Panel de Cumplimiento — Protección de Datos Personales
RM 476-2025-JUS | Directiva ODP | DS 016-2024-JUS
Soluciones Digitales para la Gestión Integral del Cumplimiento y Privacidad
Gestione con facilidad los requisitos de la LPDP y sus normativas sectoriales a través de nuestras
aplicaciones interactivas, creadas por especialistas en la materia para guiar su cumplimiento legal.
Para
definiciones legales y siglas técnicas:
🔍
Diagnóstico de ODP
Evalúe de forma inmediata si su organización cumple con los
supuestos legales para la designación obligatoria de un Oficial de Datos Personales.
📊
Evaluación Gran Escala
Analice técnica y normativamente si sus actividades de tratamiento
alcanzan el umbral de 'gran escala' bajo los parámetros de la RD 100-2025.
💰
Calculadora de Sanciones
Calcule la exposición económica ante eventuales
infracciones, considerando los criterios objetivos de graduación, agravantes y atenuantes de
la LPDP.
✅
Checklist de Cumplimiento
Verifique el estado de cumplimiento administrativo y operativo de su
Oficial de Datos Personales frente a las exigencias de la Directiva ODP.
📅
Calendario de Plazos
Monitoree los plazos críticos de adecuación y reporte
establecidos por la normativa, organizados según el perfil y dimensiones de su entidad.
Diagnóstico de Obligación de Designar ODP
Evaluación basada en la RM 476-2025-JUS y DS 016-2024-JUS
Antes de Empezar
Nota Importante
Esta herramienta evalúa los 3 supuestos obligatorios del Art. 37 del Reglamento de la LPDP
para determinar si su organización debe designar un Oficial de Datos Personales. El
resultado es una estimación informativa y no constituye una opinión
legal vinculante. Consulte con un profesional especializado para una evaluación definitiva.
Evaluación de Tratamiento a Gran Escala
Matriz basada en el Anexo 1 de la RD 100-2025-JUS/DGTAIPD
Antes de Empezar
Nota Importante
Esta matriz SOLO evalúa el criterio de ‘grandes volúmenes’ del Art.
37.1.2 Decreto Supremo N° 016-2024-JUS.
Existen otros 2 supuestos obligatorios de designación de ODP que debe verificar:
1) Tamaño de entidad (>150 UITs privado, >1,700 UITs público)
2) Actividad principal (tratamiento de datos sensibles como actividad principal)
Si el resultado es “NO es gran volumen”, aún podría estar obligado por los
otros supuestos.
Base normativa: RD 100-2025-JUS/DGTAIPD + DS 116-2024-JUS.
Simulador de Multas por Infracciones de Datos Personales
Entienda y estime el impacto de una sanción bajo la LPDP
Antes de Empezar
Nota Importante
Esta calculadora utiliza la metodología establecida en la RM 476-2025-JUS para fines
ilustrativos. El resultado es una estimación y no constituye una
opinión legal vinculante. La determinación final de la multa corresponde
exclusivamente a la Autoridad Nacional de Protección de Datos Personales.
Checklist de Cumplimiento ODP
Basado en la Directiva para la Gestión del ODP (RD
100-2025-JUS/DGTAIPD)
Antes de Empezar
Nota Importante
Esta lista de verificación contiene 31 requisitos de cumplimiento. Su progreso se guarda
localmente en su navegador y no se transmite a ningún servidor. Limpiar los
datos del navegador eliminará su progreso guardado. Esta herramienta es de carácter
informativo.
Calendario de Plazos de Cumplimiento
Plazos según DS 016-2024-JUS y RM 476-2025-JUS
Antes de Empezar
Nota Importante
Los plazos mostrados dependen del tipo y tamaño de su organización. Se basan en las
disposiciones complementarias del DS 016-2024-JUS. Verifique siempre con las fuentes
oficiales. 1 UIT 2026 = S/ 5,500. Esta herramienta no reemplaza el asesoramiento legal
profesional.
1Tipo Entidad
2Tamaño
3Grandes Vol.
4Datos Sensibles
Paso 1 — Tipo de EntidadObligatorio
Seleccione el tipo de entidad que será evaluada. Las entidades
públicas están obligadas a designar un ODP en todos los casos (Art. 37.1 Decreto
Supremo 016-2024-JUS).
Empresas bajo FONAFE deben designar un ODP por empresa (Art. 3.3 Directiva M6.DGTAIPD.DI.001).
