Oficial de Datos Personales: evita riesgos por mala designación

‍

La Autoridad Nacional de Protección de Datos Personales ha publicado un documento de Preguntas y Respuestas que aclara aspectos clave de la Directiva sobre designación, perfil y funciones del Oficial de Datos Personales. Este pronunciamiento no es menor: fija criterios interpretativos que impactan directamente en la gestión de riesgos legales de empresas y organizaciones que tratan datos personales en el Perú.

El Oficial de Datos Personales es una figura organizativa destinada a fortalecer el principio de seguridad en el tratamiento de información. La normativa exige que sea designado formalmente y que cuente con idoneidad técnica acreditada. El reciente documento precisa que la formación puede sustentarse mediante estudios de posgrado o programas de especialización, estableciendo como referencia mínima noventa horas para cursos de especialización y ciento veinte horas para diplomados, estándar que la propia Autoridad califica como orientador, aunque en la práctica opera como parámetro presuntivo de cumplimiento.

Este criterio aplica tanto a entidades públicas como a organizaciones y empresas privadas. Incluso aquellas que hayan designado voluntariamente un ODP deben cumplir el mismo estándar técnico. Asimismo, el plazo de adecuación de ciento ochenta días calendario alcanza a todos los sujetos obligados, no solo al sector público, lo que obliga a revisar internamente la designación vigente y el perfil acreditado.

Un punto relevante es que la designación de un ODP que no cumpla plenamente con el perfil no genera automáticamente una infracción. Sin embargo, la Autoridad ha dejado claro que si esta situación impacta en la implementación efectiva de medidas de seguridad, podría ser evaluada en un eventual procedimiento sancionador. El riesgo, por tanto, no está en la formalidad aislada, sino en la capacidad real de gestión y supervisión del cumplimiento normativo.

También se precisa que no toda operación técnica constituye un tratamiento individual. Cuando diversas acciones automatizadas responden a una única finalidad, deben considerarse como un solo tratamiento, lo que evita sobredimensionar obligaciones por procesos internos de soporte.

‍

¿Es obligatorio reemplazar inmediatamente a un ODP que no cumple el estándar?

No necesariamente; la Directiva contempla un enfoque de adecuación progresiva dentro del plazo previsto.

‍
¿Las empresas privadas están comprendidas en el plazo de 180 días?

Sí, el criterio interpretativo confirma su aplicación general.
‍

¿Los certificados antiguos pierden validez?

No existe un plazo de caducidad automático; se evalúa la pertinencia y suficiencia de la formación.
‍

¿Basta con un curso corto en protección de datos?

La Autoridad ha fijado umbrales mínimos de horas que funcionan como referencia técnica relevante.

‍

Para la alta dirección, el mensaje es claro: la designación del ODP debe abordarse como una decisión estratégica de cumplimiento y gestión de riesgos. Una revisión preventiva del perfil, funciones y respaldo documental puede reducir contingencias frente a fiscalizaciones. Si su organización necesita evaluar su nivel de adecuación a la Directiva y los criterios recientes de la Autoridad, Contáctanos.

‍

Descarga la Guía de la ANPDP. Aquí.