Las grandes empresas deberán contar ya con su respectivo oficial desde el 30 de noviembre de 2025, de acuerdo al cronograma del Reglamento
El nuevo reglamento de la Ley N° 29733 de Protección de Datos Personales entró en vigencia el 30 de marzo de 2025. Uno de los puntos claves de esta norma es la obligatoriedad de las entidades públicas y organizaciones que manejen grandes volúmenes de datos personales o información sensible, de designar a un Oficial de Datos Personales (ODP). Esto debe concretarse a partir del 30 de noviembre de 2025.
La designación del ODP se implementará de forma progresiva según el tamaño de la empresa (medido en “UIT” — unidades impositivas tributarias), tal como define el reglamento. El cronograma es el siguiente:
- Grandes empresas (ingresos > 2,300 UIT): obligatoriedad desde 30 de noviembre de 2025.
- Medianas empresas (ingresos entre 1,700 y 2,300 UIT): desde 30 de noviembre de 2026.
- Pequeñas empresas (ingresos entre 150 y 1,700 UIT): desde 30 de noviembre de 2027.
¿Qué son los datos personales? son toda información que nos identifica o nos hace identificable. Por ejemplo: nuestro nombre y apellidos, fecha de nacimiento, dirección del domicilio, correo electrónico, número de teléfono, huella digital, fotografía, gustos, hábitos, entre otros.
¿Qué es un Oficial de Datos Personales? Es un profesional con conocimientos técnicos, legales y organizacionales sobre privacidad y seguridad de datos personales. No es un cargo operativo; su función es supervisora, asesora y estratégica. Actúa como garante interno de que la organización cumpla con las leyes de protección de datos, como la Ley N.º 29733 en Perú, el Reglamento Europeo de Protección de Datos, (GDPR por las siglas en inglés de General Data Protection Regulation), la norma más importante y estricta del mundo en materia de protección de datos personales, entre otras.
Este rol puede ser ejercido por un funcionario o servidor público designado por la máxima autoridad administrativa de la entidad, y puede recaer en el titular de la oficina de asesoría jurídica de la entidad o en el titular de la oficina de tecnologías de la información de la misma, o quienes hagan sus veces.
Las grandes empresas que incumplan en la designación del Oficial de Protección de Datos Personales dentro del plazo establecido pueden ser sancionadas con una multa de hasta cinco Unidades Impositivas Tributarias (UIT) equivalente a 26,750 soles, recordó la consultora EY Law.
“El Oficial de Datos Personales deberá ser el nexo entre la organización y la Autoridad Nacional de Datos Personales (ANPD), garantizando que los procesos internos cumplan con las disposiciones vigentes. Designar con antelación permitirá a las empresas ordenar procesos, evitar sanciones y reforzar la confianza en el manejo responsable de la información”, afirma Bruno Mejía, Líder de Competencia y Mercados de EY Law, en declaraciones a la Agencia Andina.
El nuevo Reglamento también contempla infracciones graves y muy graves —como la falta de solicitar el consentimiento o la omisión de implementar medidas de seguridad en el tratamiento de datos (sensibles)— con multas que pueden alcanzar hasta 100 UIT (535,000 soles).
SEPA MÁS
Listado de oficiales de protección de datos en el sector público