Ver excepciones y casos especiales según Directiva M6.DGTAIPD.DI.001
Grupo empresarial: Puede designar un solo ODP común para todas
sus empresas (Art. 7.6.6)
ODP externo: Se permite contratar un ODP externo (persona natural o
jurídica). Si es persona jurídica, debe designar un punto de contacto
persona natural (Art. 7.6.7-7.6.8)
ONG: El criterio de ingresos se calcula por donaciones, subsidios o
financiamiento (Art. 8.3)
Excepciones: No aplica a personas naturales que tratan datos
personalmente/directamente (Art. 7.2.4). Tampoco a entidades en funciones de defensa
nacional, seguridad o investigación penal para esos fines específicos
(Art. 7.2.2-7.2.3)
Paso 2 — Supuesto 1: Tamaño de la empresaObligatorio
Ingrese los ingresos anuales de la empresa. La clasificación determina si está
obligada a designar un ODP por tamaño y el plazo correspondiente. 1 UIT = S/
5,500 (2026).
⇄
Paso 3 — Supuesto 2: Grandes volúmenesObligatorio
Evaluación simplificada del criterio de grandes volúmenes (Anexo 1). Para un
análisis detallado con los 5 criterios, use el módulo completo.
Complete los campos obligatorios
Paso 4 — Supuesto 3: Datos sensibles como actividad
principalObligatorio
¿El tratamiento de datos sensibles constituye la actividad principal de
su organización? Este es un criterio autónomo (Art. 7.1.5.4 de la Directiva).
Ver ejemplos de actividad principal con datos sensibles
Clínicas y hospitales: tratamiento de datos de salud
Organizaciones religiosas: creencias religiosas o filosóficas
Laboratorios genéticos: datos genéticos
Agencias de empleo: antecedentes penales
Neurotecnología: datos neuronales
Empresas de bienestar/RRHH: datos emocionales y morales
Apps de orientación sexual: datos sobre vida sexual
📋 Resultado Consolidado
Resumen de Supuestos
Tipo de entidad--
Supuesto 1: Tamaño (>150 UITs)--
Supuesto 2: Grandes volúmenes--
Supuesto 3: Datos sensibles (actividad principal)--
COMPLETAR EVALUACIÓN
Campos obligatorios:
0 / 2
🏢 Datos de la Entidad
Fecha de evaluación:
📊 Criterios Determinantes (A, B, C)
A — Número de titularesObligatorio
Ingrese el número total de titulares
únicos en todas sus bases de datos.
Nivel calculado—
Ver niveles de referencia
ALTO: ≥ 50,000 titulares
MEDIO: 10,000 – 49,999 titulares
BAJO: < 10,000 titulares
B — Sensibilidad y tipología del datoOpcional
Número de tratamientos individuales sobre datos
sensibles. Nota: se refiere a operaciones sobre datos sensibles, no las operaciones
de soporte del sistema (Directiva 7.1.4).
¿Trata datos sensibles?No
Nivel calculado—
Ver niveles de referencia
ALTO: > 5,000 tratamientos sobre datos sensibles (salud, origen
étnico/racial, convicciones religiosas, datos genéticos,
biométricos, neuronales, emocionales/morales, orientación sexual,
ingresos/patrimonio, geolocalización, menores de edad)
MEDIO: 1,000 – 5,000 tratamientos sobre datos sensibles
BAJO: < 1,000 (vacío = BAJO)
Ref: Anexo 1
— «Tratamiento individual»: operación sobre el dato sensible, no
las operaciones de soporte del sistema (respaldo, migración, etc.).
C — Finalidad del tratamiento / RiesgoObligatorio
Seleccione el nivel que describe su finalidad principal. Se consideran
>20 tratamientos individuales para la clasificación (Directiva Anexo 1).
Nivel calculado—
Ver detalle de niveles (Anexo 1)
ALTO: Elaboración de perfiles, scoring crediticio, decisiones
automatizadas con efecto jurídico, segmentación conductual,
geolocalización constante, monitoreo intensivo de productividad, cruces masivos
de bases de datos.
MEDIO: Gestión administrativa, reportes estadísticos,
pseudonimización para análisis, pruebas de desarrollo con datos reales,
respaldo de bases de datos, operaciones back-office.
BAJO: Almacenamiento simple sin procesamiento complejo, nóminas
pequeñas, sin evaluaciones complejas, sin decisiones automatizadas, sin
segmentación conductual.
