IA Law
IA Law Digital Lawyers

Panel de Cumplimiento — Protección de Datos Personales

RM 476-2025-JUS | Directiva ODP | DS 016-2024-JUS

Soluciones Digitales para la GestiĆ³n Integral del Cumplimiento y Privacidad

Gestione con facilidad los requisitos de la LPDP y sus normativas sectoriales a través de nuestras aplicaciones interactivas, creadas por especialistas en la materia para guiar su cumplimiento legal.

Para definiciones legales y siglas técnicas:

🔍
Diagnóstico de ODP
Evalúe de forma inmediata si su organización cumple con los supuestos legales para la designación obligatoria de un Oficial de Protección de Datos.
📊
Evaluación Gran Escala
Analice técnica y normativamente si sus actividades de tratamiento alcanzan el umbral de 'gran escala' bajo los parámetros de la RD 100-2025.
💰
Calculadora de Sanciones
Calcule la exposición económica ante eventuales infracciones, considerando los criterios objetivos de graduación, agravantes y atenuantes de la LPDP.
Checklist de Cumplimiento
Verifique el estado de cumplimiento administrativo y operativo de su Oficial de Protección de Datos frente a las exigencias de la Directiva ODP.
📅
Calendario de Plazos
Monitoree los plazos críticos de adecuación y reporte establecidos por la normativa, organizados según el perfil y dimensiones de su entidad.
Diagnóstico de Obligación de Designar ODP
Evaluación basada en la RM 476-2025-JUS y DS 016-2024-JUS
Antes de Empezar
Nota Importante

Esta herramienta evalúa los 3 supuestos obligatorios del Art. 37 del Reglamento de la LPDP para determinar si su organización debe designar un Oficial de Protección de Datos. El resultado es una estimación informativa y no constituye una opinión legal vinculante. Consulte con un profesional especializado para una evaluación definitiva.

Evaluación de Tratamiento a Gran Escala
Matriz basada en el Anexo 1 de la RD 100-2025-JUS/DGTAIPD
Antes de Empezar
Nota Importante

Esta matriz evalúa únicamente el criterio de «grandes volúmenes» (Art. 37.1.2 del Reglamento LPDP). Para una evaluación completa de los 3 supuestos obligatorios de designación de ODP, utilice el Diagnóstico de ODP. Los resultados son informativos y no reemplazan el asesoramiento legal profesional.

Simulador de Multas por Infracciones de Datos Personales
Entienda y estime el impacto de una sanción bajo la LPDP
Antes de Empezar
Nota Importante

Esta calculadora utiliza la metodología establecida en la RM 476-2025-JUS para fines ilustrativos. El resultado es una estimación y no constituye una opinión legal vinculante. La determinación final de la multa corresponde exclusivamente a la Autoridad Nacional de Protección de Datos Personales.

Checklist de Cumplimiento ODP
Basado en la Directiva para la Gestión del ODP (RD 100-2025-JUS/DGTAIPD)
Antes de Empezar
Nota Importante

Esta lista de verificación contiene 37 requisitos de cumplimiento. Su progreso se guarda localmente en su navegador y no se transmite a ningún servidor. Limpiar los datos del navegador eliminará su progreso guardado. Esta herramienta es de carácter informativo.

Calendario de Plazos de Cumplimiento
Plazos según DS 016-2024-JUS y RM 476-2025-JUS
Antes de Empezar
Nota Importante

Los plazos mostrados dependen del tipo y tamaño de su organización. Se basan en las disposiciones complementarias del DS 016-2024-JUS. Verifique siempre con las fuentes oficiales. 1 UIT 2025 = S/ 5,350. Esta herramienta no reemplaza el asesoramiento legal profesional.

1Tipo Entidad
2Tamaño
3Grandes Vol.
4Datos Sensibles
Paso 1 — Tipo de Entidad Obligatorio

Seleccione el tipo de entidad que será evaluada. Las entidades públicas están obligadas a designar un ODP en todos los casos (Art. 37.1). Empresas bajo FONAFE deben designar un ODP por empresa (Art. 3.3).

Ver excepciones y casos especiales
  • Grupo empresarial: Puede designar un solo ODP común para todas sus empresas (Art. 7.6.6)
  • ODP externo: Se permite contratar un ODP externo (persona natural o jurídica). Si es persona jurídica, debe designar un punto de contacto persona natural (Art. 7.6.7-7.6.8)
  • ONG: El criterio de ingresos se calcula por donaciones, subsidios o financiamiento (Art. 8.3)
  • Excepciones: No aplica a personas naturales que tratan datos personalmente/directamente (Art. 7.2.4). Tampoco a entidades en funciones de defensa nacional, seguridad o investigación penal para esos fines específicos (Art. 7.2.2-7.2.3)
Paso 2 — Supuesto 1: Tamaño de la empresa Obligatorio

Ingrese los ingresos anuales de la empresa. La clasificación determina si está obligada a designar un ODP por tamaño y el plazo correspondiente. 1 UIT = S/ 5,350 (2025).

