, controles para la protección de información de identificación personal en cloud y requisitos para implementar un sistema formal de gestión de privacidad. Para equipos de ingeniería con presencia o clientes en Perú, esto puede convertirse en un criterio de evaluación de vendors o en un requisito de auditoría en sectores regulados.
¿Qué está pasando realmente?
Inacal —organismo adscrito al Ministerio de la Producción del Perú— aprobó el paquete normativo mediante resolución directoral. Dentro de las cinco normas, las relevantes para ingeniería de software son dos:
NTP-ISO/IEC 27018:2026 adopta los controles y directrices de la ISO/IEC 27018 original para la protección de información de identificación personal (IIP) en entornos de computación en nube pública. Esto incluye objetivos de control alineados con los principios de privacidad de ISO/IEC 29100.
NTP-ISO/IEC 27701:2026 establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de la Información sobre Privacidad (SGIP), funcionando como extensión de ISO 27001/27002 hacia la dimensión de privacidad.
Ambas normas son, en su contenido técnico, equivalentes a los estándares ISO internacionales existentes. El evento noticioso no es la creación de nuevos controles técnicos, sino su formalización como norma técnica peruana. Esa distinción importa: la adopción nacional puede activar referencias normativas en contratos públicos, licitaciones o marcos regulatorios sectoriales en Perú.
Las otras tres normas aprobadas en el mismo paquete corresponden a fertilizantes y aditivos alimentarios, y no tienen implicancia para equipos de software.
¿Por qué importa para Líderes de Ingeniería de Software?
La adopción de ISO/IEC 27018 y 27701 como normas técnicas nacionales en Perú sigue un patrón que ya se observó en otros mercados latinoamericanos: la formalización de estándares ISO como referencia en regulación sectorial o en pliegos de contratación pública.
Para ingeniería, esto puede traducirse en varios escenarios prácticos. Primero, si tu organización ofrece servicios cloud o SaaS a entidades del sector público peruano, es probable que estas normas aparezcan como requisito de cumplimiento en licitaciones futuras. Segundo, si procesas datos personales de usuarios peruanos, un auditor o cliente corporativo puede ahora referenciar explícitamente la NTP-ISO/IEC 27701 como marco de evaluación.
Desde el lado de arquitectura, equipos que ya operan bajo ISO 27001 tienen base para incorporar 27701 sin rediseño profundo: es una extensión, no un reemplazo. La brecha típica está en la documentación formal del SGIP, los registros de actividades de tratamiento y los controles específicos para proveedores cloud de terceros. Si tu stack usa proveedores que ya cuentan con certificación ISO 27018, ese es un punto de evidencia útil en cualquier proceso de due diligence regulatorio.
Perspectiva a futuro
La adopción peruana de estos estándares es consistente con una tendencia regional hacia la armonización de marcos de privacidad con referentes ISO/IEC, impulsada en parte por la Ley de Protección de Datos Personales (Ley 29733) y su reglamento. No es posible confirmar con la información disponible si Inacal tiene planes de hacer estas normas de cumplimiento obligatorio o si permanecerán como referencia voluntaria; esa distinción determina el nivel de urgencia para tu equipo.
Lo que sí es esperable, con base en patrones de otros mercados, es que sectores como fintech, salud digital y gobierno digital en Perú comiencen a referenciar estas normas en sus propios marcos de seguridad en los próximos 12 a 24 meses. Para equipos que ya operan bajo GDPR o CCPA, la carga incremental de alinearse con 27701 es manejable. Para equipos que aún no tienen un programa formal de privacidad, esta formalización es un indicador de que construir esa capacidad tiene valor de mercado creciente en la región.
Lo que aún es incierto
-
Carácter obligatorio vs. voluntario de las normas: La fuente no especifica si estas NTP serán de cumplimiento obligatorio o permanecerán voluntarias. Esta distinción determina si requieren acción inmediata o solo monitoreo, y se resolvería con seguimiento de regulación sectorial peruana en fintech, salud y gobierno digital.
-
Impacto en contratos vigentes: No hay información disponible sobre si organizaciones con contratos activos en Perú tendrán períodos de transición o enfrentarán requisitos retroactivos. Requiere consulta legal directa con asesoría local.
-
Mecanismos de certificación y auditoría: No se detalla si Inacal habilitará esquemas de certificación formales bajo estas NTP o si se delegará en auditores ISO acreditados existentes. Esto afecta el costo y la ruta de cumplimiento para equipos que busquen acreditación explícita.
-
Alcance de aplicación a proveedores extranjeros: La norma aplica a entornos de computación en nube pública, pero no queda claro en la fuente si existe distinción regulatoria entre proveedores domiciliados en Perú y proveedores extranjeros que ofrecen servicios en el mercado peruano.
Una pregunta para tu equipo
Si hoy un cliente enterprise peruano o una licitación del sector público te pidiera evidencia de cumplimiento con ISO/IEC 27701, ¿cuánto tiempo le tomaría a tu equipo producir esa documentación? Si la respuesta es «meses», este es un momento útil para evaluar si construir ese programa de privacidad ahora tiene sentido como inversión de habilitación comercial en mercados que están formalizando estos estándares.
Fuentes
- Revistaeconomia — Inacal aprueba cinco nuevas normas técnicas peruanas para fortalecer la calidad en fertilizantes, alimentos y (Link)
