El DPO (Delegado de Protección de Datos) es obligatorio en organismos públicos y empresas con tratamiento masivo o sensible (art. 37 RGPD).

El Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés) es una figura clave del RGPD cuya designación es obligatoria para muchas empresas españolas. Sin embargo, la confusión sobre quién está obligado, qué funciones tiene exactamente y si puede externalizarse sigue siendo generalizada. Esta guía aclara todas las dudas con un enfoque práctico.

Para el contexto general del RGPD, consulta mia guía completa de cumplimiento RGPD para empresas.

¿Cuándo es obligatorio designar un DPO?

El artículo 37 del RGPD establece que la designación del DPO es obligatoria en tres supuestos. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público (excepto los tribunales en el ejercicio de su función judicial). Cuando las actividades principales del responsable consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala. Y cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos (datos de salud, datos biométricos, datos de infracciones, etc.).

La LOPDGDD española (artículo 34) amplía significativamente esta lista con un catálogo de entidades obligadas que incluye los colegios profesionales, los centros docentes, las entidades que exploten redes y presten servicios de comunicaciones electrónicas, los prestadores de servicios de la sociedad de la información que elaboren perfiles a gran escala, las entidades financieras y aseguradoras, las empresas de seguridad privada, las federaciones deportivas cuando traten datos de menores, y las entidades sanitarias obligadas a mantener historias clínicas.

En la práctica, muchas PYMEs que no están en este listado designan un DPO voluntariamente como buena práctica y como demostración de responsabilidad proactiva ante la AEPD.

Ejemplos: qué pymes están obligadas a DPO y cuáles no

La obligación no depende del tamaño, sino del tipo de tratamiento. Estos ejemplos prácticos ilustran cómo se aplican los supuestos del artículo 37 del RGPD y del artículo 34 de la LOPDGDD a casos reales:

Tipo de pyme¿Obligada a DPO?Motivo
Clínica dental o centro de fisioterapiaSí (habitualmente)Tratamiento de datos de salud como actividad principal
Academia o centro de formación privadoCentro docente (art. 34 LOPDGDD)
Correduría de segurosSector asegurador (art. 34 LOPDGDD)
Empresa de marketing que perfila usuarios a gran escalaProspección comercial con perfilado masivo
Empresa de seguridad privadaIncluida en el art. 34 LOPDGDD
Asesoría laboral con clientes habitualesHabitualmente noEl tratamiento no es a gran escala ni de datos especiales como núcleo
Tienda física o ferreteríaNoDatos accesorios (clientes, nómina), no actividad principal a gran escala
Pequeña tienda online sin perfilado masivoNoNo hay observación sistemática a gran escala
Restaurante o cafeteríaNoTratamiento mínimo, no encaja en ningún supuesto

Funciones del DPO

Las funciones del DPO están definidas en el artículo 39 del RGPD. Debe informar y asesorar al responsable y a los empleados sobre sus obligaciones en materia de protección de datos. Supervisar el cumplimiento del RGPD y de las políticas del responsable, incluyendo la asignación de responsabilidades, la concienciación y formación del personal, y las auditorías correspondientes. Ofrecer asesoramiento sobre la evaluación de impacto de protección de datos (EIPD) y supervisar su realización. Cooperar con la autoridad de control (AEPD). Y actuar como punto de contacto con la AEPD para cualquier cuestión relativa al tratamiento de datos.

Un aspecto fundamental: el DPO no es responsable del cumplimiento del RGPD (esa responsabilidad es del responsable del tratamiento, es decir, de la empresa). El DPO asesora y supervisa, pero no decide ni ejecuta. Debe tener independencia funcional y no puede ser penalizado por el ejercicio de sus funciones.

DPO interno vs DPO externo

El RGPD permite que el DPO sea un miembro del personal del responsable (DPO interno) o un profesional externo contratado mediante un contrato de servicios (DPO externo). Ambas opciones son válidas, y la elección depende del tamaño y recursos de la organización.

El DPO interno tiene la ventaja de conocer la organización desde dentro y estar disponible de forma continua. Sin embargo, debe cumplir los requisitos de independencia (no puede ser el director de IT, el director de RRHH ni ninguna persona cuya función pueda entrar en conflicto con la supervisión de protección de datos), requiere formación especializada y actualización continua, y genera un coste fijo permanente.

El DPO externo aporta experiencia multisectorial, formación actualizada garantizada, independencia total respecto a la organización y un coste variable que se adapta a la dedicación real necesaria. Es la opción más frecuente en PYMEs que no justifican un DPO a tiempo completo.