⚙️ Criterios Moduladores (D, E)
D — Frecuencia, duración, continuidadOpcional
Seleccione el nivel de frecuencia del tratamiento. Se consideran >20
tratamientos individuales para la clasificación (Directiva Anexo 1).
Nivel calculado—
Ver detalle de niveles (Anexo 1)
ALTO: Tratamiento continuo 24/7, tiempo real, monitoreo intensivo y
sistemático de personas, conservación prolongada de datos personales sin
plazo definido de eliminación.
MEDIO: Tratamiento periódico (semanal, mensual, trimestral),
campañas repetitivas de recolección, mantenimiento programado de bases de
datos.
BAJO: Tratamiento puntual u ocasional, encuestas o pilotos aislados,
campañas únicas sin continuidad, datos recolectados una sola vez.
E — Demarcación territorialOpcional
Seleccione según la ubicación de almacenamiento y acceso
de sus datos personales.
Nivel calculado—
Ver detalle de niveles (Anexo 1)
ALTO: Datos almacenados en servidores fuera del Perú (cloud
extranjero), acceso remoto por usuarios foráneos vía VPN, SSH o FTP, flujo
transfronterizo de datos personales.
MEDIO: Datos en servidores ubicados en Perú, conexiones
virtuales internas entre sedes nacionales, proveedores nacionales de hosting.
BAJO: Datos almacenados localmente (físico/on-premise), redes
locales cerradas sin acceso remoto, sin proveedores extranjeros de almacenamiento o
procesamiento.
📋 Resultado de la Evaluación
Determinantes en ALTO0
Determinantes en MEDIO0
Determinantes en BAJO0
Moduladores en MEDIO o ALTO0
COMPLETAR EVALUACIÓN
Obligación de designar ODP: COMPLETAR EVALUACIÓN
⚠️ Recordatorio Importante
Esta matriz SOLO evalúa el criterio de «grandes volúmenes»
del Art. 37.1.2.
Para una evaluación completa de los 3 supuestos obligatorios, use el
Wizard de Evaluación ODP.
Guía de Referencia
Rápida ▼
Criterio
ALTO
MEDIO
BAJO
A – Titulares
≥ 50,000
10,000 – 49,999
< 10,000
B – Sensibilidad
> 5,000 trat.
1,000 – 5,000
< 1,000 (vacío=BAJO)
C – Finalidad
Perfilamiento, scoring, decisiones autom.
Gestión adm., pseudonimización
Almacenamiento simple
D – Frecuencia
Continuo / 24-7 / sistemático
Semanal / mensual / repetitivo
Puntual / ocasional / único
E – Territorio
Servidores extranjeros / VPN foránea
Servidores Perú
Local / redes cerradas
Reglas de Decisión (RD
100-2025-JUS/DGTAIPD) ▼
✓Si al menos 1 criterio
determinante (A, B o C) está en ALTO → GRAN
VOLUMEN
✓Si al menos 2 criterios
determinantes (A, B y C) están en MEDIO → GRAN
VOLUMEN
✓Si 1 criterio
determinante en MEDIO + 1 modulador (D o
E) en MEDIO o ALTO → GRAN VOLUMEN
✗Si los 3 criterios
determinantes (A, B y C) están en BAJO
simultáneamente → NO es gran volumen
💰 Calculadora de Multas ANPD
📐 Resumen de
Fórmulas (Cuadro 1 — RM 476-2025) ▼
Cuadro
1 Fórmulas propuestas para la estimación de las multas a aplicar por la
ANPD
Criterios para graduación de la sanción
Tipo de multa
Preestablecida
Ad hoc
Fórmula general de aplicación
M = Mb × F
Donde:
M: Monto de la multa
Mb: Monto base
F: Factores agravantes y atenuantes
M = (B / p) × F
Donde:
B: Beneficio ilícito
p: Probabilidad de detección
F: Factores agravantes y atenuantes
Monto base
Mb
B / p
(a) El beneficio ilícito resultante por la comisión de la
infracción.
No existe, no es posible su determinación o no resulta posible su
estimación.
B
(b) Probabilidad de detección de la infracción.
No aplica, puesto que no se considera el beneficio ilícito.
p
(c) La gravedad del daño al bien jurídico protegido.
De acuerdo con la tipificación de infracción establecida en el
Reglamento y la variable relativa de la misma. Se incorpora en el
cálculo del Mb.
De acuerdo con la tipificación de infracción establecida en el
Reglamento.
