DPO externo: cuándo es obligatorio y cuánto cuesta en 2026

·

El Delegado de Protección de Datos (DPO) —o Data Protection Officer en terminología europea— es uno de los roles más habituales en la agenda de cumplimiento desde que el Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) entró en aplicación en mayo de 2018. Sin embargo, ocho años después siguen persistiendo dos confusiones frecuentes en las empresas: creer que el DPO es obligatorio para cualquier organización que trate datos personales, o, al contrario, pensar que solo aplica a la Administración pública. La realidad es más matizada y tiene consecuencias económicas y sancionadoras reales. En este artículo respondemos con precisión a la pregunta: ¿cuándo es obligatorio designar un DPO externo, cuándo es simplemente recomendable y qué coste tiene en el mercado español de 2026?

Qué es el DPO y qué no es

El DPO es una figura de supervisión y asesoramiento interno, no de decisión ejecutiva. Su función principal es informar y asesorar al responsable o encargado del tratamiento sobre sus obligaciones en materia de protección de datos, supervisar el cumplimiento del RGPD y de las políticas internas, cooperar con la autoridad de control (en España, la AEPD) y actuar como punto de contacto con los interesados.

Conviene subrayar lo que el DPO no es: no es el responsable jurídico de las infracciones de protección de datos (esa responsabilidad recae en el responsable del tratamiento), no es el redactor de la política de privacidad ni el gestor de contratos de encargado, ni tampoco el equivalente al compliance officer general. Su rol es específicamente técnico-normativo en el ámbito del tratamiento de datos personales.

El DPO puede ser una persona física empleada de la organización (DPO interno) o un profesional o entidad externa contratada (DPO externo). La modalidad externa —más habitual en pymes y entidades medianas— permite disponer de la figura sin los costes de un contrato laboral de alta cualificación, cumplir con el requisito de independencia funcional que exige el RGPD y acceder a conocimientos especializados difíciles de sostener en plantilla.

Los tres supuestos de designación obligatoria según el RGPD

El artículo 37 del RGPD establece exactamente tres casos en los que la designación del DPO es obligatoria tanto para responsables como para encargados del tratamiento:

  1. Autoridades u organismos públicos, con excepción de los órganos jurisdiccionales que actúen en el ejercicio de sus funciones judiciales. Este supuesto cubre a toda la Administración pública española: ministerios, comunidades autónomas, ayuntamientos, organismos autónomos, empresas públicas, etc.
  2. Responsables o encargados que realicen, como actividades principales, operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala. Ejemplos claros: empresas de marketing digital con perfilado masivo de usuarios, plataformas de seguimiento de comportamiento online, compañías de telecomunicaciones, entidades financieras que monitorizan transacciones de forma continuada.
  3. Responsables o encargados que traten a gran escala categorías especiales de datos (los enumerados en el art. 9 RGPD: salud, origen racial o étnico, convicciones religiosas, datos genéticos o biométricos, vida sexual, afiliación sindical, opiniones políticas) o datos relativos a condenas e infracciones penales (art. 10 RGPD). Aquí quedan incluidas clínicas, hospitales, laboratorios, bufetes de abogados penalistas, aseguradoras de salud, etc.

La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre) amplía en su artículo 34 el listado de entidades obligadas para el ordenamiento español, añadiendo expresamente a los colegios profesionales y sus consejos generales, los centros docentes, las entidades que exploten redes y presten servicios de comunicaciones electrónicas, los prestadores de servicios de la sociedad de la información cuando elaboren perfiles de usuarios a gran escala, las entidades de seguros y reaseguros, los establecimientos financieros de crédito y las entidades de pago, los distribuidores y comercializadores de energía eléctrica y gas natural, y las empresas de seguridad privada, entre otros.

El concepto de «gran escala» y «actividad principal»: dónde está el umbral

Los dos conceptos más debatidos en la aplicación práctica del artículo 37 son precisamente los que determinan si una pyme queda dentro o fuera del supuesto obligatorio: gran escala y actividad principal.

