CC-02 · Cumplimiento normativo

DPO externo sectorial

Asumimos la figura de Delegado de Protección de Datos (DPO) externo con verticales propios en sanidad, educación, sector religioso, asociativo, hostelería y administración local. Canal de brecha real en menos de 24 horas, registro formal ante la AEPD y formación anual — no un DPO de plantilla que solo firma el nombramiento.

Modalidadmensual externo
Sectores propios6 verticales
Brecha< 24h de detección

El Delegado de Protección de Datos (DPO) es la figura que el artículo 37 del Reglamento General de Protección de Datos (RGPD, UE 2016/679) y el artículo 34 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), reservan para supervisar el cumplimiento normativo, servir de punto de contacto con la Agencia Española de Protección de Datos (AEPD) y asesorar internamente sobre cualquier tratamiento de datos personales. No es un cargo decorativo: la AEPD puede requerir su intervención directa en una inspección, y su ausencia — cuando es obligatoria — es en sí misma una infracción sancionable.

Un DPO externo cumple exactamente las mismas funciones que uno interno, con dos diferencias prácticas: coste (se paga por el servicio, no por una nómina completa y su formación continua) e independencia (el artículo 38.3 del RGPD exige que el DPO no reciba instrucciones sobre el ejercicio de sus funciones y no sea destituido por desempeñarlas, algo más fácil de garantizar cuando la relación es contractual y no laboral). Trabajamos como tercero registrado ante la AEPD, con plantillas de trabajo distintas por sector — no aplicamos el mismo procedimiento a una parroquia que a una clínica dental o a un colegio concertado — porque las categorías de datos, los riesgos y la normativa sectorial cambian en cada caso.

El artículo 37.1 del RGPD obliga a designar un DPO en tres supuestos: cuando el tratamiento lo lleve a cabo una autoridad u organismo público (con excepción de los tribunales en su función jurisdiccional); cuando las actividades principales del responsable o del encargado consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala; y cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos (salud, ideología, afiliación sindical, orientación sexual, biométricos, genéticos) o de datos relativos a condenas e infracciones penales.

El artículo 34.1 de la LOPDGDD desarrolla estos supuestos para España y añade una lista de entidades obligadas en todo caso, con independencia de que alcancen los umbrales de gran escala del artículo 37.1: colegios profesionales y sus consejos generales, centros docentes que impartan enseñanzas regladas y universidades públicas y privadas, entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten datos a gran escala, prestadores de servicios de la sociedad de la información que elaboren perfiles de los usuarios a gran escala, entidades de crédito, establecimientos financieros de crédito y aseguradoras, empresas de servicios de inversión, distribuidoras y comercializadoras de energía eléctrica y gas, entidades responsables de ficheros comunes de solvencia patrimonial y crédito, entidades que desarrollen actividades de publicidad y prospección comercial basadas en las preferencias de los afectados o en la elaboración de perfiles, centros sanitarios legalmente obligados a mantener las historias clínicas, entidades emisoras de informes comerciales sobre personas físicas, operadores de juego por canales electrónicos, empresas de seguridad privada y federaciones deportivas cuando traten datos de menores.

Fuera de estos supuestos, el nombramiento de un DPO externo no deja de tener sentido: refuerza el sistema de protección de datos con una figura formalmente registrada ante la AEPD, aporta un canal de consulta y de gestión de incidentes que la organización no tendría de otro modo, y adelanta el trabajo que muchos clientes grandes exigen como condición previa a firmar un contrato.

La normativa no exige que el DPO forme parte de la plantilla: el artículo 37.6 del RGPD permite expresamente que desempeñe sus funciones sobre la base de un contrato de servicios. La diferencia real está en el coste (un DPO interno con la formación jurídico-técnica que exige el cargo cuesta más que un servicio externo dimensionado al tamaño real de la organización), en la disponibilidad (un DPO externo trabaja con varios clientes y mantiene la práctica al día con casos de sectores distintos, algo que rara vez ocurre con un perfil interno que solo ve su propia organización), y en la independencia funcional que exige el artículo 38.3, más sencilla de sostener en una relación contractual que en una laboral jerarquizada.

