Por Crosbby Buleje.

Asociado Principal del estudio Echecopar y abogado especialista en Derecho de la Competencia

  1. Introducción

La protección de los datos personales se ha convertido en un eje fundamental de la gestión empresarial moderna. En el Perú, la Ley N.º 29733, Ley de Protección de Datos Personales (la LPDP), y su Reglamento aprobado por el Decreto Supremo N.º 016-2024-JUS (el Nuevo Reglamento), establecen el marco normativo que regula el tratamiento de datos personales por parte de las organizaciones. El Nuevo Reglamento, recientemente aprobado, alinea en cierta medida el marco normativo peruano a los estándares internacionales más rigurosos, como el Reglamento General de Protección de Datos Personales de la Unión Europa, incorporando muchas de sus obligaciones.

Una de estas es la obligación de designar un Oficial de Datos Personales (el ODP). En efecto, el Reglamento establece que las organizaciones que cumplan con determinados requisitos -los cuales se abordarán más adelante-, deberán designar un ODP desde este año.

  1. El ODP

El Nuevo Reglamento define al ODP como la persona designada por el responsable de tratamiento o encargado del tratamiento de datos personales para la verificación, asesoramiento e implementación del cumplimiento del régimen jurídico sobre protección de datos personales.

A partir de la definición establecida en el Nuevo Reglamento, un primer aspecto relevante a considerar es que la obligación de designar un ODP recae tanto sobre las entidades que actúan como responsables del tratamiento —es decir, aquellas que deciden sobre la finalidad y medios del tratamiento de los datos personales, como un empleador respecto de la información de sus trabajadores, como sobre aquellas que actúan como encargadas del tratamiento, es decir, que procesan datos por cuenta del responsable, como, por ejemplo, podría ser una empresa de servicios de planilla contratada por un empleador.

Esta precisión es fundamental, ya que implica que la responsabilidad en materia de protección de datos no se limita únicamente a la información que una organización recolecta directamente, sino que también se extiende a los datos que trata en nombre de terceros. En consecuencia, las obligaciones legales, técnicas y organizacionales —incluida la designación del ODP— aplican de manera transversal a todas las operaciones de tratamiento, reforzando el deber de diligencia y cumplimiento normativo en toda la cadena de tratamiento de datos personales.

La designación de un ODP constituye una manifestación concreta del principio de seguridad, el cual exige a los responsables del tratamiento adoptar medidas legales, técnicas y organizacionales para garantizar la confidencialidad, integridad y disponibilidad de los datos personales. El ODP representa una medida organizacional clave que articula y supervisa la implementación de otras medidas técnicas (como controles de acceso, cifrado o auditorías) y legales (como políticas internas y cláusulas contractuales).

Asimismo, la designación de un ODP refleja la aplicación del principio de responsabilidad proactiva, que impone a las organizaciones no solo el deber de cumplir con la normativa, sino también de demostrar que han adoptado medidas eficaces para proteger los datos personales. El ODP es el encargado de coordinar acciones como la elaboración del documento de seguridad, la gestión de incidentes, la capacitación del personal y la atención de los derechos ARCO, lo que permite a la organización evidenciar ante la Autoridad Nacional de Protección de Datos Personales (la “ANPD”) que actúa con diligencia y previsión.

  1. Funciones del ODP

De acuerdo con el Nuevo Reglamento, el ODP deberá tener como mínimo las siguientes funciones:

  1. Informar y asesorar al titular del banco de datos personales o al responsable del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales respecto de las obligaciones establecidas en la LPDP, el Nuevo Reglamento y demás disposiciones en materia de protección de datos.
  2. Supervisar el cumplimiento de la LPDP, el Nuevo Reglamento y demás disposiciones en materia de protección de datos personales, así como de las políticas de tratamiento de datos personales, incluida la asignación de responsabilidades, la sensibilización y formación del personal que participa en las operaciones de tratamiento, y las auditorías que se realicen.
  3. Cooperar, en lo que resulte pertinente, con la ANPD para el desempeño de sus fines y atribuciones.
  4. Actuar como punto de contacto de la ANPD para cuestiones relativas al tratamiento de datos personales.

