El artículo 37.2 del RGPD permite que un grupo empresarial designe un único delegado de protección de datos (DPO) para todas sus empresas, siempre que ese DPO sea "fácilmente accesible desde cada establecimiento". La condición no es cosmética: si el DPO único no puede atender de forma real a cada sociedad del grupo, la designación no cumple el Reglamento y cada empresa sigue expuesta como si no tuviera DPO. Antes de decidir, conviene comprobar primero si tu empresa está obligada a tener DPO en absoluto: para eso sirve el test de obligatoriedad del DPO.
Qué dice literalmente el RGPD
El artículo 37 del Reglamento (UE) 2016/679 regula la designación del delegado de protección de datos en tres apartados que conviene separar bien porque resuelven supuestos distintos:
- Artículo 37.1 establece los tres casos en los que la designación es obligatoria: que el tratamiento lo lleve a cabo una autoridad u organismo público (salvo tribunales en función judicial); que la actividad principal del responsable o encargado consista en operaciones que requieran una observación habitual y sistemática de interesados a gran escala; o que la actividad principal consista en el tratamiento a gran escala de categorías especiales de datos.
- Artículo 37.2 es la norma que interesa aquí: "un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento".
- Artículo 37.3 extiende una lógica parecida a las autoridades y organismos públicos, que "podrán designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño".
El apartado 2 no dice "un DPO por marca" ni "un DPO por sede": dice un DPO por grupo empresarial, con una condición de accesibilidad que hay que poder demostrar si la AEPD pregunta.
Qué es un "grupo empresarial" a estos efectos
El RGPD no deja la definición al aire. El considerando 37 del propio Reglamento aclara que un grupo empresarial "debe estar constituido por una empresa que ejerce el control y las empresas controladas", y que la empresa que ejerce el control es la que puede ejercer una influencia dominante sobre las demás, por ejemplo en virtud de la propiedad, la participación financiera o las normas que la rigen, o de la facultad de hacer cumplir las normas de protección de datos personales.
De esa definición se derivan dos consecuencias prácticas para decidir si tus empresas forman o no un grupo a efectos del artículo 37.2:
- Tiene que existir control real, no solo una marca o un nombre comercial compartido. Participación en el capital, capacidad de nombrar administradores o poder efectivo para imponer políticas de protección de datos son los indicios que se manejan.
- La franquicia, por defecto, no es un grupo empresarial. Cada franquiciado suele ser una sociedad independiente, sin relación de control societario con el franquiciador ni con el resto de franquiciados, aunque compartan marca, proveedores o incluso el mismo sistema informático. Si no hay control, no se puede acogerse al artículo 37.2 y cada franquiciado que esté obligado a tener DPO necesita el suyo, aunque puede subcontratar ese servicio a la misma consultora o al mismo profesional externo bajo contratos independientes.
El requisito que de verdad importa: "fácilmente accesible"
La parte del artículo 37.2 que genera más dudas prácticas no es si el grupo puede compartir DPO, sino si el DPO elegido cumple la condición de accesibilidad. No basta con que exista un buzón de correo genérico o que el DPO responda tarde o mal a una de las filiales. La accesibilidad se valora, en la práctica, sobre criterios como estos:
- Que empleados, clientes y la propia autoridad de control puedan contactar con el DPO en el idioma de trabajo de cada empresa del grupo, sin barreras.
- Que el DPO conozca de verdad los tratamientos de cada sociedad, no solo los de la matriz: un DPO que solo entiende el negocio de la casa central no es accesible para la filial cuya actividad es distinta.
- Que tenga tiempo y recursos reales para atender a todas las empresas del grupo, no una dedicación simbólica repartida entre demasiadas sociedades.
- Que cada empresa del grupo publique los datos de contacto del DPO y los comunique a la AEPD igualmente, aunque la persona designada sea la misma para todas.
Un grupo con una matriz en Valladolid y filiales en Canarias, por ejemplo, puede designar un único DPO siempre que ese DPO pueda atender realmente a la filial canaria: conocer su actividad, estar disponible para sus empleados y responder ante la AEPD si esta se dirige a esa sociedad en concreto. Si la distancia, el idioma o la sobrecarga de trabajo hacen que la filial quede desatendida en la práctica, la designación conjunta deja de cumplir el Reglamento aunque sobre el papel exista un nombramiento.
