Certificación del DPO (esquema AEPD-DPD): qué es y qué garantiza

·

Cuando una empresa busca contratar o nombrar un Delegado de Protección de Datos (DPO), tarde o temprano se topa con un término que circula en el sector como si fuera un requisito legal: la certificación del DPO. Academias, entidades de formación y algunas consultoras la presentan como el criterio decisivo para elegir proveedor, y no es raro leer anuncios que dan a entender que un DPO «no certificado» no puede ejercer. La realidad normativa es más precisa y, para quien tiene que decidir, más útil: el Esquema de Certificación de Delegados de Protección de Datos de la AEPD, con entidades certificadoras acreditadas por ENAC, existe y es un sello serio, pero el artículo 37.5 del RGPD exige cualificación profesional, no un certificado concreto. Entender esa diferencia —qué certifica realmente el esquema, quién lo emite y qué no sustituye— es lo que separa un criterio de elección informado de un argumento comercial repetido sin matices.

¿Qué es el Esquema de Certificación de DPD de la AEPD?

El Esquema de Certificación de Delegados de Protección de Datos (Esquema AEPD-DPD) es un marco de referencia elaborado por la Agencia Española de Protección de Datos para que entidades de certificación independientes puedan evaluar y certificar, de forma homogénea, los conocimientos y la competencia profesional de las personas que ejercen o quieren ejercer como DPO. No es un título académico ni un curso: es un esquema de certificación de personas, la misma familia normativa que certifica, por ejemplo, a auditores de sistemas de gestión o a soldadores cualificados, aplicada aquí a la protección de datos.

La AEPD no certifica directamente a los candidatos. Lo que hace la Agencia es definir el esquema —requisitos de acceso, contenidos que debe cubrir el proceso de evaluación, criterios de renovación— y ponerlo a disposición de entidades de certificación que, para poder emitir certificados válidos conforme a ese esquema, deben estar acreditadas por ENAC (la Entidad Nacional de Acreditación) bajo la norma UNE-EN ISO/IEC 17024, el estándar internacional para la certificación de personas. Esa acreditación es la que da fiabilidad al proceso: ENAC audita periódicamente a la entidad certificadora para comprobar que aplica el esquema con rigor, imparcialidad y trazabilidad, no solo que vende un diploma.

El resultado, cuando el proceso se completa con éxito, es un certificado de persona física —no de empresa— que acredita que quien lo posee ha superado una evaluación de conocimientos y, según las entidades certificadoras, en muchos casos también de experiencia práctica en protección de datos.

Marco legal: por qué existe un esquema de certificación si el RGPD no lo exige

El artículo 37.5 del RGPD establece que el DPO «será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, así como a su capacidad para desempeñar las funciones» del artículo 39. Es una redacción deliberadamente abierta: el legislador europeo no fijó una titulación, un examen oficial ni un certificado obligatorio, porque el perfil de DPO puede provenir de trayectorias muy distintas —derecho, auditoría, seguridad de la información, compliance— y una exigencia formal única habría excluido perfiles válidos.

Esa apertura normativa generó, en la práctica, un problema real: sin un estándar de referencia, cualquiera puede autodenominarse «experto en protección de datos» sin que haya forma sencilla de contrastarlo. Las directrices sobre el DPO del Grupo de Trabajo del Artículo 29 (WP243), asumidas por el Comité Europeo de Protección de Datos (CEPD), subrayan que el nivel de conocimientos debe ser acorde con la sensibilidad, complejidad y volumen de los tratamientos, pero no fijan ninguna vía formal para acreditarlo ni convierten certificación alguna en requisito. La AEPD diseñó su esquema precisamente para llenar ese hueco: ofrecer una vía de verificación objetiva y auditable, opcional, dentro de un marco legal que deliberadamente no impone un único camino de acceso a la función de DPO.

Cómo funciona el esquema: acreditación ENAC, entidades certificadoras y requisitos de acceso

El proceso de certificación se estructura, con matices propios de cada entidad certificadora acreditada, en torno a tres bloques:

  1. Requisitos de acceso. El esquema exige acreditar formación y/o experiencia profesional previa relacionada con la protección de datos antes de poder presentarse a la evaluación —no se accede al examen sin un mínimo de trayectoria demostrable, lo que descarta la vía de «examen sin experiencia» que sí existe en otro tipo de certificaciones profesionales.
  2. Evaluación de competencia. Un examen, habitualmente en formato test y con casos prácticos, que cubre el marco jurídico (RGPD, LOPDGDD, normativa sectorial), los principios y bases de legitimación del tratamiento, los derechos de las personas interesadas, las medidas técnicas y organizativas, la gestión de brechas de seguridad y las funciones propias del cargo recogidas en el artículo 39 del RGPD.
  3. Renovación periódica. La certificación no es indefinida: el esquema exige una renovación con carácter trienal, condicionada a acreditar actividad profesional continuada y formación actualizada en la materia, de manera que el certificado no quede como una foto fija de conocimientos de hace varios años.