Costes del DPO

Un DPO interno a tiempo completo tiene un coste laboral de entre 35.000 y 55.000 euros anuales, según experiencia y ubicación geográfica. Un DPO externo para una PYME tiene un coste típico de entre 2.000 y 8.000 euros anuales, dependiendo de la complejidad de los tratamientos, el volumen de datos y la dedicación requerida.

Para empresas que además necesitan cumplir con ISO 27001 y ENS, un consultor que combine las funciones de DPO con la gestión del sistema de seguridad de la información ofrece una eficiencia significativa al cubrir ambas responsabilidades con un solo interlocutor.

¿Qué criterios seguir para seleccionar un DPO?

El artículo 37.5 del RGPD exige que el DPO sea designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. Los criterios fundamentales de selección son la formación acreditada en protección de datos (programas certificados por la AEPD u organismos reconocidos), la experiencia práctica en la materia (no solo teórica), el conocimiento del sector de actividad de la empresa, la capacidad de comunicar de forma comprensible con la dirección y el personal, y la disponibilidad para atender consultas y supervisar el cumplimiento de forma continuada.

Comunicación a la AEPD

Una vez designado el DPO, debe comunicarse su identidad y datos de contacto a la AEPD a través de la Sede Electrónica. Esta comunicación es obligatoria tanto para los DPO obligatorios como para los voluntarios que se designen. Los datos del DPO deben hacerse públicos y facilitarse a los interesados. Relacionado: Consultoría Ciberseguridad Empresas: Servicios y Costes.

Consulta mio artículo sobre evaluación de impacto de protección de datos para entender una de las funciones clave del DPO.

¿Necesita un Delegado de Protección de Datos externo que combine experiencia en RGPD con conocimiento de ciberseguridad e ISO 27001? Hablamos. Te ofrezco un servicio de DPO externo adaptado al tamaño y necesidades de tu empresa.


Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.

Caso real: cómo gestionamos un DPO externo en una clínica de Burgos

Una clínica privada de la provincia de Burgos, 38 empleados y facturación de 4,2M€, contactó conmigo tras una notificación de la AEPD por una brecha de seguridad menor (envío masivo de email con direcciones en copia visible). El expediente sancionador exigía revisar el cumplimiento RGPD completo y, dado el tratamiento sistemático de categorías especiales (datos de salud, art. 9 RGPD), la designación de DPO era obligatoria.

Situación inicial: no había DPO designado, las políticas de privacidad llevaban dos años sin actualizar y el registro de actividades de tratamiento (RAT) era inexistente. La clínica había estimado el coste de un DPO interno en 38.000€ anuales (técnico cualificado a jornada completa), inasumible para su estructura.

Solución aplicada: contratación de DPO externo con dedicación parcial documentada (12 horas/mes), por 850€/mes (10.200€ anuales). En 6 meses entregamos: comunicación oficial a la AEPD del DPO designado, RAT completo conforme al art. 30 RGPD, evaluación de impacto (EIPD) sobre el sistema de gestión de pacientes, plan de respuesta ante brechas y formación obligatoria al personal sanitario y administrativo.

Resultado: el expediente sancionador finalizó con apercibimiento (sin multa económica, ahorro estimado entre 15.000€ y 40.000€ según baremo AEPD) y la clínica obtuvo capacidad para concurrir a concursos del SACyL que exigían cumplimiento RGPD acreditado. ROI del DPO externo: positivo desde el primer trimestre.

Comparativa: DPO interno vs externo vs híbrido

ModalidadCoste anualDedicaciónCuándo elegirlo
DPO interno jornada completa35.000€ - 55.000€100%+250 empleados o tratamientos masivos de categorías especiales
DPO interno tiempo parcial18.000€ - 28.000€40-60%PYMEs 50-200 empleados con tratamientos sensibles
DPO externo retainer8.400€ - 18.000€10-20 h/mesPYMEs <100 empleados, primera designación, sectores regulados
DPO híbrido12.000€ - 22.000€VariableCoordinador interno + consultor externo certificado como DPO oficial
DPO certificado AEPD+15-20% sobre tarifa baseSegún contratoSectores regulados (sanitario, financiero, AAPP)

Recuerda que la certificación del DPO no es legalmente obligatoria según el RGPD, pero el esquema AEPD-DPD es el estándar reconocido en España y aporta seguridad jurídica frente a inspecciones.

FAQ avanzada DPO

¿Puede un DPO externo ser sancionado solidariamente con la empresa por incumplimientos RGPD?