El Comité Europeo de Protección de Datos (CEPD/EDPB) en sus Directrices sobre DPO (WP243 rev.01, adoptadas como directrices del CEPD) señala que para valorar si un tratamiento es «a gran escala» deben considerarse factores como el número de interesados afectados (en términos absolutos o como proporción de la población de referencia), el volumen de datos tratados, la duración o permanencia del tratamiento y la extensión geográfica. No hay un umbral numérico fijo en el RGPD. Una empresa de 30 empleados que gestione registros de salud de 50.000 pacientes trata a gran escala; un médico de familia que trata datos de sus propios pacientes, no.

En cuanto a «actividad principal», el CEPD aclara que no hace referencia a actividades auxiliares o de soporte (como la gestión de la nómina del propio personal), sino a las operaciones de tratamiento que constituyen el núcleo del negocio. Una clínica dental tiene como actividad principal la prestación de servicios de salud y el tratamiento de datos de salud es inseparable de esa actividad; para ella es obligatorio. Una panadería que lleva una base de datos de clientes para enviar promociones tiene el tratamiento de datos como actividad auxiliar; el supuesto obligatorio del art. 37.1.b no le aplica directamente.

Tabla comparativa: ¿te aplica la obligación de DPO?

Tipo de organización Supuesto aplicable DPO obligatorio Recomendado voluntariamente
Administración pública (ayuntamiento, ministerio, organismo público) Art. 37.1.a RGPD Sí, siempre
Hospital, clínica, laboratorio de análisis (tratamiento salud a gran escala) Art. 37.1.c RGPD + art. 34 LOPDGDD
Aseguradora, entidad financiera, banco Art. 37.1.b + art. 34.h/i LOPDGDD Sí (por LOPDGDD)
Plataforma digital con perfilado masivo de usuarios Art. 37.1.b RGPD (observación habitual y sistemática a gran escala)
Empresa de seguridad privada Art. 34 LOPDGDD Sí (por LOPDGDD)
Colegio profesional o consejo general Art. 34.a LOPDGDD Sí (por LOPDGDD)
Centro docente (escuela, universidad) Art. 34.b LOPDGDD Sí (por LOPDGDD)
Pyme de comercio minorista (base clientes <10.000, sin perfilado) Ninguno directo No obligatorio Sí, si hay Registro de Actividades amplio
Empresa de RRHH o selección de personal (trata datos laborales extensos) Zona gris: depende del volumen y del perfilado Depende del análisis Muy recomendable
Despacho de abogados (datos de clientes, procesos penales) Art. 37.1.c si hay volumen de datos penales Posiblemente sí Sí en todo caso

Cuándo conviene designar un DPO aunque no sea obligatorio

La AEPD, en su Guía práctica para el DPO en entidades no públicas, es explícita: la designación voluntaria de un DPO es una medida de responsabilidad proactiva que el RGPD valora positivamente. No obliga —pero recomienda con fuerza— designarlo en organizaciones que, sin estar en los supuestos obligatorios, se caractericen por alguno de estos factores:

Desde el punto de vista práctico, la presencia de un DPO —aunque voluntario— genera efectos jurídicos relevantes: facilita la demostración del principio de responsabilidad activa (accountability), reduce la probabilidad de sanciones en caso de incidente y refuerza la confianza de clientes, proveedores y del propio regulador. En sectores donde el RGPD es palanca comercial (sanidad, industria farmacéutica, servicios financieros, tecnología), tener DPO designado y registrado ante la AEPD es ya prácticamente un estándar de mercado.

El registro del DPO ante la AEPD

Tanto si la designación es obligatoria como voluntaria, el responsable del tratamiento debe publicar los datos de contacto del DPO y comunicarlos a la autoridad supervisora. En España, la AEPD mantiene un registro público de DPO accesible en su sede electrónica. La comunicación se realiza a través del formulario habilitado en la sede de la AEPD y es obligatoria cuando la designación es legalmente exigida. El DPO no está obligado a revelar su identidad a los interesados, pero sí debe ponerse a su disposición un canal de contacto (normalmente un correo electrónico dedicado del tipo dpo@empresa.com).

Una consecuencia práctica que muchas empresas descubren tarde: si designas un DPO voluntariamente y lo comunicas a la AEPD, la autoridad puede dirigirse a él en sus actuaciones de supervisión. El DPO designado debe estar realmente operativo y con acceso a la información necesaria; de lo contrario, la figura puede volverse contraproducente.