Siguiendo la práctica comparada —especialmente la europea—, existen otras responsabilidades que, de manera más detallada, suelen recaer en el ODP:

a) Gestión de derechos ARCO: Coordinar la atención de solicitudes de acceso, rectificación, cancelación y oposición por parte de los titulares de datos.

b) Participación en nuevos proyectos: Evaluar el cumplimiento normativo en iniciativas que impliquen el tratamiento de datos personales

Como se puede observar, el rol que desempeñará el ODP es muy significativo para la organización.

Un caso que evidencia la relevancia del ODP es el de una investigación a una reconocida cadena hotelera, que sufrió una filtración masiva que expuso los datos personales de aproximadamente 500 millones de clientes, incluyendo información sensible como números de pasaporte, tarjetas de crédito y direcciones. En este contexto, el ODP desempeñó un papel crucial dado que lideró la investigación forense para rastrear el origen del incidente, coordinó con los equipos de TI y ciberseguridad para cerrar brechas y mejorar la segmentación de datos, y gestionó la notificación oportuna a los clientes y autoridades regulatorias, lo que permitió mitigar el impacto reputacional y evitar sanciones más severas, demostrando así cómo la intervención activa y estratégica del ODP es esencial para una respuesta eficaz ante incidentes y para fortalecer la cultura de cumplimiento dentro de la organización.

Se puede apreciar que el ODP no es un elemento decorativo, sino una pieza funcional del sistema de seguridad de la información, ya que su rol está orientado a prevenir, detectar y mitigar riesgos relacionados con el tratamiento de datos personales.

  1. Requisitos y perfil del ODP

El Nuevo Reglamento es flexible en cuanto a los requisitos del ODP. Establece que puede ser una persona interna o externa a la organización. Ello implica que incluso se pueden contratar los servicios de ODP (ODP as a service). No obstante, esta opción tiene sus desventajas debido a que, en este escenario, la entidad externa deberá hacer un análisis de brechas y medidas a adoptar antes de asumir la función, lo que podría dilatar su designación, sin perjuicio de que también el responsable o encargado del tratamiento de datos personales deberán compartir información sobre todos sus procesos internos, lo que puede implicar la entrega de información sensible.

Si el ODP es un trabajador, no requiere ser a tiempo exclusivo. Asimismo, señala que los grupos económicos pueden designar a un único ODP en la medida que pueda ejercer su rol de manera efectiva.

En cuanto al perfil, el Nuevo Reglamento establece que el ODP debe contar con conocimientos y práctica en materia de protección de datos personales, debidamente acreditados. Asimismo, hace referencia a que debe tener la capacidad de gestionar riesgos relacionados a esta materia.

En nuestra opinión, otros aspectos que debe cumplir el perfil del ODP están relacionados con la familiaridad con las operaciones de tratamiento de datos de la organización y conocimientos en seguridad de la información. Además, debe tener un seniority y contar con los recursos necesarios para cumplir con su rol de manera adecuada.

Ahora bien, respecto de qué área debe provenir (Ej. IT o legal), el Nuevo Reglamento no establece algún requisito. Sin embargo, en la práctica será necesario que tenga cercanía con las actividades de procesamiento de datos personales.

  1. Supuestos en los que se gatilla la obligación de designar un ODP

La designación de un ODP es obligatoria en los siguientes tres supuestos:

  1. Cuando el tratamiento de datos personales lo realiza una entidad pública;
  2. Cuando el titular del banco de datos, el responsable o el encargado del tratamiento realicen tratamientos de grandes volúmenes de datos personales, ya sea por la cantidad o por el tipo de datos tratados, o cuando dicho tratamiento pueda afectar a un gran número de personas, incluya datos sensibles, o pueda generar un perjuicio evidente a otros derechos o libertades de los titulares de los datos; o,
  3. Cuando las actividades principales o el giro de negocio del titular, responsable o encargado impliquen el tratamiento de datos sensibles, como parte esencial de sus operaciones. Esto aplica, por ejemplo, a clínicas, aseguradoras de salud, entidades educativas con datos biométricos, entre otros.

