18-03-2026 | CPB, Noticias
La directiva incorpora requisitos de experiencia comprobable para el cargo y un plazo de adecuación de 180 días, entre otras medidas.
La Autoridad Nacional de Protección de Datos Personales (ANPD) de Perú publicó un documento de preguntas y respuestas que precisa cómo debe aplicarse la directiva sobre designación, desempeño y funciones del Oficial de Datos Personales (ODP).
Si una compañía o grupo empresarial está evaluando incorporar este rol, estas son las cinco claves prácticas que debe considerar:
- Designación formal y comunicación a la ANPD
La designación debe quedar registrada en un acto formal del máximo organismo de administración de la empresa —mediante un acta, acuerdo, resolución u otro documento equivalente— y comunicarse a la ANPD a través de la mesa de partes virtual, con los datos mínimos del ODP, como su identidad, rol o cargo, y contactos.
- Transparencia obligatoria
Además de informarlo a la ANPD, la empresa debe hacer público —como mínimo— el nombre completo del ODP y un correo electrónico en —por ejemplo— la política de privacidad de la compañía o algún documento similar.
- El ODP se compromete con el deber de seguridad y está sujeto a sanciones
No basta con nombrar a alguien. Si la falta de idoneidad del OPD se traduce en medidas de seguridad inexistentes o ineficaces, la ANPD podría evaluarlo como un incumplimiento del deber/principio de seguridad y aplicar sanciones.
- Requisitos concurrentes para el perfil
Las exigencias son claras: quien asuma el cargo debe tener conocimientos especializados y experiencia práctica en protección de datos personales. La formación puede acreditarse a través de docencia, investigación académica, capacitación formal, entre otras.
- Adecuación progresiva de 180 días
Si el ODP no calza perfecto con el perfil al momento de asumir, la designación no se anula automáticamente. En cambio, la directiva de la empresa contempla una lógica de adecuación progresiva en un plazo general de 180 días, interpretado de maneras amplias para sujetos obligados.
Puedes descargar el folleto de preguntas y respuestas sobre la directiva que establece disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales en el siguiente enlace.
Si deseas más información, comunícate con nosotros a contacto@compliancelatam.legal.
20-01-2026 | CPB, Noticias
1. ¿Quiénes deben designar un ODP?
A. Sector Público: Entidades del sector público y Empresas bajo FONAPE.
B: Sector Privado (empresas): Cuando el tratamiento se realiza sobre grandes volúmenes de datos personales o cuando el giro o actividad principal de la entidad implica tratamiento de datos sensibles (p.e: bancos o centros de salud).
2. Evaluación de grandes volúmenes de datos personales
La Directiva establece cinco criterios de evaluación, distinguiendo entre:
- Criterios determinantes A, B y C.
- Criterios complementarios (moduladores): D y E.
3. Criterios determinantes:
- Criterio A: número de titulares de datos personales:
- Nivel ALTO: > 50,000 titulares.
- Nivel MEDIO: 10,000 a 49,000 titulares.
- Nivel Bajo: Tratamiento puntuales, ocasionales o excepcionales (campañas únicas, encuentras o proyectos específicos.
2. Criterio E: Ubicación del tratamiento:
- Nivel ALTO: Bancos de Datos contenidos en servidores o servicios en la nube ubicados fuera del país.
- Accesos remotos frecuentes a bancos de datos nacionales desde el extranjero (VPN, SSH, FTP, SFTP, etc). Por parte de usuarios o administrados localizados fuera del país.
- Nivel Medio: Bancos de datos contenidos en servidores o infraestructuras localizadas en el territorio nacional.
- Nivel Bajo: Datos gestionados locamente en soportes físicos o servidores nacionales. Sin acceso a internet ni conexiones remotas internacionales.
4. Reglas de decisión: Anexo 1 de la Directiva
1.Se considera de gran volumen de datos personales cuando:
- Si al menos uno de los criterios determinantes A,B o C se encuentra en nivel ALTO.
- Si al menos dos de los criterios determinantes A,B o C se encuentran en nivel MEDIO.
- Si al menos uno de los criterios determinantes A,B o X se encuentran a nivel MEDIO, y adicionalmente, al menos uno de los criterios complementarios D o E se encuentra en nivel MEDIO o ALTO.
