Cuando una organización llega al punto de designar un Delegado de Protección de Datos (DPO), la primera pregunta que surge casi siempre es la misma: ¿contratamos a alguien de la propia plantilla o recurrimos a un servicio externo? El Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) no imponen ninguna de las dos modalidades: ambas son válidas. Sin embargo, la elección tiene consecuencias prácticas muy distintas en términos de independencia, especialización, coste y exposición sancionadora. Este artículo responde a cada pregunta relevante para tomar esa decisión con criterio.
¿Qué dice el RGPD sobre la modalidad del DPO?
Los artículos 37 a 39 del RGPD regulan la figura del DPO sin establecer preferencia por ninguna modalidad. El artículo 37.6 dispone expresamente que «el delegado de protección de datos podrá ser empleado del responsable o del encargado del tratamiento, o desempeñar sus funciones en el marco de un contrato de servicios». Esto equivale a decir que la norma reconoce y ampara ambas vías por igual.
Lo que sí exige el RGPD —en el artículo 38— es que el DPO actúe con plena independencia funcional: no puede recibir instrucciones del responsable o del encargado del tratamiento sobre cómo ejercer sus funciones, y no puede ser destituido ni sancionado por ejercerlas. Ese requisito de independencia es, en la práctica, el principal factor de diferenciación entre ambas modalidades.
DPO interno: ¿cuándo tiene sentido?
El DPO interno es un empleado de la propia organización que asume las funciones del artículo 39 del RGPD: informar y asesorar al responsable del tratamiento, supervisar el cumplimiento, cooperar con la AEPD y actuar como punto de contacto para los interesados.
Esta modalidad puede ser adecuada cuando se cumplen todas estas condiciones:
- La organización tiene volumen suficiente para justificar un puesto a dedicación exclusiva o casi exclusiva. En la práctica, organizaciones con más de 500 empleados o con tratamientos de datos muy complejos (grandes hospitales, administraciones públicas, entidades financieras) suelen optar por el DPO interno.
- No existe conflicto de intereses con las funciones actuales del candidato. El artículo 38.6 del RGPD prohíbe que el DPO asuma tareas que impliquen determinar los fines y medios del tratamiento. El responsable de Sistemas que decide qué software se implanta, el director de RRHH que decide qué datos se recogen de los empleados o el director jurídico que define los contratos de encargado: ninguno de ellos puede ser DPO al mismo tiempo. La AEPD ha detectado esta doble función como uno de los incumplimientos más frecuentes en sus actuaciones de supervisión.
- Se garantiza formación continua. El RGPD es una norma viva: las directrices del Comité Europeo de Protección de Datos (CEPD), las resoluciones de la AEPD y las sentencias de los tribunales se acumulan continuamente. El DPO interno necesita tiempo y presupuesto específico para mantenerse actualizado.
- Se puede garantizar la independencia formal. El DPO interno debe reportar al nivel directivo más alto (art. 38.3 RGPD) y no puede estar subordinado operativamente a quienes toman decisiones sobre tratamiento de datos.
DPO externo: ¿cuándo es la mejor opción?
El DPO externo es un profesional o entidad especializada que presta el servicio de delegado mediante un contrato de servicios. No es un contrato de encargado del tratamiento en el sentido del artículo 28 del RGPD: el DPO externo no trata datos por cuenta del responsable con fines propios, sino que actúa como asesor y supervisor independiente.
La modalidad externa es la más habitual en pymes, entidades medianas y organizaciones que están obligadas a tener DPO pero no tienen volumen suficiente para sostener un puesto interno de alta cualificación. Sus ventajas estructurales son claras:
- Independencia funcional más sólida. El DPO externo no depende jerárquicamente de la dirección ni tiene intereses laborales que puedan generar presión para suavizar sus conclusiones. La independencia que exige el artículo 38 del RGPD es más fácil de acreditar ante la AEPD cuando el DPO no forma parte de la estructura interna.
- Especialización permanentemente actualizada. Una consultora especializada en protección de datos tiene incentivos directos para estar al día en directrices del CEPD, resoluciones sancionadoras de la AEPD y novedades legislativas. El DPO interno en una empresa no dedicada a la privacidad puede quedarse rezagado si no recibe el soporte formativo adecuado.
- Disponibilidad sin interrupciones. Las brechas de seguridad no avisan. El artículo 33 del RGPD exige notificar a la AEPD en un plazo máximo de 72 horas desde que el responsable tenga conocimiento de una brecha que suponga un riesgo para los derechos de las personas. Y cuando el riesgo es alto, el artículo 34 impone comunicarlo también a los propios afectados sin dilación indebida. Un DPO externo con protocolo de guardia garantiza que esa notificación se gestiona correctamente incluso en festivos o fuera del horario habitual. El DPO interno puede estar de vacaciones o de baja.
