Directiva sobre el Oficial de Datos Personales

2026-01-06T15:22:00
Perú
Claves para su correcta aplicación
Directiva sobre el Oficial de Datos Personales
6 de enero de 2026

El 31 de diciembre de 2025 se publicó la Resolución Directoral No. 100-2025-JUS-DGTAIPD mediante la cual se aprueba la Directiva que establece disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales (la "Directiva").

El objetivo de la norma es precisar criterios técnicos para la designación del Oficial de Datos Personales (ODP), así como definir el perfil, las responsabilidades y la independencia funcional. 

A continuación, en formato de preguntas y respuestas, detallamos sus aspectos más relevantes.

¿Quiénes están obligados a designar un ODP?

 La obligación no aplica a todas las empresas, sino a aquellas que cumplan con criterios específicos de riesgo y volumen. Para el sector privado, la obligación se activa en dos supuestos principales:

  • Por tratamiento de datos sensibles en el giro del negocio: Cuando la actividad principal de la empresa requiere el tratamiento de datos sensibles para lograr sus fines. También aplica si el tratamiento de datos sensibles es indispensable para el diseño o ejecución del negocio (Ej. clínicas, bancos, empresas aseguradoras, etc.). 
  • Por tratamiento de grandes volúmenes de datos (ver pregunta 2)

¿Cómo determinar si mi empresa trata un gran volumen de datos?

 La Directiva establece una metodología para ello en base a 5 criterios:

Criterios determinantes

A) Número de titulares: ¿Cuántos titulares únicos tiene en todos los bancos de datos?

Este criterio mide la magnitud por el total de titulares únicos (sin duplicados) comprendidos en todas las bases de datos.

Niveles:

  • Alto: = 50,000
  • Medio: 10,000–49,999
  • Bajo: < 10,000

B) Sensibilidad y tipología: ¿Cuántas operaciones individuales realiza con datos sensibles?

 Se computa el número de “tratamientos individuales” sobre datos sensibles. Se excluyen las operaciones meramente técnicas de soporte que no constituyen tratamientos autónomos, como indexaciones o copias de respaldo.

 Niveles:

  • Alto: > 5,000
  • Medio: 1,000–<5,000
  • Bajo: >100–<1,000

C) Finalidad y riesgo: ¿Para qué usa principalmente los datos personales en su empresa?

 Este criterio identifica la finalidad más riesgosa entre todas las que realiza la organización, siempre que esa finalidad supere 20 tratamientos individuales, sin importar cuántas personas estén involucradas.

Niveles:

  • Alto: Perfilamiento, decisiones automatizadas con efectos legales, geolocalización/vigilancia, análisis masivo.
  • Medio: Gestión administrativa, estadística/investigación con seudonimización, pruebas/desarrollo, respaldos, back-office.
  • Bajo: Almacenamiento básico, directorios y registros puntuales.

Criterios moduladores o complementarios

D) Frecuencia y duración: ¿Con qué frecuencia trata datos personales?

Este criterio valora la regularidad con la que se realizan operaciones sobre datos personales, el tiempo total de ejecución y la intensidad temporal del procesamiento, con independencia de si se usan medios tradicionales o automatizados.

La evaluación toma siempre el nivel más alto observado en las operaciones que efectivamente se realizan y solo se califica cuando el tratamiento supera 20 tratamientos individuales.

Niveles:

  • Alto: Tratamiento continuo y permanente.
  • Medio: Tratamiento recurrente con una periodicidad definida.
  • Bajo: Tratamientos puntuales y ocasionales.

E) Demarcación territorial: ¿Dónde están almacenados y gestionados los datos personales de su empresa?

Este criterio evalúa dónde se ubican y se tratan los datos personales, incluyendo si los bancos de datos se alojan total o parcialmente en servidores en el extranjero, si existe gestión mediante nube o macroservicios, o si se limita a infraestructuras locales sin exposición a internet.

Niveles:

  • Alto: Bancos de datos contenidos total o parcialmente en servidores fuera del territorio nacional.
  • Medio: Bancos de datos contenidos en servidores dentro del territorio nacional con accesos remotos.
  • Bajo: Bancos de datos contenidos en servidores dentro del territorio nacional sin exposición a internet ni accesos remotos.

Reglas de decisión

Se calificará el tratamiento como gran volumen de datos personales cuando:

  • Una de las respuestas en A, B o C está en nivel alto.
  • Dos de las respuestas en A, B o C están en nivel medio.
  • Una de las respuestas en A, B o C está en nivel medio y, además, D o E (o ambos) se encuentran en nivel medio o alto.