DPO único (art. 37.2) frente a DPO externo por contrato (art. 37.6)
Conviene no confundir dos figuras que resuelven problemas distintos:
| Figura | Base legal | Qué permite |
|---|---|---|
| DPO único de grupo | Artículo 37.2 RGPD | Una sola persona designada como DPO para todas las empresas de un grupo con control societario real, si es accesible en cada una. |
| DPO externo por contrato de servicios | Artículo 37.6 RGPD | El DPO puede formar parte de la plantilla o desempeñar sus funciones "sobre la base de un contrato de servicios", lo que permite que la misma consultora preste el servicio a varias empresas sin relación societaria entre sí, cada una con su propio contrato y su propia designación formal. |
La diferencia importa porque un despacho de DPO externo puede prestar servicio a cinco pymes de sectores distintos sin que exista ningún grupo empresarial entre ellas: son cinco designaciones independientes bajo cinco contratos, no una única designación de grupo. En cambio, un holding con matriz y filiales controladas sí puede optar por una sola designación de grupo bajo el artículo 37.2, y esa designación puede a su vez externalizarse contratando a la misma consultora.
Cómo decidir en la práctica
Antes de nombrar un DPO único para varias empresas, conviene resolver estas preguntas en orden:
- ¿Alguna de las empresas está obligada a tener DPO? Comprueba primero los tres supuestos del artículo 37.1: autoridad pública, observación sistemática a gran escala o tratamiento a gran escala de categorías especiales de datos. Si ninguna empresa del grupo entra en esos supuestos ni en los adicionales que añade la LOPDGDD para ciertos sectores, la designación es voluntaria y el grupo decide libremente cómo organizarla.
- ¿Existe control societario real entre las empresas? Revisa participación en el capital, capacidad de nombrar órganos de administración o poder efectivo para imponer políticas de protección de datos. Sin control, no hay grupo empresarial a efectos del artículo 37.2, aunque compartan marca o instalaciones.
- ¿El candidato a DPO puede ser realmente accesible en todas las sociedades? Valora idioma, conocimiento de cada actividad, disponibilidad y volumen de sociedades a cubrir. Si la respuesta es no para alguna filial, esa filial necesita un DPO propio o un refuerzo específico dentro del equipo del DPO de grupo.
- ¿Cada empresa cumple sus obligaciones formales por separado? Aunque la persona sea la misma, cada sociedad del grupo debe comunicar los datos de contacto del DPO a la AEPD y publicarlos frente a empleados y clientes, como si fuera una designación propia.
Errores frecuentes
- Tratar la franquicia como si fuera un grupo empresarial sin comprobar si existe control societario real.
- Designar un DPO único de grupo sin dedicarle tiempo suficiente a las filiales más alejadas de la matriz.
- No informar a cada empresa del grupo, por separado, de quién es su DPO y cómo contactarlo.
- Confundir la designación de grupo (art. 37.2) con la simple contratación de un mismo despacho externo para empresas sin relación societaria entre sí.
- Olvidar que cada sociedad del grupo debe notificar igualmente el nombramiento a la AEPD, aunque el DPO sea compartido.
Preguntas frecuentes
¿Todas las empresas de un grupo necesitan DPO si una de ellas está obligada?
No automáticamente. La obligación del artículo 37.1 se valora empresa por empresa según su propia actividad. Lo que permite el artículo 37.2 es que, si varias empresas del grupo necesitan o quieren tener DPO, puedan compartir la misma persona en lugar de nombrar una distinta en cada una.
¿Puede un único DPO de grupo atender filiales en distintos países?
El RGPD no lo prohíbe, pero el requisito de accesibilidad se vuelve más exigente: idioma, husos horarios y la posibilidad real de responder ante distintas autoridades de control complican demostrar que el DPO es "fácilmente accesible" en cada establecimiento.
¿Una franquicia puede compartir DPO entre franquiciador y franquiciados?
Solo si existe una relación de control societario real, lo que no suele darse en los modelos de franquicia habituales, donde cada franquiciado es una sociedad independiente. Sin ese control, cada franquiciado obligado a tener DPO necesita su propia designación, aunque pueda contratar a la misma consultora externa.
¿Cómo sé si mi empresa está obligada a tener DPO antes de decidir si lo comparte con el grupo?
El primer paso es siempre comprobar la obligatoriedad individual, no la organización del grupo. El test de obligatoriedad del DPO revisa los criterios del artículo 37.1 y los supuestos adicionales de la LOPDGDD para dar una primera orientación; los casos límite requieren análisis individual.
Summum Consultoría diseña la estructura de DPO que corresponde a cada grupo empresarial: una sola designación accesible para todas las filiales cuando el control societario lo permite, o designaciones independientes coordinadas por el mismo equipo cuando no. El servicio de DPO externo cubre ambos escenarios, y el post sobre cuándo es obligatorio el DPO externo completa el criterio de obligatoriedad de partida.