Sanciones por no tener DPO: qué arriesgas según el RGPD y la LOPDGDD

·

Cuando se habla de sanciones de protección de datos, la conversación suele girar en torno a las brechas de seguridad o al tratamiento de datos sin consentimiento. Hay una infracción menos visible pero igual de real: no designar un Delegado de Protección de Datos (DPO) cuando la normativa lo exige, no comunicarlo a la Agencia Española de Protección de Datos (AEPD) o no publicar sus datos de contacto. No es un requisito decorativo del artículo 37 del RGPD: es una obligación con un régimen sancionador propio, y la AEPD la ha incluido en sus criterios de inspección de forma recurrente. Esta guía explica el encaje legal exacto de esta infracción, cómo la gradúa la normativa española y qué se puede hacer para no llegar a sufrirla.

¿Qué infracción se comete exactamente al no tener DPO?

Conviene separar tres incumplimientos que a menudo se mezclan en un solo titular de «sanción por no tener DPO», porque la ley los trata como obligaciones distintas dentro del mismo artículo 37 del RGPD:

Las tres son infracciones autónomas: se puede designar bien al DPO y aun así incurrir en sanción por no comunicarlo o no publicarlo, y viceversa. La AEPD las valora de forma independiente cuando abre un expediente.

El encaje legal: artículo 83.4.a) del RGPD

El régimen sancionador del RGPD distingue dos niveles de cuantía según la gravedad de la obligación incumplida. Las infracciones relativas a las obligaciones del responsable y del encargado del tratamiento reguladas en los artículos 8, 11, 25 a 39, 42 y 43 —entre los que se encuentra el artículo 37 sobre designación, posición y comunicación del DPO— se sancionan conforme al artículo 83.4.a) del RGPD, con multas administrativas de hasta 10.000.000 de euros o, en el caso de una empresa, una cuantía equivalente al 2 % de su volumen de negocio total anual global del ejercicio financiero anterior, aplicándose la cifra que resulte mayor.

Es el mismo nivel que se aplica a otros incumplimientos de gestión del RGPD —como no llevar un registro de actividades de tratamiento o no notificar una brecha de seguridad en plazo— y es un peldaño por debajo del régimen agravado del artículo 83.5, reservado a las infracciones más graves sobre los principios del tratamiento y los derechos de los interesados. No tener DPO no es, por tanto, la infracción más severa del catálogo del RGPD, pero tampoco es menor: su techo sancionador es el mismo que el de una brecha de seguridad mal gestionada.

Cómo gradúa España esta infracción: los artículos 73 y 74 de la LOPDGDD

El RGPD fija los topes máximos, pero es la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) la que, en su Título IX, traduce ese marco a un sistema de graduación interno con tres niveles —muy graves (artículo 72), graves (artículo 73) y leves (artículo 74)— del que dependen tanto el criterio de proporcionalidad de la AEPD como el plazo de prescripción de la infracción.

Dentro de ese esquema, la propia LOPDGDD tipifica expresamente las dos conductas:

Esta distinción tiene consecuencias prácticas: la propia LOPDGDD (artículos 72 a 74) fija plazos de prescripción distintos según la calificación —tres años para las infracciones muy graves, dos años para las graves y un año para las leves—, de modo que no tener DPO cuando es obligatorio expone a la organización durante más tiempo que un simple retraso en el trámite de comunicación.

Quién puede iniciar el expediente y cómo se detecta el incumplimiento

La ausencia de DPO rara vez es el motivo inicial de una inspección; suele descubrirse dentro de un procedimiento abierto por otra causa. Los orígenes más frecuentes son:

  1. Denuncia de un interesado que no encuentra los datos de contacto del DPO en la política de privacidad o que ejerce alguno de sus derechos de protección de datos (acceso, rectificación, supresión, oposición, limitación o portabilidad) sin obtener respuesta de un canal identificable.
  2. Notificación de una brecha de seguridad: cuando la AEPD tramita la comunicación de un incidente conforme al artículo 33 del RGPD, revisa de forma sistemática si la organización cuenta con DPO designado y comunicado.
  3. Inspecciones sectoriales promovidas de oficio, especialmente en sectores donde la designación es obligatoria por ley —sanidad, banca, seguros, telecomunicaciones, administraciones públicas— y donde la AEPD contrasta el registro de DPO comunicados con el censo de entidades obligadas.
  4. Requerimientos de información dentro de otro procedimiento sancionador, donde comprobar la existencia de DPO es un paso estándar de la instrucción.

