Uno de los últimos efectos del Reglamento de la Ley de Protección de Datos Personales es la obligación que recae sobre cientos de empresas de designar un oficial de datos personales (ODP).
Aunque se trata de una figura esencial para fortalecer la gobernanza del tratamiento de datos personales a la interna de las empresas y una importante herramienta para reducir contingencias, la regla no está exenta de retos, sobre todo por la falta de detalle en la información de los requisitos de implementación del ODP con la que nació. Y es que el reglamento omitía información esencial sobre el cómo y cuándo designar al ODP, lo cual generaba mucha incertidumbre en el mercado para algunas empresas.
Estas dudas se concentraban, principalmente, en dos aspectos clave para las empresas: (i) cuándo estábamos realmente frente a “grandes volúmenes” de datos personales, y (ii) cómo debían acreditarse la experiencia y el conocimiento del ODP para cumplir con el perfil exigido por la norma.
La Autoridad Nacional de Protección de Datos Personales (ANPDP) se hizo esperar bastante para absolver estas y otras dudas, considerando que la obligación de designar se encontraba vigente para todas las empresas con ventas anuales mayores a 2,300 UIT desde el 1 de diciembre del año pasado.
Con la publicación de la directiva que establece las disposiciones para la designación, desempeño y funciones del oficial de datos personales, esas preguntas ya tienen respuesta.
A continuación, el análisis de las novedades que transforman la incertidumbre en obligaciones concretas:
1. El fin de la subjetividad: La fórmula del “gran volumen”
Se acabó la época de la “interpretación”. La directiva introduce una metodología de riesgo (Anexo 1) que funciona casi como una calculadora legal con criterios determinantes (criterio A: número de titulares, B: tipología/sensibilidad del dato, C: finalidad del tratamiento y riesgo asociado) y moduladores (frecuencia, duración, continuidad del tratamiento y demarcación territorial de este), los cuales son definidos en el referido documento precisando en los determinables cuándo se está en un nivel alto, medio y bajo.
En lo que respecta al criterio A, se considerará para el cálculo el número de titulares únicos contenidos en todas las bases de datos de las empresas.
Así, la directiva dispone que se considera nivel alto si una empresa maneja un número igual o mayor a 50,000 titulares.
De este modo, si este es el caso de una empresa, “la clasificación del tratamiento es de gran volumen de datos personales”, por lo que estará en la obligación de designar un ODP.
Es importante precisar que la directiva establece las reglas con bastante claridad en el Anexo 1 antes señalado; sin embargo, por el breve espacio que tenemos en este artículo no podemos explayarnos sobre cada una de ellas.
2. Se define cómo acreditar el perfil del ODP
La duda sobre “quién está capacitado” también se despejó. La directiva profesionaliza el rol exigiendo acreditación documental. La evidencia que permitirá acreditar la experiencia profesional y el conocimiento del ODP es la siguiente.
-Respecto de la experiencia profesional:
• Dos años de experiencia general: desempeñando labores afines a la materia de protección de datos personales de manera continua o acumulada o en materias como seguridad y gestión de la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de datos personales en entidades públicas o privadas.
• Mínimo un año de experiencia específica: desempeñando labores en materia de protección de datos personales de manera continua o acumulada; la cual se puede acreditar a través de la experiencia profesional pública o privada.
-Respecto del conocimiento:
• Experiencia probada y continua en la docencia universitaria o en la investigación sobre temas de protección de datos personales o afines.
• Contar con estudios de posgrado concluidos o grado académico afines a la materia de protección de datos personales o en materias como seguridad y gestión de la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de datos personales en entidades públicas o privadas.
• Contar con certificado de especialización o diplomado en protección de datos personales o las señaladas líneas arriba, con una duración mínima de noventa (90) horas lectivas para los certificados y ciento veinte (120) horas lectivas para los diplomados.
Para garantizar la formación académica, la directiva exige que estas se hayan llevado ante entidades o instituciones formativas que cuenten con reconocido prestigio y trayectoria en las materias señaladas.
3. La formalidad para la designación del ODP
La directiva precisa que el ODP debe ser designado mediante un acto formal (que corresponda a su régimen societario interno) que asegure la validez formal del nombramiento y permita su verificación ante la ANPD. En la práctica, esto exige contar con un acta, acuerdo o resolución interna verificable, y no simplemente con una designación “de hecho” o implícita.
4. Designar a un ODP no traslada la responsabilidad
Uno de los mensajes más importantes de la directiva es que la designación del ODP no exime ni traslada la responsabilidad del tratamiento de datos personales. El ODP asesora y supervisa, pero la empresa sigue siendo plenamente responsable frente a la autoridad.
5. El ODP debe ser visible para los titulares de datos personales
Las empresas deben informar públicamente quién es su ODP, incluyendo por lo menos su nombre y correo electrónico de contacto. Esta información debe estar disponible en la política de privacidad u otro documento de fácil acceso para los titulares de datos personales.
6. La independencia funcional del ODP
La directiva refuerza la exigencia de independencia funcional del ODP. Esto implica, entre otros aspectos, que no puede recibir instrucciones sobre el contenido de sus opiniones ni ser sancionado por cumplir adecuadamente su rol, y que debe contar con un canal de reporte funcional hacia la alta dirección.
7. El conflicto de intereses debe identificarse y gestionarse
Se define y regula de forma expresa el conflicto de intereses del ODP: “Se entiende por conflicto de intereses cualquier situación en la que los intereses personales, profesionales o económicos del ODP interfieren en el cumplimiento objetivo e independiente de sus funciones”.
Las empresas deben identificarlo, gestionarlo y documentarlo. Si el conflicto no puede resolverse en el corto plazo, la directiva es clara: el ODP debe ser sustituido.
8. El ODP no necesariamente debe estar en Perú, pero sí ser accesible
La directiva aclara que el ODP no tiene que encontrarse físicamente en el país, pero sí debe ser accesible y contar con mecanismos efectivos de contacto e interacción dentro del ámbito peruano como medio seguro de comunicación.
Asimismo, la directiva señala que “el ODP, con ayuda de un equipo de trabajo cuando sea necesario, debe garantizar una comunicación eficaz y comprensible con los titulares de datos personales, asegurando que dicha comunicación se realice cuando corresponda, en el idioma utilizado por los titulares de datos afectados”.
Reflexión final
Con esta directiva se tiene mayor claridad respecto de las reglas y requisitos aplicables a la designación del ODP. De este modo, el principal riesgo se concentra ahora en las contingencias que se pueden generar con una designación mal implementada, sin sustento técnico, sin independencia real o sin una evaluación documentada de la obligación.
Si bien es positivo contar con toda la información cuya ausencia generaba incertidumbre, consideramos que un aspecto crítico es la excesiva demora en la publicación de esta directiva. La obligación de designar a un ODP entró en vigor el 1 de diciembre del 2025 y muchas empresas empezaron de buena fe la gestión de la designación con antelación sin contar con toda la información necesaria. Las preguntas que ahora nos genera este escenario son las siguientes: ¿qué pasará con las empresas que designaron un ODP que no cumple con el perfil?, ¿qué pasará con los actuales ODP que, responsablemente, estudiaron cursos o certificaciones que no cumplen con lo exigido en horas lectivas por la directiva?
