DPO Delegado Protección Datos: Obligatorio y Funciones

El Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés) es una figura clave del RGPD cuya designación es obligatoria para muchas empresas españolas. Sin embargo, la confusión sobre quién está obligado, qué funciones tiene exactamente y si puede externalizarse sigue siendo generalizada. Esta guía aclara todas las dudas con un enfoque práctico.

Para el contexto general del RGPD, consulta mia guía completa de cumplimiento RGPD para empresas.

¿Cuándo es obligatorio designar un DPO?

El artículo 37 del RGPD establece que la designación del DPO es obligatoria en tres supuestos. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público (excepto los tribunales en el ejercicio de su función judicial). Cuando las actividades principales del responsable consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala. Y cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos (datos de salud, datos biométricos, datos de infracciones, etc.).

La LOPDGDD española (artículo 34) amplía significativamente esta lista con un catálogo de entidades obligadas que incluye los colegios profesionales, los centros docentes, las entidades que exploten redes y presten servicios de comunicaciones electrónicas, los prestadores de servicios de la sociedad de la información que elaboren perfiles a gran escala, las entidades financieras y aseguradoras, las empresas de seguridad privada, las federaciones deportivas cuando traten datos de menores, y las entidades sanitarias obligadas a mantener historias clínicas.

En la práctica, muchas PYMEs que no están en este listado designan un DPO voluntariamente como buena práctica y como demostración de responsabilidad proactiva ante la AEPD.

Funciones del DPO

Las funciones del DPO están definidas en el artículo 39 del RGPD. Debe informar y asesorar al responsable y a los empleados sobre sus obligaciones en materia de protección de datos. Supervisar el cumplimiento del RGPD y de las políticas del responsable, incluyendo la asignación de responsabilidades, la concienciación y formación del personal, y las auditorías correspondientes. Ofrecer asesoramiento sobre la evaluación de impacto de protección de datos (EIPD) y supervisar su realización. Cooperar con la autoridad de control (AEPD). Y actuar como punto de contacto con la AEPD para cualquier cuestión relativa al tratamiento de datos.

Un aspecto fundamental: el DPO no es responsable del cumplimiento del RGPD (esa responsabilidad es del responsable del tratamiento, es decir, de la empresa). El DPO asesora y supervisa, pero no decide ni ejecuta. Debe tener independencia funcional y no puede ser penalizado por el ejercicio de sus funciones.

DPO interno vs DPO externo

El RGPD permite que el DPO sea un miembro del personal del responsable (DPO interno) o un profesional externo contratado mediante un contrato de servicios (DPO externo). Ambas opciones son válidas, y la elección depende del tamaño y recursos de la organización.

El DPO interno tiene la ventaja de conocer la organización desde dentro y estar disponible de forma continua. Sin embargo, debe cumplir los requisitos de independencia (no puede ser el director de IT, el director de RRHH ni ninguna persona cuya función pueda entrar en conflicto con la supervisión de protección de datos), requiere formación especializada y actualización continua, y genera un coste fijo permanente.

El DPO externo aporta experiencia multisectorial, formación actualizada garantizada, independencia total respecto a la organización y un coste variable que se adapta a la dedicación real necesaria. Es la opción más frecuente en PYMEs que no justifican un DPO a tiempo completo.

Costes del DPO

Un DPO interno a tiempo completo tiene un coste laboral de entre 35.000 y 55.000 euros anuales, según experiencia y ubicación geográfica. Un DPO externo para una PYME tiene un coste típico de entre 2.000 y 8.000 euros anuales, dependiendo de la complejidad de los tratamientos, el volumen de datos y la dedicación requerida.

Para empresas que además necesitan cumplir con ISO 27001 y ENS, un consultor que combine las funciones de DPO con la gestión del sistema de seguridad de la información ofrece una eficiencia significativa al cubrir ambas responsabilidades con un solo interlocutor.

¿Qué criterios seguir para seleccionar un DPO?

El artículo 37.5 del RGPD exige que el DPO sea designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. Los criterios fundamentales de selección son la formación acreditada en protección de datos (programas certificados por la AEPD u organismos reconocidos), la experiencia práctica en la materia (no solo teórica), el conocimiento del sector de actividad de la empresa, la capacidad de comunicar de forma comprensible con la dirección y el personal, y la disponibilidad para atender consultas y supervisar el cumplimiento de forma continuada.

Comunicación a la AEPD

Una vez designado el DPO, debe comunicarse su identidad y datos de contacto a la AEPD a través de la Sede Electrónica. Esta comunicación es obligatoria tanto para los DPO obligatorios como para los voluntarios que se designen. Los datos del DPO deben hacerse públicos y facilitarse a los interesados. Relacionado: Consultoría Ciberseguridad Empresas: Servicios y Costes.

Consulta mio artículo sobre evaluación de impacto de protección de datos para entender una de las funciones clave del DPO.

[[CTA-CONTACT]] ¿Necesita un Delegado de Protección de Datos externo que combine experiencia en RGPD con conocimiento de ciberseguridad e ISO 27001? Hablamos. Te ofrezco un servicio de DPO externo adaptado al tamaño y necesidades de tu empresa.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.