Factores agravantes o atenuantes
F = 1 + Σni=1fi
F = 1 + Σni=1fi
(d) El perjuicio económico causado.
f1
f1
(e) La reincidencia por la comisión de la infracción.
f2
f2
(f) Las circunstancias por la comisión de la infracción.
f3
f3
(g) La existencia o no de intencionalidad en la conducta del infractor.
f4
f4
Tipo de MultaObligatorio
Preestablecida: Para infracciones leves o graves; excepcionalmente muy graves
sin beneficio ilícito determinable. Ad Hoc: Solo para infracciones muy graves con beneficio ilícito
claramente identificable.
⚠️ Restricción
La multa Ad Hoc NO es aplicable a infracciones cometidas por entidades
públicas (RM 476-2025-JUS, numeral 5.7).
Infracciones
Puede agregar múltiples infracciones. Cada una se calcula de
forma independiente y se suman al resultado total.
Datos para Multa Ad Hoc
El beneficio ilícito puede
componerse de: ingreso ilícito, costos evitados y/o costos postergados.
Criterios de probabilidad de detección (Cuadro 4)
Muy Alta (100%): Infracciones de los Arts. 132.4, 133.13, 134.3 del
Reglamento LPDP.
Alta (60%): Cuando se detectan con visitas de fiscalización
programadas.
Media (30%): Cuando se detecta a través de denuncia del
titular de datos o terceros.
Baja (10%): Cuando se detectan con fiscalizaciones no programadas o
actuaciones adicionales de investigación.
Ingresos Brutos Anuales (para límite 10%)
Resultado del Cálculo
Desglose por Infracción:
#
Infracción
Gravedad
Mb (UITs)
F
Multa (UITs)
Multa (S/)
Multa Total Calculada
-- UITs
S/ --
📑 Anexo: Infracciones y
Variables Relativas (RM 476-2025) ▼
ANEXO INFRACCIONES
ESTABLECIDAS EN EL REGLAMENTO, SEGÚN VARIABLE RELATIVA
Infracciones Leves (0.5 – 5
UITs)
N° de art.
Infracciones leves
Grado relativo
132.1.
Realizar tratamiento de datos personales que no sean necesarios,
pertinentes ni adecuados con relación a las finalidades determinadas,
explícitas y lícitas para las que requieren ser obtenidos.
132.1.1. No cumplir con el principio de proporcionalidad.
3
132.1.2. No cumplir con el principio de calidad.
2
132.2.
No modificar o rectificar los datos personales objeto de tratamiento cuando
se tenga conocimiento de su carácter inexacto o incompleto.
2
132.3.
No suprimir los datos personales objeto de tratamiento cuando hayan dejado
de ser necesarios, pertinentes o adecuados para la finalidad para la cual
fueron recopilados o cuando hubiese vencido el plazo para su tratamiento. En
estos casos, no se configura la infracción cuando medie procedimiento
de anonimización o disociación.
2
132.4.
No inscribir o actualizar en el Registro Nacional de
Protección de Datos Personales los actos establecidos en el
artículo 34 de la Ley.
132.4.1. Un banco de datos.
1
132.4.2. Dos bancos de datos.
2
132.4.3. Más de dos bancos de datos.
3
132.5.
Informar de forma incompleta de dos o menos de dos condiciones del
tratamiento de los datos personales señaladas en el artículo
18 de la Ley.
3
132.6.
Realizar tratamiento de datos personales incumpliendo las
medidas de seguridad establecidas en la normativa sobre la materia.
132.6.1. Hasta dos medidas de seguridad.
2
132.6.2. Más de dos medidas de seguridad.
3
132.7.
Atender fuera de plazo el ejercicio material de los derechos del
titular de datos personales, cuando legalmente proceda.
132.7.1. Atender fuera de plazo hasta 10 días de cumplido el plazo
máximo para responder.
2
132.7.2. Atender fuera de plazo pasados 10 días de cumplido el plazo
máximo para responder.
3
132.8.
No comunicar el flujo transfronterizo de datos personales a la
Dirección de Protección de Datos Personales de la
Dirección General de Transparencia, Acceso a la Información
Pública y Protección de Datos Personales para su
inscripción en el Registro Nacional de Protección de Datos
Personales.
1
132.9.
No designar al Oficial de Datos Personales, cuando así corresponda.
3
Infracciones Graves (>5
– 50 UITs)
N° de art.
Infracciones graves
Grado relativo
133.1.
No atender, impedir u obstaculizar el ejercicio material de los
derechos del titular de datos personales.
133.1.1. No atender el ejercicio material de los derechos del titular de
datos personales.
