Cuando una organización decide designar un Delegado de Protección de Datos (DPO) —ya sea porque el artículo 37 del RGPD se lo exige o porque lo hace de forma voluntaria— el trabajo no termina con la firma del contrato o del nombramiento interno. Queda un trámite administrativo que muchas empresas pasan por alto o resuelven tarde: comunicar formalmente al DPO ante la Agencia Española de Protección de Datos (AEPD) y publicar sus datos de contacto, tal y como exige el artículo 37.7 del RGPD. La AEPD explica qué es un DPO y cuándo es obligatorio, pero rara vez detalla el procedimiento operativo: qué formulario usar, qué certificado digital necesitas y qué ocurre si te retrasas. Esta guía cubre esa última milla.
¿Por qué hay que comunicar el DPO a la AEPD? El marco del artículo 37.7 RGPD
El artículo 37.7 del RGPD es taxativo: «El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control». Esta obligación tiene dos caras que conviene separar porque se cumplen de forma distinta:
- Publicación: los datos de contacto del DPO deben figurar en un lugar accesible para cualquier interesado —típicamente la política de privacidad del sitio web, pero también en contratos, formularios de recogida de datos o cualquier canal donde se informe del tratamiento de datos personales.
- Comunicación a la autoridad de control: en España, eso significa registrar al DPO ante la AEPD a través de su Sede Electrónica. Es un trámite distinto de la publicación, y ambos son exigibles de forma independiente.
La omisión de cualquiera de las dos partes de esta obligación no es una formalidad menor: forma parte del bloque normativo del artículo 37, cuyo incumplimiento se sanciona conforme al artículo 83.4 del RGPD, con multas de hasta 10 millones de euros o el 2 % de la facturación mundial anual, aplicándose la cifra mayor.
Antes de comunicar: formaliza el nombramiento interno del DPO
La comunicación a la AEPD presupone que existe una designación previa y documentada. Antes de acudir a la Sede Electrónica conviene tener resuelto:
- El acto de nombramiento: un documento interno (acuerdo del órgano de administración, contrato de prestación de servicios si el DPO es externo, o carta de nombramiento si es interno) con fecha cierta, identificación completa del DPO y aceptación expresa del cargo.
- La verificación de idoneidad: el artículo 37.5 del RGPD exige que el DPO sea designado atendiendo a sus cualidades profesionales y conocimientos especializados en protección de datos. No hace falta una titulación concreta, pero conviene poder acreditar esa idoneidad si la AEPD lo pregunta en una inspección.
- La comprobación de independencia: si el DPO es un empleado interno, hay que confirmar que no desempeña funciones que determinen los fines y medios del tratamiento (dirección de marketing, dirección de sistemas con capacidad de decisión, etc.), conforme al artículo 38.6 del RGPD.
- Un canal de contacto dedicado: una dirección de correo electrónico específica (por ejemplo, dpo@tuempresa.es) distinta del buzón genérico de la organización, y en muchos casos también un teléfono o dirección postal de contacto.
Solo con estos elementos resueltos tiene sentido iniciar el trámite de comunicación, porque el formulario de la AEPD pide precisamente estos datos.
Cómo comunicar el DPO ante la AEPD: el trámite paso a paso
La comunicación se realiza íntegramente de forma electrónica, a través del Registro Electrónico de la Sede Electrónica de la AEPD (sedeagpd.gob.es); las personas jurídicas están obligadas a relacionarse electrónicamente con la Administración conforme al artículo 14.2 de la Ley 39/2015. Los pasos habituales son:
- Acceso con certificado digital. Es necesario identificarse con certificado digital reconocido, DNI electrónico o Cl@ve, de la persona que actúa en representación del responsable o encargado del tratamiento (representante legal, apoderado o la propia entidad si dispone de sello electrónico).
- Localización del procedimiento de comunicación del DPO. Dentro de la Sede Electrónica, la AEPD habilita un procedimiento específico para la comunicación de la designación, modificación o cese del Delegado de Protección de Datos, accesible desde el catálogo de procedimientos o directamente desde el apartado dedicado al DPO en la web institucional de la AEPD.