También es habitual combinar ambas figuras: una persona del equipo actúa como referente interno del día a día — recoge incidencias, coordina la formación, mantiene actualizado el registro de actividades — mientras el DPO externo asume la responsabilidad formal ante la AEPD, revisa el sistema periódicamente y actúa cuando aparece un incidente o una inspección. Si ya cuentas con un DPO interno, un externo lo complementa como segunda opinión y como respaldo en los momentos de mayor exigencia, sin sustituirlo.

El régimen sancionador del artículo 83 del RGPD establece dos tramos. Las infracciones del tramo inferior — entre ellas, no designar un DPO cuando es obligatorio (art. 37), no facilitarle los recursos necesarios o no publicar sus datos de contacto — pueden alcanzar los 10 millones de euros o el 2 % del volumen de negocio total anual global del ejercicio anterior, aplicándose la cifra más alta. Las infracciones del tramo superior — vulneración de los principios del tratamiento, ausencia de base jurídica o incumplimiento sistemático de los derechos de los interesados — pueden llegar a los 20 millones de euros o al 4 % del volumen de negocio global.

La LOPDGDD, en sus artículos 72 a 74, clasifica las infracciones en muy graves, graves y leves y fija plazos de prescripción de tres, dos y un año respectivamente. La AEPD valora como circunstancias atenuantes la existencia de una función de supervisión activa (precisamente la que ejerce el DPO), la adopción de medidas correctoras antes del requerimiento y el grado de cooperación con el procedimiento de investigación. En la práctica, contar con un DPO — interno o externo — no es solo una obligación en determinados supuestos: es también la evidencia documental de diligencia que la AEPD espera encontrar cuando abre una investigación.

Summum acompaña a organizaciones en cumplimiento normativo desde 2007, con más de 2.000 proyectos de digitalización ejecutados y cerca de 200 procesos de certificación ISO acompañados en el grupo — el mismo equipo que puede llevarte, cuando lo necesites, a ISO 27001 o ISO 27701 desde Summum Calidad, sin cambiar de interlocutor. Trabajamos desde cinco oficinas en Valladolid (sede), Burgos, Palencia, Aranda de Duero y Las Palmas de Gran Canaria, lo que nos permite ofrecer un DPO que conoces en persona, no una cuenta gestionada desde otra provincia.

No prometemos un resultado concreto frente a la AEPD ni sustituimos su criterio: acompañamos a la organización para que llegue a cualquier inspección o requerimiento con la documentación, los procedimientos y el histórico que el regulador espera encontrar.

No publicamos una tarifa fija porque el coste real de un DPO externo depende de variables que cambian mucho de una organización a otra: el número de tratamientos de datos personales que realiza, si trata categorías especiales de datos (salud, menores, datos biométricos), el número de sedes o centros, si opera en un sector con normativa adicional (sanitario, educativo, financiero), el volumen de personas cuyos datos se tratan, y si el servicio sustituye por completo a un DPO interno o lo complementa como segunda opinión y respaldo.

Lo confirmamos siempre en una llamada inicial gratuita, después de entender el tratamiento real de la organización — no antes, porque cualquier cifra dada sin ese diagnóstico sería una aproximación poco útil. Si quieres una referencia de mercado y de qué variables mueven más el precio, hemos publicado un análisis específico en el blog: Precio del DPO externo: variables y rango orientativo en 2026.

+Sanitario

Clínicas, residencias y gabinetes tratan datos de salud, categoría especial del artículo 9 del RGPD, con exigencias reforzadas de seguridad y un historial clínico que no admite plantillas genéricas.

RGPD art.9LOPDGDD
AEducativo

Centros concertados, academias y FP privada tratan datos de menores, que requieren garantías adicionales de información y consentimiento según la LOPDGDD y las guías de la AEPD sobre menores en el entorno educativo.

LOPD-DD21001
Religioso

Parroquias, congregaciones y asociaciones vinculadas se acogen al régimen específico del artículo 91 del RGPD para iglesias y confesiones, con un acuerdo propio con la Iglesia católica que condiciona el tratamiento de datos de fieles.

