Directiva sobre designación, desempeño y funciones del Oficial de Datos Personales
OBJETIVO
Establecer las disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales (ODP), de conformidad con lo dispuesto en los artículos 37, 38 y 39 del Reglamento de la Ley de Protección de Datos Personales, Ley N° 29733, aprobado por el Decreto Supremo N° 016-2024-JUS.
DISPOSICIONES GENERALES
La Directiva contribuye con los sujetos obligados, en el entendimiento y cumplimiento de las obligaciones de la Ley de Protección de Datos Personales ( LPDP) y de su Reglamento (RLPDP) relativas al Oficial de Datos Personales (ODP); garantiza la protección de los derechos fundamentales vinculados al tratamiento de datos personales, y promueve la correcta implementación y observancia de la normativa vigente.
La actuación de los ODP garantiza la observancia de los principios de legalidad, finalidad, proporcionalidad, seguridad, transparencia y responsabilidad proactiva, entre otros previstos en la LPDP y su Reglamento.
La función de los ODP tiene un carácter técnico especializado, orientada a la asesoría, supervisión y coordinación interna dentro de las entidades públicas, organizaciones o empresas en materia de protección de datos personales. Esta función se ejerce con autonomía técnica en el marco de sus responsabilidades.
Las funciones del ODP en su calidad de asesor y supervisor técnico, no deben confundirse con las ejercidas por el obligado a la designación del mismo; no es función ni responsabilidad del ODP determinar la finalidad, el contenido o los medios de tratamiento de los datos, ni tampoco ser el ejecutor de dicho tratamiento.
La designación del ODP no implica la transferencia o exoneración de las funciones y responsabilidades atribuidas por la LPDP y su Reglamento a los obligados.
El obligado, debe dotar al ODP de las herramientas, condiciones, facilidades y recursos suficientes que permitan el desempeño efectivo y óptimo de sus funciones.
Cualquier organización o empresa que no se encuentre obligada legalmente a designar un ODP pueda hacerlo como buena práctica. En tal supuesto, debe garantizarse que no exista confusión respecto a su cargo, puesto y funciones; asimismo, debe cumplir con lo dispuesto en el LPDP y la normatividad vigente en la materia.
La directiva rige desde el día siguiente de su publicación en el diario oficial El Peruano, salvo que la misma prevea un plazo de adecuación para el cumplimiento de alguna de sus disposiciones o no hayan transcurrido aún las fechas establecidas en el calendario previsto en la primera disposición complementaria final del RLPDP.
La ANPD establece el criterio interpretativo ante dudas sobre la procedencia o alcance de la obligación de designación de un ODP.
DISPOSICIONES ESPECÍFICAS
Designación del Oficial de Datos Personales (ODP )
La designación del ODP debe realizarse mediante un acto formal adoptado por el máximo órgano de administración de la entidad pública, organización o empresa.
En el caso de organizaciones o empresas se puede emplear la denominación documental que corresponda a su régimen societario interno (acuerdo, resolución, acta o instrumento equivalente), siempre que asegure la validez formal del nombramiento y permita su verificación ante la ANPD.
Designación del ODP en entidades públicas
Cada entidad pública debe designar a un ODP, de conformidad con lo establecido en el numeral 1 del artículo 37.1 del RLPDP. Esta designación es indispensable para el cumplimiento de la normativa vigente
La designación del ODP recae en la entidad principal o central cuando la entidad pública cuenta con dependencias o sedes descentralizadas que no posean autonomía técnica, administrativa o presupuesto propio.
El ODP designa, de ser necesario, un punto de contacto en las dependencias o sedes descentralizadas, para trasladar consultas, coordinar la implementación de directivas o políticas de protección de datos y garantizar la correcta aplicación de la normativa a nivel institucional.
