La publicación de la “Directiva que establece disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales” ha traído consigo más incertidumbres que soluciones.
Si bien de manera preliminar el objetivo de la Directiva era establecer criterios objetivos que permitan (entre otros aspectos) delimitar los términos “experiencia académica y profesional” exigida a los Oficiales de Datos Personales (ODP), la aparente desproporcionalidad en estos criterios y el marco de vigencia temporal exigido, afectan directamente (a nuestro criterio) el cumplimiento de la Ley y el Reglamento de Protección de Datos Personales.
En primer lugar, la obligación de designar un ODP entró en vigor el 30 de noviembre de 2025 (1 año después de la promulgación del Reglamento de la Ley de Protección de Datos Personales, y 8 meses desde su entrada en vigencia). Es decir, existió un plazo considerable para establecer o reglamentar los requisitos que la Directiva propuso el 31 de diciembre de 2025 (un mes después de materializada la obligación de contar con un ODP).
Este contexto trae consigo una serie de cuestionamientos no considerados por la ANPDP o la Directiva: i) ¿Es válida la designación de aquellos ODP nombrados previo al 31 de diciembre de 2025 si no cuentan con los requisitos establecidos en la Directiva?; ii) ¿Resulta razonable que las entidades públicas cuenten con un plazo de adecuación de 180 días calendario, mientras que las entidades privadas no?; iii) ¿La exigencia de contar con estudios de posgrado, experiencia en investigación o docencia, 90 horas lectivas a efectos de especializaciones, o 120 en relación a diplomados (aunado a la necesidad de contar con 2 años de experiencia general y 1 año de experiencia específica), resultan proporcionales?
La imposibilidad inmediata de responder a las interrogantes planteadas, advierte una preocupante planificación normativa, que en última instancia imposibilita el cumplimiento del Reglamento de la Ley de Protección de Datos Personales (incluso para aquellas instituciones genuinamente interesadas en ello).
En segundo lugar, es aún más preocupante considerar que, así como esta Directiva ha traído consigo un panorama de inseguridad jurídica, producto de los puntos antes señalados, existen disposiciones del propio Reglamento de la Ley de Protección de Datos Personales como los parámetros para la aplicación del derecho a la portabilidad de datos, las cláusulas tipo a ser incluidas en los contratos de tratamiento de datos, o, el listado de países con un nivel de protección suficiente, que aún se encuentran pendientes de “reglamentación”. Si la línea seguida con esta Directiva será el parámetro a seguir en otros ámbitos, probablemente se ponga en riesgo la efectividad y vigencia de la normativa en protección de datos personales.
Independientemente de lo señalado, mientras no exista aclaración alguna por parte de la ANPDP, la premisa es clara, nos encontramos en la obligación de adecuarnos a esta Directiva, y designar un ODP que cumpla con los requisitos y parámetros indicados.
