Nueva directiva impulsa la protección de datos y ciberseguridad en empresas y entidades públicas

El 31 de diciembre de 2025, se publicó en el Diario Oficial El Peruano la Resolución Directoral 100-2025-JUS/DGTAIPD, que aprobó la Directiva que establece las disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales (la “Directiva”).

ALCANCE

Las disposiciones de la Directiva son de cumplimiento obligatorio para entidades de la administración pública, empresas obligadas y empresas bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) (Numeral 3).

¿QUÉ DISPOSICIONES GENERALES INCORPORA LA DIRECTIVA?

La Directiva, entre sus disposiciones más destacadas, establece:

• La diferencia entre las funciones del Oficial de Datos Personales (el “ODP”) y aquellas del sujeto obligado a su designación (por ejemplo, la empresa), que determina la finalidad, contenido y medios de tratamiento de datos.
• Que incluso las empresas legalmente no obligadas pueden designar, como buena práctica, un ODP.

¿CÓMO EVALUAR SI CORRESPONDE DESIGNAR UN OPD?

La evaluación para designar un OPD, se realiza según los siguientes supuestos previstos en la LPDP y su Reglamento:

1. Tratamientos de grandes volúmenes de datos personales:

• Se establecen tres (3) niveles (alto, medio y bajo) que se deben verificar en cada uno de los cinco (5) criterios: (i) número de titulares, (ii) sensibilidad y tipología del dato, (iii) finalidad y riesgo asociado, (iv) frecuencia, duración y continuidad del tratamiento y (v) demarcación territorial de este.
• Para decidir si corresponde designar el ODP, se analiza el caso concreto según las reglas de decisión previstas en el numeral 9.3 del Anexo 1 de la Directiva.

2. El giro de negocio comprende el tratamiento de datos sensibles:

• La empresa requiere el tratamiento de datos sensibles (datos biométricos, información relativa a la afiliación sindical, salud física o mental u análogas) para la consecución de sus fines.
• La obligación también se configura cuando, aun no estando el tratamiento de datos sensibles asociado al giro de negocio, este resulte inseparable para el diseño, planificación o realización del negocio.

¿QUÉ PERFIL DEBE TENER EL ODP?

Experiencia profesional

• General: No menor de dos (2) años en materia de protección de datos personales o ciberseguridad, inteligencia artificial o materia vinculada.
• Específica: No menor de un (1) año desempeñando labores en materia de protección de datos personales.

Formación académica

• Estudios de posgrado concluidos o grado académico afines a la materia.
• Certificado de especialización en protección de datos personales.

Conocimientos e independencia

• Conocimiento de normas internas de la empresa, en materia de protección de datos personales (criterio orientativo).
• La empresa no puede direccionar al ODP sobre el contenido de sus opiniones, recomendaciones o decisiones técnicas.
• El ODP no puede ser sancionado o removido por el contenido de sus informes, opiniones o recomendaciones.

Idoneidad moral y ética

• No tener sentencia condenatoria firme por delito doloso.
• No contar con sanción y/o inhabilitación vigente a consecuencia de procedimiento disciplinario.
• No contar con una investigación penal o condena por delitos informáticos.

ODP VINCULADO A UNA PERSONA JURÍDICA TERCERA

• La designación del ODP siempre recae en una persona natural, no obstante, es posible que esta se vincule a una persona jurídica a la que pertenece o represente para el cumplimiento de sus funciones.
• Se debe verificar que dicha persona jurídica no haya sido responsable administrativamente por los delitos señalados en el artículo 1 de la Ley 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas en el proceso penal.
• El ODP siempre será el punto de contacto ante la Autoridad Nacional de Protección de Datos Personales.

Accede directamente a la Directiva haciendo clic aquí.