- Cumplimentación del formulario. El formulario solicita, con carácter general: identificación del responsable o encargado del tratamiento (razón social, NIF, domicilio), identificación completa del DPO (nombre y apellidos o razón social si es una entidad, NIF o CIF, dirección de contacto, correo electrónico y teléfono), tipo de designación (interno, externo o compartido con otras entidades del grupo) y fecha de la designación.
- Adjuntar documentación acreditativa si se solicita. En algunos supuestos conviene tener disponible el documento de nombramiento o el contrato de prestación de servicios, aunque no siempre es obligatorio adjuntarlo en el propio trámite.
- Envío y obtención del justificante. Tras la presentación, la Sede Electrónica genera un justificante de registro con número de expediente y sello de tiempo. Este justificante es el que acredita, ante una inspección posterior, que la comunicación se realizó y en qué fecha.
La comunicación no implica una validación de fondo por parte de la AEPD sobre la idoneidad del DPO: la Agencia registra la comunicación, no certifica al DPO. Esa responsabilidad sigue siendo del responsable del tratamiento.
¿Cuándo hay que comunicar al DPO? Plazos y momento oportuno
El RGPD no fija un número concreto de días para realizar la comunicación, pero la norma española sí: el artículo 34.3 de la LOPDGDD obliga a comunicar a la AEPD las designaciones, los nombramientos y los ceses del delegado de protección de datos en el plazo de diez días, tanto cuando la designación es obligatoria como cuando es voluntaria. En la práctica, esto significa comunicar en los días inmediatamente posteriores a la firma del nombramiento, no esperar a que se produzca una inspección o una consulta para hacerlo con prisas.
Cuando la designación de DPO es obligatoria por encontrarse la organización en alguno de los supuestos del artículo 37.1 del RGPD o del artículo 34 de la LOPDGDD, la comunicación tardía no exime de responsabilidad: la AEPD puede considerar que existió un periodo sin DPO efectivo, con el mismo tratamiento sancionador que si no se hubiera designado ninguno.
Publicar los datos de contacto: la obligación paralela que se olvida
Comunicar a la AEPD no sustituye la obligación de publicación. Muchas organizaciones completan el registro ante la Agencia y olvidan actualizar su política de privacidad, lo que constituye un incumplimiento parcial y detectable de forma inmediata por cualquier inspección —basta con revisar la web—. Los datos de contacto del DPO deben aparecer, como mínimo:
- En la política de privacidad o aviso legal del sitio web.
- En los formularios de recogida de datos personales (contacto, alta de clientes, procesos de selección).
- En el Registro de Actividades de Tratamiento (RAT): el artículo 30.1.a) del RGPD exige incluir en él los datos de contacto del delegado de protección de datos.
- En las comunicaciones que impliquen el ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición y limitación).
No es necesario publicar el nombre completo de la persona física si el DPO es externo y actúa como representante de una entidad proveedora: es habitual y admisible publicar la denominación de la entidad prestadora del servicio junto con el canal de contacto dedicado.
Cambios, ceses y renovaciones: hay que volver a comunicar
La comunicación ante la AEPD no es un trámite de una sola vez. Cualquier variación relevante obliga a una nueva comunicación, también en el plazo de diez días del artículo 34.3 de la LOPDGDD, que se refiere expresamente a las designaciones, los nombramientos y los ceses:
- Cambio de DPO: sustitución del DPO interno por otro, o cambio de proveedor de DPO externo.
- Cese sin sustitución inmediata: debe evitarse un periodo sin DPO cuando la designación es obligatoria; si se produce, hay que comunicarlo y regularizarlo cuanto antes.
- Cambio de datos de contacto: nuevo correo electrónico, teléfono o dirección postal del DPO.
- Ampliación o reducción del ámbito de actuación: por ejemplo, cuando un DPO externo pasa a prestar servicio también a filiales del grupo, o cuando dos entidades que compartían DPO dejan de hacerlo.
