1. ¿QUÉ ES UN OFICIAL DE DATOS PERSONALES?

El Oficial de Datos Personales (ODP) es una persona natural designada por las organizaciones para garantizar que el manejo de información personal cumpla con la normativa vigente. Su rol principal es asesorar, supervisar y verificar que los datos de las personas se traten de manera correcta y segura. El ODP actúa como un experto técnico independiente dentro de la organización, velando por el cumplimiento de los derechos de los titulares de datos y coordinando con la Autoridad Nacional de Protección de Datos Personales (ANPDP) cuando sea necesario.

2. ALCANCE DE LA DIRECTIVA

La figura del ODP fue establecida en el Reglamento de la Ley de Protección de Datos Personales (Decreto Supremo N° 016-2024-JUS), específicamente en sus artículos 37, 38 y 39. El 31 de diciembre de 2025, la ANPDP publicó la Directiva que desarrolla estos artículos mediante la Resolución Directoral N° 100-2025-JUS/DGTAIPD. Esta Directiva entró en vigor el 1 de enero de 2026 y establece con mayor detalle los criterios técnicos para determinar quién debe designar un ODP, qué perfil debe tener y cómo debe ejercer sus funciones. Las entidades que ya cuenten con un ODP designado tienen 180 días calendario desde la entrada en vigor de la Directiva para adecuar su designación a los nuevos estándares.

3. ¿QUIÉNES ESTÁN OBLIGADOS A DESIGNAR UN OFICIAL DE DATOS PERSONALES?

4. ¿CÓMO SABER SI MI EMPRESA PRIVADA ESTÁ OBLIGADA?

Para determinar si una empresa privada debe designar un ODP, es necesario evaluar si cumple con alguno de los dos supuestos siguientes:

SUPUESTO 1: TRATAMIENTO DE GRANDES VOLÚMENES DE DATOS

Para el sector privado, uno de los supuestos de obligación es el tratamiento de grandes volúmenes de datos personales. La determinación se realiza mediante una evaluación técnica que puede efectuar:

• • La propia empresa, aplicando la matriz de evaluación del Anexo 1 de la Directiva.
• • La ANPD cuando sea consultada o en ejercicio de sus funciones de supervisión.

NOTA: La empresa privada no necesita enviar una comunicación previa a la ANPDP para hacer su autoevaluación. Sin embargo, si tiene dudas, puede solicitar una opinión técnica a la ANPDP.

4.1 CRITERIOS DE EVALUACIÓN

La evaluación se realiza considerando cinco (5) criterios, divididos en dos (2) categorías:

4.2 NIVELES DE LOS CRITERIOS DETERMINANTES

Nota sobre el Criterio A:

• • Evalúa la cantidad total de personas naturales cuyos datos se encuentran en todas las bases de la empresa (clientes, trabajadores, prospectos, etc.), contando cada persona una sola vez, aunque aparezca en múltiples registros.

Nota sobre el Criterio B:

• • Evalúa cuántas veces se realizan operaciones específicas (recolección, consulta, uso, transferencia, etc.) sobre datos sensibles especialmente protegidos como: salud, biométricos (huella, reconocimiento facial), financieros, geolocalización, datos de menores de edad, origen étnico, convicciones religiosas, afiliación sindical, entre otros.
• • Importante: Se considera cada operación de tratamiento individual realizada sobre los datos de una persona. Por ejemplo, si una clínica consulta el historial médico de 3,000 pacientes diferentes, realiza 3,000 tratamientos individuales.

Nota sobre el Criterio C:

• • El nivel ALTO se presenta cuando el tratamiento puede generar decisiones que afecten significativamente a las personas, tales como: evaluación crediticia automatizada (scoring), vigilancia intensiva, perfilamiento detallado para decisiones importantes, telemarketing masivo, análisis que crucen múltiples bases de datos para inferir información sensible, o cualquier decisión automatizada con efectos legales o económicos relevantes.