En cualquiera de estos escenarios, no tener DPO no genera por sí sola una sanción automática: la AEPD abre un procedimiento, da trámite de audiencia y valora las circunstancias del caso antes de resolver, conforme al procedimiento sancionador regulado en el Título VIII de la LOPDGDD.

Circunstancias que agravan o atenúan la sanción

La cuantía final dentro del margen legal no es discrecional: la AEPD aplica los criterios de graduación del artículo 83.2 del RGPD, que valoran, entre otros factores, la naturaleza y gravedad de la infracción, su carácter doloso o negligente, las medidas adoptadas para paliar sus efectos, el grado de responsabilidad habida cuenta de las medidas técnicas y organizativas aplicadas, y si se trata de una infracción reiterada. Para entender en detalle cómo se aplican estos criterios y qué rangos de cuantía resultan en la práctica, conviene revisar nuestra guía sobre cómo se gradúan las sanciones de la AEPD.

Aplicado al caso concreto de no tener DPO, la AEPD suele valorar como agravante que la organización pertenezca a un sector con obligación legal expresa —por ejemplo, entidades de crédito o aseguradoras conforme al artículo 34 de la LOPDGDD— y no haya actuado tras un requerimiento previo. Como atenuante, suele ponderar la designación voluntaria posterior a la detección, la colaboración activa con la instrucción del expediente y la ausencia de perjuicio efectivo a los interesados derivado de esa falta de designación.

Errores habituales que llevan a esta sanción sin darse cuenta

La mayoría de expedientes por esta causa no responden a una decisión consciente de incumplir, sino a fallos de gestión que se repiten con frecuencia:

Para el detalle del procedimiento correcto de comunicación, con plazos y pasos en la Sede Electrónica, consulta nuestra guía sobre cómo nombrar un DPO ante la AEPD.

Cómo evitar la sanción: designar, comunicar y publicar en el orden correcto

Evitar esta infracción exige cerrar el circuito completo del artículo 37 del RGPD, no solo su primer paso. En la práctica, esto implica:

  1. Determinar si existe obligación de designar DPO, revisando tanto los tres supuestos generales del artículo 37.1 del RGPD como los supuestos adicionales del artículo 34 de la LOPDGDD. Nuestra guía sobre cuándo es obligatorio el DPO externo detalla estos supuestos sector por sector.
  2. Formalizar la designación con un documento que acredite la idoneidad profesional del DPO, su independencia respecto a decisiones sobre fines y medios del tratamiento, y un canal de contacto operativo.
  3. Comunicar el nombramiento a la AEPD en el plazo de diez días que fija el artículo 34.3 de la LOPDGDD, desde la Sede Electrónica, con certificado digital, DNIe o Cl@ve.
  4. Publicar los datos de contacto del DPO en la política de privacidad y en cualquier canal donde se informe del tratamiento de datos personales.
  5. Mantener el registro actualizado, comunicando cualquier cambio, cese o renovación en el mismo plazo que la designación inicial.

Cuánto cuesta evitar la sanción frente a cuánto cuesta pagarla

El coste de designar y mantener un DPO —interno o externo— depende del volumen y la sensibilidad de los tratamientos, del sector de actividad y de si el servicio incluye la propia gestión del trámite ante la AEPD; no existe una tarifa única de mercado. Lo que sí es comparable es la escala: frente a un techo sancionador de hasta 10 millones de euros o el 2 % de la facturación mundial conforme al artículo 83.4.a) del RGPD, el coste de contar con un DPO externo correctamente designado, comunicado y publicado es una fracción marginal. Puedes consultar los factores que determinan el precio en nuestra guía sobre el precio del DPO externo, o resolver la designación completa con nuestro servicio de DPO externo.

