En este artículo analizo la nueva obligación, en casos de riesgo, de designar un Oficial de Datos Personales (ODP), según el Reglamento de la Ley 29733, Ley de Protección de Datos Personales. En ese sentido, les invito a pensar o repensar críticamente si esta disposición administrativa excede el marco definido por la ley, la Constitución peruana e incluso teorías de la regulación.
Todos podemos estar de acuerdo en la necesidad de contar con parámetros para la protección de datos personales, lo cual es esencial para las organizaciones modernas. Por otro lado, muchas entidades han adoptado prácticas responsables para gestionar riesgos legales y reputacionales, con base en estándares internacionales como la ISO 37301 e ISO 31000. En esta línea, también podríamos coincidir en que el ODP es una pieza clave para liderar o implementar políticas internas en favor de las líneas de negocio, e incluso de derechos fundamentales como la privacidad de los datos.
Como sabemos, la norma ISO 31000 propone un enfoque estructurado para la gestión de riesgos, mientras que la ISO 37301 establece que los programas de cumplimiento deben contar con personal responsable, recursos adecuados y comunicación efectiva. Sin embargo, no son estándares de obligatorio cumplimiento para todas las empresas, por lo tanto, no sustituyen la necesidad de contar con respaldo normativo que garantice una adecuada gestión de riesgos en cualquier problema público que se intente resolver.
En ese contexto, recientemente se emitió el Decreto Supremo 016-2024-JUS, y surge una duda: ¿hemos normalizado que una disposición administrativa imponga cargas no previstas por la ley? ¿Es una exigencia legal y/o razonable que puede restringir la entrada o permanencia de algunos agentes económicos? ¿Incluso si aplica para algunos casos en concreto?
Por su parte, el Decreto Supremo 016-2024-JUS, Decreto Supremo que aprueba el Reglamento de la Ley 29733, Ley de Protección de Datos Personales establece en su articulo 37, entre otros, que:
“Artículo 37. Designación del Oficial de Datos Personales
37.1 El titular del banco de datos personales o responsable y el encargado de tratamiento deben designar a un Oficial de Datos Personales cuando:
1. El tratamiento lo lleve a cabo una entidad pública, de conformidad con lo establecido en el párrafo 68.6 del artículo 68 del Reglamento del Decreto Legislativo Nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, aprobado por Decreto Supremo N.º 029-2021-PCM.
2. El titular del banco de datos o responsable del tratamiento o el encargado de tratamiento realicen tratamientos de grandes volúmenes de datos personales, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas o cuando se trate de datos sensibles o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal.
3. El titular del banco de datos o responsable de tratamiento o el encargado del tratamiento realicen actividades principales o de giro de negocio que comprendan el tratamiento de datos sensibles.
(…)
37.5 Los datos de contacto del Oficial de datos personales designado, y cualquier actualización, deben ser comunicados a la Autoridad Nacional de Protección de Datos Personales dentro de los 15 días siguientes a la designación o actualización respectiva. ”
En ese sentido, y a manera de recordatorio, la Constitución Política del Perú, en el numeral 8 del artículo 118, otorga la facultad del Poder Ejecutivo para reglamentar las leyes; sin embargo, estas últimas están sujetas a sus propios límites, es decir, no pueden transgredir ni desnaturalizar las leyes. Este principio garantiza la previsibilidad normativa y la protección de los ciudadanos —y agentes económicos— frente a las arbitrariedades de la administración pública.
Aunado a ello, es muy sencillo evidenciar que la Ley 29733 no hace referencia alguna a la figura del ODP; esta obligación aparece únicamente en el nuevo Reglamento, que exige dicho rol profesional en determinados contextos. Por tanto, considero que pasar de ausencia de habilitación expresa en la ley —a una onerosa obligación— plantea un debate en torno a la vulneración del principio de legalidad. Y todo ello, sin siquiera plantear un análisis de la idoneidad de la medida.
Es evidente que la disposicion administrativa intenta justificar esta nueva obligación basándose en normas complementarias, pero la ley no contiene una delegación explícita para imponer nuevas cargas a los administrados como ocurre en el caso del OPD, lo que podría considerarse una extralimitación a las facultades del Poder Ejecutivo.
Ahora bien, desde la perspectiva del compliance, comparto la opinión mayoritaria de los beneficios de contar con un ODP, cuya función garantiza una adecuada gestión de riesgos, coordinación de respuestas ante incidentes de seguridad y enlace con la autoridad reguladora. No obstante, en nuestro país, las exigencias de esta magnitud requieren más que un plazo de adecuación o un diseño focalizado, requiere una mirada estratégica para optimizar su cumplimiento, un analisis del costo beneficio de la solución a los problemas públicos que intenta resolver, y alineadas al principio de legalidad.
En línea con lo anterior, debemos considerar que designar un ODP supone un alto costo operativo, especialmente para las micro, pequeñas y medianas empresas que representan más del 90% del tejido empresarial peruano, independientemente de si estan inmersas (o no) en la exigencia. Para estos agentes económicos, asignar un recurso humano exclusivo con perfil técnico, funciones de control y autonomía podría representar una barrera significativa para su entrada o permanencia en el mercado.
De acuerdo con lo compartido por expertos en compliance, la mayoría de las grandes empresas ya contaban con este personal y su adecuación será más sencilla. Tan es así que, la imposición de obligaciones desproporcionadas puede generar ventajas estructurales a favor de grandes corporaciones, debido a que los costos regulatorios pueden distorsionar la asignación de recursos y favorecer la concentración de mercado. Por tanto, refuerza la idea de que una exigencia de tal magnitud requiere estar amparada por el principio de legalidad.
Considero que normalizar que una disposición administrativa imponga obligaciones costosas sin el respaldo de una norma con rango de ley, abre la puerta a que más entidades puedan crear cargas exorbitantes sin un sustento técnico y democrático. Sobre todo, pensando en los riesgos de sectores sensibles como el digital, donde las tecnologías evolucionan más rápido que el marco normativo. Finalmente, me reafirmo en que el compliance debe ser promovido como una buena práctica empresarial —e inclusive de gestión pública—, pero sin sacrificar fundamentos constitucionales y/o principios que nos garantizan la predictibilidad y nos protegen de la arbitrariedad.