Paso 3 — Supuesto 2: Grandes volúmenes Obligatorio

Evaluación simplificada del criterio de grandes volúmenes (Anexo 1). Para un análisis detallado con los 5 criterios, use el módulo completo.

Complete los campos obligatorios
Paso 4 — Supuesto 3: Datos sensibles como actividad principal Obligatorio

¿El tratamiento de datos sensibles constituye la actividad principal de su organización? Este es un criterio autónomo (Art. 7.1.5.4 de la Directiva).

Ver ejemplos de actividad principal con datos sensibles
  • Clínicas y hospitales: tratamiento de datos de salud
  • Empresas biométricas: huellas dactilares, reconocimiento facial
  • Sindicatos: afiliación sindical de miembros
  • Partidos políticos: filiación política
  • Organizaciones religiosas: creencias religiosas o filosóficas
  • Laboratorios genéticos: datos genéticos
  • Agencias de empleo: antecedentes penales
  • Neurotecnología: datos neuronales
  • Empresas de bienestar/RRHH: datos emocionales y morales
  • Apps de orientación sexual: datos sobre vida sexual

📋 Resultado Consolidado

Resumen de Supuestos
Tipo de entidad --
Supuesto 1: Tamaño (>150 UITs) --
Supuesto 2: Grandes volúmenes --
Supuesto 3: Datos sensibles (actividad principal) --
COMPLETAR EVALUACIÓN
Campos obligatorios:
0 / 2

🏢 Datos de la Entidad

Fecha de evaluación:

📊 Criterios Determinantes (A, B, C)

A — Número de titulares Obligatorio

Ingrese el número total de titulares únicos en todas sus bases de datos.

Nivel calculado
Ver niveles de referencia
  • ALTO: ≥ 50,000 titulares
  • MEDIO: 10,000 – 49,999 titulares
  • BAJO: < 10,000 titulares
B — Sensibilidad y tipología del dato Opcional

Número de tratamientos individuales sobre datos sensibles. Nota: se refiere a operaciones sobre datos sensibles, no las operaciones de soporte del sistema (Directiva 7.1.4).

¿Trata datos sensibles? No
Nivel calculado
Ver niveles de referencia
  • ALTO: > 5,000 tratamientos sobre datos sensibles (salud, origen étnico/racial, convicciones religiosas, datos genéticos, biométricos, neuronales, emocionales/morales, orientación sexual, ingresos/patrimonio, geolocalización, menores de edad)
  • MEDIO: 1,000 – 5,000 tratamientos sobre datos sensibles
  • BAJO: 100 – 999 tratamientos sobre datos sensibles (vacío = BAJO)

Ref: Anexo 1 — «Tratamiento individual»: operación sobre el dato sensible, no las operaciones de soporte del sistema (respaldo, migración, etc.).

C — Finalidad del tratamiento / Riesgo Obligatorio

Seleccione el nivel que describe su finalidad principal. Se consideran >20 tratamientos individuales para la clasificación (Directiva Anexo 1).

Nivel calculado
Ver detalle de niveles (Anexo 1)
  • ALTO: Elaboración de perfiles, scoring crediticio, decisiones automatizadas con efecto jurídico, segmentación conductual, geolocalización constante, monitoreo intensivo de productividad, cruces masivos de bases de datos.
  • MEDIO: Gestión administrativa, reportes estadísticos, pseudonimización para análisis, pruebas de desarrollo con datos reales, respaldo de bases de datos, operaciones back-office.
  • BAJO: Almacenamiento simple sin procesamiento complejo, nóminas pequeñas, sin evaluaciones complejas, sin decisiones automatizadas, sin segmentación conductual.

⚙️ Criterios Moduladores (D, E)

D — Frecuencia, duración, continuidad Opcional

Seleccione el nivel de frecuencia del tratamiento. Se consideran >20 tratamientos individuales para la clasificación (Directiva Anexo 1).

