¿Puede un grupo empresarial tener un único DPO?

·

El artículo 37.2 del RGPD permite que un grupo empresarial designe un único delegado de protección de datos (DPO) para todas sus empresas, siempre que ese DPO sea "fácilmente accesible desde cada establecimiento". La condición no es cosmética: si el DPO único no puede atender de forma real a cada sociedad del grupo, la designación no cumple el Reglamento y cada empresa sigue expuesta como si no tuviera DPO. Antes de decidir, conviene comprobar primero si tu empresa está obligada a tener DPO en absoluto: para eso sirve el test de obligatoriedad del DPO.

Qué dice literalmente el RGPD

El artículo 37 del Reglamento (UE) 2016/679 regula la designación del delegado de protección de datos en tres apartados que conviene separar bien porque resuelven supuestos distintos:

El apartado 2 no dice "un DPO por marca" ni "un DPO por sede": dice un DPO por grupo empresarial, con una condición de accesibilidad que hay que poder demostrar si la AEPD pregunta.

Qué es un "grupo empresarial" a estos efectos

El RGPD no deja la definición al aire. El considerando 37 del propio Reglamento aclara que un grupo empresarial "debe estar constituido por una empresa que ejerce el control y las empresas controladas", y que la empresa que ejerce el control es la que puede ejercer una influencia dominante sobre las demás, por ejemplo en virtud de la propiedad, la participación financiera o las normas que la rigen, o de la facultad de hacer cumplir las normas de protección de datos personales.

De esa definición se derivan dos consecuencias prácticas para decidir si tus empresas forman o no un grupo a efectos del artículo 37.2:

El requisito que de verdad importa: "fácilmente accesible"

La parte del artículo 37.2 que genera más dudas prácticas no es si el grupo puede compartir DPO, sino si el DPO elegido cumple la condición de accesibilidad. No basta con que exista un buzón de correo genérico o que el DPO responda tarde o mal a una de las filiales. La accesibilidad se valora, en la práctica, sobre criterios como estos:

Un grupo con una matriz en Valladolid y filiales en Canarias, por ejemplo, puede designar un único DPO siempre que ese DPO pueda atender realmente a la filial canaria: conocer su actividad, estar disponible para sus empleados y responder ante la AEPD si esta se dirige a esa sociedad en concreto. Si la distancia, el idioma o la sobrecarga de trabajo hacen que la filial quede desatendida en la práctica, la designación conjunta deja de cumplir el Reglamento aunque sobre el papel exista un nombramiento.

DPO único (art. 37.2) frente a DPO externo por contrato (art. 37.6)

Conviene no confundir dos figuras que resuelven problemas distintos:

Figura Base legal Qué permite
DPO único de grupo Artículo 37.2 RGPD Una sola persona designada como DPO para todas las empresas de un grupo con control societario real, si es accesible en cada una.
DPO externo por contrato de servicios Artículo 37.6 RGPD El DPO puede formar parte de la plantilla o desempeñar sus funciones "sobre la base de un contrato de servicios", lo que permite que la misma consultora preste el servicio a varias empresas sin relación societaria entre sí, cada una con su propio contrato y su propia designación formal.

La diferencia importa porque un despacho de DPO externo puede prestar servicio a cinco pymes de sectores distintos sin que exista ningún grupo empresarial entre ellas: son cinco designaciones independientes bajo cinco contratos, no una única designación de grupo. En cambio, un holding con matriz y filiales controladas sí puede optar por una sola designación de grupo bajo el artículo 37.2, y esa designación puede a su vez externalizarse contratando a la misma consultora.

Cómo decidir en la práctica

Antes de nombrar un DPO único para varias empresas, conviene resolver estas preguntas en orden:

  1. ¿Alguna de las empresas está obligada a tener DPO? Comprueba primero los tres supuestos del artículo 37.1: autoridad pública, observación sistemática a gran escala o tratamiento a gran escala de categorías especiales de datos. Si ninguna empresa del grupo entra en esos supuestos ni en los adicionales que añade la LOPDGDD para ciertos sectores, la designación es voluntaria y el grupo decide libremente cómo organizarla.
  2. ¿Existe control societario real entre las empresas? Revisa participación en el capital, capacidad de nombrar órganos de administración o poder efectivo para imponer políticas de protección de datos. Sin control, no hay grupo empresarial a efectos del artículo 37.2, aunque compartan marca o instalaciones.
  3. ¿El candidato a DPO puede ser realmente accesible en todas las sociedades? Valora idioma, conocimiento de cada actividad, disponibilidad y volumen de sociedades a cubrir. Si la respuesta es no para alguna filial, esa filial necesita un DPO propio o un refuerzo específico dentro del equipo del DPO de grupo.
  4. ¿Cada empresa cumple sus obligaciones formales por separado? Aunque la persona sea la misma, cada sociedad del grupo debe comunicar los datos de contacto del DPO a la AEPD y publicarlos frente a empleados y clientes, como si fuera una designación propia.

Errores frecuentes

  1. Tratar la franquicia como si fuera un grupo empresarial sin comprobar si existe control societario real.
  2. Designar un DPO único de grupo sin dedicarle tiempo suficiente a las filiales más alejadas de la matriz.
  3. No informar a cada empresa del grupo, por separado, de quién es su DPO y cómo contactarlo.
  4. Confundir la designación de grupo (art. 37.2) con la simple contratación de un mismo despacho externo para empresas sin relación societaria entre sí.
  5. Olvidar que cada sociedad del grupo debe notificar igualmente el nombramiento a la AEPD, aunque el DPO sea compartido.

Preguntas frecuentes

¿Todas las empresas de un grupo necesitan DPO si una de ellas está obligada?

No automáticamente. La obligación del artículo 37.1 se valora empresa por empresa según su propia actividad. Lo que permite el artículo 37.2 es que, si varias empresas del grupo necesitan o quieren tener DPO, puedan compartir la misma persona en lugar de nombrar una distinta en cada una.

¿Puede un único DPO de grupo atender filiales en distintos países?

El RGPD no lo prohíbe, pero el requisito de accesibilidad se vuelve más exigente: idioma, husos horarios y la posibilidad real de responder ante distintas autoridades de control complican demostrar que el DPO es "fácilmente accesible" en cada establecimiento.

¿Una franquicia puede compartir DPO entre franquiciador y franquiciados?

Solo si existe una relación de control societario real, lo que no suele darse en los modelos de franquicia habituales, donde cada franquiciado es una sociedad independiente. Sin ese control, cada franquiciado obligado a tener DPO necesita su propia designación, aunque pueda contratar a la misma consultora externa.

¿Cómo sé si mi empresa está obligada a tener DPO antes de decidir si lo comparte con el grupo?

El primer paso es siempre comprobar la obligatoriedad individual, no la organización del grupo. El test de obligatoriedad del DPO revisa los criterios del artículo 37.1 y los supuestos adicionales de la LOPDGDD para dar una primera orientación; los casos límite requieren análisis individual.

Summum Consultoría diseña la estructura de DPO que corresponde a cada grupo empresarial: una sola designación accesible para todas las filiales cuando el control societario lo permite, o designaciones independientes coordinadas por el mismo equipo cuando no. El servicio de DPO externo cubre ambos escenarios, y el post sobre cuándo es obligatorio el DPO externo completa el criterio de obligatoriedad de partida.