El pasado 30 de noviembre del año 2015, muchas empresas en el Perú cumplieron formalmente con la obligación de designar a su Oficial de Datos Personales. Sin embargo, en un contexto donde la cultura de protección de datos personales aún se encuentra en un estadio de madurez incipiente, no son pocos los Oficiales que han asumido el cargo sin una comprensión clara de qué se espera de ellos en la práctica. La designación, por sí sola, no garantiza cumplimiento. Por el contrario, expone una brecha frecuente: organizaciones que nombran al Oficial, pero no definen su rol, no le asignan herramientas ni esperan resultados medibles.
Frente a esta realidad, el objetivo del presente artículo es ayudar a los Oficiales de Datos Personales a entender cómo debería verse su día a día, cuáles son las actividades mínimas que deben realizar y, sobre todo, qué elementos deberían estar en capacidad de acreditar frente a una eventual fiscalización de la Autoridad Nacional de Protección de Datos Personales. En efecto, el Oficial no es un cargo simbólico ni decorativo: es una función activa, transversal y basada en evidencia. Es por ello por lo que, entre sus responsabilidades centrales, se encuentra la capacidad de reportar periódicamente a la Alta Dirección, midiendo avances, brechas, riesgos y prioridades de intervención.
Desde esta perspectiva, el artículo 2°, inciso 17 del Reglamento define al Oficial de Datos Personales como la persona encargada de verificar, asesorar e implementar el cumplimiento del régimen jurídico de protección de datos personales. Al respecto, verificar no supone una revisión abstracta o meramente documental, sino comprobar, por ejemplo, que la política de privacidad publicada por la organización contiene efectivamente todos los elementos exigidos por el artículo 18 de la Ley, que los avisos informativos utilizados en formularios físicos o canales digitales se encuentren vinculados a dicha política, y que cada tratamiento de datos personales identificado cuenta con una base legal válida, ya sea consentimiento, ejecución contractual, obligación legal u otra permitida por el ordenamiento.
Asimismo, esta función exige contrastar lo declarado en los documentos con la realidad operativa del tratamiento: qué datos se recogen, con qué finalidad, quiénes acceden a ellos, por cuánto tiempo se conservan y si dichas prácticas se ajustan a los principios de finalidad, proporcionalidad y calidad.
Sobre esa base, asesorar implica que el Oficial esté en capacidad de orientar a las áreas usuarias sobre cómo incorporar correctamente la normativa de protección de datos personales en sus procesos específicos. Ello comprende, por ejemplo, indicar al área de marketing cuándo una campaña requiere consentimiento expreso y cómo debe diseñarse la casilla de aceptación; asesorar a recursos humanos respecto de los límites y salvaguardas aplicables al tratamiento de datos sensibles de postulantes o trabajadores; o recomendar al área de TI qué medidas mínimas de seguridad deben adoptarse antes de implementar una nueva herramienta que trate datos personales.
A su vez, Implementar supone traducir ese marco normativo en estructuras organizacionales concretas, mediante la elaboración o actualización de políticas de privacidad, la creación de procedimientos para la atención de derechos ARCO, la definición de flujos de gestión de incidentes de seguridad, el establecimiento de criterios de conservación y eliminación de datos, o la implementación del Registro de Actividades de Tratamiento. Implementar no significa ejecutar tareas operativas, sino asegurar que la organización cuente con procesos formales, exigibles y verificables que permitan demostrar, frente a la Autoridad, que el cumplimiento no quedó en declaraciones, sino que se materializó en acciones concretas, documentadas y trazables.
Adicionalmente, otra de las funciones del Oficial de Datos Personales es cooperar con la Autoridad Nacional de Protección de Datos Personales y actuar como su punto de contacto institucional. Esta función resulta especialmente relevante durante fiscalizaciones, requerimientos de información, investigaciones preliminares, procedimientos administrativos sancionadores y en la gestión de incidentes de seguridad que involucren datos personales.
En la práctica, ello implica que el Oficial sea el canal único y articulador entre la organización y la Autoridad: recibe los oficios y notificaciones, coordina internamente la recopilación de información con las áreas legales, técnicas y operativas, valida la consistencia de las respuestas y asegura que toda comunicación enviada refleje fielmente la realidad de los tratamientos de datos personales y cuente con sustento documental verificable. De manera particular, en el caso de incidentes de seguridad, el Oficial debe además coordinar la evaluación del impacto, la decisión sobre la notificación a la Autoridad y, de ser el caso, la remisión de información complementaria sobre las medidas de contención y remediación adoptadas.
En ese sentido, un Oficial de Datos preparado debe estar en capacidad de demostrar diligencia procedimental frente a la Autoridad, lo que se traduce en indicadores concretos como los tiempos de respuesta a los requerimientos, el porcentaje de comunicaciones enviadas dentro de los plazos otorgados, la coherencia entre lo declarado y lo evidenciado, y el nivel de completitud y trazabilidad de la documentación remitida.