Nivel calculado
Ver detalle de niveles (Anexo 1)
  • ALTO: Tratamiento continuo 24/7, tiempo real, monitoreo intensivo y sistemático de personas, conservación prolongada de datos personales sin plazo definido de eliminación.
  • MEDIO: Tratamiento periódico (semanal, mensual, trimestral), campañas repetitivas de recolección, mantenimiento programado de bases de datos.
  • BAJO: Tratamiento puntual u ocasional, encuestas o pilotos aislados, campañas únicas sin continuidad, datos recolectados una sola vez.
E — Demarcación territorial Opcional

Seleccione según la ubicación de almacenamiento y acceso de sus datos personales.

Nivel calculado
Ver detalle de niveles (Anexo 1)
  • ALTO: Datos almacenados en servidores fuera del Perú (cloud extranjero), acceso remoto por usuarios foráneos vía VPN, SSH o FTP, flujo transfronterizo de datos personales.
  • MEDIO: Datos en servidores ubicados en Perú, conexiones virtuales internas entre sedes nacionales, proveedores nacionales de hosting.
  • BAJO: Datos almacenados localmente (físico/on-premise), redes locales cerradas sin acceso remoto, sin proveedores extranjeros de almacenamiento o procesamiento.

📋 Resultado de la Evaluación

Determinantes en ALTO0
Determinantes en MEDIO0
Determinantes en BAJO3
Moduladores en MEDIO o ALTO0
COMPLETAR EVALUACIÓN
Obligación de designar ODP: COMPLETAR EVALUACIÓN
⚠️ Recordatorio Importante
Esta matriz SOLO evalúa el criterio de «grandes volúmenes» del Art. 37.1.2. Para una evaluación completa de los 3 supuestos obligatorios, use el Wizard de Evaluación ODP.
Guía de Referencia Rápida
Criterio ALTO MEDIO BAJO
A – Titulares ≥ 50,000 10,000 – 49,999 < 10,000
B – Sensibilidad > 5,000 trat. 1,000 – 5,000 100 – 999 (vacío=BAJO)
C – Finalidad Perfilamiento, scoring, decisiones autom. Gestión adm., pseudonimización Almacenamiento simple
D – Frecuencia Continuo / 24-7 / sistemático Semanal / mensual / repetitivo Puntual / ocasional / único
E – Territorio Servidores extranjeros / VPN foránea Servidores Perú Local / redes cerradas
Reglas de Decisión (RD 100-2025-JUS/DGTAIPD)
  • Si al menos 1 criterio determinante en ALTO → GRAN VOLUMEN
  • Si al menos 2 criterios determinantes en MEDIO → GRAN VOLUMEN
  • Si 1 determinante en MEDIO + 1 modulador en MEDIO o ALTO → GRAN VOLUMEN
  • Si los 3 determinantes en BAJO → NO es gran volumen

💰 Calculadora de Multas ANPD

📐 Resumen de Fórmulas (Cuadro 1 — RM 476-2025)
Componente Preestablecida Ad Hoc
Fórmula M = Mb × F M = (B / p) × F
Monto base (Mb) Según Cuadro 2 (variable absoluta × relativa) N/A — se usa B/p
Beneficio ilícito (B) N/A — no determinable o inexistente Ingreso ilícito + costos evitados + costos postergados
Probabilidad (p) N/A Muy Alta=1 | Alta=0.6 | Media=0.3 | Baja=0.1
Factor (F) F = 1 + Σfi (agravantes/atenuantes) F = 1 + Σfi (agravantes/atenuantes)
Aplicación Infracciones leves o graves; muy graves sin beneficio ilícito Solo infracciones muy graves con beneficio ilícito identificable
Rangos UIT Leve: 0.5–5 | Grave: >5–50 | MuyGrave: >50–100 Según gravedad + límite 10% ingresos
Tipo de Multa Obligatorio

Preestablecida: Para infracciones leves o graves; excepcionalmente muy graves sin beneficio ilícito determinable.
Ad Hoc: Solo para infracciones muy graves con beneficio ilícito claramente identificable.

Selección de Infracción

Seleccione la infracción específica para auto-completar gravedad y variable relativa, o use la selección manual.

O seleccione manualmente gravedad y variable relativa
Monto Base (Mb) -- UITs
Datos para Multa Ad Hoc

El beneficio ilícito puede componerse de: ingreso ilícito, costos evitados y/o costos postergados.

Criterios de probabilidad de detección (Cuadro 4)
  • Muy Alta (100%): Infracciones de los Arts. 132.4, 133.13, 134.3 del Reglamento LPDP.
  • Alta (60%): Cuando se detectan con visitas de fiscalización programadas.
  • Media (30%): Cuando se detecta a través de denuncia del titular de datos o terceros.
  • Baja (10%): Cuando se detectan con fiscalizaciones no programadas o actuaciones adicionales de investigación.
Ingresos Brutos Anuales (para límite 10%)
Factores Agravantes y Atenuantes

Seleccione los factores aplicables. Los valores se suman para determinar el Factor F.