Quien esté valorando certificarse, o quiera comprobar la certificación de un proveedor, puede verificar en la web de ENAC qué entidades están efectivamente acreditadas para el esquema AEPD-DPD bajo la norma UNE-EN ISO/IEC 17024. Es el único dato que conviene contrastar de primera mano: no toda entidad que anuncia «certificación DPO» está acreditada para el esquema oficial de la AEPD, y algunas academias comercializan cursos con certificado propio de la escuela, que es un documento formativo legítimo pero de naturaleza distinta a una certificación de persona acreditada por ENAC.

¿Es obligatoria la certificación para ejercer como DPO? El matiz que casi nadie explica

No. Es la pregunta central de este artículo y la respuesta, respaldada por el propio texto del RGPD, es rotunda: la certificación AEPD-ENAC es voluntaria. El artículo 37.5 del RGPD no menciona ningún certificado como requisito de designación; exige cualidades profesionales y conocimientos especializados, algo que puede acreditarse por vías distintas —trayectoria profesional, formación universitaria o de posgrado, experiencia auditada, publicaciones o docencia en la materia— sin que ninguna de ellas sea, por sí sola, obligatoria tampoco.

La propia AEPD lo confirma en la documentación pública de su esquema: la certificación es una herramienta que facilita acreditar el cumplimiento del artículo 37.5, no una condición legal para poder ejercer como DPO. Una organización puede designar, con plena validez jurídica, a un DPO sin certificación AEPD-ENAC, siempre que pueda justificar por otros medios su cualificación e idoneidad para el puesto —algo que conviene documentar internamente, con independencia de si el DPO está o no certificado, porque es la propia organización quien responde ante una inspección de la AEPD si el DPO designado resulta no ser idóneo.

Este matiz importa especialmente en un mercado donde algunos proveedores presentan la certificación como sinónimo de legalidad de la designación. No lo es. Lo que exige la norma es competencia real y demostrable; el certificado es una de las formas —solvente, pero no la única— de demostrarla.

Qué garantiza realmente la certificación (y qué no garantiza)

Conviene separar con precisión lo que la certificación acredita de lo que no puede acreditar:

Dicho de otro modo: la certificación es un dato objetivo y verificable dentro de un conjunto más amplio de criterios de idoneidad, no un atajo que exima de valorar el resto.

Certificación versus cualificación: cómo verificar la idoneidad de un DPO si no exiges un certificado

Si la certificación no es obligatoria, ¿cómo verifica una organización que su DPO —interno o externo— cumple realmente el artículo 37.5? En la práctica, conviene combinar varios elementos, con o sin certificado de por medio:

Para profundizar en qué debe hacer efectivamente un DPO en el día a día —y contrastarlo con la trayectoria de un candidato o proveedor— es útil revisar en detalle las funciones del DPO conforme al artículo 39 del RGPD. Y si el objetivo no es certificar per se, sino elegir bien al proveedor de DPO externo que va a asumir el cargo, la certificación es solo uno de los diez criterios que conviene revisar de forma sistemática, tal y como se detalla en la guía sobre cómo elegir empresa de DPO externo.

Cuánto cuesta certificarse como DPO (y por qué eso no es lo mismo que el precio del servicio)

El coste de obtener la certificación AEPD-ENAC —tasas del examen, formación preparatoria si se contrata, renovación trienal— corre por cuenta de la persona o de la entidad certificadora que la emite, y varía según el proveedor; no existe una tarifa única de mercado, y no es un coste que deba repercutirse necesariamente en el precio del servicio de DPO externo que contrata una empresa. Son dos cuestiones económicas distintas que conviene no mezclar al comparar propuestas: una cosa es lo que cuesta certificarse, y otra distinta lo que cuesta contratar el servicio de DPO externo en sí, con sus honorarios recurrentes, alcance de funciones y nivel de dedicación. Si lo que buscas es entender qué variables determinan ese segundo coste, la guía sobre el precio del DPO externo: variables y rango orientativo desarrolla en detalle los factores que influyen en la tarifa, sin publicar cifras cerradas que no reflejarían la realidad de cada organización.