- Coste predecible y sin cargas laborales. El servicio externo se contrata con un alcance definido y un precio anual cerrado, sin costes de selección, formación inicial, Seguridad Social ni riesgo de indemnización por despido.
- Ausencia de conflicto de intereses estructural. El DPO externo no tiene doble función dentro de la organización; su único rol es el de delegado.
Tabla comparativa: DPO interno vs. externo
| Criterio | DPO interno | DPO externo |
|---|---|---|
| Independencia funcional | Posible pero más difícil de acreditar (riesgo de presión jerárquica) | Estructuralmente más sólida; más fácil de acreditar ante la AEPD |
| Especialización | Depende del perfil y de la formación continua disponible | Alta; es la actividad principal de la consultora |
| Disponibilidad ante incidentes | Limitada por horario laboral, vacaciones y bajas | Continua, con protocolos de guardia para brechas |
| Riesgo de conflicto de intereses | Alto si el DPO tiene otras funciones operativas sobre datos | Bajo; función exclusivamente de supervisión |
| Coste para pymes | Elevado (salario + SS + formación + selección) | Asequible; rangos orientativos de 800 a 6.000 €/año según complejidad |
| Conocimiento interno de la organización | Mayor; acceso directo al día a día | Requiere una fase de onboarding y actualizaciones periódicas |
| Adecuación para organizaciones obligadas por ley | Sí, si se cumplen los requisitos de independencia | Sí, y más habitual en la práctica del mercado español |
| Facilidad de sustitución | Compleja (proceso de selección, período de preaviso laboral) | Sencilla; el proveedor garantiza continuidad del servicio |
¿Quién está obligado a tener DPO?
Antes de elegir la modalidad conviene asegurarse de si la designación es obligatoria o voluntaria. El artículo 37 del RGPD establece tres supuestos de obligación:
- Autoridades y organismos públicos, con excepción de los tribunales en su función jurisdiccional.
- Responsables o encargados cuya actividad principal consiste en operaciones de tratamiento que, por su naturaleza, requieren una observación habitual y sistemática de interesados a gran escala: plataformas digitales de seguimiento, empresas de telecomunicaciones, entidades financieras con monitorización continua de transacciones.
- Responsables o encargados que traten a gran escala categorías especiales de datos (art. 9 RGPD: salud, datos genéticos o biométricos, origen racial, convicciones religiosas, vida sexual, afiliación sindical, opiniones políticas) o datos relativos a condenas e infracciones penales (art. 10 RGPD): hospitales, clínicas, aseguradoras de salud, laboratorios, bufetes penalistas.
La LOPDGDD amplía en su artículo 34 este listado con categorías específicas del ordenamiento español: colegios profesionales, centros docentes, empresas de seguridad privada, distribuidoras de energía y proveedores de comunicaciones electrónicas que elaboren perfiles de usuarios, entre otros.
Si la organización no cae en ninguno de estos supuestos, puede designar un DPO de forma voluntaria. La AEPD recomienda hacerlo cuando se tratan categorías especiales de datos aunque no sea «a gran escala», cuando el Registro de Actividades de Tratamiento es extenso o cuando se realizan evaluaciones de impacto (EIPD) con regularidad.
Qué ocurre si el DPO no cumple los requisitos de independencia
La AEPD ha resuelto expedientes en los que el DPO designado tenía funciones incompatibles: jefe de Sistemas que a la vez era DPO, responsable de RRHH designado delegado, o directivos con poder de decisión sobre tratamientos. En todos esos casos, la autoridad consideró que la designación era ineficaz y que la organización se encontraba, en la práctica, sin DPO.
Las consecuencias son relevantes. La ausencia de DPO en una organización obligada está tipificada en el artículo 83.4 del RGPD como infracción que puede acarrear multas de hasta 10 millones de euros o el 2 % del volumen de negocio mundial. En expedientes reales, la inoperancia del DPO ha actuado como factor agravante que eleva la cuantía de sanciones que ya incluían otros incumplimientos.
Conviene recordar también que la infracción más grave —hasta 20 millones de euros o el 4 % del volumen de negocio, conforme al artículo 83 del RGPD— se aplica a los incumplimientos de los principios y bases de licitud del tratamiento, incluyendo los supuestos en los que la ausencia de un DPO operativo ha contribuido a que una brecha de seguridad no se gestionara correctamente.
¿Puede el mismo DPO externo servir a varios clientes?
Sí. El RGPD contempla expresamente que el DPO pueda prestar servicios a varias organizaciones (art. 37.3), siempre que pueda dedicar a cada una el tiempo necesario para el desempeño adecuado de sus funciones y que no existan conflictos de intereses entre los diferentes clientes. Esto es precisamente lo que hace un servicio de DPO externo estructurado: distribuye la carga entre el equipo de la consultora —varios profesionales especializados, no un único recurso— garantizando respuesta ante cualquier incidente independientemente de la agenda personal de ninguno de ellos.