Perfil y cualificaciones del DPO: qué exige el RGPD

El artículo 37.5 del RGPD establece que el DPO debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como a su capacidad para desempeñar las funciones del artículo 39. El RGPD no exige ninguna titulación oficial específica, aunque en la práctica del mercado español se valoran especialmente:

El DPO externo —persona física o jurídica— debe garantizar la ausencia de conflicto de intereses. El RGPD prohíbe que el DPO reciba instrucciones del responsable sobre cómo ejercer sus funciones, y la AEPD ha indicado en resoluciones que el mismo DPO puede prestar servicios a varios clientes siempre que pueda dedicar tiempo suficiente a cada uno y no existan conflictos de interés entre ellos.

Cuánto cuesta un DPO externo en 2026: rangos de mercado

El mercado español de DPO externo ha madurado considerablemente desde 2018. Los precios varían en función del tamaño y complejidad de la organización, el volumen de tratamientos, el sector de actividad y el nivel de servicio incluido (solo cumplimiento normativo, o también formación, respuesta a incidentes, gestión de EIPD, etc.). A continuación, un reflejo aproximado de los rangos de mercado que se observan en 2025-2026, sin incluir precios propios de Summum Consultoría, ya que las tarifas se facilitan siempre tras análisis del caso concreto:

Perfil de organización Rango orientativo anual (mercado español 2026) Qué suele incluir
Pyme pequeña (<50 empleados, 2-4 tratamientos, sin datos sensibles) 800 – 2.500 €/año Mantenimiento RAT, revisión anual, canal DPO, soporte consultas básicas
Pyme mediana (50-250 empleados, varios tratamientos, datos de salud o financieros) 2.500 – 6.000 €/año RAT completo, EIPD si procede, formación al personal, gestión de brechas, contacto AEPD
Empresa grande o entidad pública (>250 empleados, tratamientos complejos, alta regulación) 6.000 – 18.000 €/año (o más) Servicio completo: auditorías periódicas, respuesta a incidentes 24/7, formación continua, reporting a dirección
Implantación inicial desde cero (diagnóstico + RAT + cláusulas + contratos encargados) 1.500 – 5.000 € (proyecto único) Diagnóstico gap, RAT, revisión de documentación, alta en AEPD

Estos rangos son orientativos y proceden de la observación del mercado; el coste real depende siempre del alcance del servicio. Lo relevante para la toma de decisión es comparar ese coste con el riesgo real de sanción: el RGPD establece multas de hasta 20 millones de euros o el 4% de la facturación global anual para las infracciones más graves. La AEPD impuso en 2024 sanciones por valor de decenas de millones de euros en resoluciones publicadas, con expedientes que incluyen expresamente la ausencia o inoperancia del DPO como factor agravante.

DPO externo vs. DPO interno: criterios de decisión

La elección entre DPO interno y externo no es solo económica. Hay factores organizativos y de independencia que pesan tanto o más:

Si tu organización está valorando contratar un DPO externo, el primer paso es siempre un diagnóstico del mapa de tratamientos para determinar si la obligación aplica y qué nivel de servicio requiere la complejidad real de los tratamientos.

Proceso práctico de designación del DPO externo

Una vez tomada la decisión de designar un DPO externo, el proceso habitual en el mercado español sigue estos pasos:

  1. Diagnóstico previo: inventario de tratamientos activos, valoración de si existe obligación legal o designación voluntaria, detección de lagunas documentales (RAT incompleto, cláusulas informativas desactualizadas, contratos de encargado pendientes).
  2. Contrato de servicios DPO: suscripción del acuerdo de servicios con la entidad o profesional designado, que debe especificar las funciones concretas, la disponibilidad, los canales de comunicación y las condiciones de confidencialidad.
  3. Comunicación interna: publicación de los datos de contacto del DPO en la política de privacidad y en los canales internos de la organización. Los empleados deben saber a quién dirigirse.
  4. Notificación a la AEPD: mediante el formulario de comunicación habilitado en la sede electrónica de la AEPD (obligatorio cuando la designación es legalmente exigida; recomendado aunque sea voluntaria).
  5. Puesta al día documental: actualización del RAT, revisión de avisos de privacidad, verificación de los contratos de encargado del tratamiento (DPA) con proveedores tecnológicos clave.
  6. Operativa continua: el DPO se incorpora al flujo operativo: atención a solicitudes de derechos de los interesados, supervisión de nuevos proyectos con impacto en privacidad (privacy by design), gestión de brechas si ocurren.

