Perú: Se emite la directiva que complementa y precisa la obligación de designar un oficial de datos personales

La directiva busca contribuir con los sujetos obligados en el entendimiento y cumplimiento de las obligaciones de la normativa vigente relativa al oficial de datos personales (ODP), así como garantizar la protección de los derechos fundamentales vinculados al tratamiento de datos personales. En esa línea, con la finalidad de alinearse con las disposiciones contenidas en la nueva directiva, las empresas y organizaciones deberán tomar en cuenta lo siguiente:

Criterios de evaluación para la designación del ODP

Para determinar si la entidad privada está obligada a designar un oficial de datos, se debe determinar si se encuentra en el supuesto “a” o “b” según los siguientes criterios:

a) Organizaciones que manejen grandes volúmenes de datos personales: son aquellas que tengan al menos uno de los criterios determinantes en nivel alto, dos/tres criterios determinantes medios, o al menos uno de los determinantes medio junto con uno de los modulares en alto o medio.

b) Organizaciones cuyas actividades principales o giro de negocio comprendan el tratamiento de datos sensibles: se configura cuando el tratamiento de datos es entendido como parte de la actividad principal o de giro de negocio, o en el caso que resulte indispensable para la prestación de dicha actividad o negocio. En este supuesto se encuentran las clínicas, aseguradoras, laboratorios y empresas de seguridad, entre otros.

Formalidades y comunicación de la designación del ODP

Se debe realizar la designación mediante un acto formal, de acuerdo al régimen societario interno de la organización o empresa. Asimismo, la comunicación a la Autoridad Nacional de Protección de Datos Personales (ANPD) debe incluir la siguiente información: (i) nombres y apellidos completos del ODP, (ii) documento de identidad del ODP, (iii) cargo o rol dentro de la organización o empresa y (iv) datos de contacto.

Perfil y experiencia

• Experiencia general: no inferior de 2 años desempeñando labores en materia de protección de datos personales de manera continua.
• Experiencia específica: no inferior a 1 año desempeñando labores en materia de protección de datos personales de manera continua.
• La formación se debe acreditar mediante la experiencia probada y continua en la docencia universitaria o de investigación sobre temas de protección de datos personales y/o afines.

Asunción de responsabilidad

El ODP es responsable por los actos u omisiones en que incurra con dolo, negligencia o por el incumplimiento de las obligaciones y funciones establecidas en la normativa vigente en materia de protección de datos personales.

Conflicto de intereses

Se deben establecer directrices o protocolos que identifiquen puestos incompatibles con la función del ODP y, si un conflicto surge después de su designación, se deben implementar oportunamente medidas internas hasta el cese de la situación.

Casos específicos

• El ODP es externo a la organización o empresa: el contrato que lo vincule debe establecer los parámetros de accesibilidad y, a su vez, garantizar las condiciones necesarias para el cumplimiento de sus funciones.
• El ODP es extranjero: se debe garantizar una comunicación eficaz y comprensible con los titulares, y de ser aplicable, en su idioma.
• Un único ODP es designado para el grupo empresarial: debe ser accesible para atender los requerimientos de la ANPD y de cada integrante del grupo.