Protección de datos personales

El nuevo Reglamento de la Ley de Protección de Datos Personales (Decreto Supremo n.°016-2024-JUS) introdujo obligaciones puntuales para el sector privado: definir políticas de privacidad, reforzar seguridad, gestionar derechos ARCO y, en ciertos casos, designar un Oficial de Datos Personales (ODP). En el presente artículo abordamos los principales aspectos de la normativa sobre el tema.

El 31 de diciembre 2025, fue publicada la Resolución Directoral n.°100-2025-JUS-DGTAIPD, que aprueba la Directiva que establece las disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales.

¿Qué son datos personales y qué busca proteger la norma?

Dato personal es cualquier información que identifica o puede identificar a una persona: nombre, DNI, dirección, correo, teléfono, datos financieros, laborales, académicos, geolocalización, imagen, voz, o identificadores en línea. Cuando la información revela aspectos íntimos (salud, biometría, ideología, orientación sexual, convicciones religiosas o sindicales), hablamos de ‘datos sensibles’, con exigencias reforzadas. La finalidad de la norma es asegurar el respeto al derecho fundamental a la vida privada, la integridad y la autodeterminación informativa, previniendo filtraciones, usos no autorizados y discriminación.

LEA TAMBIÉN:

Obligaciones generales para quienes tratan datos personales

Inscribir bancos de datos personales ante la Autoridad Nacional de Protección de Datos Personales- ANPDP.
Implementar medidas de seguridad organizativas, físicas y tecnológicas y aprobar un documento de seguridad con fecha cierta.
Informar y obtener consentimiento válido (cuando corresponda), con transparencia y responsabilidad proactiva.
Garantizar y atender derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Notificar incidentes de seguridad a la Autoridad dentro de 48 horas de detectados.
Gestionar transferencias internacionales solo si el país receptor ofrece nivel adecuado de protección o mediante salvaguardas.

¿Quiénes están obligados a designar un ODP?

La obligación de designar a un ODP está condicionada al tipo y volumen de tratamiento de datos. Estas condiciones, así como el perfil que debe cumplir el ODP, han sido consignadas en la directiva aprobada el 31 de diciembre 2025, lo cual genera un evidente desfase, sobre todo, para aquellas entidades que tenían plazo hasta el 30 de noviembre 2025 para su designación.

Esta directiva indica que están obligados a designar un ODP, quienes realizan el tratamiento de “grandes volúmenes” de datos personales, o cuando su actividad principal requiera de datos sensibles. Así, los criterios para determinar el volumen bajo, medio, alto, son los siguientes:

A (número de titulares comprendidos en el tratamiento)

B (sensibilidad y tipología de los datos personales) se refiere a cualquier operación sobre los datos personales o conjunto de datos

C (Finalidad del tratamiento de datos o riesgo asociado)

D (frecuencia, duración, o continuidad del tratamiento de datos)

E (demarcación territorial del tratamiento de datos

Calendario progresivo por ingresos (siempre que encuadren en alguna de las situaciones que obligan a designar ODP

Mayor a 2,300 UIT: hasta 30/11/2025
1,700–2,300 UIT: hasta 30/11/2026.
150–1,700 UIT: hasta 30/11/2027.
Mayor a 150 UIT: hasta 30/11/2028.

¿Quién puede ser designado como ODP?

El ODP debe cumplir con:

a) Experiencia mínima: 2 años de experiencia general en protección de datos personales o materias afines; o 1 año de experiencia específica en funciones directamente vinculadas a protección de datos.

b) Formación: estudios de posgrado, certificaciones (igual o mayor a 90 horas) o diplomados (igual o mayor a 120 horas) en protección de datos o áreas relacionadas; o experiencia acreditada en docencia o investigación sobre la materia

c) Idoneidad ética: sin condenas por delitos dolosos, ni sanciones disciplinarias vinculadas a tratamiento de información; si es persona jurídica contratada como “ODP externo”, esta no debe haber sido sancionada ni inhabilitada para contratar con el Estado.

d) Independencia funcional: el OPD no recibe instrucciones sobre sus opiniones técnicas; no determina fines ni medios del tratamiento; no puede ser sancionado o removido por ejercer sus funciones técnicas.

