El Delegado de Protección de Datos (DPO, del inglés Data Protection Officer) es una de las figuras que el Reglamento (UE) 2016/679 (RGPD) introdujo con mayor calado en la estructura de compliance de las organizaciones europeas. Su papel no es decorativo ni puramente documental: la normativa le asigna funciones concretas, le garantiza independencia funcional y lo convierte en el punto de contacto entre la empresa y la Agencia Española de Protección de Datos (AEPD). Sin embargo, persisten equívocos importantes sobre qué puede y qué no puede hacer un DPO, cuándo es su designación obligatoria y qué aporta en la práctica. Esta guía responde a esas preguntas con rigor normativo.
¿Qué dice la ley sobre el DPO? El marco de los artículos 37-39 del RGPD
Los artículos 37 a 39 del RGPD regulan en bloque la figura del DPO: designación, posición y funciones. No son artículos orientativos: son obligaciones de cumplimiento directo en todos los Estados miembro de la UE desde el 25 de mayo de 2018. La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) completa el cuadro en el ámbito español, con su artículo 34, que amplía los supuestos de designación obligatoria.
El primer elemento que conviene entender es que el RGPD regula el DPO como una figura de supervisión interna independiente, no como un responsable de tomar decisiones sobre los tratamientos de datos. La responsabilidad última de los tratamientos corresponde siempre al responsable del tratamiento (la empresa, la entidad, el organismo). El DPO asesora, supervisa, informa y facilita; pero no decide en nombre de la organización.
¿Cuándo es obligatorio designar un DPO? Los supuestos del artículo 37 del RGPD
El artículo 37.1 del RGPD establece tres supuestos que obligan a designar DPO:
- Autoridades u organismos públicos (con la excepción de los tribunales en ejercicio de su función jurisdiccional).
- Responsables o encargados del tratamiento cuya actividad principal consista en operaciones de tratamiento que, por su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala: seguros, banca, plataformas digitales de gran volumen, empresas de localización o seguimiento de personas, entre otros.
- Responsables o encargados cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos (artículo 9: salud, ideología, origen étnico, orientación sexual, biometría, condenas penales) o de datos relativos a infracciones penales.
La LOPDGDD amplía estos supuestos en su artículo 34 para el contexto español. Entre las entidades expresamente mencionadas están los centros sanitarios que tratan datos de pacientes, las entidades que elaboran perfiles comerciales a gran escala, los centros educativos, los partidos políticos y los operadores de infraestructuras críticas. Si tu organización encaja en alguna de estas categorías, la designación no es opcional.
Fuera de los supuestos obligatorios, el RGPD no prohíbe —sino que alienta— la designación voluntaria de DPO. En ese caso, las mismas obligaciones de posición e independencia aplican como si fuera obligatorio (artículo 37.4).
¿Qué funciones tiene el DPO según el artículo 39 del RGPD?
El artículo 39 del RGPD lista las funciones mínimas del DPO. Son un suelo, no un techo: la organización puede ampliarlas por contrato o política interna, pero nunca reducirlas. Las funciones tasadas son cinco:
1. Informar y asesorar al responsable, al encargado y a los empleados
El DPO tiene la obligación de mantener al día a la organización sobre sus obligaciones derivadas del RGPD, la LOPDGDD y cualquier otra norma de protección de datos aplicable. Esto incluye informar sobre cambios normativos relevantes —como la entrada en vigor de nuevas guías de la AEPD o del Comité Europeo de Protección de Datos (CEPD)—, asesorar en el diseño de nuevos tratamientos de datos (principio de privacidad desde el diseño, artículo 25 RGPD) y aclarar dudas del personal con acceso a datos personales.
2. Supervisar el cumplimiento del RGPD y de las políticas internas
El DPO tiene una función de control permanente: verificar que los tratamientos que realiza la organización se ejecutan conforme al marco normativo y a las políticas internas de protección de datos. Esto abarca la revisión del Registro de Actividades de Tratamiento (RAT), la comprobación de que las bases de legitimación son correctas, que los plazos de conservación se respetan y que los derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición y limitación) se gestionan dentro de los plazos legales. El artículo 39.1.b indica expresamente que esta supervisión incluye la asignación de responsabilidades, la formación del personal y las auditorías correspondientes.