2. No se considera de gran volumen de datos personales cuando:
- Si los tres criterios determinantes (A,B y C) se encuentran simultáneamente en nivel BAJO.
5. Perfil y requisitos del ODP
- Experiencia:
- Experiencia general: Mínimo 2 años en labores a fines a protección de datos personales o áreas relacionadas (seguridad de la información, ciberseguridad, gobierno digital, IA, etc), de manera continua o acumulada.
- Experiencia específica: Mínimo 1 año dedicado directamente a protección de datos personales de manera continua o acumulada.
2. Formación académica:
Se requiere al menos una de las siguientes:
- Posgrado en protección de datos personales y/ materias afines.
- Certificación especializada en datos personales o materias afines (mínimo 90 horas).
- Diplomado especializado en datos personales o materias afines (mínimo 120 horas).
- Docencia o investigación continua en la materia.
Los certificados y diplomados deben ser impartidos por instituciones de reconocido prestigio en datos personales.
6. ¿Quién NO puede ser designado ODP?
No puede ser OPD quien:
- Tenga sentencia condenatoria firme por delito doloso.
- Mantenga sanción o inhabilitación vigente como consecuencia de procedimientos disciplinario y otro análogo.
- Se encuentre investigado por delitos informáticos.
- Registre sanciones ética vinculadas al tratamiento de información y protección de datos personales.
7. Funciones del ODP:
1.Funciones principales:
- Coordinar programas de capacitación y sensibilización del personal en protección de datos personales.
- Gestionar la conformación de un equipo de apoyo cuando las funciones de supervisión o asesoramiento lo requieran.
- Elaborar informes, opiniones o recomendaciones técnicas sobre el cumplimiento de la normativa, dirigidos a la alta dirección o directorio.
- Recabar información de las unidades o departamentos pertinentes para verificar el cumplimiento de la normativa.
- Revisar periódicamente documentos emitidos por la ANPD relevantes para sus funciones.
- Promover una cultura de protección de datos personales dentro de la entidad, organización o empresa.
2. Funciones excluidas:
El ODP no:
- Define la finalidad del tratamiento.
- Ejecuta directamente tratamientos de datos personales.
- Reemplaza al responsable del tratamiento.
- Toma decisiones propias del negocio.
8. Comunicación de designación del ODP
1. Ante la ANPD:
- Nombres y apellidos.
- Documento de identidad.
- Cargo.
- Datos de contacto.
2. Frente a los titulares:
- Publicación del nombre completo y correo del ODP en la política de privacidad.
Si necesitas más información a asesoría en materias de protección de datos personales, escríbenos a contacto@compliancelatam.legal
23-09-2025 | CPB, Noticias
PRINCIPIOS RECTORES
Se establecen principios rectores que deben regir el desarrollo, implementación y uso de la Inteligencia Artificial (IA) en todo ámbito. Algunos ejemplos son los siguientes:
- No discriminación
- Privacidad de los datos personales
- Protección de derechos fundamentales
- Respecto al derecho de autor
- Seguridad, proporcionalidad y fiabilidad
- Sostenibilidad
- Supervisión Humana
- Transparencia
CLASIFICACION DE RIESGOS
El Reglamento clasifica los sistemas de IA en tres categorías de riesgo:
- USO INDEBIDO: Sistemas de IA que se usen para impactar de manera irreversible, significativa y negativa en los derechos fundamentales y bienestar de las personas. Este uso está prohibido.
- RIESGO ALTO: Sistemas de IA cuyo uso puede suponer un riesgo para la vida humana, la dignidad, la libertad, la seguridad física y demás derechos fundamentales de las personas. Su uso se encuentra permitido sólo si se cumplen con determinadas obligaciones y medidas.
- RIESGO ACEPTABLE: Todos los sistemas de IA que no se encuentren comprendidos en las dos clasificaciones anteriores. Su uso se encuentra permitido en cumplimiento de la normativa respectiva.
OBLIGACIONES GENERALES APLICABLES AL SECTOR PRIVADO
Se contemplan las siguientes obligaciones que deben ser cumplidas por todo desarrollador o implementador de los sistemas basados en IA:
- Establecer políticas y procedimientos que permitan preservar la seguridad, transparencia y privacidad.
- Fomentar la educación y concientización interna de los colaboradores respecto a los riesgos asociados al uso de IA.
