Con la entrada en vigencia del nuevo Reglamento de la Ley de Protección de Datos Personales (DS 016-2024-JUS), las empresas deben prepararse para cumplir con una obligación clave: la designación del Oficial de Protección de Datos (OPD).
Esta obligación no aplica a todas las compañías por igual, sino que depende tanto del tipo de tratamiento de datos que realizan como de su nivel de ingresos anuales.
A continuación, explicamos los criterios principales y el cronograma de entrada en vigor.
¿Quiénes están obligados a designar un Oficial de Protección de Datos?
Según el artículo 37.1 del Reglamento, deben designarlo las empresas o entidades que encuentren dentro de alguno de los siguientes supuestos:
- Entidades públicas.
- Empresas que realizan tratamientos de grandes volúmenes de datos, en cantidad, tipo o impacto en los titulares, o que involucren datos sensibles o riesgos altos.
- Empresas cuyo giro principal involucre el tratamiento de datos sensibles.
¿Desde cuándo aplica la obligación?
El Reglamento establece un cronograma progresivo, basado en los ingresos anuales de la empresa:
- Grandes empresas (más de 2,300 UIT): obligación desde 30 de noviembre de 2025
- Medianas empresas (entre 1,700 y 2,300 UIT): desde 30 de noviembre de 2026
- Pequeñas empresas (entre 150 y 1,700 UIT): desde 30 de noviembre de 2027
Esto significa que solo las empresas del primer tramo (ingresos > 2,300 UIT) y que califiquen en alguno de los supuestos del art. 37.1 deberán designar a su Oficial de Protección de Datos (OPD) a partir del próximo 30 de noviembre.
¿Cómo se realiza la designación del Oficial de Protección de Datos?
La designación es interna y debe realizarse mediante:
- Resolución o acuerdo de gerencia o dirección.
- Documento por escrito (carta, resolución o política interna).
- Publicación de los datos de contacto del OPD en un medio visible, como la web o política de privacidad
El Oficial debe contar con conocimientos acreditados en protección de datos personales, aunque no necesita exclusividad: puede ser un colaborador interno o un asesor externo.
¿Debe informarse a la Autoridad de Protección de Datos?
Sí. Conforme al artículo 37.5 del Reglamento:
- La empresa debe comunicar los datos de contacto del OPD a la Autoridad Nacional de Protección de Datos Personales (ANPDP)
- El plazo es 15 días hábiles desde la designación
- La comunicación se presenta por Mesa de Partes del MINJUSDH
La información que debe enviarse incluye:
- Datos del titular del banco de datos / responsable del tratamiento
- Nombre y datos de contacto del Oficial designado
- Copia de la resolución o documento interno de designación
Recomendación
Dado que la obligación inicia su vigencia de manera escalonada, recomendamos a las empresas que verifiquen en qué tramo se encuentran y evalúen si su actividad o volumen de tratamiento las ubica dentro de los supuestos del art. 37.1.
Para las empresas del primer tramo (más de 2,300 UIT), este es el momento adecuado para preparar la designación del Oficial, revisar políticas internas y asegurar el cumplimiento oportuno.
¿Necesitas asesoría legal y soporte en este tema? Nuestro equipo experto en Protección de Datos personales puede ayudarte en este proceso.