🔴 Factores Agravantes
f1: Perjuicio económico al denunciante +0.10
f2: Reincidencia
f3.1: Riesgo a una persona +0.05
f3.2: Riesgo a grupo de personas +0.10
f3.3: Daño a una persona +0.15
f3.4: Daño a grupo de personas +0.20
f3.5: Afectación interés público +0.30
f3.6: Riesgo otros derechos fundamentales +0.15
f3.7: Entorpecimiento de la investigación +0.15
f4: Intencionalidad confirmada +0.30
🟢 Factores Atenuantes
f3.8: Reconocimiento antes del Informe Final -0.30
f3.9: Reconocimiento después del Informe Final -0.15
f3.10: Colaboración + enmienda total -0.30
f3.11: Colaboración + enmienda parcial -0.15
f3.12: Disminuir efecto nocivo total -0.30
f3.13: Disminuir efecto nocivo parcial -0.15
f3.14: Código de Conducta implementado -0.20
f3.15: Evaluación de Impacto implementada -0.25
Resultado del Cálculo
Monto Base (Mb) --
Factor (F) --
Agravantes --
Atenuantes --
Multa Calculada
-- UITs
S/ --
📑 Anexo: Infracciones y Variables Relativas (RM 476-2025)

Infracciones Leves (0.5 – 5 UITs)

Art. Descripción Grado Mb
132.1.1 No cumplir principio proporcionalidad 1 1.08
132.1.2 No cumplir principio calidad 1 1.08
132.2 No modificar/rectificar datos inexactos 1 1.08
132.3 No suprimir datos innecesarios 1 1.08
132.4.1 No inscribir 1 banco de datos 1 1.08
132.4.2 No inscribir 2 bancos 2 2.17
132.4.3 No inscribir >2 bancos 3 3.25
132.5 Informar incompleto (≤2 condiciones) 1 1.08
132.6.1 Incumplir ≤2 medidas seguridad 1 1.08
132.6.2 Incumplir >2 medidas seguridad 2 2.17
132.7.1 Atender fuera plazo ≤10 días 1 1.08
132.7.2 Atender fuera plazo >10 días 2 2.17
132.8 No comunicar flujo transfronterizo 1 1.08
132.9 No designar ODP 1 1.08

Infracciones Graves (>5 – 50 UITs)

Art. Descripción Grado Mb
133.1.1 No atender derechos del titular 2 15.00
133.1.2 Impedir derechos del titular 3 22.50
133.1.3 Obstaculizar derechos del titular 2 15.00
133.1.4 No hay canales ARCO 3 22.50
133.1.5 Canal ARCO no idóneo 2 15.00
133.2 Informar incompleto (≥3 condiciones) 2 15.00
133.3.1 No pedir consentimiento (no sensibles) 1 7.50
133.3.2 Consentimiento no libre (no sensibles) 1 7.50
133.3.3 Consentimiento deficiente (no sensibles) 1 7.50
133.3.4 No pedir consentimiento (sensibles) 2 15.00
133.3.5 Consentimiento no libre (sensibles) 2 15.00
133.3.6 Consentimiento deficiente (sensibles) 2 15.00
133.3.7 No pedir consentimiento (salud/biométricos) 3 22.50
133.3.8 Consentimiento no libre (salud/biométricos) 3 22.50
133.3.9 Consentimiento deficiente (salud/biométricos) 3 22.50
133.4.1 Perjuicio/exposición no autorizada 3 22.50
133.4.2 Incidente notificado a ANPD 2 15.00
133.5.1 Incumplir ≤2 medidas seguridad (sensibles) 1 7.50
133.5.2 Incumplir >2 medidas seguridad (sensibles) 2 15.00
133.6 Datos sensibles no pertinentes/adecuados 3 22.50
133.7.1 Usar datos sensibles fines distintos 3 22.50
133.7.2 Usar datos no sensibles fines distintos 2 15.00
133.8.1 Negar ingreso a fiscalización 4 30.00
133.8.2 Demorar ingreso a fiscalización 2 15.00
133.9 Negarse a proporcionar info a ANPD 3 22.50
133.10 Obstruir función fiscalizadora 3 22.50
133.11.1 Incumplir confidencialidad (salud/biom.) 5 37.50
133.11.2 Incumplir confidencialidad (sensibles) 4 30.00
133.11.3 Incumplir confidencialidad (no sensibles) 3 22.50
133.12 No comunicar incidente de seguridad 4 30.00
133.13.1 No inscribir 1 banco (requerido ANPD) 1 7.50
133.13.2 No inscribir 2 bancos (requerido ANPD) 2 15.00
133.13.3 No inscribir >2 bancos (requerido ANPD) 3 22.50

