Erick Iriarte advierte vacíos en norma del oficial de datos

Las empresas que hayan facturado más de 2.3 millones de soles durante 2024 deberán contar con un oficial de datos personales, de acuerdo con el nuevo reglamento de la Ley de Protección de Datos Personales que entró en vigencia el 30 de marzo de 2025.

Así lo explicó Erick Iriarte, abogado especialista en derecho digital, en canal N donde también advirtió sobre los vacíos normativos que dificultan la aplicación de esta exigencia.

Según el experto, esta figura será obligatoria para compañías que gestionen datos personales en gran volumen, con diversidad o de tipo sensible, aunque aún no se ha definido claramente qué significa cada uno de estos criterios.

En su opinión, la falta de directivas técnicas claras podría generar una aplicación desigual de la norma, incluso en instituciones que no cuentan con capacidades tecnológicas avanzadas.

Oficial de datos será enlace obligatorio con la autoridad

El oficial de datos personales deberá actuar como punto de contacto entre la empresa o institución y la Autoridad de Protección de Datos Personales, además de participar en procesos internos de mejora, capacitación y diseño de productos o servicios que involucren tratamiento de información.

Su designación deberá ser comunicada oficialmente y estar registrada en el sistema de la autoridad. Iriarte señaló que esta figura puede ser un empleado interno, una persona jurídica o un representante externo, incluso ubicado fuera del país, siempre que cumpla con los requisitos establecidos.

Para los usuarios, representa una instancia adicional de defensa de sus derechos frente al mal uso de sus datos. 

Ambigüedad normativa podría generar inconsistencias

Uno de los principales cuestionamientos del especialista está en la falta de criterios específicos sobre qué constituye un gran volumen o diversidad de datos.

Señaló que esto puede generar escenarios en los que tanto una clínica como un pequeño colegio deban cumplir las mismas obligaciones sin que exista una diferenciación clara por tamaño o capacidad operativa.

Asimismo, indicó que los datos sensibles —como los biométricos, de salud, religiosos o políticos— obligan a cualquier institución que los procese a extremar medidas de seguridad, incluidas aquellas de carácter educativo, público o privado, que recopilen imágenes o información de menores de edad.

Entidades públicas también están sujetas a esta exigencia

Iriarte recordó que muchas entidades del Estado ya cuentan con obligaciones similares desde hace años, como la designación de oficiales de ciberseguridad.

Sin embargo, advirtió que numerosas escuelas y dependencias públicas aún no han incorporado estas prácticas, pese a gestionar información sensible.

También enfatizó que el Ministerio de Educación debe liderar una política de cumplimiento en los colegios, sobre todo considerando que muchas instituciones ahora deben instalar cámaras de videovigilancia, las cuales capturan imágenes que son consideradas datos personales.

Falta de coordinación digital y riesgo en entornos informales

Para el especialista, la carencia de una agenda digital nacional ha impedido la aplicación homogénea de estas políticas. Criticó que no se haya implementado una agencia que articule iniciativas tecnológicas para todo el país ni se haya aprobado el tratado internacional del Consejo de Europa sobre datos personales.

Además, advirtió que, mientras la norma se aplica a empresas formales, el sector informal —incluidos negocios digitales y aplicaciones— opera sin fiscalización efectiva. La ley sí los alcanza, dijo, pero el problema es la capacidad limitada del Estado para ejercer vigilancia y sanción.

Partidos políticos también deben cumplir la ley

Iriarte afirmó que los partidos políticos están obligados a proteger la información de sus afiliados, ya que se trata de datos sensibles vinculados a creencias políticas. Esta responsabilidad también recae sobre instituciones públicas como el Jurado Nacional de Elecciones o el Infogob.

Sobre el voto digital, expresó su rechazo a un posible despliegue amplio, al considerar que no existen garantías suficientes en materia de ciberseguridad ni secreto del sufragio. Propuso, en cambio, que se realicen pilotos controlados, en lugares limitados y con supervisión estricta.