Con la entrada en vigencia del nuevo Reglamento de la Ley de Protección de Datos Personales en 2024, el rol del Oficial de Datos Personales (ODP) pasó de ser una figura poco desarrollada a convertirse en un componente central del sistema de cumplimiento en materia de privacidad.
Para atender ese vacío, la Autoridad Nacional de Protección de Datos Personales aprobó una directiva específica que desarrolla de manera detallada las reglas para la designación, desempeño e independencia funcional del ODP, aplicables tanto al sector público como al privado.
Pero también plantea interrogantes sobre su aplicación práctica: ¿el esquema propuesto logra un equilibrio adecuado entre la protección de los derechos de los titulares de datos y las cargas organizativas y operativas que asumen las entidades obligadas?, ¿la regulación prioriza criterios de riesgo o traslada nuevos costos de cumplimiento a empresas y organizaciones, incluso medianas y pequeñas?
LEA TAMBIÉN: Redes sociales y empleo: los errores comunes que afectan tu marca personal
La directiva que desarrolla la figura del Oficial de Datos Personales (ODP) precisa por primera vez estándares mínimos obligatorios de experiencia, formación e idoneidad para quienes asuman este rol, además de regular su designación y funciones.
El documento parte de la idea de que el ODP es un especialista técnico en protección de datos, y no un cargo meramente formal, por lo que exige experiencia previa en la materia, conocimientos acreditados y criterios de independencia funcional.
Estas exigencias aplican tanto a entidades públicas como a empresas y organizaciones privadas que se encuentren obligadas a designarlo conforme al Reglamento de la Ley N.º 29733.
En paralelo, la norma define cuándo es obligatoria la designación del ODP. En el sector público, la obligación es general. En el sector privado, se activa cuando se realizan tratamientos de grandes volúmenes de datos personales o cuando la actividad principal o giro del negocio requiere el tratamiento de datos sensibles.
Nueva directiva del ODP: más exigencias, menos margen y dudas sobre su aplicación práctica. (Crédito: Freepik)
Para identificar los tratamientos de gran volumen, la directiva introduce una metodología basada en criterios de riesgo que evalúa el número de titulares, el tipo de datos, la finalidad del tratamiento, su frecuencia y la ubicación de los bancos de datos, especialmente cuando se utilizan infraestructuras fuera del territorio nacional.
Respecto de su actuación, la directiva delimita con precisión el rol del ODP. Sus funciones se concentran en la supervisión del cumplimiento normativo, la identificación de riesgos, el asesoramiento en evaluaciones de impacto y la orientación sobre la atención de los derechos de los titulares de datos.
Al mismo tiempo, establece límites claros: el ODP no decide la finalidad ni los medios del tratamiento, no ejecuta operaciones sobre los datos y no asume la responsabilidad legal de la entidad.
La norma refuerza su independencia funcional y fija obligaciones formales de designación, publicidad y adecuación, otorgando un plazo de hasta 180 días calendario para que las entidades ya obligadas se ajusten a los nuevos estándares.
LEA TAMBIÉN: ANP critica proyecto de ley que crea el delito de revelación de información reservada
Una directiva necesaria, pero publicada fuera de tiempo
Tanto Giancarlo Baella, socio de Hernández & Cía, como Carol Quiroz, socia del Estudio Olaechea, coinciden en que la directiva sobre el Oficial de Datos Personales era un desarrollo esperado y previsto por el propio reglamento aprobado en 2024.
El reglamento introdujo nuevas obligaciones —como el ODP, el reporte de incidentes de seguridad y la portabilidad— reconociendo que varios de esos temas requerían precisiones posteriores mediante lineamientos o directivas.
Sin embargo, ambos advierten que la directiva fue publicada después de que venciera el primer plazo de cumplimiento, lo que obligó a varias empresas a designar y comunicar a su ODP sin contar aún con criterios claros sobre perfil, experiencia, formación o formalidades.
Desde su lectura, ello genera un primer problema práctico: decisiones adoptadas de buena fe que hoy deben ser reevaluadas bajo estándares que no estaban disponibles al momento del cumplimiento.
De reglas generales a exigencias técnicas concretas
Baella y Quiroz destacan que el reglamento regulaba al ODP de forma amplia, limitándose a exigir “conocimientos acreditados”, mientras que la directiva introduce por primera vez umbrales específicos de experiencia y formación.
Ambos señalan que ahora se exige una experiencia mínima —general y específica—, así como estudios de posgrado, certificaciones o diplomados con una carga horaria definida, lo que eleva el estándar profesional del cargo.
En ese punto, los abogados coinciden en que muchas empresas no tenían forma de anticipar estos requisitos.
Ello afecta tanto a quienes ya nombraron a su ODP como a quienes invirtieron en capacitaciones que podrían no cumplir con las horas exigidas, obligando a nuevas evaluaciones internas o a mayores inversiones en formación.
Entre el estándar técnico y la carga regulatoria: las claves de la nueva directiva del ODP | Foto: Referencial
LEA TAMBIÉN: Gobierno descarta que propuesta sobre revelación de información reservada sea una “Ley Mordaza”
Formalidades y reordenamiento interno
Un segundo cambio relevante identificado por ambos es el endurecimiento de las formalidades para la designación. Mientras antes bastaban actos internos simples —como memorandos—, la directiva exige ahora un acto formal aprobado por el máximo órgano de la organización.
Según explican, esto obliga a revisar nombramientos ya realizados y a incorporar el tema en juntas de socios, directorios o asambleas, lo que introduce tiempos y costos adicionales en la gestión corporativa.
Este punto, complementan, no es menor en organizaciones que ya habían cerrado su planificación o presupuesto anual cuando se publicó la directiva.
Costos, recursos y un mercado con posibles limitaciones
En cuanto al impacto económico, ambos coinciden en que la exigencia de dotar al ODP de recursos, herramientas y condiciones suficientes introduce interrogantes presupuestales, especialmente en el sector privado.
Quiroz subraya que estos costos pueden trasladarse a las empresas, mientras que Baella alerta sobre una posible escasez de perfiles que cumplan con todos los requisitos, considerando que la obligación es progresiva y se extenderá a medianas y pequeñas empresas en los próximos años.
Desde su análisis, este escenario obliga a ponderar cómo se fiscalizará el cumplimiento en el corto plazo y si se considerará un margen razonable de adecuación.
LEA TAMBIÉN: Minería peruana en jaque: cibercriminales filtran información de empresas en la Dark Web
Abogado especialista encargado de Enfoque Legal en Diario Gestión - Actualmente, ocupa la posición de analista legal en el área de Economía en el Diario Gestión.