El área de cumplimiento RGPD de Summum Consultoría cubre tanto la implantación inicial como el mantenimiento continuado del sistema de gestión de privacidad, incluyendo la figura del DPO externo para organizaciones que lo requieran por obligación legal o por decisión estratégica de cumplimiento.

Sanciones reales por ausencia o inoperancia del DPO

Aunque la ausencia del DPO no tiene asignada una cuantía de sanción específica en el RGPD, sí está tipificada como infracción grave en el artículo 83.4: multas de hasta 10 millones de euros o el 2% de la facturación mundial cuando corresponde a infracciones del capítulo IV (entre las que se incluye el artículo 37 sobre DPO). En expedientes reales de la AEPD, la ausencia de DPO en organizaciones obligadas ha actuado como factor agravante en sanciones que sumaban otros incumplimientos.

Algunos casos documentados por la AEPD en los últimos años incluyen entidades educativas sin DPO que trataban datos de menores a gran escala, empresas de seguridad privada sin DPO designado —sector explícitamente incluido en la LOPDGDD— y entidades sanitarias privadas que habían «designado» un DPO en papel pero sin funciones reales ni acceso a la información necesaria. En todos estos casos, la ausencia o inoperancia del DPO agravó la sanción final.

Preguntas frecuentes

¿Una pyme con 10 empleados tiene obligación de designar DPO?

No por el mero hecho de tener 10 empleados. La obligación no depende del tamaño de la empresa sino de la naturaleza y el volumen de los tratamientos. Una micropyme con 5 empleados que opere una plataforma digital de salud que monitorice miles de usuarios está obligada. Una empresa de 200 empleados dedicada al comercio minorista sin categorías especiales de datos y sin perfilado a gran escala no lo está, aunque sí le conviene designar DPO voluntariamente si la complejidad de sus tratamientos lo justifica.

¿Puede el responsable de informática o el director de RRHH asumir el rol de DPO?

El RGPD y la AEPD advierten expresamente que el DPO no puede desempeñar funciones que impliquen fijar los fines y medios del tratamiento. El responsable de Sistemas que decide qué software de RRHH se implanta, o el director de RRHH que determina qué datos de empleados se recogen, tienen un conflicto de intereses estructural que hace inválida su designación como DPO. Esta doble función es uno de los errores más frecuentes detectados por la AEPD en sus actuaciones de supervisión y puede derivar en que la designación sea considerada ineficaz.

¿El DPO externo firma como responsable del tratamiento o como encargado?

Ninguna de las dos figuras. El DPO es un rol de supervisión e independencia, no una parte del tratamiento. La relación con el DPO externo se formaliza mediante un contrato de servicios (no un contrato de encargado del tratamiento en el sentido del artículo 28 RGPD). El DPO externo tiene acceso a datos personales de la organización para ejercer sus funciones, pero no los trata por cuenta del responsable con fines propios; actúa como asesor y supervisor. Algunos despachos incluyen en su contrato DPO cláusulas de confidencialidad reforzada precisamente para aclarar este estatus.

¿Qué ocurre si el DPO designado deja de prestar el servicio?

Si se interrumpe la relación con el DPO externo y la organización estaba obligada a tener uno, entra en una situación de incumplimiento desde el primer día sin DPO. La organización debe notificar a la AEPD la baja del DPO anterior y comunicar el nuevo tan pronto como esté designado. Es habitual que los contratos de DPO externo incluyan períodos de preaviso de 1 a 3 meses precisamente para garantizar la continuidad del cumplimiento. En las organizaciones con obligación legal, dejar el puesto vacante, aunque sea por un período breve, es un riesgo que la AEPD puede detectar si en ese intervalo se produce algún incidente o reclamación.