Proceso de designación: pasos comunes a ambas modalidades
- Diagnóstico previo de tratamientos: inventario del Registro de Actividades de Tratamiento (RAT), identificación de categorías especiales, valoración de si la obligación es legal o la designación es voluntaria.
- Selección del DPO: el artículo 37.5 del RGPD exige que sea designado atendiendo a sus conocimientos especializados del Derecho y la práctica en protección de datos. En el mercado español se valoran las certificaciones CIPP/E (IAPP) o CDPP (AEPD/ENAC) y la experiencia demostrable en gestión de brechas y evaluaciones de impacto.
- Formalización: contrato de servicios si es externo, descripción de puesto si es interno. Debe quedar documentado el alcance de las funciones, los canales de contacto y la garantía de independencia.
- Comunicación interna: los empleados deben conocer quién es el DPO y cómo contactar con él. Se incluye en la política de privacidad interna y en los avisos de privacidad dirigidos a interesados.
- Notificación a la AEPD: mediante el formulario habilitado en la sede electrónica de la AEPD. Obligatoria cuando la designación es legalmente exigida; recomendada en designaciones voluntarias.
- Operativa continua: el DPO se incorpora al flujo de privacidad by design, atención a solicitudes de derechos, gestión de brechas y supervisión del cumplimiento normativo.
Recomendación práctica para pymes en Castilla y León y Canarias
Para la mayoría de las pymes en nuestro ámbito geográfico —organizaciones de entre 10 y 250 empleados en Castilla y León y Canarias—, la modalidad de DPO externo es la que mejor equilibra coste, independencia y especialización. Las razones son concretas: el coste de un profesional interno con el perfil adecuado (formación jurídica especializada, certificación reconocida, experiencia en EIPD y brechas) supera ampliamente el coste anual de un servicio externo bien estructurado. Además, el riesgo de conflicto de intereses es casi inevitable si se asigna el rol a alguien que ya tiene responsabilidades operativas sobre datos.
La excepción son las organizaciones de mayor tamaño con tratamientos muy voluminosos o muy sensibles —hospitales, grandes administraciones, entidades financieras— donde la dedicación exclusiva de un DPO interno tiene sentido tanto por volumen de trabajo como por el nivel de conocimiento interno que se necesita.
En cualquier caso, la decisión debe partir de un diagnóstico real del mapa de tratamientos y de los riesgos concretos de la organización, no de una elección genérica basada solo en el coste. Desde el área de cumplimiento RGPD de Summum Consultoría acompañamos ese diagnóstico y, cuando procede, asumimos la función de DPO externo con plena operatividad desde el primer día.
Preguntas frecuentes
¿Puede el director jurídico de la empresa ser el DPO?
Depende de sus funciones concretas. Si el director jurídico determina los fines y medios del tratamiento de datos —como redactar los contratos de encargado del tratamiento o decidir las bases de licitud de los tratamientos principales—, existe un conflicto de intereses que invalida su designación como DPO. Si su función jurídica está desvinculada de las decisiones sobre tratamiento de datos, la incompatibilidad puede no existir, aunque la AEPD recomienda cautela y documentar expresamente que no hay conflicto.
¿El DPO externo firma como encargado del tratamiento?
No. El DPO externo no es un encargado del tratamiento en el sentido del artículo 28 del RGPD. Su relación con la organización se formaliza mediante un contrato de prestación de servicios ordinario, complementado habitualmente con cláusulas de confidencialidad reforzada. El DPO accede a datos personales para ejercer sus funciones de supervisión, pero no los trata por cuenta del responsable con fines propios.
¿Qué ocurre si cambiamos de DPO externo a mitad de año?
La organización debe notificar a la AEPD la baja del DPO saliente y comunicar los datos del nuevo en cuanto esté designado. Si la designación era legalmente exigida, cualquier período sin DPO operativo constituye un incumplimiento. Los contratos de DPO externo bien estructurados incluyen períodos de preaviso de uno a tres meses y garantías de transición para evitar vacíos de cobertura.
¿Puede el DPO externo gestionar también una brecha de seguridad?
Sí, y es una de sus funciones principales. El artículo 39.1.b del RGPD incluye entre las tareas del DPO la supervisión de la seguridad y la cooperación con la autoridad de control. En la práctica, el DPO externo suele liderar o coordinar el proceso de notificación a la AEPD (art. 33 RGPD: 72 horas) y, cuando el riesgo es alto, la comunicación a los afectados (art. 34 RGPD). Un servicio de DPO externo con protocolo de guardia es especialmente valioso en esos momentos, ya que los plazos son estrictos y el error en la notificación puede ser en sí mismo una infracción adicional.