Los supuestos 1 y 3 son relativamente claros. Sin embargo, el supuesto 2 no lo es y la exposición de motivos de la norma tampoco ayuda a tener claridad. La redacción de este supuesto pareciera señalar que basta con que el responsable o encargado del tratamiento traten datos sensibles para estar sujeto a la obligación. En esa línea, podría considerarse que incluso una compañía con dos trabajadores, respecto de los cuales maneja sus datos de salud, sin importar el volumen ni el contexto, estaría obligada a designar un ODP, lo cual resultaría desproporcionado.

Una interpretación sistemática y finalista del artículo sugiere que los elementos centrales que gatillan la obligación son el tratamiento de “grandes volúmenes” de datos personales o la potencialidad de afectar a un “gran número” de personas, y que las demás condiciones (tipo de datos, número de personas afectadas, perjuicio potencial) deben entenderse como factores cualitativos que agravan o contextualizan ese volumen, no como condiciones autónomas. Es decir, no basta con que se traten datos sensibles, debe tratarse de un tratamiento significativo en escala, impacto o riesgo.

Lamentablemente, el reglamento no define expresamente qué se entiende por “grandes volúmenes”, lo que deja margen a la interpretación caso por caso. La misma situación ocurre con los conceptos relacionados con una posible afectación a un “gran número” de personas o pueda generar “un perjuicio evidente a otros derechos o libertades” de los titulares de los datos.

Está pendiente que la ANPD emita lineamientos para definir cuándo nos encontramos en estas situaciones. Al respecto, otras autoridades extranjeras han emitido lineamientos y no hay un criterio uniforme. De hecho, todas coinciden en que depende del caso en concreto, pero colocan algunos ejemplos que pueden servir de guía. Por ejemplo, hacen referencia a que 10,000 registros si se tratan de datos personales en general o 5,000 registros si estamos ante datos sensibles constituyen un gran volumen. Otros factores que son considerados para el análisis de la posible afectación a los titulares de datos personales son si el tratamiento de datos se realiza a nivel regional, nacional o internacional o cuántas personas podrían verse afectadas si sucede un incidente de seguridad. En cuanto al perjuicio a otras libertades y derechos, se considera si un potencial acceso no autorizado a los datos podría generar situaciones de discriminación, exclusión, daño reputacional, o pérdida económica de los titulares de datos. Parte de estos lineamientos, también establecen actividades económicas de referencia que sí requerirían designar un ODP como la de los centros de salud, entidades financieras, empresas de telecomunicaciones, o proveedores de servicios digitales que elaboren perfiles a gran escala.

  1. Proceso de designación del ODP

Aunque el Nuevo Reglamento no establece un procedimiento formal para la designación del ODP, un proceso sugerido, con base en nuestra experiencia es el siguiente:

  • Evaluación de necesidad: Consiste en analizar si la organización está en alguno de los tres supuestos enumerados en el punto anterior.
  • Definición del perfil: Supone definir el tipo de formación (Ej. jurídica o técnica), la experiencia (Ej. en cumplimiento normativo) y otras habilidades blandas necesarias para el puesto.
  • Selección del candidato: Puede ser un profesional interno o externo, siempre que cumpla con los requisitos. Si es interno, la organización debe garantizar que el ODP no tenga conflictos de interés con otras funciones.
  • Nombramiento formal: Se recomienda emitir un acto administrativo interno (acta, contrato u otro mecanismo de designación formal) que documente la decisión y establezca las funciones del ODP.
  • Registro y comunicación: Implica incluir la información de contacto del ODP en un lugar visible (Ej. la política de privacidad de la web) e informar a la ANPD en un plazo de 15 días hábiles de su designación.
  1. Importancia de la designación

No designar un ODP cuando se requiere constituye una infracción leve sancionable con una multa de hasta 5 UIT. Más allá de ello, la designación del ODP es clave y su importancia reside en que ayuda al cumplimiento normativo, la prevención de riesgos y el cuidado de la reputación empresarial, al demostrar que la protección de su información es una prioridad de la organización.

En un entorno cada vez más regulado y exigente, contar con un ODP también constituye una muestra de compromiso con la protección de los derechos fundamentales de las personas.

Artículos relacionadosMás del autor