OBLIGACIONES APLICABLES AL SECTOR PRIVADO PARA SISTEMAS DE RIESGO ALTO
Asimismo, se establecen obligaciones que deben ser cumplidas específicamente en el desarrollo o implementación de sistemas basados en IA de riesgo alto:
Transparencia algorítmica: Implementar mecanismos que permitan informar al usuario, de forma previa, clara y sencilla, sobre la finalidad o uso del sistema basado en IA, sus funcionalidades y el tipo de decisiones que puede tomar (por ejemplo, mediante etiquetado).
Supervisión humana: Implementar mecanismos de supervisión humana en la toma de decisiones que pudiesen implicar un impacto significativo en sectores de salud, educación, justicia, finanzas y acceso a programas y servicios básicos.
Documentación: Mantener un registro actualizado sobre los principios del funcionamiento del sistema, las fuentes de datos utilizadas y la lógica del algoritmo, los impactos sociales y éticos esperados.
SUPERVISIÓN E IMPLEMENTACIÓN
La Secretaría de Gobierno y Transformación Digital (SGTD) tendrá a su cargo realizar acciones de monitoreo y supervisión sobre el desarrollo e implementación de sistemas de IA de riesgo alto o uso indebido, así como la identificación y provisión de cursos, programas, talleres y otras modalidades formativas para crear capacidades en IA.
El Reglamento entra en vigencia el 22 de enero del 2026.
Sin embargo, se contempla un cronograma de implementación para las obligaciones mencionadas de acuerdo al rubro de uso del sistema de IA:
- Sectores de salud, educación, justicia, seguridad, economía y finanzas: 10 de setiembre del 2026
- Sectores de transporte, comercio y trabajo: 10 de setiembre del 2027
- Sectores de producción, agricultura, energía y minería: 10 de setiembre del 2028
- Usos no incluidos en sectores anteriores: 10 de setiembre del 2026.
Si necesitas más información y saber como impacta en tu organización, escríbenos a contacto@compliancelatam.legal
25-08-2025 | CPB
En el día a día empresarial, la relación entre empleador y trabajador se mueve bajo una premisa clara: el empleador tiene la facultad de supervisar que las labores se realicen dentro de ciertos estándares. Estos estándares no solo alcanzan al desempeño directo, sino también al uso de las herramientas otorgadas por la empresa: computadoras, laptops y correos corporativos. Su utilización debe darse con responsabilidad y siguiendo lineamientos previamente establecidos. Cuando surge un hecho que genera sospechas o contingencias, el empleador no solo puede, sino que debe iniciar una investigación interna. Muchas veces, la información clave puede encontrarse en los dispositivos entregados al trabajador.
Pero aquí surge la gran pregunta:
¿Hasta qué punto el empleador puede investigar sin afectar derechos fundamentales del trabajador?
En este escenario entran en juego derechos como la intimidad, la protección de datos personales y el secreto e inviolabilidad de las comunicaciones. La jurisprudencia peruana ha trazado algunos criterios:
- Casación Laboral N.º 48825-2022 Lima: el correo electrónico, aunque conferido por el empleador, no puede ser abierto sin mandamiento judicial motivado.
- Casación Laboral N.º 14614-2016 Lima: el control empresarial debe ser funcional (relacionado al ámbito laboral) y racional (fundamentado en un proceso intelectual que lo justifique).
- Exp. N.º 04386-2017-PA/TC: es válido acceder al correo si existe un fin legítimo, el trabajador fue informado previamente del uso laboral del medio, y la medida es necesaria, razonable y proporcional.
- Opinión Consultiva N.º 035-2022-DGTAIPD: el empleador debe informar claramente la existencia de software de monitoreo, sus supuestos de activación y los datos a los que tendrá acceso.
Lo cierto es que no existe aún un criterio vinculante, lo que abre la puerta a que un trabajador cuestione judicialmente la legitimidad de estas prácticas. Una alternativa es que empleador y trabajador celebren acuerdos voluntarios que regulen el uso de dispositivos y posibles intervenciones. Sin embargo, tales medidas nunca deben vulnerar derechos fundamentales ni desconocer los parámetros jurisprudenciales.
Conclusión; Las investigaciones internas son legítimas, pero deben ejecutarse con especial atención y con respeto por los derechos fundamentales.