3
133.1.2. Impedir el ejercicio material de los derechos del titular de datos
personales.
3
133.1.3. Obstaculizar el ejercicio material de los derechos del titular de
datos personales.
3
133.1.4. No hay canales para el ejercicio de los derechos ARCO.
4
133.1.5. El canal que se establezca no sea idóneo para el ejercicio
del derecho ARCO.
5
133.2.
No cumplir con el deber de informar o informar de forma incompleta de tres a
más condiciones del tratamiento de los datos personales a los
titulares de datos personales, de acuerdo con lo establecido en el
artículo 18 de la Ley.
2
133.3.
Dar tratamiento a los datos personales sin el consentimiento
libre, expreso, inequívoco, previo e informado del titular, cuando el
mismo sea necesario conforme a lo dispuesto en la Ley y su Reglamento.
Datos No sensibles.
133.3.1. No pedir el consentimiento.
3
133.3.2. Consentimiento no cumple con las características de ser
libre.
2
133.3.3. Consentimiento no cumple con las demás
características.
1
Datos Sensibles.
133.3.4. No pedir el consentimiento.
4
133.3.5. Consentimiento no cumple con las características de ser
libre.
3
133.3.6. Consentimiento no cumple con las demás
características.
2
Datos Sensibles (Salud y biométricos). 133.3.7.
No pedir el consentimiento. 133.3.8. Consentimiento no cumple con las
características de ser libre. 133.3.9. Consentimiento no cumple
con las demás características.
5 4 3
133.4.
Realizar tratamiento de datos personales incumpliendo las
medidas de seguridad establecidas en la normativa sobre la materia, y
generando con ello un perjuicio al titular del dato personal o una
exposición no autorizada de sus datos personales.
133.4.1. Generando un perjuicio al titular del dato personal o una
exposición no autorizada de sus datos personales.
3
133.4.2. Habiendo notificado a la Autoridad el incidente de seguridad.
2
133.5.
Realizar tratamiento de datos personales sensibles incumpliendo
las medidas de seguridad establecidas en la normativa sobre la materia.
133.5.1. Hasta dos medidas de seguridad.
1
133.5.2. Más de dos medidas de seguridad.
2
133.6.
Realizar tratamiento de datos personales sensibles que no sean pertinentes
ni adecuados con relación a las finalidades determinadas,
explícitas y lícitas para las que requieren ser obtenidos.
3
133.7.
Utilizar los datos personales obtenidos lícitamente para
finalidades distintas de aquellas que motivaron su recopilación,
salvo que medie procedimiento de anonimización o disociación.
133.7.1. Utilizar datos sensibles.
3
133.7.2. Utilizar datos no sensibles.
2
133.8.
Negar o demorar injustificadamente a la Autoridad Nacional de
Protección de Datos Personales el ingreso a las instalaciones objeto
de la fiscalización.
133.8.1. Negar.
4
133.8.2. Demora injustificada.
2
133.9.
Negarse injustificadamente a proporcionar a la Autoridad Nacional de
Protección de Datos Personales la información o la
documentación relativa al tratamiento de datos personales que esta le
requiera en el marco de una fiscalización o procedimiento
administrativo en curso.
3
133.10.
Obstruir el ejercicio de la función fiscalizadora de la Autoridad
Nacional de Protección de Datos Personales.
4
133.11.
Incumplir la obligación de confidencialidad establecida
en el artículo 17 de la Ley.
133.11.1. Datos sensibles (Salud y biométricos).
5
133.11.2. Datos sensibles.
4
133.11.3. Datos no sensibles.
3
133.12. (*)
No comunicar a la Autoridad Nacional de Protección de Datos
Personales un incidente de seguridad de datos personales cuando así
corresponda conforme a lo previsto en el artículo 34 del presente
Reglamento.
4
133.13.
No inscribir o actualizar en el Registro Nacional de
Protección de Datos Personales los actos establecidos en el
artículo 34 de la Ley, luego de que ello hubiera sido requerido por
la Autoridad Nacional de Protección de Datos Personales.
133.13.1. Un banco de datos.
1
133.13.2. Dos bancos de datos.
2
133.13.3. Más de dos bancos de datos.
3
Infracciones Muy Graves (>50
– 100 UITs)
N° de art.
Infracciones muy graves
Grado relativo
134.1.
Realizar tratamiento de datos personales mediante medios fraudulentos,
desleales o ilícitos.
4
134.2.
