Nuevo Reglamento de la Ley de Protección de Datos Personales

Escrito por: Alejandro Vargas, Gerente Senior de Servicios Legales de KPMG en Perú

El nuevo Reglamento de la Ley de Protección de Datos Personales (Decreto Supremo No. 016-2024-JUS), que entrará en vigor el 30 de marzo de este año, introduce cambios significativos al régimen de privacidad y protección de datos personales en nuestro país. Entre las novedades más comentadas, pero menos exploradas, se encuentra la figura del "Oficial de Datos Personales" (ODP), un rol crucial para garantizar el cumplimiento de la normativa.

Según el Nuevo Reglamento, el ODP debe ser designado por el titular del banco de datos personales o por el responsable y/o encargado del tratamiento en los siguientes supuestos:

Aunque la regulación parece clara, existen varias cuestiones que han “quedado en el tintero”, surgiendo distintas preguntas sin respuesta evidente, como, por ejemplo, ¿qué sectores o entidades privadas estarían dentro de los supuestos del Reglamento para designar a un ODP?

Sobre el desarrollo del ODP en el Nuevo Reglamento, al parecer nuestros legisladores obtuvieron su inspiración en la figura del “Delegado de Protección de Datos”, desarrollada en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, pues vemos que los artículos contenidos en el Nuevo Reglamento son muy similares (parafraseados) a los contenidos en el RGPD, en lo que respecta a la designación y funciones del ODP.

Ahora bien, con solo lo señalado en el RGPD no habría mayor contribución para responder la pregunta planteada con anterioridad; sin embargo, es importante mencionar que los países miembros de la Unión Europea tienen la potestad de regular de manera interna lo señalado por las normas comunitarias, y es de ahí dónde podemos encontrar ciertas luces para intentar responder la interrogante planteada y algunas otras.

En el caso de España, por ejemplo, encontramos que este país desarrolla los supuestos generales de designación del “Delegado de Protección de Datos”, señalando que la designación de este resulta obligatoria cuando se trate de las siguientes entidades:  Centros docentes y universidades, establecimientos financieros de crédito, entidades aseguradoras y reaseguradoras, distribuidores y comercializadores de energía eléctrica y gas natural, centros sanitarios que mantengan historias clínicas, operadores de juegos electrónicos, empresas de seguridad privada, empresas de servicios de inversión, entidades responsables de ficheros para la evaluación de la solvencia patrimonial y crédito, entidades que desarrollen actividades de publicidad y prospección comercial, entre otras.

De esta manera, podemos encontrar cierta “guía” en la legislación comparada que nos puede resultar de utilidad al orientarnos ante la duda de si corresponderá o no que las empresas designen a un ODP. Sin embargo, consideramos que la solución ante la falta de desarrollo normativo vendría a través del pronunciamiento que debería dar la Autoridad Nacional de Protección de Datos Personales, ya sea, por ejemplo, a través de opiniones consultivas, o solicitudes en procedimientos particulares.

En cualquier caso, se espera que las autoridades actúen con prontitud, considerando que la obligación de designar un DPO iniciará el 1 de diciembre de 2025, para las empresas con ventas anuales superiores a 2300 UIT, y concluirá el 1 de diciembre de 2028, para las microempresas con ventas anuales hasta el monto máximo de 150 UIT.