El último 31 de diciembre se publicó en el Diario Oficial “El Peruano” la Directiva que establece las disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales y la Metodología para el cálculo de multas en materia de Protección de Datos Personales, las mismas que entraron en vigencia el 1 de enero de 2026.

La Directiva brinda criterios claros para la designación del Oficial de Datos Personales (ODP) y aborda aspectos complementarios a su rol y funciones con la finalidad de uniformizar criterios y brindar mayor predictibilidad a los sujetos obligados en la implementación de sus obligaciones en materia de protección de datos personales. Entre los aspectos más importantes que trae la Directiva destacan los siguientes:

1. ¿A quiénes aplica?

a. Entidades públicas
b. Personas jurídicas del sector privado que se encuentren obligadas a designar un ODP conforme a la LPDP y el RLPDP.
c. Empresas bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE)

2. Aspectos clave para la designación del ODP

Entre los aspectos más relevantes se encuentran los siguientes:

• Designación formal

• El ODP debe ser designado expresamente por la máxima autoridad de la entidad u organización.
• La designación del ODP debe constar en un acto formal interno (acuerdo, resolución, acta o instrumento equivalente).

• Autonomía e independencia

• El ODP debe ejercer sus funciones con autonomía técnica en el marco de sus responsabilidades.
• El ODP no debe incurrir en situaciones que hagan inviable su desempeño por un conflicto de intereses.

• Apoyo organizacional

• Se debe dotar al ODP de los recursos necesarios para el desempeño de sus funciones.
• Comunicación de designación
• La entidad u organización comunica internamente la designación del ODP. La información de contacto debe mantenerse actualizada y accesible.
• La designación del ODP también debe ser comunicada por la entidad u organización a la ANDP.
• La entidad u organización debe hacer público, como mínimo, el nombre completo del ODP y una dirección de correo electrónico.

• Criterios para la designación del ODP

• Se desarrollan criterios para la designación del ODP para el supuesto de “tratamiento de grandes volúmenes de datos”: número de titulares comprendidos en el tratamiento, sensibilidad y tipología de datos, finalidad de tratamiento o riesgo asociado a derechos o libertades, entre otros.
• La designación del ODP en el supuesto de “actividades principales o giro de negocio que comprendan tratamiento de datos sensibles” se configura cuando el tratamiento de dichos datos es necesario para la consecución de los fines del responsable o encargado.

3. ¿Qué perfil debe tener el ODP?

• Experiencia profesional:

• No menos de 2 años en desempañando labores afines a la materia de protección de datos personales y/o seguridad y gestión de la información, ciberseguridad, gobierno digital o afines.
• No menora 1 año desempeñando labores en materia de protección de datos personales de manera continua o acumulada, acreditada a través de experiencia en el sector público o privado.

• Formación académica:

• Estudios de postgrado o grado académico afines a la protección de datos personales y/o en materia de seguridad y gestión de la información, entre otros.
• Certificado de especialización y/o diplomado en protección de datos personales o afines con duración mínima de 90 horas lectivas para certificados y 120 horas lectivas para diplomados.

• Conocimiento e independencia

• Conocimiento de las normas internas que regulan la gestión institucional de la entidad u organización en materia de protección de datos personales.
• Independencia funcional respecto al contenido de sus opiniones, recomendaciones y decisiones técnicas.

• Idoneidad moral y ética

• No contar con sentencia condenatoria firme por delito doloso.
• No contar con sanción y/o inhabilitación vigente a consecuencia de procedimiento disciplinario o análogo.
• No contar con investigación penal formal o condena por delitos informáticos o sanciones por faltas éticas.

El ODP puede ser una persona ajena a la organización o vinculado a una persona jurídica distinta. En dicho caso, la persona jurídica no debe ser administrativamente responsable por delitos previstos en el artículo 1 de la Ley N° 30424, haber sido inhabilitada o suspendida para contratar con el Estado.

4. Principales funciones del ODP

Entre las funciones más relevantes establecidas por la Directiva se encuentran:

• Coordinar la realización de programas de capacitación y sensibilización en materia de protección de datos personales.
• Gestionar la conformación del equipo de apoyo en materia de protección de datos personales cuando la magnitud de las funciones de supervisión o asesoramiento así lo requieran.
• Elaborar informes, opiniones o recomendaciones técnicas sobre el cumplimiento de la normativa de protección de datos personales comunicándolo a la alta dirección.
• Revisar periódicamente resoluciones, opiniones, guías y demás documentos emitidos por la ANDP para el cumplimiento de sus funciones.
• Promover una cultura de protección de datos personales dentro de la entidad u organización.