Suministrar documentos o información falsa o inexacta a
la Autoridad Nacional de Protección de Datos Personales.
134.2.1. Información falsa, de forma escrita o verbal.
5
134.2.2. Información inexacta, de forma escrita o verbal.
4
134.3.
No cumplir las medidas correctivas o medidas cautelares ordenadas en un
procedimiento trilateral de tutela, pese al apercibimiento efectuado
previamente.
4
134.4.
Realizar tratamiento de datos personales sensibles incumpliendo las medidas
de seguridad establecidas en la normativa sobre la materia, y generando con
ello un perjuicio al titular del dato personal sensible o una
exposición no autorizada de sus datos personales sensibles.
4
✅ Checklist de Cumplimiento ODP
Progreso:
0 / 31
📝 1. Designación y obligaciones
derivadas0/6 ▼
La designación del ODP debe realizarse mediante un acto formal adoptado
por el máximo órgano de administración de la entidad pública, organización o
empresa.7.1.1
La entidad pública, organización o empresa comunica internamente la
designación del ODP y la hace pública externamente conforme a sus obligaciones o deberes
de transparencia.7.7.1
La información de contacto del ODP se mantiene actualizada y accesible.
A nivel externo, la entidad pública, organización o empresa hace público, como mínimo,
el nombre completo del ODP y una dirección de correo electrónico. Esta obligación se
realiza conforme a la normativa vigente empleando la política de privacidad o documento
idóneo para la difusión de dicha información y con prescindencia de la obligación
descrita en el numeral 7.6.1.7.7.2
El ODP recibe consultas oportunamente en toda decisión que tenga
incidencia con el tratamiento de datos personales o en el cumplimiento de la normativa
aplicable, debiendo transmitirle la información pertinente con la debida anticipación
para que pueda brindar un asesoramiento adecuado.7.7.3
En caso que sus recomendaciones no sean seguidas, se deja constancia
expresa de ello, a fin de acreditar que su rol técnico ha sido ejercido y que la
decisión final corresponde a la entidad pública, organización o empresa.7.7.4
El ODP mantiene debe mantener un nivel de competencia actualizado,
participando regularmente en procesos de capacitación, actualización o especialización
en materia de protección de datos personales y disciplinas afines, conforme a la
evolución normativa, tecnológica y de riesgos.7.7.5
👤 2. Perfil e idoneidad del ODP0/6 ▼
Experiencia general: No inferior de dos (2) años, desempeñando labores
afines a la materia de protección de datos personales de manera continua o acumulada y/o
en materias como seguridad y gestión de la información, ciberseguridad, gobierno
digital, inteligencia artificial o cualquier otra materia vinculada al tratamiento de
datos personales en entidades públicas y/o privadas.7.3.3.1
Experiencia específica: No inferior a un (1) año desempeñando labores en
materia de protección de datos personales de manera continua o acumulada; la cual se
puede acreditar a través de la experiencia profesional pública o privada, puede ser a
nivel nacional o internacional.7.3.3.2
La formación académica puede ser acreditada de acuerdo a los siguientes
requisitos: a) Contar con estudios de posgrado concluidos o grado académico afines a la
materia de protección de datos personales y/o en materias como seguridad y gestión la
información, ciberseguridad, gobierno digital, inteligencia artificial o cualquier otra
materia vinculada al tratamiento de datos personales en entidades públicas y/o privadas.