3. Asesorar en las Evaluaciones de Impacto (EIPD)
Cuando un tratamiento de datos puede entrañar un alto riesgo para las personas, el artículo 35 del RGPD obliga a realizar una Evaluación de Impacto en la Protección de Datos (EIPD). El artículo 35.2 establece que el responsable debe solicitar el asesoramiento del DPO al realizar dicha evaluación. El DPO no la decide solo: asesora en la metodología, revisa el análisis de riesgos y emite un dictamen sobre los riesgos residuales. Si concluye que el riesgo es inaceptable, puede recomendar la consulta previa a la AEPD (artículo 36 RGPD). Su dictamen, y si fue seguido o no, debe quedar documentado.
4. Cooperar con la AEPD y actuar como punto de contacto
El DPO es el interlocutor oficial de la organización ante la AEPD (artículo 39.1.d). Esto significa que en caso de investigación, inspección o procedimiento sancionador, la AEPD se dirigirá al DPO. También implica que los ciudadanos pueden contactar con el DPO para ejercer sus derechos o formular consultas sobre privacidad, antes de recurrir a la AEPD. El artículo 37.7 obliga a publicar los datos de contacto del DPO y a comunicarlos a la autoridad de control. La omisión de este registro es, en sí misma, una infracción sancionable.
5. Gestión y notificación de brechas de seguridad
Aunque el RGPD no menciona explícitamente la gestión de brechas como función del DPO en el artículo 39, en la práctica es una de sus tareas centrales. El artículo 33 del RGPD obliga al responsable del tratamiento a notificar las brechas de seguridad a la AEPD en un plazo máximo de 72 horas desde que tenga constancia de ellas. Si la brecha entraña un alto riesgo para los derechos y libertades de las personas, el artículo 34 añade la obligación de comunicarla a los propios afectados sin dilación indebida. El DPO es quien coordina internamente ese proceso: evalúa el impacto, prepara la documentación, gestiona la notificación a la AEPD y, cuando corresponde, redacta la comunicación a los interesados.
¿Qué NO puede hacer el DPO? La posición de independencia del artículo 38
El artículo 38 del RGPD regula la posición del DPO y establece garantías de independencia que la organización debe respetar:
- No puede recibir instrucciones del responsable ni del encargado del tratamiento sobre el ejercicio de sus funciones (artículo 38.3). Si el DPO concluye que un tratamiento es ilícito, debe decirlo aunque incomode.
- No puede ser sancionado ni destituido por el ejercicio de sus funciones (artículo 38.3). Un DPO que puede ser despedido por señalar incumplimientos no tiene independencia real.
- No puede tener conflictos de interés: si el DPO es interno, no puede desempeñar simultáneamente funciones que impliquen determinar los fines y medios del tratamiento de datos (por ejemplo, no puede ser a la vez Director de Marketing o Director de TI con capacidad de decisión sobre los sistemas de datos).
- El responsable del tratamiento debe proporcionarle acceso a los datos, los sistemas y los recursos necesarios para que pueda ejercer sus funciones (artículo 38.2).
Estas garantías son también la razón por la que muchas organizaciones optan por el DPO externo: la independencia estructural de un proveedor externo es más fácil de acreditar ante la AEPD que la de un empleado interno que reporta jerárquicamente a la misma dirección que supervisa.
Tabla resumen: funciones del DPO según el RGPD
| Función | Base legal (RGPD) | Implicación práctica |
|---|---|---|
| Informar y asesorar | Art. 39.1.a | Formación del personal, alertas normativas, diseño de nuevos tratamientos |
| Supervisar el cumplimiento | Art. 39.1.b | Auditoría del RAT, revisión de bases de legitimación, control de plazos y derechos |
| Asesorar en EIPD | Arts. 35.2 y 39.1.c | Revisión de análisis de riesgo, dictamen documentado, recomendación de consulta previa a AEPD |
| Cooperar con la AEPD | Art. 39.1.d y 39.1.e | Punto de contacto en inspecciones, registro ante la AEPD, gestión de reclamaciones |
| Gestión de brechas de seguridad | Arts. 33 y 34 (coordinación) | Evaluación del impacto, notificación a la AEPD en 72 h, comunicación a afectados si hay alto riesgo |
| Independencia funcional | Art. 38.3 | No recibe instrucciones; no puede ser destituido por ejercer sus funciones |
¿Qué perfil debe tener un DPO?