Un error frecuente en las auditorías es encontrar una comunicación desactualizada, con datos de un DPO que ya no ejerce el cargo. Esa desactualización es en sí misma un incumplimiento detectable.
Errores frecuentes al nombrar un DPO ante la AEPD
La mayoría de incidencias que detectamos al auditar la situación de nuevos clientes se repiten en un patrón reconocible:
- Comunicar tarde o no comunicar. Se designa al DPO internamente y se firma el contrato, pero nunca se completa el registro ante la AEPD. Es el error más habitual y el más fácil de detectar en una inspección.
- No publicar los datos de contacto. Se cumple la comunicación a la autoridad pero se olvida actualizar la política de privacidad, o se publican datos incorrectos u obsoletos.
- Confundir al DPO con el responsable del tratamiento. El DPO asesora y supervisa, pero no decide los fines y medios del tratamiento ni responde legalmente ante la AEPD en caso de sanción; esa responsabilidad recae en el responsable del tratamiento.
- Usar un canal de contacto genérico. Publicar solo el correo general de la empresa en lugar de un canal dedicado dificulta identificar con claridad al punto de contacto en materia de protección de datos.
- No actualizar tras un cambio de proveedor. Cambiar de DPO externo sin comunicar la baja del anterior y el alta del nuevo deja a la organización con una comunicación desactualizada ante la AEPD.
- Designar un DPO sin verificar su independencia. Nombrar a alguien que simultáneamente decide sobre los tratamientos de datos invalida la garantía de independencia del artículo 38 del RGPD, aunque la comunicación formal se haya hecho correctamente.
Qué arriesgas si no comunicas al DPO o lo haces mal
El incumplimiento del artículo 37 —incluida la falta de comunicación y publicación exigida por el artículo 37.7— se sanciona conforme al artículo 83.4.a) del RGPD, que prevé multas de hasta 10 millones de euros o el 2 % del volumen de negocio total anual mundial del ejercicio anterior, aplicándose la cifra mayor; el tramo superior del artículo 83.5 —hasta 20 millones de euros o el 4 %— queda reservado a infracciones como las de los principios del tratamiento o los derechos de los interesados. Para pymes, el principio de proporcionalidad del artículo 83.1 modera el importe final, pero la AEPD ha sancionado a organizaciones obligadas por no designar DPO o por no comunicarlo correctamente. Además de la multa, la AEPD puede exigir la regularización en un plazo determinado, con el riesgo reputacional de una resolución sancionadora pública.
Cuánto cuesta contar con un DPO correctamente comunicado
El coste de designar y mantener un DPO —interno o externo— varía según el volumen y la sensibilidad de los tratamientos, el sector de actividad y si el servicio incluye la propia gestión del trámite ante la AEPD. No existe una tarifa fija de mercado. Si quieres conocer los factores que determinan el precio de un DPO externo, consulta nuestra guía precio del DPO externo: variables y rango orientativo.
Tabla resumen: comunicación del DPO ante la AEPD
| Fase | Qué hacer | Base legal |
|---|---|---|
| Nombramiento interno | Documento de designación, verificación de idoneidad e independencia, canal de contacto dedicado | Arts. 37.5 y 38.6 RGPD |
| Comunicación a la AEPD | Trámite electrónico en la Sede Electrónica con certificado digital, DNIe o Cl@ve, en el plazo de diez días | Art. 37.7 RGPD · art. 34.3 LOPDGDD |
| Publicación de datos de contacto | Política de privacidad, formularios de recogida de datos y RAT | Art. 37.7 RGPD |
| Actualización | Nueva comunicación ante cambio, cese o renovación del DPO, en el plazo de diez días | Art. 37.7 RGPD · art. 34.3 LOPDGDD |
| Incumplimiento | Multa de hasta 10 M€ o 2 % de la facturación mundial | Art. 83.4.a) RGPD |
Preguntas frecuentes
¿Es obligatorio comunicar el DPO a la AEPD aunque la designación sea voluntaria?