No directamente. El responsable del tratamiento es la empresa y la AEPD sanciona a esta (art. 83 RGPD, hasta 20M€ o 4% facturación global). El DPO externo solo responde contractualmente frente a su cliente por negligencia profesional, normalmente cubierta por seguro de responsabilidad civil de 600.000€ a 1.500.000€ que todo DPO serio debe tener contratado.

¿El DPO debe firmar las cláusulas informativas y los contratos de encargado de tratamiento?

No. El DPO supervisa y asesora pero no es representante legal. Las cláusulas del art. 13-14 RGPD las aprueba la dirección y los contratos del art. 28 RGPD los firma el responsable o representante legal. El DPO revisa el contenido y deja constancia escrita de sus recomendaciones (importante para acreditar diligencia debida en caso de sanción).

¿Cómo se documenta la independencia del DPO frente a posibles conflictos de interés?

Mediante: (1) contrato o nombramiento con cláusulas explícitas de independencia, (2) reporte directo al órgano de administración con actas, (3) ausencia de funciones que determinen fines y medios del tratamiento (CISO sí compatible, responsable de marketing o RRHH no), (4) registro de instrucciones recibidas. La AEPD ha sancionado a empresas por designar DPO al responsable IT sin separar funciones.

¿Qué pasa si la empresa ignora una recomendación documentada del DPO y se produce una brecha?

El art. 38.3 RGPD obliga a la dirección a justificar por escrito la desestimación. Si la AEPD investiga tras una brecha (notificación obligatoria en 72h, art. 33 RGPD), el informe del DPO advirtiendo del riesgo eleva la sanción al considerarse incumplimiento doloso y no negligente. Visto desde fuera, el DPO te protege precisamente cuando le ignoras y lo dejas documentado.

Checklist de implantación DPO en 12 pasos

  1. Análisis de obligatoriedad según art. 37 RGPD y art. 34 LOPDGDD (test documental: autoridad pública, tratamiento sistemático a gran escala, categorías especiales o condenas penales).
  2. Decisión de modalidad (interno, externo, híbrido) con análisis económico a 3 años.
  3. Definición del perfil profesional: titulación, experiencia mínima 3 años, certificación AEPD-DPD recomendada.
  4. Selección y verificación de ausencia de conflicto de interés (declaración firmada).
  5. Formalización del nombramiento: contrato laboral, mercantil o de servicios con cláusulas de independencia, recursos y reporte directo.
  6. Comunicación a la sede electrónica AEPD en plazo máximo de 10 días desde nombramiento (form. NOTI-DPD).
  7. Publicación de los datos de contacto del DPO en política de privacidad, web y avisos legales.
  8. Comunicación interna: email a toda la plantilla con funciones, alcance y vías de contacto.
  9. Entrega al DPO de RAT, política de seguridad, contratos de encargado y registro de incidencias.
  10. Planificación de auditoría inicial de cumplimiento y EIPD pendientes (art. 35 RGPD).
  11. Establecimiento de calendario de reuniones con dirección (mínimo trimestral).
  12. Inclusión del DPO en el comité de respuesta ante brechas y en cualquier nuevo tratamiento desde fase de diseño (privacy by design, art. 25 RGPD).

Errores comunes a evitar al designar un DPO

  1. Designar al CEO, director financiero o responsable de marketing como DPO. Conflicto de interés directo según directrices del CEPD (WP243). Sanción AEPD habitual: 50.000€ - 75.000€.
  2. No comunicar a la AEPD en plazo. El incumplimiento del art. 37.7 RGPD es infracción leve, pero suele acompañar a expedientes mayores. Multa típica: 5.000€ - 15.000€.
  3. Contratar DPO externo sin verificar póliza de RC profesional. Si comete negligencia y no tiene seguro, la empresa asume el daño completo. Exige certificado de cobertura mínima 600.000€.
  4. Confundir DPO con responsable de seguridad (CISO) o asesor jurídico genérico. Son funciones complementarias pero no intercambiables. El DPO requiere conocimiento específico en RGPD, no en LSSI, propiedad intelectual o ciberseguridad técnica.
  5. No darle recursos suficientes (art. 38.2 RGPD). La AEPD ha sancionado a empresas que designaron DPO pero le asignaron 2h/semana para tratar 500 empleados y 30 sistemas. Documenta los recursos asignados.

Si necesitas valorar la obligatoriedad y modalidad de DPO para tu empresa, puedes contactarme desde la página de cumplimiento.

¿Necesitas ayuda con esto?

Trabaja conmigo en Auditoría y plan de ciberseguridad

Consultoría a medida en ciberseguridad para PYMEs. Primera sesión sin coste.

Agendar sesión →