b) Contar con certificado de especialización y/o diplomado en protección de datos
personales o las materias afines señaladas en el literal precedente, con una duración
mínima de noventa (90) horas lectivas para los certificados y ciento veinte (120) horas
lectivas para los diplomados.7.3.4.2
La persona que actúe debidamente como ODP o lo vaya a ser, será
considerada en falta de idoneidad ética en los siguientes casos: - Tenga sentencia
condenatoria firme por delito doloso.7.3.6.1
La persona que actúe debidamente como ODP o lo vaya a ser, será
considerada en falta de idoneidad ética en los siguientes casos: - Cuente con sanción
y/o inhabilitación vigente a consecuencia de un procedimiento disciplinario u otro
análogo.7.3.6.1
La persona que actúe debidamente como ODP o lo vaya a ser, será
considerada en falta de idoneidad ética en los siguientes casos: - Tenga una
investigación penal formal o condena por delitos informáticos. - Haya sido sancionada
por faltas éticas vinculadas al tratamiento de información, protección de datos
personales, transparencia, confidencialidad o integridad en el ejercicio de la función
pública o profesional.7.3.6.1
💼 3. Funciones del ODP0/7 ▼
El ODP desempeña las funciones previstas en la normativa vigente. Las
entidades públicas y los actores privados elaboran guías, lineamientos, directrices y/o
protocolos internos que expliciten los supuestos bajo los cuales se podrá requerir o
solicitar la asistencia del ODP, los cuales también deben servir para regular más
exhaustivamente el marco de su actuación en el desempeño de sus funciones.7.4.1
El OPD presta especial atención a los riesgos asociados a las
operaciones de tratamiento de datos personales, considerando su naturaleza, alcance,
contexto y fines. Esta labor coadyuva a la entidad pública, organización o empresa en el
asesoramiento para la realización de evaluación de impacto en protección de datos
personales, de corresponder.7.4.2
El ODP orienta y/o propone en lo siguiente: Definición de la metodología
a utilizar. Identificación de los ámbitos sujetos a auditoría y revisión. Programación
de actividades de formación y capacitación. Identificación de las operaciones de
tratamiento de datos que se lleven a cabo por la entidad pública, empresa u
organización.7.4.3
El ODP, en el desarrollo de sus funciones, según sea el caso,
debe: a) Coordinar según corresponda, la realización de programas de capacitación y
sensibilización dirigidas al personal de la entidad pública, organización o empresa, en
materia de protección de datos personales. b) Gestionar, según corresponda, con la
entidad pública, organización o empresa, la conformación de un equipo de apoyo en
materia de protección de datos personales, cuando la magnitud de las funciones de
supervisión o asesoramiento así lo requieran, a fin de facilitar el cumplimiento eficaz
de sus responsabilidades. c) Elaborar informes, opiniones o recomendaciones técnicas
o de supervisión, sobre el cumplimiento de la normativa en materia de protección de
datos personales dentro de la entidad pública, organización o empresa, cuando se
solicite o corresponda, los cuales deben ser puestos en conocimiento de la alta
dirección de la entidad pública, directorio o análogo de la organización o
empresa. d) Recabar, según corresponda, información de las unidades, oficinas o
departamentos pertinentes de la entidad pública, organización o empresa, a fin de
verificar el cumplimiento de la normativa aplicable en las actividades de tratamiento de
datos personales. e) Revisar la información pertinente y realizar un examen de
correspondencia de la información obtenida con los contenidos comprendidos en la LPDP y
su Reglamento, o normas y documentos afines. f) Revisar periódicamente las
resoluciones, opiniones, guías y demás documentos emitidos por la ANPD, en cuanto
resulten relevantes para el cumplimiento eficiente de sus funciones. g) Promover una
cultura de protección de datos personales dentro de la entidad pública, organización o
empresa.7.4.4
El ODP orienta o asesora de manera especializada a la unidad o gerencia
responsable sobre la correcta tramitación, interpretación legal y cumplimiento de los
plazos en la normativa vigente para la atención de las solicitudes de derechos ARCO
(acceso, rectificación, cancelación y oposición), asegurando así la respuesta oportuna
conforme a Ley.7.4.11
El ODP informa periódicamente al obligado sobre las acciones realizadas
en el ejercicio de sus funciones.7.4.8
El ODP guarda estricta confidencialidad respecto de la información que
conozca en el ejercicio de sus funciones; particularmente aquella que, de develarse,
pudiera poner en riesgo o afectar la eficacia de las mismas, bajo responsabilidad
administrativa, civil y/o penal, según corresponda.7.4.6
📨 4. Notificación a ANPD
(Accesibilidad)0/4 ▼
La comunicación con la ANPD debe incluir como mínimo los siguientes
datos: a) Nombres y apellidos completos del ODP. b) DNI o documento equivalente de