4.3 NIVELES DE LOS CRITERIOS MODULADORES

Nota sobre el Criterio D:

• • Este criterio evalúa qué tan frecuente y sostenido es el tratamiento de datos. El nivel ALTO incluye sistemas que operan constantemente o procesan datos de manera automatizada en tiempo real. El nivel MEDIO abarca campañas recurrentes o procesos que se repiten con regularidad definida. El nivel BAJO se refiere a proyectos únicos, encuestas específicas o tratamientos limitados a eventos concretos.

Nota sobre el Criterio E:

• • El nivel ALTO incluye el uso de servicios en la nube extranjeros, servidores internacionales o accesos remotos desde el exterior (mediante VPN, SSH u otros protocolos). El nivel MEDIO se refiere a cualquier infraestructura nacional con posibles conexiones virtuales internas. El nivel BAJO corresponde a gestión completamente local sin exposición a internet.

4.4 REGLAS DE DECISIÓN

Una empresa califica como tratante de «GRAN VOLUMEN» si cumple con CUALQUIERA de estas tres condiciones:

4.4.1 EJEMPLOS DEL SUPUESTO I (1 CRITERIO DETERMINANTE EN NIVEL ALTO)

Ejemplo 1: E-commerce nacional con base masiva

Una tienda virtual con 65,000 clientes registrados que opera a nivel nacional (sólo en Perú). Trata datos básicos (nombre, DNI, dirección, correo, teléfono, historial de compras).

Conclusión: Al cumplir con el Criterio A en nivel Alto (≥50,000 titulares), la empresa califica automáticamente como tratante de «Gran Volumen» bajo el Supuesto I y debe designar un ODP.

Ejemplo 2: Fintech con scoring de IA

Una plataforma digital de préstamos cuenta con 15,000 usuarios y evalúa mediante algoritmos de IA su capacidad de pago para otorgar créditos, tomando decisiones automatizadas con efectos legales.

Conclusión: Aunque el Criterio A está en nivel Medio, el Criterio C (Finalidad y Riesgo) está en nivel Alto debido al scoring detallado y decisiones automatizadas. Bajo el Supuesto I, la empresa debe designar un ODP.

4.4.2 EJEMPLO DEL SUPUESTO II (2 CRITERIOS DETERMINANTES EN NIVEL MEDIO)

Ejemplo 3: Plataforma de servicios de salud digital

Una plataforma de telemedicina cuenta con 25,000 pacientes registrados y realiza 3,500 operaciones mensuales de procesamiento de datos de salud (consultas, recetas, diagnósticos). El tratamiento es administrativo sin decisiones automatizadas de alto impacto.

Conclusión: Al cumplir con 2 criterios determinantes en nivel Medio (A y B), la plataforma califica como tratante de «Gran Volumen» bajo el Supuesto II y debe designar un ODP.

4.4.3 EJEMPLO DEL SUPUESTO III (1 DETERMINANTE MEDIO + 1 MODULADOR MEDIO/ALTO)

Ejemplo 4: Empresa de marketing digital con tratamiento internacional

Una agencia de marketing digital cuenta con 18,000 contactos en su base de datos y realiza campañas de email marketing de forma continua (diaria). Los datos están almacenados parcialmente en servidores en la nube ubicados fuera del Perú. No realiza perfilamiento complejo ni trata datos sensibles masivamente.

Conclusión: La empresa cumple con 1 criterio determinante en nivel Medio (A) más 2 criterios moduladores en nivel Alto (D y E).

4.4.4 EJEMPLO DE NO CALIFICACIÓN COMO «GRAN VOLUMEN»

Ejemplo 5: Pequeña empresa de servicios profesionales

Un estudio contable que cuenta con 800 clientes activos. Mantiene información básica de contacto y documentación tributaria. Los datos se gestionan localmente en servidores propios dentro del Perú. El tratamiento es ocasional (mensual/trimestral) y no involucra decisiones automatizadas ni perfilamiento.

Conclusión: Al tener los tres criterios determinantes (A, B y C) en nivel Bajo, la empresa NO califica como tratante de «Gran Volumen» y NO está obligada a designar un ODP.

SUPUESTO 2: ACTIVIDAD PRINCIPAL O GIRO DE NEGOCIO CON DATOS SENSIBLES

Este supuesto se configura cuando la actividad principal o giro de negocio de la empresa requiere el tratamiento de datos sensibles de forma esencial o inescindible para la consecución de sus fines. También aplica cuando, aunque el tratamiento de datos sensibles no esté asociado directamente a la actividad principal, resulte inescindible para el diseño, planificación, sustento, evaluación, monitoreo o realización de dicha actividad.

