El Reglamento de la Ley de Protección de Datos Personales (D.S. 016-2024-JUS) establece la obligación progresiva de designar un Oficial de Datos Personales (ODP), iniciando el 30 de noviembre de 2025 para empresas con ventas anuales superiores a 2,300 UIT, y extendiéndose hasta el 30 de noviembre de 2028 para microempresas (≤150 UIT).
Sin embargo, no todas las empresas dentro de esos rangos están obligadas. El artículo 37 del Reglamento señala tres supuestos:
- Entidades públicas que traten datos personales.
- Tratamiento de grandes volúmenes de datos o que afecte a un gran número de personas, incluya datos sensibles o genere perjuicio a derechos fundamentales.
- Actividades principales que comprendan el tratamiento de datos sensibles.
Aquí surge el problema: ¿qué es “gran volumen de datos” o “gran número de personas”? Ni la Ley ni el Reglamento ni la ANPD han definido estos conceptos, pese a que son determinantes para el cumplimiento de esta obligación, y otras obligaciones críticas como notificación de incidentes o evaluaciones de impacto. Otras jurisdicciones (España, Ecuador, por ejemplo) han optado por listas claras de entidades obligadas, lo que hubiera dado mayor certeza.
Ante este vacío, la recomendación es abordar la designación del ODP desde una perspectiva de compliance, y no como una carga administrativa/laboral. El ODP debe ser visto como garante del cumplimiento de las obligaciones en materia de privacidad y protección de datos personales, contribuyendo a la gestión de riesgos, transparencia y reputación corporativa. Incluso, designarlo de forma preventiva evitaría la imposición de una sanción por hasta S/ 26,750.00 (5 UIT).
¿Cómo designar al Oficial de Datos Personales?
Respecto a la designación del ODP, el Reglamento establece que debe comunicarse a la ANPD dentro de los 15 días posteriores al nombramiento, indicando los datos de contacto del designado. Sin embargo, el propio Reglamento deja abiertas varias interrogantes:
- ¿Cómo se debe notificar los datos de contacto?
- ¿Qué datos se deben poner en conocimiento de la ANPD?
- ¿Quién debe realizar la designación?
- ¿Mediante qué documento o instrumento formal?
- ¿Es necesario otorgar facultades específicas al ODP para el ejercicio de sus funciones?
Aunque la norma no lo precisa, la designación puede ser comunicada mediante carta dirigida a la ANPD, adjuntando el documento interno de designación e informando, como mínimo, sobre el nombre del ODP, cargo, correo y teléfono de contacto.
Por otro lado, por buenas prácticas de compliance —y siguiendo el criterio aplicado para otros oficiales de cumplimiento, como en el SPLAFT o en los Modelos de Prevención de Delitos— lo recomendable es que la designación provenga del máximo órgano de dirección de la sociedad, como el directorio, o, en su defecto, de la junta general de socios o accionistas, mediante el acta correspondiente.
En el caso de asociaciones, fundaciones u otras personas jurídicas reguladas por el Código Civil, lo ideal sería que la designación la realice el Consejo Directivo o, en su defecto, la asamblea general o el órgano análogo.
No obstante, no existe impedimento legal para que la gerencia efectúe la designación, siempre que cuente con facultades delegadas para ello.
Dado que el ODP actuará como representante de la entidad ante la ANPD y terceros, es recomendable que la designación se acompañe de una delegación expresa de facultades, que incluya, como mínimo:
- Representación en procedimientos administrativos (conforme al TUO de la Ley del Procedimiento Administrativo General).
- Facultades de representación procesal (artículos 74° y 75° del CPC).
- Facultades para interactuar con titulares de datos personales y otros terceros vinculados a sus funciones.
En conclusión, la falta de definiciones claras en la normativa genera incertidumbre, pero no debería ser un obstáculo para adoptar buenas prácticas. La designación del ODP no debe verse como una obligación meramente formal, sino como una oportunidad para fortalecer la cultura de cumplimiento y la gestión de riesgos en materia de privacidad. En un contexto donde la protección de datos personales es cada vez más relevante para la confianza y la reputación corporativa, anticiparse y actuar proactivamente no solo evita sanciones, sino que posiciona a la organización como referente en responsabilidad y transparencia.
Autor: Alejandro Vargas, asociado profesional del IPC y profesor del Programa de Oficiales de Datos Personales del Instituto Peruano de Compliance – IPC.