identificación. c) Cargo o rol dentro de la entidad, organización o empresa. d)
Datos de
contacto (correo electrónico institucional, teléfono, domicilio físico en Perú, si
corresponde).7.6.2
La entidad pública, organización o empresa que designe al ODP debe
comunicar dicha designación a la ANPD. La comunicación se realiza a través de la mesa de
partes virtual del MINJUSDH, dirigida a la DGTAIPD.7.6.1
Contar con la constancia de envío a través de la mesa de partes virtual
del MINJUSDH, dirigida a la DGTAIPD (como acreditación del numeral 7.6.1).--
Cuando por cese de operaciones o modificación en las actividades de
tratamiento, deje de resultar exigible la designación y/o actuación de un ODP ya
designado, dicha situación debe ser comunicada a la ANPD, dentro del plazo de diez (10)
días hábiles, contados a partir de la emisión del acto o documento que dispone el cese o
la modificación correspondiente, indicando las razones que sustentan la variación y las
medidas adoptadas respecto al tratamiento de datos personales involucrados.8.5
⚖ 5. Conflicto de intereses e independencia0/4 ▼
Las funciones del ODP en su calidad de asesor y supervisor técnico, no
deben confundirse con las ejercidas por el obligado a la designación del mismo; no es
función ni responsabilidad del ODP determinar la finalidad, el contenido o los medios de
tratamiento de los datos, ni tampoco ser el ejecutor de dicho tratamiento.6.4
El ODP ejerce sus funciones con independencia funcional, lo que implica
que la entidad pública, organización o empresa, no puede instruirlo o direccionarlo
sobre el contenido de sus opiniones, recomendaciones o decisiones técnicas en materia de
protección de datos personales.7.3.5.3
El ODP desempeña funciones en pro de la protección de los datos
personales que son tratados por su entidad, organización o empresa; por lo tanto, no
debe incurrir en situaciones que hagan inviable dicho desempeño por un conflicto de
intereses. Se entiende por conflicto de intereses cualquier situación en la que los
intereses personales, profesionales o económicos del ODP interfieren en el cumplimiento
objetivo e independiente de sus funciones.7.9.1-7.9.2
La entidad pública, organización o empresa, establece directrices o
protocolos que identifiquen puestos sensibles o incompatibles con la función de ODP,
tomando como referencia la Ley Nº 31564 - “Ley de Prevención y Mitigación del Conflicto
de Intereses en el Acceso y Salida de Personal del Servicio Público” y su
Reglamento.7.9.5
🛡 6. Garantías para el desempeño
funcional0/4 ▼
Para asegurar el adecuado desempeño funcional del ODP, se deben
implementar, como mínimo, las siguientes garantías: - Proveer la infraestructura,
financiamiento y acceso a formación continua necesarios para el adecuado ejercicio de
sus funciones. - Evitar que se impartan instrucciones al ODP respecto al criterio
técnico o jurídico que deba adoptar.7.8.1
Para asegurar el adecuado desempeño funcional del ODP, se deben
implementar, como mínimo, las siguientes garantías: - Facilitar el acceso del ODP a
la información y documentación necesaria para el ejercicio de sus funciones. -
Asegurar su participación o consulta oportuna en decisiones que incidan en el
tratamiento de datos personales.7.8.1
El ODP reporta funcionalmente a la máxima autoridad de administración de
la entidad pública, organización o empresa, garantizando en todo momento su
independencia funcional.7.3.5.6
Las entidades públicas, organizaciones o empresas establecen mecanismos
de suplencia temporal para garantizar la continuidad de las funciones del ODP en casos
de vacancia, renuncia, licencia, enfermedad u otros impedimentos. La suplencia solo
opera de manera temporal hasta que se designe o reincorpore el ODP titular.8.6
📅 Calendario de Plazos de Cumplimiento
Seleccione su tipo de entidad
Entidades Públicas
Grandes Empresas (>2,300 UITs)
⚠️ Plazo
vencido: 30 de noviembre de 2025
Medianas Empresas (1,700 - 2,300 UITs)
Plazo: 30 de noviembre de 2026
Pequeñas Empresas (150 - 1,700 UITs)
Plazo: 30 de noviembre de 2027
Microempresas (<150 UITs)
Plazo: 30 de noviembre de 2028
🔄 Plazo de Adaptación — ODPs ya designados
Los responsables que ya hayan designado un ODP antes de la entrada en vigor de
la Directiva
tienen 180 días calendario para adecuarse a las disposiciones de la
presente norma
(Segunda Disposición Complementaria Transitoria).
Plazo estimado:
⚠️ Nota sobre UITs
Los rangos de UITs se basan en ingresos anuales de la empresa.
1 UIT 2026 = S/ 5,500.
Use el Wizard de Evaluación ODP para
determinar su categoría exacta.
📂 Historial de Evaluaciones
⚠️
Almacenamiento local: Los datos se guardan únicamente en este navegador
(localStorage). Si limpia los datos del navegador, cambia de dispositivo o usa modo incógnito,
perderá la información guardada.
No hay evaluaciones guardadas.
¿Necesitas ayuda? Chatea con nosotros
Comenzar una conversación
¡Hola! Haz clic en uno de
nuestros miembros de abajo para chatear por WhatsApp
