El día de hoy, 31 de diciembre de 2025 se publicó la “DIRECTIVA QUE ESTABLECE DISPOSICIONES PARA LA DESIGNACIÓN, DESEMPEÑO Y FUNCIONES DEL OFICIAL DE DATOS PERSONALES”, aprobada mediante RESOLUCIÓN DIRECTORAL N° 100-2025-JUS/DGTAIPD, cuyo objetivo es establecer las disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales, de conformidad con lo dispuesto en los artículos 37, 38 y 39 del Reglamento de la Ley de Protección de Datos Personales, Ley N° 29733, aprobado por el Decreto Supremo N° 016-2024-JUS.
1. ¿QUIÉNES ESTÁN OBLIGADOS A DESIGNAR UN ODP?
A. OBLIGACIÓN AUTOMÁTICA:
✓ Todas las entidades públicas (sin excepción, salvo tratamientos de defensa nacional, seguridad pública o investigación penal)
✓ Empresas FONAFE (cada empresa debe designar su propio ODP)
B. OBLIGACIÓN POR GRANDES VOLÚMENES DE DATOS:
Se evalúa mediante 5 criterios (A, B, C son determinantes; D y E son moduladores):
| Criterio | Descripción |
| A (Determinante) | Número de titulares |
| B (Determinante) | Tipología / sensibilidad del dato |
| C (Determinante) | Finalidad del tratamiento y riesgo asociado |
| D (Modulador) | Frecuencia, duración y continuidad del tratamiento |
| E (Modulador) | Demarcación territorial del tratamiento |
CRITERIO A – Número de Titulares:
| NIVEL ALTO | ≥ 50,000 titulares |
| NIVEL MEDIO | 10,000 – 49,999 titulares |
| NIVEL BAJO | < 10,000 titulares |
CRITERIO B – Tratamientos con Datos Sensibles:
(Solo si supera 1,000 titulares con datos sensibles)
| NIVEL ALTO | Más de 5,000 tratamientos individuales |
| NIVEL MEDIO | 1,000 – 4,999 tratamientos individuales |
| NIVEL BAJO | 100 – 999 tratamientos individuales |
CRITERIO C – Finalidad y Riesgo:
(Si supera 20 tratamientos individuales)
NIVEL ALTO:
• Perfilamiento o scoring detallado
• Decisiones automatizadas con efectos legales
• Telemarketing/televentas
• Geolocalización constante
• Vigilancia o monitoreo intensivo
• Cruces masivos de bases de datos
NIVEL MEDIO:
• Gestión administrativa continua
• Fines estadísticos con datos seudonimizados
• Procesos rutinarios de backoffice
NIVEL BAJO:
• Mero almacenamiento
• Nóminas pequeñas, directorios simples
• Expedientes aislados
REGLAS DE DECISIÓN – ¿Cuándo SÍ designar ODP?
OBLIGATORIO designar ODP si:
1. Al menos UNO de los criterios A, B o C está en nivel ALTO
2. Al menos DOS de los criterios A, B o C están en nivel MEDIO
3. Al menos UNO de A, B o C en nivel MEDIO + UNO de los criterios D o E en nivel MEDIO o ALTO
NO obligatorio si:
• Los TRES criterios determinantes (A, B y C) están simultáneamente en nivel BAJO
C. OBLIGACIÓN POR ACTIVIDAD PRINCIPAL CON DATOS SENSIBLES:
Cuando el tratamiento de datos sensibles sea esencial o inescindible para:
• La actividad principal del negocio
• El diseño, planificación o realización de la actividad
• Ejemplo: clínicas, empresas de salud, entidades financieras que evalúan solvencia
2. PERFIL Y COMPETENCIAS DEL ODP
EXPERIENCIA PROFESIONAL REQUERIDA:
Experiencia General: Mínimo 2 años en:
• Protección de datos personales, O
• Seguridad de la información
• Ciberseguridad
• Gobierno digital
• Inteligencia artificial
• Materias vinculadas al tratamiento de datos
Experiencia Específica: Mínimo 1 año en:
• Protección de datos personales específicamente
• Puede ser experiencia nacional o internacional
FORMACIÓN ACADÉMICA:
Opción 1: Posgrado concluido o grado académico en:
• Protección de datos personales
• Seguridad y gestión de información
• Ciberseguridad, gobierno digital, IA
• Materias vinculadas
Opción 2: Certificación o diplomado con:
• Certificados: Mínimo 90 horas lectivas
• Diplomados: Mínimo 120 horas lectivas
