Alex Sosa y Camila Mallqui
Socio y asociada senior del Estudio Muñiz
Uno de los aspectos más relevantes del Reglamento de la Ley de Protección de Datos Personales ha sido, y es, la obligación que recae sobre cientos de empresas de designar un Oficial de Datos Personales (ODP). Esta figura, concebida como un pilar de la gobernanza en privacidad, representa no solo un mecanismo técnico-normativo de supervisión, sino, además una herramienta estratégica para mitigar riesgos legales y reputacionales en el ecosistema de tratamiento de datos personales.
No obstante, como toda obligación normativa novedosa, su implementación generó, desde el inicio incertidumbre jurídica, especialmente por la ausencia de lineamientos específicos respecto de los criterios de designación, el perfil profesional requerido y el umbral que define el “gran volumen” de datos.
La reciente Directiva sobre el Régimen para Oficiales de Datos Personales (Resolución Directoral N.º 100-2025-JUS/DGTAIPD) ha resuelto parte de estas lagunas interpretativas. Sin embargo, también ha abierto nuevas interrogantes que merecen un análisis riguroso.
A continuación, presentamos una revisión crítica de los puntos fuertes del nuevo marco y de sus actuales zonas grises:
- ¿El fin de la subjetividad? La fórmula para determinar «gran volumen» de datos
La Directiva introduce una metodología de análisis de riesgo (Anexo 1) que hace las veces de una calculadora legal con criterios determinantes (Criterio A: número de titulares; B: tipología/sensibilidad del dato; C: finalidad del tratamiento y riesgo asociado); y criterios moduladores (frecuencia, duración, continuidad del tratamiento y demarcación territorial de este), los cuales son definidos en el referido documento precisando en los determinables cuándo se está en un nivel alto, medio y bajo.
Así, nuestra Directiva DPO transforma el concepto de “gran volumen” en un cálculo técnico verificable. Se supera así el carácter subjetivo del concepto, permitiendo a las organizaciones clasificar sus tratamientos con mayor certeza. No obstante, este enfoque técnico, aunque positivo, puede resultar de compleja aplicación práctica para organizaciones sin capacidades internas avanzadas de mapeo de datos, por lo que será clave el acompañamiento metodológico de sus equipos de privacidad o asesores especializados
- ¿Cuál será el perfil del ODP?
La duda sobre «quién está capacitado» también ha sido despejada. La Directiva profesionaliza el rol exigiendo acreditación documental. La exigencia de experiencia específica (mínimo un año) y general (mínimo dos años), así como la acreditación de formación académica o especializada, apunta a profesionalizar una función que históricamente ha sido vista como meramente administrativa.
Así, la evidencia que permitirá acreditar la experiencia profesional y conocimiento del ODP es la siguiente.
Respecto de la experiencia profesional:
- 2 años de Experiencia General: desempeñando labores afines a la materia de protección de datos personales de manera continua o acumulada y/o en materias como seguridad y gestión de la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de datos personales en entidades públicas y/o privadas.
- Mínimo 1 año de Experiencia específica: desempeñando labores en materia de protección de datos personales de manera continua o acumulada; la cual se puede acreditar a través de la experiencia profesional pública o privada
Pese a ello, la Directiva incurre en una omisión relevante: no distingue si experiencia referida en los criterios previos debe ser concurrente o no, lo cual podría generar criterios dispares de validación. Tampoco se precisa si la experiencia debe ser reciente (lo cual, si hace debería definir) ni qué documentación debiera ser suficiente para probarla más allá de la hoja de vida.
Será sumamente relevante que la Autoridad Nacional de Protección de Datos Personales (en adelante, la ANPDP) aclare si la experiencia en protección de datos debe haber sido desplegada en entornos supervisados por normativa nacional, o si también se valida experiencia extranjera.
Ahora bien, respecto de la formación académica, la Directiva establece lo siguiente:
- Experiencia probada y continua en la docencia universitaria o en la investigación sobre temas de protección de datos personales y/o afines.
- Contar con estudios de posgrado concluidos o grado académico afines a la materia de protección de datos personales y/o en materias como seguridad y gestión de la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de datos personales en entidades públicas y/o privadas.
- Contar con certificado de especialización y/o diplomado en protección de datos personales o las señaladas líneas arriba, con una duración mínima de noventa (90) horas lectivas para los certificados, y ciento veinte (120) horas lectivas para los diplomados.
Para garantizar la formación académica, la Directiva exige que estas se hayan llevado ante entidades o instituciones formativas que cuenten con reconocido prestigio y trayectoria en las materias señaladas, cuestión que plantea el riesgo de discrecionalidad y podría excluir del cumplimiento a quienes se formaron en programas válidos, pero menos conocidos.
En ese sentido, sería recomendable que la ANPDP emita un listado referencial de instituciones o defina criterios objetivos (acreditación SUNEDU, membresía internacional, vinculación a universidades, etc.) que doten de mayor predictibilidad a la evaluación.