Tabla resumen: sanción por no tener DPO

Incumplimiento Base legal Calificación habitual Cuantía máxima
No designar DPO siendo obligatorio Art. 37.1 RGPD · art. 34 LOPDGDD Infracción grave (art. 73.v LOPDGDD) Hasta 10 M€ o 2 % facturación mundial (art. 83.4.a RGPD)
No comunicar el nombramiento a la AEPD Art. 37.7 RGPD · art. 34.3 LOPDGDD Infracción leve (art. 74.p LOPDGDD) Hasta 10 M€ o 2 % facturación mundial (art. 83.4.a RGPD)
No publicar los datos de contacto Art. 37.7 RGPD Infracción leve (art. 74.p LOPDGDD) Hasta 10 M€ o 2 % facturación mundial (art. 83.4.a RGPD)
Prescripción de la infracción Arts. 73 y 74 LOPDGDD 1 año (leve) · 2 años (grave)

Preguntas frecuentes

¿Puede la AEPD sancionar aunque no haya habido ninguna brecha de seguridad ni queja de un interesado?

Sí. No designar, comunicar o publicar el DPO es una infracción autónoma del artículo 37 del RGPD, independiente de que se haya producido o no un incidente de seguridad. La AEPD puede detectarla e instruir un expediente aunque no exista ningún daño material derivado, si bien la ausencia de perjuicio suele valorarse como atenuante en la graduación final de la sanción conforme al artículo 83.2 del RGPD.

¿La multa es la misma si no se ha designado DPO que si solo se ha olvidado comunicarlo a la AEPD?

El techo legal es el mismo —hasta 10 millones de euros o el 2 % de la facturación mundial, conforme al artículo 83.4.a) del RGPD—, pero la cuantía efectiva suele ser muy distinta. No designar DPO cuando es obligatorio está tipificado como infracción grave en el artículo 73.v) de la LOPDGDD, mientras que un fallo puramente formal de comunicación o publicación, con el DPO correctamente designado, está tipificado como infracción leve en el artículo 74.p), lo que se traduce en sanciones proporcionalmente menores y plazos de prescripción más cortos.

¿Qué pasa si mi empresa no está entre los supuestos obligatorios del RGPD pero sí en los de la LOPDGDD?

La LOPDGDD, en su artículo 34, amplía en España los tres supuestos generales del artículo 37.1 del RGPD a categorías adicionales de entidades —colegios profesionales, centros docentes, entidades de crédito, aseguradoras, empresas de seguridad privada, entre otras—. Si tu organización encaja en alguno de esos supuestos ampliados, la obligación de designar DPO es igualmente exigible y su incumplimiento se sanciona con el mismo marco del artículo 83.4.a) del RGPD.

¿Un DPO designado de forma voluntaria también hay que comunicarlo a la AEPD?

Sí. El artículo 34.3 de la LOPDGDD exige comunicar a la AEPD las designaciones, tanto obligatorias como voluntarias, en el mismo plazo de diez días. Una vez comunicado, el DPO voluntario queda sometido al mismo régimen de posición, funciones e independencia que uno obligatorio, incluida la obligación de publicar sus datos de contacto.

¿Cuánto tiempo tiene la AEPD para sancionar este incumplimiento?

Depende de la calificación de la infracción: conforme a los artículos 73 y 74 de la LOPDGDD, dos años si se califica como grave —el criterio habitual cuando no hay DPO designado siendo obligatorio— y un año si se califica como leve —el criterio habitual para fallos de comunicación o publicación con DPO ya designado—. El plazo se computa desde el día en que se cometió la infracción o, en las infracciones continuadas, desde que cesó la conducta infractora.

¿Contratar un DPO externo elimina por completo el riesgo de sanción?

Reduce el riesgo de forma significativa siempre que el proveedor gestione las tres fases —designación, comunicación y publicación— y mantenga actualizado el registro ante cualquier cambio, pero no elimina otras causas de sanción del RGPD ajenas a la figura del DPO, como el tratamiento sin base legitimadora o las brechas de seguridad mal gestionadas. Lo que sí elimina, cuando se hace correctamente, es específicamente la infracción objeto de esta guía.

¿Es lo mismo no tener DPO que no responder a los derechos de los interesados (acceso, rectificación, supresión y demás)?

No. Son infracciones distintas con bases legales diferentes. No tener DPO se sanciona conforme al artículo 37 y al artículo 83.4.a) del RGPD; no atender los derechos de los interesados en plazo se sanciona conforme a los artículos 12 a 22 del RGPD y puede alcanzar el régimen agravado del artículo 83.5. Sin embargo, ambas infracciones suelen coincidir en la práctica: sin un DPO identificable y publicado, es habitual que las solicitudes de derechos no lleguen a tramitarse en plazo, lo que puede convertir un único fallo organizativo en dos expedientes sancionadores simultáneos.