Foro Compliance Latam
Perú | Alerta Oficial de Datos Personales: claves de la nueva Directiva

20 Ene, 2026 | CPB, Noticias

1. ¿Quiénes deben designar un ODP?

A. Sector Público: Entidades del sector público y Empresas bajo FONAPE.

B: Sector Privado (empresas): Cuando el tratamiento se realiza sobre grandes volúmenes de datos personales o cuando el giro o actividad principal de la entidad implica tratamiento de datos sensibles (p.e: bancos o centros de salud).

2. Evaluación de grandes volúmenes de datos personales

La Directiva establece cinco criterios de evaluación, distinguiendo entre:

  • Criterios determinantes A, B y C.
  • Criterios complementarios (moduladores): D y E.

3. Criterios determinantes:

  1. Criterio A: número de titulares de datos personales:
  • Nivel ALTO: > 50,000 titulares.
  • Nivel MEDIO: 10,000 a 49,000 titulares.
  • Nivel Bajo: Tratamiento puntuales, ocasionales o excepcionales (campañas únicas, encuentras o proyectos específicos.

2. Criterio E: Ubicación del tratamiento:

  • Nivel ALTO: Bancos de Datos contenidos en servidores o servicios en la nube ubicados fuera del país.
  • Accesos remotos frecuentes a bancos de datos nacionales desde el extranjero (VPN, SSH, FTP, SFTP, etc). Por parte de usuarios o administrados localizados fuera del país.
  • Nivel Medio: Bancos de datos contenidos en servidores o infraestructuras localizadas en el territorio nacional.
  • Nivel Bajo: Datos gestionados locamente en soportes físicos o servidores nacionales. Sin acceso a internet ni conexiones remotas internacionales.

4. Reglas de decisión: Anexo 1 de la Directiva

1.Se considera de gran volumen de datos personales cuando:

  • Si al menos uno de los criterios determinantes A,B o C se encuentra en nivel ALTO.
  • Si al menos dos de los criterios determinantes A,B o C se encuentran en nivel MEDIO.
  • Si al menos uno de los criterios determinantes A,B o X se encuentran a nivel MEDIO, y adicionalmente, al menos uno de los criterios complementarios D o E se encuentra en nivel MEDIO o ALTO.

2. No se considera de gran volumen de datos personales cuando:

  • Si los tres criterios determinantes (A,B y C) se encuentran simultáneamente en nivel BAJO.

5. Perfil y requisitos del ODP

  1. Experiencia:
  • Experiencia general: Mínimo 2 años en labores a fines a protección de datos personales o áreas relacionadas (seguridad de la información, ciberseguridad, gobierno digital, IA, etc), de manera continua o acumulada.
  • Experiencia específica: Mínimo 1 año dedicado directamente a protección de datos personales de manera continua o acumulada.

2. Formación académica:

Se requiere al menos una de las siguientes:

  • Posgrado en protección de datos personales y/ materias afines.
  • Certificación especializada en datos personales o materias afines (mínimo 90 horas).
  • Diplomado especializado en datos personales o materias afines (mínimo 120 horas).
  • Docencia o investigación continua en la materia.

Los certificados y diplomados deben ser impartidos por instituciones de reconocido prestigio en datos personales.

6. ¿Quién NO puede ser designado ODP?

No puede ser OPD quien:

  • Tenga sentencia condenatoria firme por delito doloso.
  • Mantenga sanción o inhabilitación vigente como consecuencia de procedimientos disciplinario y otro análogo.
  • Se encuentre investigado por delitos informáticos.
  • Registre sanciones ética vinculadas al tratamiento de información y protección de datos personales.

7. Funciones del ODP:

1.Funciones principales:

  • Coordinar programas de capacitación y sensibilización del personal en protección de datos personales.
  • Gestionar la conformación de un equipo de apoyo cuando las funciones de supervisión o asesoramiento lo requieran.
  • Elaborar informes, opiniones o recomendaciones técnicas sobre el cumplimiento de la normativa, dirigidos a la alta dirección o directorio.
  • Recabar información de las unidades o departamentos pertinentes para verificar el cumplimiento de la normativa.
  • Revisar periódicamente documentos emitidos por la ANPD relevantes para sus funciones.
  • Promover una cultura de protección de datos personales dentro de la entidad, organización o empresa.

2. Funciones excluidas:

El ODP no:

  • Define la finalidad del tratamiento.
  • Ejecuta directamente tratamientos de datos personales.
  • Reemplaza al responsable del tratamiento.
  • Toma decisiones propias del negocio.

8. Comunicación de designación del ODP

1. Ante la ANPD:

  • Nombres y apellidos.
  • Documento de identidad.
  • Cargo.
  • Datos de contacto.

2. Frente a los titulares:

  • Publicación del nombre completo y correo del ODP en la política de privacidad.

Si necesitas más información a asesoría en materias de protección de datos personales, escríbenos a contacto@compliancelatam.legal

Te podría interesar