Cómo nombrar un DPO ante la AEPD: comunicación paso a paso

·

Cuando una organización decide designar un Delegado de Protección de Datos (DPO) —ya sea porque el artículo 37 del RGPD se lo exige o porque lo hace de forma voluntaria— el trabajo no termina con la firma del contrato o del nombramiento interno. Queda un trámite administrativo que muchas empresas pasan por alto o resuelven tarde: comunicar formalmente al DPO ante la Agencia Española de Protección de Datos (AEPD) y publicar sus datos de contacto, tal y como exige el artículo 37.7 del RGPD. La AEPD explica qué es un DPO y cuándo es obligatorio, pero rara vez detalla el procedimiento operativo: qué formulario usar, qué certificado digital necesitas y qué ocurre si te retrasas. Esta guía cubre esa última milla.

¿Por qué hay que comunicar el DPO a la AEPD? El marco del artículo 37.7 RGPD

El artículo 37.7 del RGPD es taxativo: «El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control». Esta obligación tiene dos caras que conviene separar porque se cumplen de forma distinta:

La omisión de cualquiera de las dos partes de esta obligación no es una formalidad menor: forma parte del bloque normativo del artículo 37, cuyo incumplimiento se sanciona conforme al artículo 83.4 del RGPD, con multas de hasta 10 millones de euros o el 2 % de la facturación mundial anual, aplicándose la cifra mayor.

Antes de comunicar: formaliza el nombramiento interno del DPO

La comunicación a la AEPD presupone que existe una designación previa y documentada. Antes de acudir a la Sede Electrónica conviene tener resuelto:

  1. El acto de nombramiento: un documento interno (acuerdo del órgano de administración, contrato de prestación de servicios si el DPO es externo, o carta de nombramiento si es interno) con fecha cierta, identificación completa del DPO y aceptación expresa del cargo.
  2. La verificación de idoneidad: el artículo 37.5 del RGPD exige que el DPO sea designado atendiendo a sus cualidades profesionales y conocimientos especializados en protección de datos. No hace falta una titulación concreta, pero conviene poder acreditar esa idoneidad si la AEPD lo pregunta en una inspección.
  3. La comprobación de independencia: si el DPO es un empleado interno, hay que confirmar que no desempeña funciones que determinen los fines y medios del tratamiento (dirección de marketing, dirección de sistemas con capacidad de decisión, etc.), conforme al artículo 38.6 del RGPD.
  4. Un canal de contacto dedicado: una dirección de correo electrónico específica (por ejemplo, dpo@tuempresa.es) distinta del buzón genérico de la organización, y en muchos casos también un teléfono o dirección postal de contacto.

Solo con estos elementos resueltos tiene sentido iniciar el trámite de comunicación, porque el formulario de la AEPD pide precisamente estos datos.

Cómo comunicar el DPO ante la AEPD: el trámite paso a paso

La comunicación se realiza íntegramente de forma electrónica, a través del Registro Electrónico de la Sede Electrónica de la AEPD (sedeagpd.gob.es); las personas jurídicas están obligadas a relacionarse electrónicamente con la Administración conforme al artículo 14.2 de la Ley 39/2015. Los pasos habituales son:

  1. Acceso con certificado digital. Es necesario identificarse con certificado digital reconocido, DNI electrónico o Cl@ve, de la persona que actúa en representación del responsable o encargado del tratamiento (representante legal, apoderado o la propia entidad si dispone de sello electrónico).
  2. Localización del procedimiento de comunicación del DPO. Dentro de la Sede Electrónica, la AEPD habilita un procedimiento específico para la comunicación de la designación, modificación o cese del Delegado de Protección de Datos, accesible desde el catálogo de procedimientos o directamente desde el apartado dedicado al DPO en la web institucional de la AEPD.
  3. Cumplimentación del formulario. El formulario solicita, con carácter general: identificación del responsable o encargado del tratamiento (razón social, NIF, domicilio), identificación completa del DPO (nombre y apellidos o razón social si es una entidad, NIF o CIF, dirección de contacto, correo electrónico y teléfono), tipo de designación (interno, externo o compartido con otras entidades del grupo) y fecha de la designación.
  4. Adjuntar documentación acreditativa si se solicita. En algunos supuestos conviene tener disponible el documento de nombramiento o el contrato de prestación de servicios, aunque no siempre es obligatorio adjuntarlo en el propio trámite.
  5. Envío y obtención del justificante. Tras la presentación, la Sede Electrónica genera un justificante de registro con número de expediente y sello de tiempo. Este justificante es el que acredita, ante una inspección posterior, que la comunicación se realizó y en qué fecha.