¿Qué funciones tiene el Oficial de Datos Personales?

– Supervisar el cumplimiento normativo en protección de datos.

– Atender solicitudes de derechos ARCO.

– Coordinar la notificación de incidentes de seguridad en 48 horas.

– Capacitar al personal y promover cultura de privacidad.

Sanciones por incumplimiento

No designar ODP dentro del plazo cuando corresponde: infracción leve con multa de hasta 5 UIT. Incumplimientos graves/muy graves (por ejemplo, falta de medidas de seguridad, uso sin consentimiento, mal manejo de datos sensibles): hasta 100 UIT. La subsanación extemporánea puede atenuar, pero no elimina la infracción.

Cómo cumplir

1) Diagnóstico de obligación: determinar si la empresa encuadra en los supuestos señalados (volumen de ingresos, sensibilidad, riesgo).

2) Designación formal: resolución/carta interna; definir perfil, independencia y recursos.

3) Publicación: datos de contacto del ODP en web/política de privacidad.

4) Comunicación: informar a la ANPDP dentro de 15 días calendario vía Mesa de Partes del MINJUSDH.

5) Plan de trabajo del ODP: documento de seguridad; inventario y mapa de datos; gestión de derechos ARCO; capacitación; protocolo de incidentes (48 horas); gobernanza de proveedores y transferencias internacionales; auditoría periódica.

Necesidad de corrección

Reiteramos que la obligación de designar al Oficial de Protección de Datos se encuentra condicionada al tipo y volumen de tratamiento de datos personales realizado por cada entidad. No obstante, la Directiva que precisa dichas condiciones y el perfil exigido para el OPD fue aprobada recién el 31 de diciembre de 2025, generando un desfase normativo respecto del plazo previsto en el Reglamento aprobado por el Decreto Supremo n.°016‑2024‑JUS, que establecía como fecha límite de designación el 30 de noviembre de 2025 para determinadas entidades. Esta situación resulta susceptible de generar perjuicios a las organizaciones obligadas, por lo que se considera necesario que sea corregida a fin de asegurar coherencia normativa y respeto al principio de razonabilidad en la implementación de la obligación.

LEA MÁS:

Cerca de 60 000 contribuyentes deberán presentar la declaración del beneficiario final

Agroexportaciones superan los USD 13 300 millones en los primeros once meses del año 2025

Expectativas de inflación a 12 meses bajan a 2.13 % en diciembre de 2025

Informe Legal

Protección de datos personales: Obligaciones, Calendario y Designación del Oficial (ODP)

¿Qué son datos personales y qué busca proteger la norma?

Obligaciones generales para quienes tratan datos personales

¿Quiénes están obligados a designar un ODP?

¿Quién puede ser designado como ODP?

¿Qué funciones tiene el Oficial de Datos Personales?

Sanciones por incumplimiento

Cómo cumplir

Necesidad de corrección

CCL Conectados

Noticias

Jed Security consolida liderazgo en seguridad corporativa

Historias de Éxito

La historia de éxito de WME Contrata, empresa peruana con 18 años en el rubro HVAC

Nuestros asociados

Panetón sin octógonos: conoce Bio Panettone, la propuesta de Omegalife

Contáctanos

Suscríbete para recibir nuestras novedades

¿Qué son datos personales y qué busca proteger la norma?

Obligaciones generales para quienes tratan datos personales

¿Quiénes están obligados a designar un ODP?

¿Quién puede ser designado como ODP?

¿Qué funciones tiene el Oficial de Datos Personales?

Sanciones por incumplimiento

Cómo cumplir

Necesidad de corrección

CCL Conectados

Noticias

Jed Security consolida liderazgo en seguridad corporativa

Historias de Éxito

La historia de éxito de WME Contrata, empresa peruana con 18 años en el rubro HVAC

Nuestros asociados

Panetón sin octógonos: conoce Bio Panettone, la propuesta de Omegalife

Contáctanos