• En materias de protección de datos o afines
Opción 3: Docencia universitaria o investigación continua en temas de protección de datos
⚠ Importante: La formación debe ser de instituciones con reconocido prestigio
REQUISITOS DE IDONEIDAD MORAL:
NO puede ser ODP quien tenga:
✗ Sentencia condenatoria firme por delito doloso
✗ Sanción o inhabilitación vigente (procedimiento disciplinario)
✗ Investigación penal formal o condena por delitos informáticos
✗ Sanciones éticas por faltas vinculadas a confidencialidad, protección de datos o transparencia
Si el ODP es persona jurídica:
✗ No debe ser responsable por delitos de Ley N° 30424
✗ No debe estar inhabilitada para contratar con el Estado
CARACTERÍSTICAS ESENCIALES:
1. Independencia funcional:
• No puede recibir instrucciones sobre criterio técnico
• No puede ser sancionado por sus opiniones técnicas
• Reporta a la máxima autoridad
2. Conocimientos:
• Normativa peruana de protección de datos
• Sector donde opera la organización
• Normas internas de la entidad
3. Accesibilidad:
• Debe estar disponible para contacto
• No requiere presencia física en Perú, pero sí disponibilidad
• Debe ser contactable por la Autoridad Nacional (ANPD)
3. FUNCIONES PRINCIPALES DEL ODP
FUNCIONES CLAVE:
1. Informar y asesorar sobre obligaciones de protección de datos
2. Supervisar el cumplimiento de la normativa
3. Asesorar en evaluaciones de impacto (cuando aplique)
4. Cooperar con la Autoridad Nacional (ANPD)
5. Punto de contacto para titulares de datos y la ANPD
6. Coordinar capacitaciones al personal
7. Elaborar informes técnicos sobre cumplimiento
LO QUE EL ODP NO ES:
✗ No determina la finalidad del tratamiento (eso es del titular/responsable)
✗ No ejecuta el tratamiento de datos
✗ No reemplaza las responsabilidades del titular del banco de datos
✗ No tiene poder de decisión sobre operaciones de negocio
4. PLAZOS Y COMUNICACIÓN
PLAZOS PARA DESIGNACIÓN:
• Entidades públicas con ODP actual: 180 días calendario para adecuarse
• Primera Disposición Complementaria Final del RLPDP: Existen plazos escalonados según tamaño de empresa (ver Decreto Supremo N° 016-2024-JUS)
OBLIGACIÓN DE COMUNICACIÓN:
Debe comunicarse a la ANPD:
• Nombres y apellidos completos
• DNI o documento de identidad
• Cargo dentro de la entidad
• Datos de contacto (correo institucional, teléfono, domicilio)
Debe publicarse externamente:
• Nombre completo del ODP
• Dirección de correo electrónico
• En la política de privacidad o documento equivalente
5. EJEMPLOS PRÁCTICOS
Ejemplo 1: Empresa de telecomunicaciones
• 200,000 clientes (Criterio A: ALTO)
• ➡ OBLIGATORIO designar ODP
Ejemplo 2: Clínica privada
• Actividad principal: salud (datos sensibles)
• ➡ OBLIGATORIO designar ODP
Ejemplo 3: Pequeña empresa de retail
• 5,000 clientes (Criterio A: BAJO)
• Sin datos sensibles (Criterio B: BAJO)
• Ventas básicas (Criterio C: BAJO)
• ➡ NO obligatorio (pero puede hacerlo voluntariamente)
Ejemplo 4: Municipalidad
• Entidad pública
• ➡ OBLIGATORIO designar ODP (sin evaluar criterios)
6. PUNTOS CLAVE A RECORDAR
1. El ODP debe ser persona natural (puede trabajar para una persona jurídica, pero la designación es personal)
2. Puede haber un ODP para grupo empresarial (si está accesible para todas las empresas)
3. El ODP requiere recursos, presupuesto y acceso a información para funcionar
4. La designación es mediante acto formal del máximo órgano de administración
5. Existe obligación de capacitación continua del ODP
Vea la Infografía elaborada por IALaw sobre la Directiva
Infografia sobre Oficial de Datos Personales en Peru by Iriarte LAW
Fatima Toche Vega
Socia Principal
IALaw
http://iriartelaw.com