El artículo 37.5 del RGPD exige que el DPO sea designado atendiendo a sus cualidades profesionales, en particular a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, y a su capacidad para desempeñar las funciones que le asigna el Reglamento. No fija ninguna titulación concreta, pero la AEPD ha publicado orientaciones en su guía sobre el DPO en las que señala que el nivel de conocimiento exigible es proporcional a la sensibilidad y complejidad de los tratamientos de la organización.
En la práctica, un DPO eficaz para una organización mediana o grande debe dominar: el RGPD y la LOPDGDD, la jurisprudencia del CEPD y del Tribunal de Justicia de la UE en materia de datos, las guías sectoriales de la AEPD (videovigilancia, cookies, brechas de seguridad, EIPD), las bases técnicas de la seguridad de la información (para poder dialogar con los equipos de TI), y la normativa sectorial aplicable (datos de salud, datos laborales, datos de menores, datos financieros). Cuando el DPO es externo, el proveedor debe acreditar experiencia demostrable en el sector de la organización.
Videovigilancia, cookies y otros tratamientos sensibles: qué supervisa el DPO
Más allá del marco general, algunos tratamientos específicos activan obligaciones concretas que el DPO debe conocer y supervisar:
- Videovigilancia: el artículo 22 de la LOPDGDD regula el uso de cámaras con fines de seguridad; el artículo 89 de la LOPDGDD regula las cámaras en el ámbito laboral. En ambos casos es obligatorio colocar el cartel informativo en lugar visible antes de acceder a la zona vigilada, e informar a los trabajadores antes de instalar las cámaras. Los plazos de conservación de las imágenes no pueden superar treinta días con carácter general (artículo 22.3 LOPDGDD), salvo que sean requeridas por las Fuerzas y Cuerpos de Seguridad o la autoridad judicial. El DPO supervisa el cumplimiento de estos plazos y la existencia del cartel.
- Cookies y rastreo digital: el artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) exige consentimiento informado para el uso de cookies no estrictamente necesarias. La Guía sobre el uso de las cookies de la AEPD (actualizada en 2023) desarrolla los requisitos: el banner no puede tener casillas premarcadas, rechazar las cookies debe ser tan fácil y accesible como aceptarlas, y el usuario debe poder revocar el consentimiento en cualquier momento. El DPO verifica que la política de cookies y el gestor de consentimiento cumplen estos requisitos.
- Datos de salud y datos de menores: son categorías especiales (artículo 9 RGPD) o requieren protección reforzada (artículo 8 RGPD para menores de 14 años en España, según la LOPDGDD). El DPO supervisa que las bases de legitimación son adecuadas y que las medidas de seguridad son proporcionales a la sensibilidad de los datos.
El riesgo de no tener DPO cuando es obligatorio
La ausencia de DPO cuando su designación es exigible constituye una infracción grave del artículo 37 del RGPD. El régimen sancionador del artículo 83.4 del RGPD prevé multas de hasta 10 millones de euros o el 2 % del volumen de negocio anual mundial, aplicándose la cifra que resulte mayor. Para las pymes, el principio de proporcionalidad modera ese techo, pero las resoluciones de la AEPD muestran sanciones significativas incluso para empresas pequeñas. La AEPD también puede ordenar la suspensión del tratamiento hasta que se corrija el incumplimiento, con el impacto operativo que eso implica.
Registrar al DPO ante la AEPD es igualmente obligatorio: la omisión de ese registro es una infracción autónoma, independiente de si el DPO existe o no. Los datos de contacto del DPO deben figurar en la política de privacidad de la organización y comunicarse a la autoridad de control a través del portal de la Sede Electrónica de la AEPD.