Ahora bien, todas las funciones antes descritas —verificar, asesorar, implementar y actuar como punto de contacto frente a la Autoridad— no pueden ejecutarse de manera aislada ni con el mismo nivel de intensidad respecto de todos los tratamientos de datos personales. Precisamente por ello, el Reglamento introduce un criterio transversal que orienta y jerarquiza la actuación del Oficial de Datos Personales: el enfoque basado en riesgos.
En efecto, el artículo 39.2 establece que el Oficial debe desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, considerando la naturaleza, el alcance, el contexto y los fines de cada tratamiento. Esta disposición no es accesoria ni meramente declarativa, sino que constituye, probablemente, la función más relevante del Oficial de Datos Personales, en tanto determina cómo prioriza su tiempo, sus recursos y sus acciones dentro de la organización.
Bajo esta lógica, el Oficial de Datos Personales no puede proteger aquello que desconoce. Por ello, el punto de partida del enfoque basado en riesgos es contar con un Registro de Actividades de Tratamiento (RAT) entendido, ante todo, como un inventario de los procesos de la organización que implican tratamiento de datos personales. El RAT permite identificar en qué etapas del negocio se recogen, utilizan, almacenan, comparten o eliminan datos personales y, sobre esa base, visualizar dónde existen puntos de exposición. Si estos procesos no se encuentran mapeados, la organización queda expuesta a contingencias relevantes: tratamientos sin base legal, usos no previstos, accesos indebidos o flujos de datos no controlados que pueden derivar en infracciones o brechas de seguridad sin que la propia organización tenga visibilidad de ello.
En la práctica, elaborar un RAT exige que el Oficial trabaje de forma coordinada con las distintas áreas de la organización, levantando información directamente desde los procesos reales y no desde supuestos ideales. Esto implica identificar cada actividad de tratamiento, documentar sus finalidades específicas, precisar la categoría de datos involucrados, determinar la base legal que legitima el tratamiento, definir los plazos de conservación, identificar transferencias o encargados y registrar las medidas de seguridad implementadas. Un RAT bien elaborado debe reflejar fielmente la operación diaria de la organización y mantenerse actualizado frente a cualquier cambio relevante en los procesos, tecnologías o finalidades del tratamiento.
A partir del RAT, el Oficial de Datos Personales puede evaluar y asignar un nivel de riesgo a cada tratamiento, considerando factores como el volumen de datos tratados, la sensibilidad de la información, el número de titulares afectados, las tecnologías empleadas y el potencial impacto sobre los derechos y libertades de las personas. Este ejercicio permite pasar del inventario a la gestión: identificar tratamientos críticos, priorizar controles y medidas de seguridad, determinar cuándo corresponde realizar una evaluación de impacto y justificar, frente a la Autoridad, que las decisiones adoptadas fueron proporcionales y razonables. Solo de este modo, el enfoque basado en riesgos deja de ser un principio abstracto y se convierte en una herramienta operativa que guía la actuación cotidiana del Oficial y sustenta una verdadera gobernanza de datos personales.
En este contexto, la entrada en vigor del Decreto Legislativo N° 1700, que modifica la Ley de Delitos Informáticos e incorpora el delito de adquisición, posesión y tráfico ilícito de datos personales, introduce un nuevo umbral de exigencia para el rol del Oficial de Datos Personales. A partir de esta modificación, ya no resulta suficiente verificar únicamente que los tratamientos cuenten con una base legal formal, sino que el Oficial tiene la obligación reforzada de supervisar los flujogramas completos de datos personales y verificar que estos provengan de fuentes lícitas.
Ello implica revisar cómo se recopilan los datos, de dónde se obtienen, si han sido obtenidos directamente del titular o a través de terceros, y si existe trazabilidad suficiente que permita descartar que provengan de accesos indebidos, brechas de seguridad o mercados ilegales de datos.
En definitiva, el rol del Oficial de Datos Personales solo adquiere sentido real cuando sus funciones se miden y reportan mediante métricas objetivas (KPIs). En un modelo de responsabilidad proactiva, no basta con afirmar que se verifica, asesora o implementa: estos esfuerzos deben reflejarse en indicadores que permitan evaluar el nivel real de cumplimiento y gestión del riesgo. Resulta así relevante, por ejemplo, contrastar el número de clientes o titulares con el número de consentimientos válidos y trazables, medir el porcentaje de tratamientos identificados en el RAT que cuentan con base legal, o monitorear los tiempos de atención de derechos ARCO e incidentes de seguridad. Medir no es un ejercicio estadístico, sino una herramienta de control: lo que no se mide no se gestiona.
En ese sentido, el valor del Oficial de Datos Personales no radica en su designación formal, sino en su capacidad de convertir obligaciones legales en procesos medibles, evidenciables y defendibles frente a la Autoridad.
