El nuevo desafío del Oficial de Datos

La obligación de contar con un Oficial de Datos Personales (ODP) ya es una realidad para las empresas con mayores ingresos en el país, y pronto lo será también para las medianas y pequeñas. Ello siempre y cuando (i) el giro de negocio o la actividad principal de la empresa requiera el tratamiento de datos o (ii) en caso se traten grandes volúmenes de datos.

Desde una perspectiva laboral, esta nueva figura plantea interrogantes relevantes que merecen ser analizadas con detenimiento, ¿debo contar con un ODP, de ser así, ¿conviene incorporar al ODP a la planilla o contratarlo externamente? ¿Cuál es el perfil que requiere el cargo? ¿Es necesario aumentar el headcount o puede asumirlo un trabajador actual?

Estas interrogantes no son menores, pues de su respuesta depende no solo el cumplimiento regulatorio, sino la adecuada gestión de los riesgos asociados a los datos personales. Tomar una mala decisión podría significar multas, demandas por daños, contingencias laborales, repercusiones reputaciones y, ahora, con la reciente modificación a la Ley de Delitos Informáticos, consecuencias incluso penales.

LEA TAMBIÉN: Inteligencia Artificial y empleo: nuevas obligaciones laborales para las empresas peruanas

¿Trabajador o consultor externo?

Una de las flexibilidades más relevantes que ofrece la normativa es que el ODP puede desempeñar otras funciones en la empresa o ser una persona externa a la compañía. Esta disposición otorga libertad para incorporar al ODP a la planilla o contratar sus servicios externamente.

Desde el ámbito laboral, existen cuatro opciones principales: (i) contratar a un nuevo trabajador; (ii) designar a un trabajador actual mediante convenio de modificación de funciones; o (iii) contratar a un locador de servicios externo de manera directa o (iv) a través de una tercerización, debiendo prestar servicios de manera independiente y no subordinada. En todos los casos, la designación recae en una persona natural, quien será el punto de contacto ante la Autoridad Nacional de Protección de Datos Personales (ANPD).

LEA TAMBIÉN: Tercerización laboral: fallo clave del 2026

¿Cuál es el perfil?

El Reglamento de la Ley de Protección de Datos Personales y la reciente Directiva que regula esta materia establecen que el ODP debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos y práctica en materia de protección de datos personales debidamente acreditados. Los requisitos específicos incluyen una experiencia general no inferior a dos años en labores afines como seguridad de la información, ciberseguridad o gobierno digital, así como una experiencia específica mínima de un año en protección de datos personales.

A nivel de formación académica, la Directiva menciona que se puede acreditar mediante estudios de posgrado afines o certificados de especialización con mínimo noventa horas lectivas, o diplomados de ciento veinte horas lectivas. Sin embargo, estos parámetros resultan ser orientativos y no resultan requisitos obligatorios, pues la propia Directiva reconoce como materias afines tales como la seguridad y gestión de la información, la ciberseguridad, el gobierno digital, la inteligencia artificial, entre otros, lo que debería ampliar el universo de perfiles compatibles con el cargo.

Este criterio flexible adoptado por la Autoridad responde a una realidad del mercado laboral peruano. La protección de datos personales es una especialidad relativamente reciente en el país, por lo que los profesionales que reúnen la experiencia específica exigida por la norma son aún escasos en el mercado laboral. Esta dificultad se acentuará conforme las medianas y pequeñas empresas deban cumplir con la obligación en los próximos años, incrementando la demanda por un talento en esta materia.

LEA TAMBIÉN: ¿Bono o concepto no remunerativo? Criterios clave para no caer en contingencias

Autonomía y responsabilidades

Quizás el aspecto más particular desde la perspectiva laboral radica en la autonomía técnica que debe caracterizar al ODP. La Directiva señala que ejerce sus funciones con independencia funcional, lo que implica que la empresa no puede instruirlo sobre el contenido de sus opiniones o decisiones técnicas. Esta garantía se refuerza con la prohibición de sancionar, remover o tomar represalias contra el ODP por el contenido de sus informes u opiniones.

No obstante, cuando las recomendaciones del ODP no sean seguidas, debe dejarse constancia expresa de ello para acreditar que su rol técnico fue ejercido y que la decisión final corresponde a la organización. Esta documentación cobra especial relevancia tras la reciente modificación a la Ley de Delitos Informáticos mediante el Decreto Legislativo 1700, que tipifica la adquisición, posesión y tráfico ilícito de datos personales.

Este cambio legislativo transforma la gestión de datos en una fuente directa de riesgo ya no solo administrativo o civil sino penal. La procedencia de la información, la trazabilidad de las bases de datos y las decisiones sobre tratamiento adquieren ahora una importancia fundamental.

Sin embargo, el haber designado un ODP no implica que la responsabilidad por los incumplimientos de la normativa de protección de datos recaiga en esta persona. Debemos ser muy claros en señalar que la designación del ODP no implica la transferencia o exoneración de las responsabilidades atribuidas a las empresas por incumplimientos de la Ley de Protección de Datos Personales y su Reglamento.

Finalmente, es importante tener en cuenta que, si bien la Directiva del ODP fue publicada el 31 de diciembre de 2025, la obligación de designar un oficial de datos se encuentra vigente desde el 30 de setiembre del 2025. Ante esta publicación tardía, la Autoridad Nacional de Datos personales ha señalado (de manera informal) que el plazo de adecuación 180 días establecido para el sector público también es extensivo para el sector privado, por lo que las empresas tienen hasta el 29 de junio de 2026 para adecuarse a las disposiciones de dicha directiva.