Evaluación para designación del OPD por tratamientos de grandes volúmenes de datos personales
La Autoridad Nacional de Protección de Datos (ANPD) aplica una evaluación conforme a los siguientes criterios:
a) El número de titulares comprendidos en el tratamiento (criterio determinante)
b) Sensibilidad y tipología de los datos personales (criterio determinante)
c) Finalidad del tratamiento o riesgo asociado a derechos o libertades (criterio determinante)
d) Frecuencia, duración o continuidad del tratamiento (criterio modulador)
e) Demarcación territorial del tratamiento (criterio modulador)
Los criterios para identificar un tratamiento de grandes volúmenes de datos son los siguientes:
A) Número de titulares: El criterio de número de titulares incorpora lo previsto en la normativa vigente2 considerando la magnitud del tratamiento, entendida como la evaluación conjunta del número de titulares involucrados y la cantidad de datos personales tratados respecto de cada uno de ellos.
B) Sensibilidad y tipología del dato: Este criterio desarrolla lo referido al tipo de datos personales señalado en la normativa de protección de datos personales3 ,que comprende tanto las categorías generales de datos personales como aquellas especialmente protegidas como los datos sensibles, cuya exposición incrementa la magnitud y riesgo del tratamiento.
Este criterio evalúa la intensidad del tratamiento considerando la sensibilidad del dato y el número de titulares respecto de los cuales se tratan dichos datos sensibles.
La sensibilidad y tipología se identifican considerando las siguientes categorías de datos personales, cuya presencia en el tratamiento constituye un factor cualitativo que se integra a la evaluación cuantitativa:
- Datos relativos a salud, origen étnico, racial, convicciones religiosas, filosóficas o morales, orientación sexual, afiliación sindical y datos biométricos que permitan identificar de manera unívoca a la persona. • Datos financieros, patrimoniales o de solvencia económica.
• Datos de geolocalización, telecomunicaciones o seguimiento de actividades en línea.
• Datos relativos a menores de edad u otros grupos en situación de especial vulnerabilidad.
Constituyen datos sensibles, por el impacto en la esfera más íntima de la persona, también los datos genéticos o biométricos, datos neuronales o los derivados del sistema nervioso periférico, datos morales o emocionales, hechos o circunstancias de la vida afectiva o familiar, información relativa a la afiliación sindical, salud física o mental u otras análogas que afecten su intimidad, los cuales deben ser evaluados como factores cualitativos.
C) Finalidad y riesgo asociado: Este criterio evalúa la finalidad del tratamiento y el nivel de riesgo que la misma genera sobre los derechos y libertades de los titulares, atendiendo al impacto de sus decisiones, inferencias, evaluaciones o usos derivados del tratamiento de datos personales.
Cuando la finalidad del tratamiento tenga la capacidad de producir un perjuicio evidente, es decir, una amenaza cierta o reconocible a los derechos o libertades del titular, dicho tratamiento se considera de nivel alto, conforme a la normativa de la materia.
D) Frecuencia, duración y continuidad del tratamiento Este criterio evalúa la regularidad, persistencia y continuidad del tratamiento de datos personales, Considerando el tiempo durante el cual se realiza, la periodicidad de las operaciones y la intensidad temporal del tratamiento del procesamiento.
E) Demarcación territorial del tratamiento Este criterio evalúa la ubicación donde los datos personales son tratados, sea en bancos de datos personales contenidos total o parcialmente en servidores ubicados fuera del territorio nacional, dentro del territorio o de forma local.
Perfil e idoneidad del Oficial de Datos Personales (ODP)
El ODP se designa considerando sus cualidades profesionales y, en particular, sus conocimientos especializados y experiencia práctica en materia de protección de datos personales, debidamente acreditados.
La designación siempre recae en una persona natural, lo que no impide que esta se vincule a una persona jurídica a la que pertenece o represente para el cumplimiento de sus funciones y siempre que no se encuentre impedida de hacerlo.
Experiencia profesional
Experiencia general: No inferior de dos (2) años, desempeñando labores afines a la materia de protección de datos personales de manera continua o acumulada y/o en materias como seguridad y gestión de la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de datos personales en entidades públicas y/o privadas.
Experiencia específica: No inferior a un (1) año desempeñando labores en materia de protección de datos personales de manera continua o acumulada; la cual se puede acreditar a través de la experiencia profesional pública o privada, puede ser a nivel nacional o internacional.
Formación académica y complementaria
La formación y conocimientos en protección de datos personales se pueden acreditar mediante la experiencia probada y continua en la docencia universitaria o en la investigación sobre temas de protección de datos personales y/o afines.
