Un nuevo rol en la empresa: El Oficial de Datos Personales

alt

Elaborado por: Crosbby Buleje, asociado principal del Estudio Echecopar, asociado a Baker & McKenzie International.

Desde marzo de 2025, entrará en vigor el Nuevo Reglamento de la Ley de Protección de Datos Personales en Perú, aprobado mediante Decreto Supremo N.º 016-2024-JUS. Este establece nuevas obligaciones para las empresas y organizaciones, destacando la designación obligatoria de un Oficial de Datos Personales (ODP).

Esta obligación aplicará progresivamente a las empresas que procesen grandes volúmenes de datos personales o sensibles, o cuyas actividades principales involucren el tratamiento de estos datos (como información genética, biométrica, de salud, afiliación sindical o ingresos económicos). En consecuencia, muchas organizaciones, incluso por la sola gestión de datos de sus colaboradores, podrían estar sujetas a esta disposición. Además, aquellas que interactúan con consumidores finales, como el sector retail, tienen una mayor probabilidad de estar comprendidas en este requisito.

Si bien la exigencia de un ODP es novedosa a nivel local, importantes regulaciones como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea o la Ley Federal de Protección de Datos de Alemania la contemplan desde hace años. Sin embargo, su implementación en Perú representa un desafío para las empresas. La Autoridad Nacional de Protección de Datos Personales (perteneciente al Ministerio de Justicia y Derechos Humanos) emitirá lineamientos para aclarar los criterios de aplicación, pero ha enfatizado que las fiscalizaciones no dependerán de estos lineamientos. Por ello, es crucial que las empresas se familiaricen con la normativa y tomen medidas para su cumplimiento oportuno.

¿Qué es un Oficial de Datos Personales? El ODP es el responsable de supervisar y garantizar el cumplimiento de la normativa de protección de datos dentro de una organización, asegurando el manejo adecuado y conforme a la ley de la información personal.

Principales funciones del ODP:

1. Asesoramiento y supervisión. Informar y asesorar sobre las obligaciones en materia de protección de datos.
2. Verificación del cumplimiento. Garantizar que los procesos internos cumplan con la normativa, participando en el diseño de nuevos productos o servicios que involucren datos personales.
3. Punto de contacto. Actuar como enlace entre la empresa y la Autoridad Nacional de Protección de Datos Personales.
4. Capacitación interna. Promover la formación de los empleados sobre el tratamiento de datos personales.
5. Atención de derechos ARCO. Gestionar las solicitudes de los titulares de datos personales para el ejercicio de sus derechos.

Designación del ODP. El nuevo reglamento no establece un procedimiento específico para la designación del ODP, pero se recomienda seguir estos pasos:

1. Evaluar la necesidad de contar con un ODP.
2. Definir el perfil del ODP (ver siguiente punto).
3. Seleccionar al candidato, que puede ser un empleado interno o un consultor externo.
4. Nombrarlo oficialmente y comunicar su designación dentro de la organización.
5. Registrar y comunicar a la Autoridad Nacional de Protección de Datos Personales.

Perfil del ODP. El ODP no necesariamente debe ser un trabajador a tiempo exclusivo ni pertenecer a la empresa, ya que se permite contratar proveedores externos para este servicio. Sin embargo, se recomienda que sea un colaborador interno, cuya dedicación (parcial o exclusiva) dependerá del nivel de exposición de la compañía a riesgos de privacidad. Se puede elegir un solo ODP para grupos económicos.

El Nuevo Reglamento exige que el ODP tenga conocimientos especializados en protección de datos y capacidad para gestionar riesgos asociados. En base a estándares internacionales, se sugiere que cuente además con:

• Conocimiento del funcionamiento de la organización.
• Conocimientos básicos sobre seguridad de la información.
• Cierto nivel de seniority para transmitir de manera efectiva sus observaciones.
• Recursos y autonomía suficientes para ejercer su función.

El área a la que pertenezca dependerá de la estructura de la empresa. En compañías con alto uso de tecnología, podría ser un especialista en ciberseguridad o el gerente de TI; mientras que, en empresas con un enfoque intensivo en recursos humanos, el ODP podría estar en el área legal o de RR. HH.

Más allá del cumplimiento: beneficios estratégicos.

Si bien la designación de un ODP implica una inversión en recursos, también aporta ventajas estratégicas, como la detección temprana de riesgos y la mitigación de sanciones. Existen casos donde la intervención del ODP ha permitido minimizar daños ante incidentes de seguridad, facilitando el cumplimiento de plazos y procedimientos legales.

No contar con un ODP cuando es obligatorio se considera una infracción según el Nuevo Reglamento, y ha resultado en sanciones en otras jurisdicciones. Por ejemplo, la Agencia Española de Protección de Datos ha multado a grandes empresas como GlovoApp por incumplir esta obligación, mientras que, en Canadá, Descartes Systems Group fue sancionado por no designar un ODP.

Este tipo de sanciones también suelen aplicarse cuando ocurre un incidente de seguridad y se detecta la falta de medidas preventivas adecuadas. Por ello, la implementación oportuna de un ODP no solo es un requisito legal, sino una estrategia clave para la gestión de riesgos y la protección de datos en las empresas.

Blog

Un nuevo rol en la empresa: El Oficial de Datos Personales

Te puede interesar

¿Una inconstitucionalidad anunciada? SMV y “transparencia” de remuneraciones

Reformas necesarias al Perfil Cumplimiento: un llamado al MEF

Arabia Saudita: una oportunidad global para la industria minera

Un nuevo capítulo del etiquetado de transgénicos en Perú

Nueva regulación en materia de Protección de Datos Personales

Normativa sobre teletrabajo para trabajadoras lactantes: ¿una solución efectiva o una necesaria revisión?