Asimismo, a diferencia de la experiencia profesional, no queda claro si los certificados acumulativos en diferentes programas (por ejemplo, 3 cursos de 30 horas) serán considerados válidos en conjunto.
- Sobre la formalidad para la designación del ODP
La Directiva precisa que el ODP debe ser designado mediante un acto formal que corresponda a su régimen societario interno, que asegure la validez formal del nombramiento y permita su verificación ante la ANPD. En la práctica, esto exige contar con un acta, acuerdo o resolución interna verificable, y no simplemente con una designación “de hecho” o implícita. Una interpretación sistemática de la Directiva y la Ley General de Sociedades sugiere que el acto dependerá del régimen interno de cada entidad, siempre que garantice validez formal y trazabilidad.
- Independencia funcional del ODP, visibilidad y gestión de conflictos
El ODP no debe recibir instrucciones sobre el contenido de sus opiniones ni ser sancionado por cumplir su rol. Este principio de independencia funcional es vital para evitar conflictos de interés, especialmente en organizaciones donde el ODP reporta a áreas de cumplimiento o legales. Sin embargo, en la práctica, la independencia funcional debe traducirse en recursos, canales de comunicación directa con la alta dirección y mecanismos de reporte efectivos.
Así, uno de los mensajes más importantes de la Directiva es que la designación del ODP no exime ni traslada la responsabilidad del tratamiento de datos personales. El ODP asesora y supervisa, pero la empresa sigue siendo plenamente responsable frente a la Autoridad.
- El conflicto de interés debe identificarse y gestionarse
Se define y regula de forma expresa el conflicto de interés del ODP: “Se entiende por conflicto de intereses cualquier situación en la que los intereses personales, profesionales o económicos del ODP interfieren en el cumplimiento objetivo e independiente de sus funciones”. Las empresas deben identificarlo, gestionarlo y documentarlo. Si el conflicto no puede resolverse en el corto plazo, la Directiva es clara: el ODP debe ser sustituido.
- El ODP no necesariamente debe estar en el Perú, pero sí ser accesible
La Directiva señala que el ODP no tiene que encontrarse físicamente en el país, pero sí debe ser accesible y contar con mecanismos efectivos de contacto e interacción dentro del ámbito peruano como medio seguro de comunicación. Esto abre la puerta a designaciones regionales o transfronterizas, lo cual es positivo en entornos corporativos globales. Sin embargo, la accesibilidad debe evaluarse no solo desde lo técnico (correo electrónico) sino también desde la capacidad de respuesta oportuna ante requerimientos de la ANPD o de titulares peruanos.
- ¿Quién puede ser ODP? ¿abogados e ingenieros por igual?
La norma no restringe la profesión del ODP, lo cual permite que profesionales con formación técnica o de sistemas accedan al rol. Esta amplitud es coherente con el enfoque multidisciplinario que involucra la privacidad. Sin embargo, en la práctica, será necesario que el profesional designado demuestre competencias jurídicas mínimas si asume funciones como revisión de contratos o evaluación legal de riesgos.
- El ODP debe ser visible para los titulares de datos personales
Las empresas deben informar públicamente quién es su ODP, incluyendo, al menos, su nombre y correo electrónico de contacto. Esta información debe estar disponible en la política de privacidad u otro documento de fácil acceso para los titulares de datos personales.
Reflexión final
La Directiva representa un paso relevante hacia la madurez del ecosistema de privacidad en el Perú. No obstante, su aplicación requiere una interpretación sistemática, técnica y legalista. El cumplimiento no puede reducirse a cubrir formalidades mínimas, sino que debe generar una cultura organizacional proactiva en la protección de datos. Asimismo, urge que la ANPD complemente la Directiva con guías prácticas, pronunciamientos interpretativos y mecanismos de consulta previa, a fin de reducir el margen de discrecionalidad en la verificación.
Cabe recordar que la obligación de designar a un ODP entró en vigor el 1 de diciembre de 2025, y muchas empresas efectuaron de buena fe la designación con antelación. Las preguntas que ahora genera este escenario son las siguientes: ¿qué pasará con las empresas que designaron un ODP que no cumplen íntegramente con este perfil? ¿Qué ocurrirá con los actuales ODP que llevaron formación académica fuera de los umbrales definidos por la Directiva? ¿La ANPDP puede iniciar una supervisión basada en la ausencia de Expertise del DPO?
Si bien es positivo contar con información cuya ausencia generaba incertidumbre, consideramos que un aspecto crítico es la publicación tardía de esta Directiva. Muchas organizaciones, que, en una zona gris de cumplimiento, designaron ODP con antelación a la Directiva —incluso de buena fe— deberán reevaluar sus decisiones; lo cual exige un periodo de adecuación que deberá ser sostenido a su vez por parte de la Autoridad.