DPO externo: cuándo tiene sentido y cómo se estructura el servicio
El RGPD permite que el DPO sea un empleado interno o un prestador de servicios externo (artículo 37.6). La opción externa es especialmente adecuada cuando la organización no tiene personal interno con el perfil técnico-jurídico requerido, cuando la independencia de un empleado interno sería difícil de acreditar o cuando el volumen de tratamientos no justifica una dedicación a jornada completa.
El servicio de DPO externo suele estructurarse en torno a un contrato de prestación de servicios continuado que incluye: designación formal y registro ante la AEPD, mantenimiento y actualización del RAT, asesoramiento en nuevos tratamientos, formación periódica del personal, gestión de solicitudes de derechos de los interesados, asesoramiento en EIPD cuando procedan, y coordinación ante incidencias de seguridad. El precio depende de la complejidad y el volumen de tratamientos; no existe una tarifa fija de mercado, y los rangos son muy variables según el sector y el tamaño de la organización.
Si tu organización necesita designar DPO o quieres revisar si tu DPO actual cumple con las exigencias del artículo 39, en Summum Consultoría acompañamos a empresas en Castilla y León y Canarias en su adecuación normativa desde 2007. Puedes conocer más en nuestro servicio de DPO externo para organizaciones.
Preguntas frecuentes
¿El DPO es responsable si la empresa recibe una sanción de la AEPD?
No directamente. La responsabilidad legal ante la AEPD recae siempre sobre el responsable del tratamiento (la empresa o entidad), no sobre el DPO. El DPO tiene una función de asesoramiento y supervisión: si cumplió correctamente su rol —informó del riesgo, dejó constancia de sus dictámenes y la organización no siguió sus recomendaciones—, esa documentación es relevante para la valoración de la infracción. Lo que sí puede ocurrir es que el DPO incurra en responsabilidad contractual frente a la organización si no ejerció sus funciones con la diligencia debida.
¿Puede el DPO desempeñar otras funciones dentro de la empresa?
El artículo 38.6 del RGPD lo permite expresamente, siempre que esas otras funciones no generen conflicto de intereses. No puede ejercer funciones que impliquen decidir sobre los fines y medios de los tratamientos de datos: por ejemplo, no puede ser Director de Marketing con capacidad de decisión sobre bases de datos de clientes, ni Director de Sistemas con control sobre la infraestructura que aloja los datos. En la práctica, el DPO interno en organizaciones pequeñas puede asumir funciones de compliance general o de asesoría jurídica siempre que no tomen decisiones ejecutivas sobre los tratamientos.
¿Es necesario registrar al DPO ante la AEPD incluso si es externo?
Sí. El artículo 37.7 del RGPD obliga a comunicar los datos de contacto del DPO a la autoridad de control con independencia de si es interno o externo. En España, esto se realiza a través de la Sede Electrónica de la AEPD. Los datos de contacto que se publican son los del DPO en tanto que punto de contacto institucional, no sus datos personales completos: habitualmente un correo de contacto específico y el nombre del DPO o de la empresa proveedora del servicio.
¿Qué ocurre si el DPO externo detecta un incumplimiento grave y la empresa no actúa?
El DPO tiene la obligación de documentar sus dictámenes y recomendaciones. Si la organización decide no seguir la recomendación del DPO, esa discrepancia debe quedar registrada por escrito. En caso de inspección o procedimiento sancionador, esa documentación puede ser relevante tanto para la organización (que puede alegar que el incumplimiento no fue por desconocimiento) como para el DPO (que puede acreditar que cumplió su función de alerta). Si la situación llega a un punto en que la organización reiteradamente ignora advertencias de incumplimiento grave, el DPO externo puede resolver el contrato para no verse involucrado en un incumplimiento sistemático.
¿Existe alguna certificación oficial para ser DPO en España?
El RGPD no exige ninguna certificación concreta. Sin embargo, la AEPD ha desarrollado un esquema de certificación de DPO a través de entidades de certificación acreditadas por ENAC, que permite acreditar el nivel de conocimiento del candidato de forma objetiva. Esta certificación no es obligatoria, pero es un elemento de valor ante la AEPD y ante las organizaciones que buscan un DPO externo con garantías verificables de competencia técnica.