El Delegado de Protección de Datos (DPO) es la figura que el artículo 37 del Reglamento General de Protección de Datos (RGPD, UE 2016/679) y el artículo 34 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), reservan para supervisar el cumplimiento normativo, servir de punto de contacto con la Agencia Española de Protección de Datos (AEPD) y asesorar internamente sobre cualquier tratamiento de datos personales. No es un cargo decorativo: la AEPD puede requerir su intervención directa en una inspección, y su ausencia — cuando es obligatoria — es en sí misma una infracción sancionable.
Un DPO externo cumple exactamente las mismas funciones que uno interno, con dos diferencias prácticas: coste (se paga por el servicio, no por una nómina completa y su formación continua) e independencia (el artículo 38.3 del RGPD exige que el DPO no reciba instrucciones sobre el ejercicio de sus funciones y no sea destituido por desempeñarlas, algo más fácil de garantizar cuando la relación es contractual y no laboral). Trabajamos como tercero registrado ante la AEPD, con plantillas de trabajo distintas por sector — no aplicamos el mismo procedimiento a una parroquia que a una clínica dental o a un colegio concertado — porque las categorías de datos, los riesgos y la normativa sectorial cambian en cada caso.
El artículo 37.1 del RGPD obliga a designar un DPO en tres supuestos: cuando el tratamiento lo lleve a cabo una autoridad u organismo público (con excepción de los tribunales en su función jurisdiccional); cuando las actividades principales del responsable o del encargado consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala; y cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos (salud, ideología, afiliación sindical, orientación sexual, biométricos, genéticos) o de datos relativos a condenas e infracciones penales.
El artículo 34.1 de la LOPDGDD desarrolla estos supuestos para España y añade una lista de entidades obligadas en todo caso, con independencia de que alcancen los umbrales de gran escala del artículo 37.1: colegios profesionales y sus consejos generales, centros docentes que impartan enseñanzas regladas y universidades públicas y privadas, entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten datos a gran escala, prestadores de servicios de la sociedad de la información que elaboren perfiles de los usuarios a gran escala, entidades de crédito, establecimientos financieros de crédito y aseguradoras, empresas de servicios de inversión, distribuidoras y comercializadoras de energía eléctrica y gas, entidades responsables de ficheros comunes de solvencia patrimonial y crédito, entidades que desarrollen actividades de publicidad y prospección comercial basadas en las preferencias de los afectados o en la elaboración de perfiles, centros sanitarios legalmente obligados a mantener las historias clínicas, entidades emisoras de informes comerciales sobre personas físicas, operadores de juego por canales electrónicos, empresas de seguridad privada y federaciones deportivas cuando traten datos de menores.
Fuera de estos supuestos, el nombramiento de un DPO externo no deja de tener sentido: refuerza el sistema de protección de datos con una figura formalmente registrada ante la AEPD, aporta un canal de consulta y de gestión de incidentes que la organización no tendría de otro modo, y adelanta el trabajo que muchos clientes grandes exigen como condición previa a firmar un contrato.
La normativa no exige que el DPO forme parte de la plantilla: el artículo 37.6 del RGPD permite expresamente que desempeñe sus funciones sobre la base de un contrato de servicios. La diferencia real está en el coste (un DPO interno con la formación jurídico-técnica que exige el cargo cuesta más que un servicio externo dimensionado al tamaño real de la organización), en la disponibilidad (un DPO externo trabaja con varios clientes y mantiene la práctica al día con casos de sectores distintos, algo que rara vez ocurre con un perfil interno que solo ve su propia organización), y en la independencia funcional que exige el artículo 38.3, más sencilla de sostener en una relación contractual que en una laboral jerarquizada.
También es habitual combinar ambas figuras: una persona del equipo actúa como referente interno del día a día — recoge incidencias, coordina la formación, mantiene actualizado el registro de actividades — mientras el DPO externo asume la responsabilidad formal ante la AEPD, revisa el sistema periódicamente y actúa cuando aparece un incidente o una inspección. Si ya cuentas con un DPO interno, un externo lo complementa como segunda opinión y como respaldo en los momentos de mayor exigencia, sin sustituirlo.
El régimen sancionador del artículo 83 del RGPD establece dos tramos. Las infracciones del tramo inferior — entre ellas, no designar un DPO cuando es obligatorio (art. 37), no facilitarle los recursos necesarios o no publicar sus datos de contacto — pueden alcanzar los 10 millones de euros o el 2 % del volumen de negocio total anual global del ejercicio anterior, aplicándose la cifra más alta. Las infracciones del tramo superior — vulneración de los principios del tratamiento, ausencia de base jurídica o incumplimiento sistemático de los derechos de los interesados — pueden llegar a los 20 millones de euros o al 4 % del volumen de negocio global.
La LOPDGDD, en sus artículos 72 a 74, clasifica las infracciones en muy graves, graves y leves y fija plazos de prescripción de tres, dos y un año respectivamente. La AEPD valora como circunstancias atenuantes la existencia de una función de supervisión activa (precisamente la que ejerce el DPO), la adopción de medidas correctoras antes del requerimiento y el grado de cooperación con el procedimiento de investigación. En la práctica, contar con un DPO — interno o externo — no es solo una obligación en determinados supuestos: es también la evidencia documental de diligencia que la AEPD espera encontrar cuando abre una investigación.
Summum acompaña a organizaciones en cumplimiento normativo desde 2007, con más de 2.000 proyectos de digitalización ejecutados y cerca de 200 procesos de certificación ISO acompañados en el grupo — el mismo equipo que puede llevarte, cuando lo necesites, a ISO 27001 o ISO 27701 desde Summum Calidad, sin cambiar de interlocutor. Trabajamos desde cinco oficinas en Valladolid (sede), Burgos, Palencia, Aranda de Duero y Las Palmas de Gran Canaria, lo que nos permite ofrecer un DPO que conoces en persona, no una cuenta gestionada desde otra provincia.
No prometemos un resultado concreto frente a la AEPD ni sustituimos su criterio: acompañamos a la organización para que llegue a cualquier inspección o requerimiento con la documentación, los procedimientos y el histórico que el regulador espera encontrar.
No publicamos una tarifa fija porque el coste real de un DPO externo depende de variables que cambian mucho de una organización a otra: el número de tratamientos de datos personales que realiza, si trata categorías especiales de datos (salud, menores, datos biométricos), el número de sedes o centros, si opera en un sector con normativa adicional (sanitario, educativo, financiero), el volumen de personas cuyos datos se tratan, y si el servicio sustituye por completo a un DPO interno o lo complementa como segunda opinión y respaldo.
Lo confirmamos siempre en una llamada inicial gratuita, después de entender el tratamiento real de la organización — no antes, porque cualquier cifra dada sin ese diagnóstico sería una aproximación poco útil. Si quieres una referencia de mercado y de qué variables mueven más el precio, hemos publicado un análisis específico en el blog: Precio del DPO externo: variables y rango orientativo en 2026.