Tabla resumen: certificación AEPD-ENAC del DPO

Aspecto Qué implica Base normativa
Naturaleza del esquema Certificación de persona física, emitida por entidades acreditadas por ENAC bajo UNE-EN ISO/IEC 17024, conforme al esquema definido por la AEPD Esquema AEPD-DPD
Obligatoriedad Voluntaria; no es requisito legal para ser designado DPO Art. 37.5 RGPD
Qué exige la ley en su lugar Cualidades profesionales y conocimientos especializados, acreditables por vías diversas Art. 37.5 RGPD
Vigencia Renovación periódica de carácter trienal, con acreditación de actividad y formación continuada Esquema AEPD-DPD
Qué no garantiza Independencia del DPO, cumplimiento normativo de la organización ni exención de responsabilidad del responsable del tratamiento Arts. 38.6 y 39 RGPD
Incumplimiento del art. 37 (designación inadecuada) Multa de hasta 10 M€ o 2 % de la facturación mundial anual Art. 83.4.a) RGPD

Preguntas frecuentes

¿Es obligatorio que mi DPO tenga la certificación AEPD-ENAC?

No. El artículo 37.5 del RGPD exige cualidades profesionales y conocimientos especializados en protección de datos, pero no impone un certificado concreto como requisito de designación. La certificación AEPD-ENAC es una herramienta voluntaria que facilita acreditar ese conocimiento, no una condición legal para ejercer el cargo.

¿Qué papel tiene ENAC en la certificación del DPO?

ENAC —la Entidad Nacional de Acreditación— no certifica personas directamente. Acredita a las entidades de certificación que emiten el certificado AEPD-DPD, verificando que aplican el esquema de la AEPD conforme a la norma UNE-EN ISO/IEC 17024. Es el sello que da fiabilidad al proceso, comprobando periódicamente que la entidad certificadora mantiene rigor e imparcialidad.

¿Qué requisitos hay que cumplir para presentarse al examen de certificación de DPD?

Las entidades certificadoras acreditadas exigen, con matices propios de cada una, un mínimo de formación y/o experiencia profesional previa relacionada con la protección de datos antes de admitir a un candidato a la evaluación. No es un examen abierto sin trayectoria previa: el esquema busca certificar competencia ya desarrollada, no formar desde cero.

¿Cuánto dura la certificación y hay que renovarla?

La certificación no es indefinida. El esquema AEPD-DPD contempla una renovación de carácter trienal, condicionada a acreditar actividad profesional continuada y formación actualizada, precisamente para evitar que el certificado quede desactualizado frente a los cambios normativos y de criterio de la AEPD.

¿La certificación sustituye la formación continua del DPO?

No. Ni siquiera dentro del propio esquema: la renovación trienal exige justificar formación y actividad continuada, lo que confirma que el certificado no es un punto final sino un hito dentro de una trayectoria de actualización permanente, dada la frecuencia con la que evolucionan los criterios de la AEPD, la jurisprudencia europea y la normativa sectorial.

¿Qué pasa si contrato un DPO externo sin certificación AEPD-ENAC?

Nada distinto, desde el punto de vista legal, siempre que ese DPO pueda acreditar por otros medios —trayectoria, formación, experiencia sectorial— la cualificación que exige el artículo 37.5 del RGPD. La ausencia de certificado no invalida la designación; lo que sí sería problemático es designar a alguien sin ninguna acreditación demostrable de conocimiento especializado, esté o no certificado.

¿Cómo puedo verificar si una entidad certificadora está realmente acreditada por ENAC para el esquema DPD?

Consultando directamente el buscador de entidades acreditadas de la web de ENAC, donde figura el alcance exacto de cada acreditación. Es la única forma de distinguir una certificación de persona conforme al esquema oficial de la AEPD de un certificado formativo propio de una academia, que puede ser un curso serio, pero que no equivale a la certificación acreditada por ENAC.

¿La certificación protege a mi empresa frente a sanciones de la AEPD?

No de forma automática. La certificación acredita la cualificación de la persona que ejerce como DPO, un factor relevante si la AEPD revisa la idoneidad de la designación conforme al artículo 37.5, pero no exime a la organización de su responsabilidad como responsable o encargado del tratamiento, ni sustituye una gestión efectiva del resto de obligaciones del RGPD y la LOPDGDD.

Si tu empresa está valorando cómo verificar la idoneidad de su DPO o cómo elegir un proveedor de DPO externo con criterios sólidos —certificación incluida, pero no como único filtro— en Summum Consultoría acompañamos ese proceso desde la designación hasta el ejercicio diario de las funciones del artículo 39 del RGPD, con equipo especializado y trayectoria auditada. Consulta nuestro servicio de DPO externo para organizaciones para conocer cómo estructuramos la cualificación y la independencia del equipo que asumiría el cargo.