No existe una tarifa legal única para un DPO externo. El precio depende del riesgo, tamaño, sectores, volumen de proyectos, proveedores, derechos, incidentes y disponibilidad requerida. La comparación útil no es «cuánto cuesta el nombramiento», sino cuánta dedicación, independencia y capacidad real incluye el servicio. Un DPO barato que solo presta un nombre puede dejar la obligación material sin cumplir.
Qué se contrata realmente
El DPO informa y asesora, supervisa el cumplimiento, asesora en las evaluaciones de impacto (EIPD), coopera con la autoridad de control y actúa como punto de contacto. Debe participar a tiempo, disponer de recursos, reportar al máximo nivel y actuar sin instrucciones.
El servicio externo no transfiere la responsabilidad del responsable o encargado del tratamiento. Tampoco equivale a una auditoría anual ni a una asesoría que decide los tratamientos.
Por qué varía el precio
Complejidad del responsable
Número de entidades, centros, empleados, países y responsables conjuntos. Un grupo con varias sociedades necesita más coordinación y accesibilidad.
Naturaleza de los datos
Salud, menores, biometría, perfiles, vigilancia o datos penales elevan la especialización y la revisión necesarias.
Volumen y cambio
Una organización estable con pocos tratamientos requiere menos dedicación que una plataforma con lanzamientos semanales, campañas y proveedores nuevos.
Tecnología y proveedores
Nube, inteligencia artificial, transferencias internacionales, apps, cookies, geolocalización y cadenas de subencargados añaden diligencia y pruebas.
Incidentes y derechos
El contrato puede incluir una bolsa razonable o una facturación específica. Debe saberse qué ocurre fuera de horario y ante una brecha grave.
Estado inicial
Si no existen inventario, contratos o procedimientos, primero hay un proyecto de adecuación. Conviene separarlo del servicio recurrente para no ocultar el alcance real.
Componentes de una oferta
| Componente | Contenido mínimo |
|---|---|
| Designación | Comunicación y contacto público |
| Onboarding | Contexto, inventario y plan de supervisión |
| Asesoramiento | Consultas y proyectos con plazo definido |
| Supervisión | Revisiones basadas en riesgo |
| EIPD | Criterios y asesoramiento, con límites claros |
| Derechos | Apoyo en solicitudes complejas |
| Brechas | Evaluación, documentación y notificación |
| Autoridad | Cooperación y reclamaciones |
| Formación | Sesiones por rol y evidencia |
| Dirección | Informes periódicos independientes |
Si una oferta no cuantifica estas actividades, no es comparable.
Modelos de precio
Cuota fija
Adecuada para actividad previsible. Debe indicar horas o capacidad, tiempos, reuniones, entregables y excesos.
Bolsa de horas
Aporta flexibilidad, pero puede desincentivar consultas si cada contacto consume saldo. Necesita transparencia de uso.
Por proyecto
Útil para una EIPD, una auditoría o un incidente complejo. No sustituye la supervisión continua.
Híbrido
Cuota base para funciones ordinarias y tarifa pactada para proyectos extraordinarios. Suele facilitar la previsibilidad sin prometer disponibilidad ilimitada.
Calcular el alcance antes de pedir precio
Prepare una ficha con:
- Entidades y centros.
- Sector y obligación de contar con DPO.
- Plantilla y personas afectadas.
- Categorías de datos.
- Tratamientos y sistemas.
- Países y transferencias.
- Proveedores críticos.
- Proyectos previstos.
- Derechos e incidentes históricos.
- Certificaciones y equipo interno.
- Disponibilidad requerida.
Sin esta información, las ofertas reflejan supuestos distintos.
Dedicación mínima creíble
No existe un número universal. La propuesta debe mostrar cómo cubrirá:
- Conocimiento de la organización.
- Participación en proyectos.
- Supervisión y muestreo.
- Atención a personas y a la autoridad.
- Actualización profesional.
- Informes a dirección.
- Sustitución en ausencias.
El EDPB ha identificado como problemas recurrentes los recursos insuficientes, el conocimiento insuficiente y los conflictos de interés. El precio debe permitir evitar esos fallos.
Independencia y conflictos
El proveedor no debería diseñar tratamientos, aprobarlos y certificarse a sí mismo. Puede prestar otros servicios si se separan las funciones y no determina fines y medios.
Preguntas que conviene hacerse:
- ¿Quién es formalmente el DPO?
- ¿Qué otros servicios presta?
- ¿Quién revisa el trabajo de implantación?
- ¿Reporta directamente a dirección?
- ¿Puede emitir una recomendación contraria al interés comercial?
- ¿Cómo se protege al equipo frente a la presión?