Mario Pinatte, Socio Senior CPB Abogados.
16-12-2024 | CPB, Noticias
Fue publicado, en el Diario Oficial El Peruano, el Decreto Supremo N° 016-2024-JUS, mediante el cual se aprueba un nuevo Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, el “Reglamento”). A través de esta norma, se imponen nuevas obligaciones para los titulares de bancos de datos personales y/o responsables de su tratamiento, tales como:
- Notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas siguientes de conocimiento de un incidente de seguridad que genere exposición de grandes volúmenes de datos personales o un grave perjuicio a sus titulares. Ello también deberá ser notificado a los titulares afectados en el mismo plazo, salvo el incidente haya sido superado o no se haya producido tal afectación. Asimismo, todo incidente de seguridad que acontezca deberá ser debidamente documentado y guardar registro de ello.
- Designar a un Oficial de Protección de Datos Personales, cuando se realice el tratamiento de grandes volúmenes de datos personales o de datos sensibles, el cual será el encargado de supervisar el cumplimiento de las obligaciones y ser el punto de contacto con la Autoridad. Cuando se traten de grupos empresariales, se podrá designar un solo oficial por grupo.
- Contar con un documento de seguridad, el cual debe ser aprobado formalmente y será de obligatorio cumplimiento para el personal con acceso a los sistemas de información. Debe estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información.
Asimismo, se establecen mecanismos de responsabilidad proactiva, de carácter facultativo, que representan el compromiso del responsable con el cumplimiento de la normativa y podrán ser considerados atenuantes de responsabilidad en un eventual procedimiento administrativo sancionador, tales como:
- La realización de Evaluaciones de Impacto Relativo a la Protección de Datos Personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad, entre otros.
- La implementación de Códigos de Conducta, en los que se establecen reglas específicas para el cumplimiento de la normativa dentro de la entidad o grupo empresarial, tales como procedimientos que faciliten el ejercicio de derechos, mecanismos de supervisión, cláusulas para la obtención de consentimientos, entre otros.
Por otro lado, el nuevo Reglamento establece novedades como el reconocimiento de la portabilidad como manifestación del derecho de acceso a los datos personales de sus titulares, lo que supone el traslado de los datos a otro responsable o titular de bancos de datos personales, cuando sea solicitado y las posibilidades tecnológicas lo permitan, así como la posibilidad de establecer un primer contacto para obtener el consentimiento expreso del titular para fines de publicidad y prospección comercial (de no obtenerlo, no podrá realizarse un nuevo contacto).
Por último, se establece la gratuidad del registro de bancos de datos personales y la creación de la plataforma “Yo cuido mis datos personales” para la atención ciudadana
La entrada en vigencia del nuevo Reglamento será a los 120 días calendarios siguientes a su publicación en el Diario Oficial. Específicamente, las obligaciones referidas a la designación de un Oficial de Cumplimiento entrarán en vigencia progresivamente en un calendario de 4 años, dependiendo del volumen de ventas de las empresas responsables. En cuanto a lo relativo al derecho de Portabilidad, ello surte efecto a partir de los 6 meses de la entrada en vigencia del Reglamento.
Para mayor información o en caso de cualquier consulta sobre el tema, contáctanos al siguiente correo: innovacion@cpb-abogados.com.pe
14-11-2024 | CPB, Noticias
NDECOPI sancionó recientemente a una empresa[1] y a su Gerente General por incluir una cláusula abusiva en la Política de Privacidad de su sitio web, al considerarla contraria al principio de consentimiento de la Ley de Protección de Datos Personales (LPDP).
Doble riesgo:
Con este precedente, tanto la Autoridad de Protección de Datos como INDECOPI pueden sancionar a la empresa si su Política de Privacidad no cumple con la LPDP.
Riesgos para el Gerente:
INDECOPI mantiene una postura estricta, y, hasta la fecha, ha sancionado a Gerentes Generales de diversas industrias por infracciones relativas a:
- Cláusulas abusivas en T&C y Política de Privacidad.
- Libro de Reclamaciones Virtual no conformes al reglamento.
- No actuar diligentemente para evitar que se infrinjan los derechos de los consumidores
[1] Ver Resolución Final N° 1802-2024/CC2
Para más información: innovacion@cpb-abogados.com.pe