RGPD art.91
Asociativo

Fundaciones, ONG y asociaciones culturales o deportivas gestionan datos de socios y donantes —muchas acogidas al régimen fiscal de la Ley 49/2002— y suelen depender de voluntariado, lo que exige procedimientos más simples pero igual de exigibles.

Ley 49/2002
Hostelería

Restaurantes con CRM, hoteles y negocios con programas de fidelización tratan datos de marketing y perfiles de cliente que requieren bases jurídicas claras y gestión correcta de las cookies de seguimiento.

CookiesMarketing
§AAPP local

Ayuntamientos y mancomunidades son responsables del tratamiento por definición legal (art. 37.1.a RGPD) y a menudo necesitan combinar el DPO con la adecuación al Esquema Nacional de Seguridad si prestan servicios digitales al ciudadano.

RGPD AAPPENS

El proceso de DPO externo sectorial.

El proceso · cuatro tiempos
01

Análisis sectorial

Identificamos los tratamientos específicos del sector antes de proponer nada: los riesgos, las categorías de datos y las plantillas de trabajo no son las mismas para una parroquia que para una clínica dental, un colegio concertado o un ayuntamiento.

02

Registro AEPD y designación formal

Te registramos como tu DPO ante la Agencia Española de Protección de Datos, con comunicación formal de la designación al órgano de gobierno de la organización y publicación de los datos de contacto exigida por el artículo 37.7 del RGPD.

03

Operación continua

Revisión periódica del registro de actividades y de las medidas de seguridad, canal de brecha operativo las 24 horas, atención a las consultas del equipo y de los interesados, y formación anual con evidencia documentada.

04

Simulacros y auditoría

Al menos un simulacro de brecha al año y una revisión de cumplimiento con acta, para llegar a la inspección de la AEPD — o a la due diligence de un cliente grande — con el trabajo ya hecho, no por hacer.

Qué incluye

Qué incluye DPO externo sectorial.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Designación y comunicación a la AEPD

    Alta formal como DPO de la organización ante la Agencia Española de Protección de Datos y comunicación interna de la designación, tal y como exige el artículo 37.7 del RGPD.

  • Registro de actividades de tratamiento

    Mantenimiento vivo del documento del artículo 30 del RGPD: cada tratamiento, su finalidad, base jurídica, categorías de datos, cesiones y plazos de conservación, actualizado cada vez que cambia un proceso.

  • Evaluaciones de impacto (EIPD) cuando procede

    Cuando un tratamiento nuevo entra en los criterios de alto riesgo del Comité Europeo de Protección de Datos, realizamos la evaluación de impacto exigida por el artículo 35 del RGPD antes de ponerlo en marcha.

  • Atención de los derechos de los interesados

    Procedimiento y plazos para acceso, rectificación, supresión, oposición, portabilidad y limitación (art. 12 a 22 RGPD), con modelos de respuesta y registro de cada solicitud atendida.

  • Canal de brecha < 24h y notificación a la AEPD

    Detección y contención en menos de 24 horas por canal directo — no un formulario web — con evaluación del riesgo y, si procede, notificación a la AEPD en el plazo de 72 horas del artículo 33 del RGPD y comunicación a los afectados cuando el riesgo sea alto (art. 34).

  • Formación anual del equipo + simulacro

    Sesión de formación anual adaptada al sector y al puesto de cada persona, con test y acta que sirve como evidencia de cumplimiento, y un simulacro de brecha para probar el procedimiento antes de necesitarlo de verdad.

  • Interlocución continua con la AEPD

    El DPO actúa como punto de contacto único frente a la Agencia: responde consultas, atiende requerimientos y, si se abre un procedimiento de investigación, acompaña a la organización durante todo el trámite.

  • Auditorías periódicas del sistema

    Revisión programada de las medidas técnicas y organizativas implantadas, de los contratos de encargado del tratamiento (art. 28 RGPD) con proveedores y de la coherencia entre lo documentado y lo que ocurre en el día a día.

  • Plataforma de gestión del cliente

    Acceso al estado del servicio en todo momento: documentos vigentes, brechas registradas, formación impartida y auditorías realizadas, sin depender de pedir el dato por correo.

Marco normativo

El marco regulatorio.