La formación académica puede ser acreditada de acuerdo a los siguientes requisitos:
a) Contar con estudios de posgrado concluidos o grado académico afines a la materia de protección de datos personales y/o en materias como seguridad y gestión la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de datos personales en entidades públicas y/o privadas.
b) Contar con certificado de especialización y/o diplomado en protección de datos personales o las materias afines señaladas en el literal precedente, con una duración mínima de noventa (90) horas lectivas para los certificados y ciento veinte (120) horas lectivas para los diplomados.
Para garantizar la formación académica las capacitaciones, certificaciones o diplomados (nacionales o extranjeros), deben ser impartidos por entidades o instituciones formativas que cuenten con reconocido prestigio y trayectoria en protección de datos personales, seguridad de la información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra materia afín al tratamiento de datos personales.
Conocimientos e independencia
Constituye un criterio orientativo, el conocimiento del sector en el que se inserta la entidad pública, organización o empresa, las regulaciones aplicables al mismo y las obligaciones derivadas de ellas que incidan, directa o indirectamente, en las operaciones de tratamiento de datos personales.
Es indispensable que el ODP conozca las normas internas, directivas, lineamientos, y procedimientos que regulan la gestión institucional de la entidad pública, organización o empresa, en materia de protección de datos personales.
El ODP ejerce sus funciones con independencia funcional, lo que implica que la entidad pública, organización o empresa, no puede instruirlo o direccionarlo sobre el contenido de sus opiniones, recomendaciones o decisiones técnicas en materia de protección de datos personales.
La independencia funcional no modifica la dependencia jerárquica ni la estructura organizacional.
El ODP, sea un servidor de la entidad pública, organización o empresa o un tercero, no puede ser sancionado, removido o sufrir cualquier forma de represalia por el contenido de sus informes, opiniones o recomendaciones en materia de protección de datos personales.
El ODP reporta funcionalmente a la máxima autoridad de administración de la entidad pública, organización o empresa, garantizando en todo momento su independencia funcional.
La independencia funcional no excluye la responsabilidad del ODP en casos de dolo, negligencia o incumplimiento de las obligaciones o funciones establecidas en la LPDP, el RLPDP, el Código de Ética de la Función Pública, o contrato de prestación de servicios según corresponda.
Idoneidad moral y ética
Para personas naturales: - No debe tener sentencia condenatoria firme por delito doloso. - No contar con sanción y/o inhabilitación vigente a consecuencia de un procedimiento disciplinario u otro análogo. - No es idónea la persona que tenga una investigación penal formal o condena por delitos informáticos. - No es idónea la persona que haya sido sancionada por faltas éticas vinculadas al tratamiento de información, protección de datos personales, transparencia, confidencialidad o integridad en el ejercicio de la función pública o profesional.
Si el ODP es asumido por una persona natural contratada a través de una persona jurídica, se debe verificar que dicha persona jurídica no haya sido responsable administrativamente por los delitos señalados en el artículo 1 de la Ley N° 30424, ni haber sido inhabilitada o suspendida para contratar con el estado.
Funciones del Oficial de Datos Personales (ODP)
El ODP desempeña las funciones previstas en la normativa vigente. Las entidades públicas y los actores privados elaboran guías, lineamientos, directrices y/o protocolos internos que expliciten los supuestos bajo los cuales se podrá requerir o solicitar la asistencia del ODP, los cuales también deben servir para regular más exhaustivamente el marco de su actuación en el desempeño de sus funciones.
El OPD presta especial atención a los riesgos asociados a las operaciones de tratamiento de datos personales, considerando su naturaleza, alcance, contexto y fines. Esta labor coadyuva a la entidad pública, organización o empresa en el asesoramiento para la realización de evaluación de impacto en protección de datos personales, de corresponder.