La comunicación no implica una validación de fondo por parte de la AEPD sobre la idoneidad del DPO: la Agencia registra la comunicación, no certifica al DPO. Esa responsabilidad sigue siendo del responsable del tratamiento.

¿Cuándo hay que comunicar al DPO? Plazos y momento oportuno

El RGPD no fija un número concreto de días para realizar la comunicación, pero la norma española sí: el artículo 34.3 de la LOPDGDD obliga a comunicar a la AEPD las designaciones, los nombramientos y los ceses del delegado de protección de datos en el plazo de diez días, tanto cuando la designación es obligatoria como cuando es voluntaria. En la práctica, esto significa comunicar en los días inmediatamente posteriores a la firma del nombramiento, no esperar a que se produzca una inspección o una consulta para hacerlo con prisas.

Cuando la designación de DPO es obligatoria por encontrarse la organización en alguno de los supuestos del artículo 37.1 del RGPD o del artículo 34 de la LOPDGDD, la comunicación tardía no exime de responsabilidad: la AEPD puede considerar que existió un periodo sin DPO efectivo, con el mismo tratamiento sancionador que si no se hubiera designado ninguno.

Publicar los datos de contacto: la obligación paralela que se olvida

Comunicar a la AEPD no sustituye la obligación de publicación. Muchas organizaciones completan el registro ante la Agencia y olvidan actualizar su política de privacidad, lo que constituye un incumplimiento parcial y detectable de forma inmediata por cualquier inspección —basta con revisar la web—. Los datos de contacto del DPO deben aparecer, como mínimo:

No es necesario publicar el nombre completo de la persona física si el DPO es externo y actúa como representante de una entidad proveedora: es habitual y admisible publicar la denominación de la entidad prestadora del servicio junto con el canal de contacto dedicado.

Cambios, ceses y renovaciones: hay que volver a comunicar

La comunicación ante la AEPD no es un trámite de una sola vez. Cualquier variación relevante obliga a una nueva comunicación, también en el plazo de diez días del artículo 34.3 de la LOPDGDD, que se refiere expresamente a las designaciones, los nombramientos y los ceses:

Un error frecuente en las auditorías es encontrar una comunicación desactualizada, con datos de un DPO que ya no ejerce el cargo. Esa desactualización es en sí misma un incumplimiento detectable.

Errores frecuentes al nombrar un DPO ante la AEPD

La mayoría de incidencias que detectamos al auditar la situación de nuevos clientes se repiten en un patrón reconocible:

Qué arriesgas si no comunicas al DPO o lo haces mal

El incumplimiento del artículo 37 —incluida la falta de comunicación y publicación exigida por el artículo 37.7— se sanciona conforme al artículo 83.4.a) del RGPD, que prevé multas de hasta 10 millones de euros o el 2 % del volumen de negocio total anual mundial del ejercicio anterior, aplicándose la cifra mayor; el tramo superior del artículo 83.5 —hasta 20 millones de euros o el 4 %— queda reservado a infracciones como las de los principios del tratamiento o los derechos de los interesados. Para pymes, el principio de proporcionalidad del artículo 83.1 modera el importe final, pero la AEPD ha sancionado a organizaciones obligadas por no designar DPO o por no comunicarlo correctamente. Además de la multa, la AEPD puede exigir la regularización en un plazo determinado, con el riesgo reputacional de una resolución sancionadora pública.

Cuánto cuesta contar con un DPO correctamente comunicado

El coste de designar y mantener un DPO —interno o externo— varía según el volumen y la sensibilidad de los tratamientos, el sector de actividad y si el servicio incluye la propia gestión del trámite ante la AEPD. No existe una tarifa fija de mercado. Si quieres conocer los factores que determinan el precio de un DPO externo, consulta nuestra guía precio del DPO externo: variables y rango orientativo.

