Directiva establece las disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales.

El 31 de diciembre se aprobó mediante Resolución Directoral N.° 100-2025-JUS-DGTAIPD, la Directiva que establece las disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales, la cual establece reglas para la designación, desempeño, funciones e independencia del Oficial de Datos Personales (“ODP”) en aplicación de la Ley y el Reglamento de Datos Personales.

Esta Directiva es de cumplimiento obligatorio para: (i) entidades de la Administración Pública, (ii) empresas bajo ámbito FONAFE; y, (iii) personas jurídicas privadas obligadas según el Reglamento. Además, es una buena práctica para organizaciones no obligadas a contar con un ODP.

¿Cuándo es obligatorio designar un ODP

• Si eres entidad pública, como regla general.
• Si tratas “grandes volúmenes” de datos personales, teniendo en consideración los criterios dispuestos por la Directiva.
• Si tu actividad principal o giro de negocio requiere tratar datos sensibles, o el tratamiento sensible es imprescindible para el negocio.

¿Cuáles son los criterios de evaluación para considerar el tratamiento de “Grandes Volúmenes de datos?

Criterio A: Número de titulares

• Alto: ≥ 50,000
• Medio: 10,000 – 49,999
• Bajo: < 10,000

Criterio B: Sensibilidad/tipología 

• Alto: 5000 tratamientos individuales
• Medio: Entre 1000 y 5000 tratamientos individuales
• Bajo: más de 100 y menos de 1000 tratamientos individuales

Criterio C: Finalidad y riesgo asociado

• Alto: Finalidades con evaluaciones o decisiones que generan alto impacto en derechos fundamentales.
• Medio: Finalidades de gestión administrativa o soporte, investigación/estadística con seudonimización y procesos operativos recurrentes.
• Bajo: Finalidades básicas de almacenamiento o registro puntual, sin análisis intensivo ni decisiones, sin análisis intensivo ni decisiones automatizadas.

Criterio D: Frecuencia/duración/continuidad

• Alto: Tratamientos continuos o diarios, con monitoreo intensivo y procesamiento automatizado permanente, que implican una exposición prolongada de los datos.
• Medio: Tratamientos recurrentes con periodicidad definida o proyectos de duración extendida, con uso regular y estable de los datos.
• Bajo: Tratamientos puntuales u ocasionales, de corta duración, vinculados a eventos, campañas o proyectos específicos.

Criterio E: Demarcación territorial

• Alto: Bancos de datos alojados o gestionados total o parcialmente desde el extranjero, incluidos servicios en la nube o accesos remotos internacionales, con mayores exigencias regulatorias.
• Medio: Bancos de datos ubicados en territorio nacional, gestionados localmente, con accesos remotos internos o entre sedes nacionales.
• Bajo: Bancos de datos gestionados de forma local en soportes físicos o servidores nacionales, sin exposición a internet ni accesos remotos.

Teniendo en cuenta los criterios anteriores, corresponde designar ODP si se cumple cualquiera de los siguientes casos:

• 1 de los criterios A, B o C está en nivel ALTO, sin importar los criterios D o E.
• 2 de los criterios A, B o C están en nivel MEDIO.
• 1 de los criterios A, B o C está en nivel MEDIO y uno de los criterios D o E están en nivel MEDIO o ALTO.

No es gran volumen si A, B y C están simultáneamente en BAJO.

Perfil mínimo del OPD

Experiencia profesional: 

• General: mínimo 2 años en laborales afines (protección de datos o áreas relacionadas como seguridad de información, ciberseguridad, gobierno digital, IA, etc.).
• Específica: mínimo 1 año en protección de datos (continua o acumulada).

Formación Académica:

Posgrado/grado afín, o certificación/especialización ≥ 90 horas, o diplomado ≥ 120 horas (idealmente de instituciones con prestigio y trayectoria)

No debe:

• Tener sentencia firme por delito doloso.
• Tener sanción/inhabilitación vigente.
• Tener Investigación penal formal o condena por delitos informáticos.
• Tener sanciones éticas vinculadas a información, confidencialidad, integridad o datos personales.

Principales características del OPD

Designación

• Mediante acto formal del máximo órgano de administración.
• En empresas u organizaciones mediante acuerdo, resolución, acta o instrumento equivalente, según su régimen interno.
• En entidades públicas con sedes descentralizadas sin autonomía: puede operar un ODP central y puntos de contacto.
• Grupos empresariales: puede designarse un ODP común, siempre que sea accesible para todas las empresas y para la Autoridad.

Funciones

• Asesorar y supervisar cumplimiento normativo en la entidad.
• Capacitar y sensibilizar al personal; promover cultura de privacidad.
• Recabar y revisar información de áreas internas para verificar cumplimiento.
• Elaborar informes/recomendaciones para alta dirección/directorio.
• Dar soporte en evaluaciones de impacto cuando corresponda.
• Orientar en la atención de derechos ARCO (plazos, tramitación y cumplimiento).

Conflicto de interés

• El OPD no debe estar en situaciones que comprendan objetividad.
• Si aparece un conflicto: Debe gestionarse como medidas internas. Si no se resuelve pronto → sustitución del ODP.

Vigencia y plazos relevantes

• La Directiva rige desde el día siguiente de su publicación en El Peruano.
• Entidades públicas que ya tenían ODP: 180 días calendario para adecuarse.
• Si deja de ser exigible el ODP (cese/modificación del tratamiento): Se debe comunicar a la Autoridad en 10 días hábiles.
• Deben existir mecanismos de suplencia temporal (vacancia, licencia, enfermedad, etc.).