Infracciones Muy Graves (>50 – 100 UITs)

Art. Descripción Grado Mb
134.1 Tratamiento por medios desleales/ilícitos 4 73.33
134.2.1 Suministrar info falsa a ANPD 5 91.67
134.2.2 Suministrar info inexacta a ANPD 4 73.33
134.3 No cumplir medidas correctivas/cautelares 4 73.33
134.4 Incumplir seguridad sensibles con perjuicio 4 73.33

Checklist de Cumplimiento ODP

Progreso:
0 / 37
📝 1. Designación Formal y Publicidad 0/6
Acto formal de designación por máxima autoridad administrativa7.1.1
Comunicación interna de la designación del ODP7.7.1
Publicación externa del nombre y correo del ODP7.7.2
ODP consultado oportunamente en decisiones de tratamiento de datos7.7.3
Recomendaciones no seguidas del ODP documentadas por escrito7.7.4
ODP mantiene formación continua actualizada7.7.5
👤 2. Perfil del ODP 0/6
2+ años de experiencia general afín7.3.3.1
1+ año experiencia específica en protección de datos7.3.3.2
Formación: posgrado, certificado 90+ hrs, o diplomado 120+ hrs7.3.4.2
Sin sentencia condenatoria firme por delito doloso7.3.6.1
Sin sanción/inhabilitación vigente7.3.6.1
Sin investigación penal por delitos informáticos7.3.6.1
💼 3. Funciones Asignadas 0/12
Asesorar sobre obligaciones LPDP7.4.1
Supervisar cumplimiento normativo7.4.2
Asesorar evaluaciones de impacto7.4.3
Punto de contacto con ANPD7.4.4
Capacitación al personal sobre protección de datos7.4.4.a
Orientar derechos ARCO a los titulares7.4.11
Informes periódicos a la alta dirección7.4.8
Confidencialidad garantizada7.4.6
Definir metodología de auditoría interna de protección de datos7.4.3
Coordinar formación del equipo de apoyo al ODP7.4.4.b
Revisar resoluciones y criterios de la ANPD periódicamente7.4.4.f
Promover cultura de protección de datos en la organización7.4.4.g
📨 4. Notificación a ANPD 0/4
Datos del ODP preparados: nombre, DNI, cargo, contacto7.6.2
Comunicación enviada vía mesa de partes MINJUSDH7.6.1
Constancia de envío archivada--
Protocolo de notificación de cese/modificación del ODP a ANPD en 10 días hábiles8.5
⚖ 5. Independencia y Conflicto de Intereses 0/5
ODP no determina fines/medios del tratamiento6.4
Independencia funcional garantizada7.3.5.3
Sin conflicto de intereses identificado7.9.1-7.9.2
Protocolo de conflicto de intereses establecido y documentado7.9.5
Si ODP externo persona jurídica: verificar no responsable por delitos Ley 304247.3.6
🛡 6. Garantías y Recursos 0/4
Recursos e infraestructura asignados7.8.1
Acceso a información necesaria7.8.1
Canal directo con alta dirección7.3.5.6
Mecanismo de suplencia temporal definido8.6

📅 Calendario de Plazos de Cumplimiento

Seleccione su tipo de entidad
Entidades Públicas
Plazo: 30 de marzo de 2026
Grandes Empresas (>2,300 UITs)
Plazo: 30 de marzo de 2026
Medianas Empresas (1,700 - 2,300 UITs)
Plazo: 30 de marzo de 2027
Pequeñas Empresas (150 - 1,700 UITs)
Plazo: 30 de marzo de 2028
Microempresas (<150 UITs)
Plazo: 30 de marzo de 2029
🔄 Plazo de Adaptación — ODPs ya designados

Los responsables que ya hayan designado un ODP antes de la entrada en vigor de la Directiva tienen 180 días calendario para adecuarse a las disposiciones de la presente norma (Segunda Disposición Complementaria Transitoria).

Plazo estimado:
⚠️ Nota sobre UITs
Los rangos de UITs se basan en ingresos anuales de la empresa. 1 UIT 2025 = S/ 5,350. Use el Wizard de Evaluación ODP para determinar su categoría exacta.