El ODP orienta y/o propone en lo siguiente: - Definición de la metodología a utilizar. - Identificación de los ámbitos sujetos a auditoría y revisión. - Programación de actividades de formación y capacitación. - Identificación de las operaciones de tratamiento de datos que se lleven a cabo por la entidad pública, empresa u organización.
a) Coordinar según corresponda, la realización de programas de capacitación y sensibilización dirigidas al personal de la entidad pública, organización o empresa, en materia de protección de datos personales.
b) Gestionar, según corresponda, con la entidad pública, organización o empresa, la conformación de un equipo de apoyo en materia de protección de datos personales, cuando la magnitud de las funciones de supervisión o asesoramiento así lo requieran, a fin de facilitar el cumplimiento eficaz de sus responsabilidades.
c) Elaborar informes, opiniones o recomendaciones técnicas o de supervisión, sobre el cumplimiento de la normativa en materia de protección de datos personales dentro de la entidad pública, organización o empresa, cuando se solicite o corresponda, los cuales deben ser puestos en conocimiento de la alta dirección de la entidad pública, directorio o análogo de la organización o empresa.
d) Recabar, según corresponda, información de las unidades, oficinas o departamentos pertinentes de la entidad pública, organización o empresa, a fin de verificar el cumplimiento de la normativa aplicable en las actividades de tratamiento de datos personales.
e) Revisar la información pertinente y realizar un examen de correspondencia de la información obtenida con los contenidos comprendidos en la LPDP y su Reglamento, o normas y documentos afines.
f) Revisar periódicamente las resoluciones, opiniones, guías y demás documentos emitidos por la ANPD, en cuanto resulten relevantes para el cumplimiento eficiente de sus funciones.
g) Promover una cultura de protección de datos personales dentro de la entidad pública, organización o empresa.
Capacidad para el cumplimiento de sus funciones
El ODP debe tener la capacidad de cumplir las funciones derivadas de su designación, lo que supone contar con conocimientos teóricos y prácticos en materia de protección de datos personales, así como con competencias que le permitan desempeñar su rol dentro de la entidad pública, organización o empresa.
La participación oportuna del ODP garantiza la aplicación práctica de los principios previstos en la Ley y su Reglamento, así como la efectividad para la atención de los derechos de los titulares.
El ODP tiene la capacidad de articular, cuando corresponda, con la ANPD y con los distintos actores relacionados a la materia, como aquellos vinculados al marco de confianza digital, gobernanza de datos, interoperabilidad, identidad, servicios, seguridad y arquitectura digitales del Estado, así como al Sistema Nacional de Transformación Digital.
Si el ODP es externo, el contrato que lo vincule debe garantizar, en lo aplicable, las condiciones necesarias para el cumplimiento de sus funciones.
Accesibilidad y ubicación
La entidad pública, organización o empresa que designe al ODP debe comunicar dicha designación a la ANPD. La comunicación se realiza a través de la mesa de partes virtual del MINJUSDH, dirigida a la DGTAIPD.
La comunicación con la ANPD debe incluir como mínimo los siguientes datos: a) Nombres y apellidos completos del ODP. b) DNI o documento equivalente de identificación. c) Cargo o rol dentro de la entidad, organización o empresa. d) Datos de contacto (correo electrónico institucional, teléfono, domicilio físico en Perú, si corresponde).
Garantías para el desempeño funcional
Para asegurar el adecuado desempeño funcional del ODP, se deben implementar, como mínimo, las siguientes garantías: - Proveer la infraestructura, financiamiento y acceso a formación continua necesarios para el adecuado ejercicio de sus funciones. - Evitar que se impartan instrucciones al ODP respecto al criterio técnico o jurídico que deba adoptar. - Facilitar el acceso del ODP a la información y documentación necesaria para el ejercicio de sus funciones. - Asegurar su participación o consulta oportuna en decisiones que incidan en el tratamiento de datos personales.
Conflicto de intereses
El ODP desempeña funciones en pro de la protección de los datos personales que son tratados por su entidad, organización o empresa; por lo tanto, no debe incurrir en situaciones que hagan inviable dicho desempeño por un conflicto de intereses.
Se entiende por conflicto de intereses cualquier situación en la que los intereses personales, profesionales o económicos del ODP interfieren en el cumplimiento objetivo e independiente de sus funciones.
Etiquetas: Ciberseguridad, Datos Personales, Derecho Digital, Etica Informática, Oficial de Datos Personales
publicadas por Dr. Julio Núñez Ponce a la/s
9:53 p.m.
0 Comentarios
