El dilema del perfil del oficial de datos personales

Se va a cumplir un año desde la entrada en vigor del reglamento de la Ley de Protección de Datos Personales (marzo de 2025) y hasta el día de hoy las empresas no tienen claridad respecto de cuál es el perfil que debe cumplir el oficial de datos personales (ODP).

Y es que el referido reglamento impuso dicha obligación (aplicable desde el 1 de diciembre de 2025 para un grupo de empresas) estableciendo que, para cumplir con el perfil del ODP, este debe ser designado en virtud de sus cualidades profesionales y, en particular, a sus conocimientos y práctica en materia de protección de datos personales, debidamente acreditados (artículo 38).

Sin embargo, el Reglamento no incluyó mayor detalle sobre cómo se podía acreditar dichas cualidades profesionales y conocimientos en materia de datos personales. Esto generó incertidumbre en varias empresas que al no contar con el detalle de dicha información y frente al riesgo de estar en un escenario de incumplimiento para el 1 de diciembre del año pasado, decidieron designar al ODP siguiendo lo que, a la interna, consideraron que podría demostrar el perfil exigido por el Reglamento.

30 días después de haber entrado en vigor la obligación de designar ODP (31 de diciembre de 2025), la Autoridad Nacional de Protección de Datos Personales publicó la Directiva que establece las disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales, tratando de responder todas las preguntas y vacíos que dejaba el reglamento en lo que respecta a la figura del ODP.

Así, en lo que concierne al perfil, la referida Directiva señaló que la evidencia que permitirá acreditar la experiencia profesional y conocimiento del ODP es la siguiente:

Respecto de la experiencia profesional:

• 2 años de experiencia general: desempeñando labores afines a la materia de protección de datos personales de manera continua o acumulada y/o en materias como seguridad y gestión de la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de datos personales en entidades públicas y/o privadas.
• Mínimo 1 año de experiencia específica: desempeñando labores en materia de protección de datos personales de manera continua o acumulada, la cual se puede acreditar a través de la experiencia profesional pública o privada.

Respecto del conocimiento:

• Experiencia probada y continua en la docencia universitaria o en la investigación sobre temas de protección de datos personales y/o afines.
• Contar con estudios de posgrado concluidos o grado académico afines a la materia de protección de datos personales y/o en materias como seguridad y gestión la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de datos personales en entidades públicas y/o privadas.
• Contar con certificado de especialización y/o diplomado en protección de datos personales o las señaladas líneas arriba, con una duración mínima de noventa (90) horas lectivas para los certificados y ciento veinte (120) horas lectivas para los diplomados, las cuales se tenían que obtener de entidades o instituciones formativas que cuenten con reconocido prestigio y trayectoria en las materias señaladas.

Sin embargo, esta Directiva solo generó como consecuencia más dudas, como las que compartimos a continuación:

1. ¿La experiencia profesional general y específica se exige en conjunto? ¿basta con tener experiencia específica o general para ser ODP?
2. ¿El conocimiento se acredita cumpliendo concurrentemente con los 3 aspectos comentados líneas arriba o basta solo con haber cumplido 1 de ellos? ¿En la formación académica se debe contar con un grado académico y además especializaciones y diplomados?
3. ¿Qué tan flexible será la ANDP respecto de las horas exigidas en los certificados de especialización o diplomado? Considerando que, para ese momento, ninguna entidad educativa peruana ofrecía una especialización o diplomado con las horas exigidas en datos personales.
4. ¿Qué entendía la ANDP con “instituciones formativas que cuenten con reconocido prestigio y trayectoria en las materias señaladas”?
5. ¿Dichas constancias de especialidad podían ser obtenidas únicamente de instituciones educativas?
6. ¿Existía algún plazo para que las empresas privadas puedan adecuarse a las exigencias del perfil?
7. ¿No designar ODP constituye una infracción a la regulación de datos personales? ¿cuál?

Frente a este escenario, el 11 de febrero de 2026 la ANDP publicó el documento “Preguntas y respuestas en relación a la directiva que establece disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales” (en adelante, el documento), el cual trata de explicar la Directiva, publicada para explicar el Reglamento, que impone obligaciones no contenidas en la Ley.

Sin embargo, como veremos, en lo que respecta al perfil, el documento solo se concentra en explicar cómo se acredita el conocimiento omitiendo pronunciarse sobre cómo se debe acreditar la experiencia profesional.

A continuación, las respuestas a algunas de las preguntas planteadas líneas arriba:

1. ¿El conocimiento se acredita cumpliendo concurrentemente con los 3 aspectos comentados líneas arriba o basta solo con haber cumplido 1 de ellos? ¿En la formación académica se debe contar con un grado académico y además especializaciones y diplomados?
   El documento señala que la ANDP será flexible en la exigencia, por lo que el conocimiento podrá probarse con cualquiera de las siguientes (de forma alternativa, no concurrente):

• Docencia en materias vinculadas a la protección de datos personales y/o;
• Investigación académica especializada y/o;
• Capacitación formal acreditada mediante cursos, programas o certificaciones, tales como cursos de especialización (por ejemplo, con una carga horaria mínima referencial de 90 horas) o diplomas de especialización (por ejemplo, con una carga horaria mínima referencial de 120 horas).