Sí. El artículo 34.3 de la LOPDGDD exige comunicar a la AEPD las designaciones, los nombramientos y los ceses del DPO «tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria», en el mismo plazo de diez días. Además, conforme al artículo 34.2 de la LOPDGDD, el DPO designado voluntariamente queda sometido al mismo régimen de posición, funciones e independencia del RGPD que si la designación fuera obligatoria, incluida la publicación de sus datos de contacto del artículo 37.7. No existe una vía de comunicación «ligera» para designaciones voluntarias.
¿Qué certificado digital necesito para hacer el trámite en la Sede Electrónica de la AEPD?
Puede utilizarse cualquier certificado digital reconocido por la plataforma @firma, el DNI electrónico o el sistema Cl@ve, a nombre de quien actúa en representación del responsable o encargado del tratamiento. Si el trámite lo realiza un DPO externo, conviene dejar claro en el contrato quién dispone de la representación electrónica necesaria, o delegar la gestión mediante apoderamiento expreso.
¿Puedo comunicar un DPO externo compartido entre varias entidades del mismo grupo?
Sí, el artículo 37.3 del RGPD permite que un grupo empresarial designe un único DPO para varias entidades, siempre que sea fácilmente accesible desde cada establecimiento. La comunicación ante la AEPD debe reflejar para qué entidades presta servicio, y cada entidad debe publicar sus datos de contacto de forma independiente en su propia política de privacidad.
¿Qué pasa si la AEPD detecta que comuniqué al DPO pero no publiqué sus datos de contacto en la web?
Es un incumplimiento parcial del artículo 37.7, y la AEPD lo trata como tal en sus procedimientos de investigación: la comunicación a la autoridad no sustituye la obligación de publicación frente a los interesados. En la práctica, suele requerirse la subsanación en un plazo determinado antes de valorar la apertura de un procedimiento sancionador, salvo que se aprecien indicios de incumplimiento reiterado o de mala fe.
¿Puede el propio DPO externo encargarse de todo el trámite de comunicación ante la AEPD?
Sí, siempre que disponga de la representación necesaria, habitualmente formalizada en el contrato mediante apoderamiento expreso. En los servicios de DPO externo bien estructurados, la gestión del registro y sus actualizaciones forma parte del alcance contratado, de modo que la organización no tiene que ocuparse del trámite administrativo.
¿Hay que volver a comunicar el DPO cada año, aunque no haya cambios?
No. La comunicación ante la AEPD no caduca ni requiere renovación periódica automática. Solo es necesaria una nueva comunicación cuando se produce un cambio real: sustitución del DPO, modificación de sus datos de contacto, ampliación o reducción del ámbito de actuación, o cese del cargo. Sí es recomendable, en cambio, una revisión anual interna para confirmar que los datos comunicados y publicados siguen siendo exactos.
¿Qué diferencia hay entre nombrar un DPO y contratar un servicio de DPO externo?
Nombrar un DPO es el acto formal —interno o mediante contrato— por el que una persona o entidad asume las funciones del artículo 39 del RGPD para tu organización. Contratar un servicio de DPO externo es la vía habitual para cumplir esa designación sin necesidad de un empleado interno dedicado, contratando a un tercero especializado que, además de ejercer las funciones del cargo, suele encargarse de la propia gestión del trámite ante la AEPD. Si tu organización todavía no tiene resuelto quién actuará como DPO, puedes conocer cómo estructuramos el servicio en nuestra ficha de DPO externo para organizaciones.
Si tu empresa, ayuntamiento o entidad necesita nombrar un DPO y completar correctamente el trámite ante la AEPD —o revisar si una comunicación anterior sigue vigente y actualizada—, en Summum Consultoría acompañamos este proceso de principio a fin, desde el nombramiento hasta la gestión del registro y sus actualizaciones. Si tu organización es una administración pública o un ente local, también puedes consultar nuestro servicio específico de DPO para administraciones públicas.