Nota importante: Este supuesto constituye un criterio autónomo de designación del ODP, no requiere evaluación cuantitativa mediante la matriz del Anexo 1. La obligación surge cuando el tratamiento de datos sensibles es necesario e inescindible, no cuando es meramente incidental o accesorio.

4.4.5 EJEMPLOS DE ACTIVIDAD PRINCIPAL CON DATOS SENSIBLES

Ejemplo 1: Clínica de salud o laboratorio clínico

• • Un centro médico privado cuyo objeto social y principal fuente de ingresos es la prestación de servicios de salud, lo que implica manejar historias clínicas, diagnósticos y tratamientos de sus pacientes.

Ejemplo 2: Empresa de seguridad privada con vigilancia biométrica

• • Una empresa de seguridad contratada para el control de accesos en edificios corporativos que utiliza sistemas de reconocimiento facial o dactilar para identificar a las personas.

5. PERFIL DEL OFICIAL DE DATOS PERSONALES

5.1 EXPERIENCIA PROFESIONAL

5.2 FORMACIÓN ACADÉMICA

La formación académica puede ser acreditada mediante:

• • Estudios de posgrado concluidos o grado académico afines a protección de datos personales y/o materias relacionadas.
• • Certificado de especialización con duración mínima de 90 horas lectivas.
• • Diplomado con duración mínima de 120 horas lectivas.
• • Experiencia probada en docencia universitaria o investigación en temas de protección de datos personales.

5.3 IDONEIDAD MORAL Y ÉTICA

El ODP no debe tener:

• • Sentencia condenatoria firme por delito doloso.
• • Sanciones y/o inhabilitaciones vigentes.
• • Investigación penal formal o condena por delitos informáticos.
• • Sanciones por faltas éticas vinculadas al tratamiento de información, protección de datos personales, transparencia, confidencialidad o integridad.

6. FUNCIONES DEL ODP

El ODP desempeña las siguientes funciones principales:

• • Asesorar y supervisar el cumplimiento de la normativa dentro de la empresa.
• • Supervisar que se respeten los derechos ARCO de las personas (acceso, rectificación, cancelación, oposición).
• • Elaborar informes técnicos para el directorio o alta dirección cuando sea necesario.
• • Promover una cultura de protección de datos en la empresa.
• • Coordinar con la Autoridad Nacional de Protección de Datos Personales (ANPD).

7. FORMA DE CONTRATACIÓN DEL ODP

El ODP puede ser contratado de las siguientes formas:

• • Trabajador interno: Un servidor o empleado de la propia entidad/empresa.
• • Consultor externo: Una persona natural bajo contrato de locación de prestación de servicios.
• • A través de persona jurídica: La designación siempre recae en una persona natural, pero esta puede vincularse a una persona jurídica a través de un contrato de prestación de servicios. En este caso, la persona natural designada siempre será el punto de contacto ante la ANPD.

8. DESIGNACIÓN DEL ODP

8.1 FORMALIDAD

Debe realizarse mediante un acto formal adoptado por el máximo órgano de administración de la entidad pública, organización o empresa (resolución, acuerdo, acta o instrumento equivalente).

8.2 COMUNICACIÓN

La entidad debe comunicar la designación a la ANPD a través de la mesa de partes virtual del Ministerio de Justicia (MINJUSDH), dirigida a la DGTAIPD, incluyendo:

• • Nombre completo del ODP
• • DNI o documento equivalente
• • Cargo o rol dentro de la entidad
• • Datos de contacto (correo electrónico institucional, teléfono)

Además, debe comunicarse internamente y hacerse pública externamente conforme a las obligaciones de transparencia (por ejemplo, en la política de privacidad de la organización).

La designación del Oficial de Datos Personales representa una obligación legal fundamental que debe ser cumplida por las entidades y empresas comprendidas en el alcance de la normativa, garantizando así una gestión responsable y segura de los datos personales bajo su administración.