Tabla resumen: comunicación del DPO ante la AEPD

Fase Qué hacer Base legal
Nombramiento interno Documento de designación, verificación de idoneidad e independencia, canal de contacto dedicado Arts. 37.5 y 38.6 RGPD
Comunicación a la AEPD Trámite electrónico en la Sede Electrónica con certificado digital, DNIe o Cl@ve, en el plazo de diez días Art. 37.7 RGPD · art. 34.3 LOPDGDD
Publicación de datos de contacto Política de privacidad, formularios de recogida de datos y RAT Art. 37.7 RGPD
Actualización Nueva comunicación ante cambio, cese o renovación del DPO, en el plazo de diez días Art. 37.7 RGPD · art. 34.3 LOPDGDD
Incumplimiento Multa de hasta 10 M€ o 2 % de la facturación mundial Art. 83.4.a) RGPD

Preguntas frecuentes

¿Es obligatorio comunicar el DPO a la AEPD aunque la designación sea voluntaria?

Sí. El artículo 34.3 de la LOPDGDD exige comunicar a la AEPD las designaciones, los nombramientos y los ceses del DPO «tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria», en el mismo plazo de diez días. Además, conforme al artículo 34.2 de la LOPDGDD, el DPO designado voluntariamente queda sometido al mismo régimen de posición, funciones e independencia del RGPD que si la designación fuera obligatoria, incluida la publicación de sus datos de contacto del artículo 37.7. No existe una vía de comunicación «ligera» para designaciones voluntarias.

¿Qué certificado digital necesito para hacer el trámite en la Sede Electrónica de la AEPD?

Puede utilizarse cualquier certificado digital reconocido por la plataforma @firma, el DNI electrónico o el sistema Cl@ve, a nombre de quien actúa en representación del responsable o encargado del tratamiento. Si el trámite lo realiza un DPO externo, conviene dejar claro en el contrato quién dispone de la representación electrónica necesaria, o delegar la gestión mediante apoderamiento expreso.

¿Puedo comunicar un DPO externo compartido entre varias entidades del mismo grupo?

Sí, el artículo 37.3 del RGPD permite que un grupo empresarial designe un único DPO para varias entidades, siempre que sea fácilmente accesible desde cada establecimiento. La comunicación ante la AEPD debe reflejar para qué entidades presta servicio, y cada entidad debe publicar sus datos de contacto de forma independiente en su propia política de privacidad.

¿Qué pasa si la AEPD detecta que comuniqué al DPO pero no publiqué sus datos de contacto en la web?

Es un incumplimiento parcial del artículo 37.7, y la AEPD lo trata como tal en sus procedimientos de investigación: la comunicación a la autoridad no sustituye la obligación de publicación frente a los interesados. En la práctica, suele requerirse la subsanación en un plazo determinado antes de valorar la apertura de un procedimiento sancionador, salvo que se aprecien indicios de incumplimiento reiterado o de mala fe.

¿Puede el propio DPO externo encargarse de todo el trámite de comunicación ante la AEPD?

Sí, siempre que disponga de la representación necesaria, habitualmente formalizada en el contrato mediante apoderamiento expreso. En los servicios de DPO externo bien estructurados, la gestión del registro y sus actualizaciones forma parte del alcance contratado, de modo que la organización no tiene que ocuparse del trámite administrativo.

¿Hay que volver a comunicar el DPO cada año, aunque no haya cambios?

No. La comunicación ante la AEPD no caduca ni requiere renovación periódica automática. Solo es necesaria una nueva comunicación cuando se produce un cambio real: sustitución del DPO, modificación de sus datos de contacto, ampliación o reducción del ámbito de actuación, o cese del cargo. Sí es recomendable, en cambio, una revisión anual interna para confirmar que los datos comunicados y publicados siguen siendo exactos.

¿Qué diferencia hay entre nombrar un DPO y contratar un servicio de DPO externo?

Nombrar un DPO es el acto formal —interno o mediante contrato— por el que una persona o entidad asume las funciones del artículo 39 del RGPD para tu organización. Contratar un servicio de DPO externo es la vía habitual para cumplir esa designación sin necesidad de un empleado interno dedicado, contratando a un tercero especializado que, además de ejercer las funciones del cargo, suele encargarse de la propia gestión del trámite ante la AEPD. Si tu organización todavía no tiene resuelto quién actuará como DPO, puedes conocer cómo estructuramos el servicio en nuestra ficha de DPO externo para organizaciones.

Si tu empresa, ayuntamiento o entidad necesita nombrar un DPO y completar correctamente el trámite ante la AEPD —o revisar si una comunicación anterior sigue vigente y actualizada—, en Summum Consultoría acompañamos este proceso de principio a fin, desde el nombramiento hasta la gestión del registro y sus actualizaciones. Si tu organización es una administración pública o un ente local, también puedes consultar nuestro servicio específico de DPO para administraciones públicas.