5. Responsabilidad de la entidad u organización

• La designación del ODP no exonera ni traslada la responsabilidad legal a dicha persona sobre el cumplimiento de la normativa de protección de datos personales en tanto la responsabilidad sigue recayendo en la entidad u organización.

6. ¿Desde cuándo rige la Directiva?

Desde el día siguiente de su publicación, salvo el plazo de adecuación de 180 días previsto para las entidades públicas que ya cuenta con ODP o no hayan transcurrido las fechas establecidas en la primera disposición complementaria final del Reglamento de la LPDP.

7. Refuerzo del estándar sancionador y del control jurídico de la potestad punitiva

La nueva Metodología no solo ordena criterios técnicos de cálculo, sino que consolida un giro relevante en el ejercicio de la potestad sancionadora en materia de protección de datos personales. Al exigir una correlación más explícita entre el tipo infractor, la gravedad de la conducta, el daño o riesgo generado y el monto final de la multa, se eleva el estándar de motivación del acto administrativo sancionador y se reduce el margen para sanciones meramente intuitivas o estandarizadas.
En este contexto, la Autoridad queda obligada a justificar de manera expresa las razones que conducen a una determinada cuantificación, bajo parámetros de razonabilidad, proporcionalidad y predictibilidad. Ello refuerza el control jurídico —tanto en sede administrativa como judicial— sobre la discrecionalidad sancionadora, trasladando el foco desde el mero incumplimiento formal hacia una evaluación sustantiva del impacto real de la conducta infractora sobre el bien jurídico protegido.
Desde una perspectiva práctica, este nuevo marco incrementa la exposición sancionadora de las organizaciones, pero al mismo tiempo ofrece mayores herramientas para la defensa técnica frente a sanciones insuficientemente motivadas. La gestión del cumplimiento y del riesgo regulatorio deja de ser únicamente operativa y pasa a requerir una lectura jurídica más fina del modelo sancionador aplicable.

A tener en cuenta:
La publicación de esta Directiva representa un avance relevante en la maduración del marco de protección de datos personales en el Perú, al dotar de mayor claridad y predictibilidad al rol del Oficial de Datos Personales (ODP). Al establecer criterios objetivos para su designación, requisitos mínimos de idoneidad y lineamientos sobre su independencia funcional, la Autoridad busca cerrar espacios de ambigüedad que, en la práctica, venían dificultando una implementación homogénea de la normativa.

Desde una perspectiva de cumplimiento, la Directiva refuerza un mensaje clave para las organizaciones: la designación del ODP no es un acto meramente formal, sino una decisión estratégica que debe alinearse con el nivel de riesgo, el volumen y la sensibilidad de los datos tratados, así como con el giro del negocio. En ese sentido, cobra especial relevancia la evaluación de posibles conflictos de interés y la provisión de recursos adecuados que permitan al ODP ejercer sus funciones con autonomía y eficacia.

Asimismo, la norma deja claro que la responsabilidad por el cumplimiento de la normativa de protección de datos personales sigue recayendo en la entidad u organización, lo que exige a la alta dirección involucrarse activamente en la supervisión del modelo de gobierno de datos y en la adopción de una cultura organizacional orientada a la privacidad.

En este nuevo escenario, recomendamos a las empresas revisar oportunamente sus esquemas de gobernanza de datos, perfiles designados como ODP y mecanismos de reporte a la alta dirección, a fin de asegurar una adecuada adecuación a la Directiva y mitigar riesgos regulatorios, reputacionales y operativos.

Adicionalmente, debe tenerse en cuenta que la nueva Metodología para el cálculo de multas refuerza el vínculo entre el rol efectivo del Oficial de Datos Personales y la graduación de las sanciones. La Autoridad no evaluará únicamente la existencia formal de un ODP, sino la idoneidad real de su designación, su independencia funcional y la eficacia de su actuación dentro de la organización. En consecuencia, deficiencias en la implementación del modelo de gobierno de datos (antes tratadas como observaciones de cumplimiento) pueden ahora incidir directamente en la determinación del monto de la multa, incrementando de manera tangible la exposición sancionadora.

Para más información contáctanos a abogados@rubio.pe