Así, se dispone que los requisitos vinculados a la formación académica y a los conocimientos en materia de protección de datos personales (formación académica acreditada, experiencia probada y continua de docencia universitaria e investigación sobre protección de datos personales y/o materiales afines), pueden no cumplirse de manera concurrente, toda vez que se trata de mecanismos alternativos de acreditación del perfil del ODP.

Respecto de la forma de acreditar la formación académica, señala que existen dos alternativas:

• Estudios de posgrado concluidos o un grado académico vinculado a la materia de protección de datos personales y/o a materias afines; o, a través de,
• Programas de especialización acreditados mediante certificados y/o diplomados, con una duración mínima de noventa (90) horas lectivas para los certificados y ciento veinte (120) horas lectivas para los diplomados, en protección de datos personales o las materias afines.

Estas formas alternativas permiten acreditar la formación académica en materias vinculadas o afines a la protección de datos personales, tales como: seguridad y gestión de la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de datos personales en entidades públicas y/o privadas.

2. ¿Qué tan flexible será la ANDP respecto de las horas exigidas en los certificados de especialización o diplomado? Considerando que, para ese momento, ninguna entidad educativa peruana ofrecía una especialización o diplomado con las horas exigidas en materia de datos personales.
   No hay modificación respecto de cómo acreditar el conocimiento y formación académica del ODP; sin embargo, el documento señala que la ANPD evaluará “en cada caso concreto si el estándar establecido admite ajustes razonables dada la naturaleza del sujeto obligado a designar el ODP, la formación académica y conocimientos acreditados y la oferta formativa o académica disponible.”

3. ¿Qué entendía la ANDP con “instituciones formativas que cuenten con reconocido prestigio y trayectoria en las materias señaladas”?
   Básicamente, señala que el “reconocido prestigio” se sustenta no solo en la especialización temática, sino en la solidez de la metodología de estudio, la calidad de la plana docente y el rigor de los procesos de evaluación. Cabe señalar que dicho concepto no se limita exclusivamente a universidades e institutos del Perú o del extranjero, sino que incluye a organizaciones internacionales especializadas y empresas certificadoras de trayectoria comprobada en la materia o afines sea en Perú o también en el extranjero.

4. ¿Dichas constancias de especialidad podían ser obtenidas únicamente de instituciones educativas?
   No, el documento señala que “la formación académica y complementaria puede ser impartida por entidades privadas, empresas o partners autorizados que actúen en representación de instituciones internacionales. La validez de estas capacitaciones se sustenta en el respaldo técnico de la institución matriz, siempre que el certificado emitido acredite fehacientemente el cumplimiento de las 90 o 120 horas lectivas exigidas y cuente con el aval de la entidad responsable del programa.”

5. ¿Existía algún plazo para que las empresas privadas puedan adecuarse a las exigencias del perfil?
   La Directiva establece un plazo de adecuación de 180 días calendario para las entidades públicas, pero ahora el documento señala que dicho plazo debe interpretarse “como un plazo general de adecuación, aplicable tanto a las entidades públicas como a las organizaciones y empresas.”

6. ¿No designar ODP constituye una infracción a la regulación de datos personales? ¿cuál?
   Sí, no contar con ODP constituye una deficiencia en la obligación de contar con medidas de seguridad organizativas por lo que podría ser sancionada por infracción a los artículos 9 y 16 de la Ley N° 29733. Cabe señalar que dicho cuestionario hace la siguiente precisión: “la designación del Oficial de Datos Personales constituye una medida organizativa orientada a garantizar el cumplimiento del principio de seguridad. Por ello, la falta de adecuación del perfil del ODP no configura por sí sola una infracción administrativa, sino que debe evaluarse en función de su impacto real en la implementación de las medidas de seguridad exigidas por la Ley y su Reglamento. Solo cuando dicha situación evidencie la ausencia o ineficacia de medidas organizativas que afecten la seguridad del tratamiento, podría ser valorada en un procedimiento sancionador.”

Como vemos, se han aclarado algunas dudas respecto del perfil enfocándose a cómo acreditar el conocimiento. Sin embargo, aún no sabemos si para acreditar la experiencia profesional el ODP debe cumplir con la experiencia general y específica (sumados, 3 años como mínimo) o solo con una de las dos.

La lógica nos permite presumir que con acreditar experiencia específica en datos personales debería ser suficiente; sin embargo, no hay ninguna disposición vinculante de la Autoridad que pueda dejar constancia o certeza de aquello. Lamentablemente, parece que tendremos que esperar un segundo tomo de preguntas y respuestas a fin de tener toda la información necesaria para nombrar a un oficial de datos personales. Este tipo de deficiencias son las que generan inseguridad jurídica en todas las empresas que desean cumplir con la regulación.

Por Alex Sosa, socio del área de Publicidad, Consumo y Privacidad.

Publicado en la revista Columnas del estudio edición n°223.