Artículo 37 del RGPD y Ley 2/2023 cuando hay canal de denuncias.

EU RGPD art.37 Aplicable en este servicio
ES LOPDGDD art. 34 Aplicable en este servicio
L 2/2023 Denuncias Aplicable en este servicio
AEPD Registro Aplicable en este servicio

Preguntas frecuentes sobre DPO externo sectorial.

¿Es obligatorio designar un DPO en mi empresa?

Depende del sector y de la escala del tratamiento. Es obligatorio en los tres supuestos del artículo 37.1 del RGPD (administración pública, observación sistemática a gran escala, tratamiento a gran escala de categorías especiales de datos) y en la lista adicional del artículo 34 de la LOPDGDD, que incluye centros docentes, entidades sanitarias, colegios profesionales, aseguradoras, entidades financieras y otros sectores regulados con independencia de su tamaño. Fuera de estos supuestos, sigue siendo una buena práctica recomendable. Lo aclaramos en el diagnóstico inicial, que es gratuito.

¿Qué sanción hay por no designar un DPO cuando es obligatorio?

No designar un DPO cuando la norma lo exige se encuadra en el régimen sancionador del artículo 83.4 del RGPD: hasta 10 millones de euros o el 2 % del volumen de negocio anual global, aplicándose la cifra más alta. La AEPD valora la existencia de un plan de adecuación y la diligencia previa como circunstancias atenuantes.

¿Qué diferencia hay entre un DPO externo y un consultor RGPD?

El consultor RGPD ayuda a adecuar la organización a la norma (documentación, formación, procedimientos), pero no asume la función formal de supervisión e interlocución con la AEPD que exige el artículo 37 del RGPD salvo que además sea designado DPO. Nuestro servicio de DPO externo incluye ambas cosas: la adecuación y el ejercicio continuo de la función.

¿Si ya tengo DPO interno, puedo contratar uno externo?

Sí. Lo complementamos: el interno mantiene el día a día y el conocimiento del negocio, y el externo aporta segunda opinión, revisión independiente y respaldo en los momentos de mayor exigencia, como una inspección o una brecha grave.

¿Cubrís el canal de denuncias de la Ley 2/2023?

Sí. Si tu organización supera los 50 empleados —o está obligada por otro motivo—, montamos el canal de denuncias coordinado con el servicio de compliance penal del grupo, con responsable designado y documentación para la Autoridad Independiente de Protección del Informante (AIPI).

¿Cómo se registra el DPO ante la AEPD?

El artículo 37.7 del RGPD exige comunicar los datos de contacto del DPO a la autoridad de control y publicarlos. Gestionamos el alta en la sede electrónica de la AEPD como parte de la designación inicial, sin coste adicional sobre el servicio contratado.

¿Qué pasa si cambiamos de DPO externo más adelante?

El registro de actividades, la documentación y el historial de brechas son propiedad de tu organización, no del proveedor. Si decides cambiar de DPO externo, entregamos todo el archivo documental y coordinamos la baja formal ante la AEPD y el alta del nuevo DPO sin periodo sin cobertura.

¿El DPO externo también hace la adecuación RGPD completa desde cero?

Sí, cuando la organización parte de cero. En ese caso el primer trimestre del servicio incluye el diagnóstico y la implantación descritos en nuestro servicio de adecuación RGPD y LOPDGDD, y a partir de ahí el DPO mantiene el sistema vivo.

¿Cuánto tiempo dedica el DPO externo a mi empresa?

No hay una cifra fija de horas: el dimensionamiento depende del volumen y del riesgo de los tratamientos. Lo que sí es fijo es la disponibilidad del canal de brecha (menos de 24 horas) y la periodicidad de la revisión anual y la formación, independientemente del tamaño de la organización.

¿Puede el DPO externo trabajar con administraciones públicas locales?

Sí. Tenemos una vertical específica para ayuntamientos y mancomunidades, combinable con la adecuación al Esquema Nacional de Seguridad (ENS) que ofrece Summum Calidad cuando la entidad presta servicios al sector público.

¿Lo construimos
contigo?

Solicita tu pre-diagnóstico gratuito — respondemos en 24h.