¿Qué requisitos debe cumplir el ODP?

El ODP debe ser una persona natural, aunque puede ser contratada a través de una persona jurídica externa.

Asimismo, el ODP debe cumplir con los siguientes estándares de idoneidad: 

  • Experiencia Profesional:
  • General: Mínimo 2 años en labores afines (seguridad de la información, ciberseguridad, gobierno digital, etc.).
  • Específica: Mínimo 1 año realizando labores directas en materia de protección de datos personales.
  • Formación Académica: Se puede acreditar conocimientos de acuerdo con los siguientes requisitos:
  • Estudios de posgrado o grado académico afín a la materia de protección de datos y/o seguridad y gestión de la información.
  • Certificación de especialización (mínimo 90 horas lectivas) y/o Diplomado (mínimo 120 horas lectivas) en protección de datos personales o afines.
  • Idoneidad Moral: No debe tener sentencia condenatoria firme por delito doloso, una sanción y/o inhabilitación vigente a consecuencia de procedimiento disciplinario o análogo, una investigación penal formal o condena por delitos informáticos, o sanciones por faltas éticas vinculadas al manejo de información.
  • Conflictos de Interés: El ODP no debe tener intereses personales o económicos que interfieran con sus funciones. La empresa debe gestionar o sustituir al ODP si surge un conflicto. 

En caso de un grupo empresarial ¿puedo designar a un solo ODP?

Sí. Se permite designar un único ODP corporativo para todo un grupo empresarial, siempre que este sea accesible para todas las empresas del grupo. 

¿Cuáles son las funciones del ODP?

 Son funciones del ODP:

  • Supervisión y Auditoría: Identificar operaciones de tratamiento de datos y verificar el cumplimiento normativo de áreas o unidades de la empresa. Cuando se solicite o corresponda, deberá elaborar informes, opiniones o recomendaciones sobre ello.
  • Capacitación: Coordinar programas de sensibilización para el personal de la empresa.
  • Derechos ARCO: Orientar a la organización sobre la correcta atención y plazos de las solicitudes de derechos de acceso, rectificación, cancelación y oposición.
  • Actualización: Revisar periódicamente las resoluciones, opiniones, guías y demás documentos emitidos por la ANDP que puedan ser relevantes para el ejercicio de sus funciones.
  • Cultura: Promover una cultura de protección de datos personales dentro de la empresa.

No son funciones del ODP:

Ejecutar el tratamiento de datos personales o definir la finalidad o contenido de un banco de datos. Dichas tareas se mantienen bajo la responsabilidad del titular o encargado del banco de datos.

¿Qué nivel de autonomía debe tener el ODP?

El ODP debe actuar con autonomía técnica. La empresa no puede impartirle instrucciones sobre cómo interpretar la norma o emitir sus opiniones técnicas.

Asimismo, la empresa debe facilitar el acceso del ODP a la información necesaria para el ejercicio de sus funciones y asegurar su participación oportuna en la toma de decisiones que incidan en el tratamiento de datos personales.

¿Cómo designo al ODP?

La Directiva establece reglas sobre la formalización del nombramiento: 

  • Acto Formal: La designación debe realizarse mediante un acto formal adoptado por el máximo órgano de administración de la compañía. 
  • Inscripción ante la ANPD: Es obligatorio comunicar la designación a la Dirección General de Transparencia (DGTAIPD), a través de la mesa de partes virtual del MINJUSDH. 
  • Publicidad: La designación debe comunicarse internamente a toda la organización y hacerse pública externamente (por ejemplo, en la Política de Privacidad), consignando como mínimo el nombre y correo de contacto del ODP. 

Además de designar al ODP ¿Qué otras obligaciones debo cumplir según la Directiva? 

  • Las empresas deben elaborar guías, lineamientos, directrices y/o protocolos internos que expliciten los supuestos bajo los cuales se podrá requerir o solicitar la asistencia del ODP. 
  • Comunicar a la ANPD cuando ya no sea exigible la designación del ODP, dentro de 10 días hábiles desde el acto que dispone el cese o modificación, indicando razones y medidas adoptadas. 
  • Establecer mecanismos de suplencia para asegurar la continuidad del ODP ante vacancia, renuncia, licencia, enfermedad u otros impedimentos (carácter temporal hasta designación o retorno del titular).

Para más información, no dudes en contactar con nuestros especialistas de Cuatrecasas a través del Área de Conocimiento e Innovación.

6 de enero de 2026

Actualidad

Ver más

Recibe en tu email el contenido jurídico que te interesa

Personaliza tus intereses y accede a un mundo de conocimiento jurídico:

Escoge tus intereses