Un contrato que permite sustituir al DPO por emitir una opinión incómoda compromete la independencia.
Competencia y equipo
El RGPD exige una cualificación basada en conocimientos especializados y capacidad para desempeñar las funciones. No existe un único título obligatorio.
Valore:
- Experiencia sectorial.
- Conocimiento jurídico y técnico.
- Experiencia en EIPD e incidentes.
- Contratos y transferencias.
- Comunicación con dirección.
- Equipo de respaldo.
- Formación continua.
La certificación profesional puede ser evidencia, pero no reemplaza la experiencia y los recursos.
SLA y disponibilidad
La oferta debe fijar:
| Servicio | Compromiso a definir |
|---|---|
| Consulta ordinaria | Tiempo de primera respuesta |
| Proyecto | Plazo de revisión |
| Derecho | Escalado según fecha límite |
| Brecha | Canal urgente y disponibilidad |
| Reclamación | Responsable y coordinación |
| Informe | Frecuencia y destinatario |
«Soporte ilimitado» sin SLA ni capacidad definida no es una garantía.
Qué entregables esperar
- Plan anual basado en riesgo.
- Registro de consultas y recomendaciones.
- Informes de supervisión.
- Dictámenes de EIPD.
- Registro y evaluación de brechas.
- Seguimiento de acciones.
- Informe a dirección.
- Evidencias de formación.
- Declaración de conflictos y su actualización.
El DPO no debe convertirse en productor de plantillas sin seguimiento.
Comparar ofertas
Use una matriz ponderada:
| Criterio | Peso orientativo |
|---|---|
| Independencia y conflictos | 20 % |
| Experiencia y equipo | 20 % |
| Alcance y dedicación | 20 % |
| Respuesta e incidentes | 15 % |
| Supervisión e informes | 15 % |
| Precio total y extras | 10 % |
Un precio bajo no compensa un conflicto de interés o una cobertura insuficiente.
Costes que suelen quedar fuera
- Adecuación inicial.
- Auditoría técnica.
- Pruebas de seguridad.
- Defensa procesal.
- Traducciones.
- Desplazamientos.
- Proyectos internacionales.
- Múltiples EIPD.
- Atención extraordinaria fuera de horario.
No es incorrecto excluirlos, pero debe constar expresamente.
Señales de alerta
- «Nombramiento» sin onboarding.
- Miles de clientes por profesional sin equipo visible.
- Sin contacto directo con dirección.
- Sin canal urgente.
- DPO y responsable operativo de marketing o IT a la vez.
- Precio sin supuestos que lo justifiquen.
- Informes automáticos idénticos.
- Promesa de «cumplimiento garantizado».
- Sin sustitución ni continuidad.
- Penalización por emitir recomendaciones.
Plan de contratación
Semana 1
Definir alcance, riesgos y modelo deseado.
Semana 2
Solicitar propuestas comparables y una reunión con el equipo real.
Semana 3
Evaluar independencia, casos gestionados y SLA; pedir referencias.
Semana 4
Contratar, comunicar la designación, publicar el contacto y aprobar el plan de 90 días.
Checklist contractual
- Entidades y alcance.
- Persona o equipo designado.
- Funciones de los artículos 38 y 39.
- Independencia y conflictos.
- Acceso a dirección.
- Dedicación, SLA y urgencias.
- Entregables e informes.
- Extras y tarifas.
- Confidencialidad y seguridad.
- Sustitución y terminación.
- Portabilidad del expediente.
Preguntas frecuentes
¿Puede publicarse una tarifa estándar?
Puede darse una orientación, pero una oferta responsable necesita conocer el alcance. Sin él, el precio no indica cobertura real.
¿El servicio más caro es mejor?
No necesariamente. Debe compararse evidencia, independencia, dedicación y resultados.
¿Incluye una EIPD?
El asesoramiento del DPO sí forma parte de sus funciones, pero la ejecución intensiva puede presupuestarse como proyecto aparte. Debe quedar claro en el contrato.
¿Puede un grupo compartir DPO?
Sí, siempre que sea fácilmente accesible desde cada establecimiento y disponga de recursos suficientes.
¿Quién paga una sanción?
La responsabilidad legal corresponde al responsable o encargado según el caso. El contrato puede regular responsabilidades del proveedor, pero no desplaza el RGPD.
Fuentes oficiales consultadas
- RGPD, artículos 37–39.
- AEPD: preguntas frecuentes sobre DPO.
- Directrices sobre DPO.
- EDPB: guía para pequeñas empresas.
- EDPB: informe sobre designación y posición de DPO.
Summum Consultoría puede preparar una propuesta basada en riesgo y alcance, sin convertir la designación en un trámite nominal.