El nuevo Reglamento de la Ley de Protección de Datos Personales (Decreto Supremo N.° 016-2024-JUS) introdujo obligaciones puntuales para el sector privado: definir políticas de privacidad, reforzar seguridad, gestionar derechos ARCO y, en ciertos casos, designar un Oficial de Datos Personales (ODP). En el presente artículo abordamos los principales aspectos de la normativa sobre el tema.
El 31 de diciembre del 2025 fue publicada la Resolución Directoral N.°100-2025-JUS-DGTAIPD, que aprueba la Directiva para la designación, desempeño y funciones del ODP. La obligación de designar a un ODP está condicionada al tipo y volumen de tratamiento de datos. Y, esta directiva indica que están obligados a designar un ODP, quienes realizan el tratamiento de “grandes volúmenes” de datos personales, o cuando su actividad principal requiera de datos sensibles.
Se establece un calendario progresivo para la designación del ODP, aplicable a las entidades que, además de cumplir con los supuestos que generan dicha obligación, se encuentren comprendidas en los siguientes tramos de ingresos: aquellas con ingresos mayores a 2,300 UIT deberán cumplir hasta el 30 de noviembre del 2025; las que registren ingresos entre 1,700 y 2,300 UIT, hasta el 30 de noviembre del 2026; las que se ubiquen entre 150 y 1,700 UIT, hasta el 30 de noviembre del 2027; y, las que superen las 150 UIT, hasta el 30 de noviembre del 2028.
Designación del ODP
El ODP debe cumplir con: a) Experiencia mínima: 2 años de experiencia general en protección de datos personales o materias afines; o 1 año de experiencia específica en funciones directamente vinculadas a protección de datos.
b) Formación: estudios de posgrado, certificaciones (igual o mayor a 90 horas) o diplomados (igual o mayor a 120 horas) en protección de datos o áreas relacionadas; o experiencia acreditada en docencia o investigación sobre la materia.
c) Idoneidad ética: sin condenas por delitos dolosos, ni sanciones disciplinarias vinculadas a tratamiento de información; si es persona jurídica contratada como “ODP externo”, esta no debe haber sido sancionada ni inhabilitada para contratar con el Estado.
d) Independencia funcional: el OPD no recibe instrucciones sobre sus opiniones técnicas; no determina fines ni medios del tratamiento; no puede ser sancionado o removido por ejercer sus funciones técnicas.
El ODP tiene como funciones supervisar el cumplimiento de la normativa en materia de protección de datos personales, atender y gestionar las solicitudes vinculadas al ejercicio de los derechos ARCO, coordinar la notificación de incidentes de seguridad dentro del plazo de cuarenta y ocho horas, así como capacitar al personal y promover una cultura organizacional orientada a la protección de la privacidad.
La falta de designación del OPD dentro del plazo exigible constituye una infracción leve, sancionable con multa de hasta 5 UIT. En cambio, los incumplimientos en materia de protección de datos personales calificados como graves o muy graves —como la ausencia de medidas de seguridad o el manejo indebido de datos sensibles— pueden ser sancionados con multas de hasta 100 UIT. La subsanación extemporánea puede atenuar, pero no elimina la infracción.
Para cumplir con la obligación de designar un ODP, la entidad debe, en primer lugar, realizar un diagnóstico que le permita determinar si se encuentra comprendida en los supuestos exigidos por la normativa, considerando el volumen de ingresos, la naturaleza sensible de los datos tratados y riesgo; luego, efectuar la designación formal mediante resolución o comunicación interna, definiendo el perfil del cargo, su independencia y recursos; asimismo, publicar los datos de contacto del OPD en su sitio web o según su política de privacidad, y comunicar dicha designación a la Autoridad Nacional de Protección de Datos Personales.
El ODP deberá contar con un plan de trabajo que incluya, como mínimo, la elaboración y actualización del documento de seguridad, el inventario y mapeo de datos personales, un protocolo de gestión y notificación de incidentes de seguridad dentro del plazo de 48 horas, así como mecanismos de gobernanza de proveedores, entre otros.
Finalmente, la obligación de designar al ODP se encuentra condicionada al tipo y volumen de tratamiento de datos personales realizado por cada entidad. No obstante, la Directiva fue aprobada recién el 31 de diciembre del 2025, generando un desfase normativo respecto del plazo previsto en el Reglamento aprobado por el D.S. N.°016-2024-JUS, que establecía como fecha límite de designación el 30 de noviembre del 2025 para determinadas entidades. Esta situación resulta susceptible de generar perjuicios a las organizaciones obligadas, por lo que se considera necesario que sea corregida a fin de asegurar coherencia normativa y respeto al principio de razonabilidad en la implementación de la obligación.
