Requisitos del Delegado de Protección de Datos por País (2026)
Un Delegado de Protección de Datos (DPD, comúnmente conocido también por sus siglas en inglés, DPO) es un profesional de cumplimiento designado que la ley exige en decenas de jurisdicciones en todo el mundo. Conforme al Reglamento General de Protección de Datos de la UE (RGPD), los artículos 37 a 39 establecen las reglas fundacionales que la mayoría de los marcos nacionales han adoptado o adaptado desde entonces. Esta guía explica quién debe designar un DPD, qué exige el cargo, y cómo varía la obligación entre los principales regímenes globales a mayo de 2026.
Información verificada por última vez el 19/05/2026. Este artículo aún no ha sido revisado por un abogado habilitado.
Alcance jurisdiccional: Este artículo cubre los requisitos de DPD y equivalentes al DPD conforme al RGPD de la UE, el RGPD del Reino Unido, y leyes nacionales de privacidad seleccionadas en Brasil, China, India, Corea del Sur, Singapur, Malasia, Tailandia, Sudáfrica, los EAU (PDPL federal, DIFC, ADGM), Indonesia y Vietnam. Las leyes se citan según su vigencia al 19/05/2026.
¿Qué es un Delegado de Protección de Datos?
Un Delegado de Protección de Datos es una persona designada por una organización para actuar como la autoridad interna en materia de cumplimiento de la protección de datos. El artículo 39 del RGPD define las tareas centrales del DPD: informar y asesorar al responsable y al encargado del tratamiento (y a sus empleados) sobre las obligaciones de protección de datos; supervisar el cumplimiento del RGPD y de las políticas propias del responsable; asesorar sobre las evaluaciones de impacto relativas a la protección de datos (EIPD); cooperar con la autoridad de control; y actuar como punto de contacto para los titulares de los datos y la autoridad de control.
El concepto ganó tracción global después de que el RGPD entrara en vigor el 25 de mayo de 2018. Los reguladores de Sudamérica, Asia y África han incorporado desde entonces requisitos equivalentes al DPD en sus estatutos nacionales de privacidad, aunque los desencadenantes específicos, las calificaciones y las líneas de reporte difieren sustancialmente según la jurisdicción.
No todas las organizaciones necesitan un DPD. La obligación suele depender del tipo de datos tratados, la escala de las actividades de tratamiento, y si la organización es un organismo público. Para las organizaciones multinacionales, pueden surgir obligaciones superpuestas simultáneamente bajo dos o más regímenes.
Las reglas del DPD en el RGPD: artículos 37, 38 y 39
El RGPD establece el marco fundacional del DPD que la mayoría de las demás jurisdicciones han utilizado como referencia. Los artículos 37 a 39 del Reglamento (UE) 2016/679 establecen los desencadenantes de designación, las calificaciones, los requisitos operativos y las tareas.
Los tres desencadenantes obligatorios de designación (artículo 37)
Conforme al artículo 37(1) del RGPD, un responsable o encargado del tratamiento debe designar un DPD cuando se cumpla cualquiera de estas tres condiciones:
Desencadenante 1: autoridad u organismo público. El tratamiento lo lleva a cabo una autoridad u organismo público, salvo los tribunales en el ejercicio de su función judicial. Esto abarca los departamentos gubernamentales, los municipios, las universidades públicas, las empresas estatales y entidades similares en toda la UE y el EEE.
Desencadenante 2: seguimiento habitual y sistemático a gran escala. Las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, por su naturaleza, alcance o fines, requieren una observación habitual y sistemática de los titulares de los datos a gran escala. Las directrices del GT29 (WP243rev.01, respaldadas por el CEPD) citan como ejemplos el rastreo por geolocalización mediante aplicaciones móviles y el monitoreo sistemático mediante CCTV de espacios públicos. El RGPD no define "gran escala" mediante un número preciso; las directrices del GT29 instruyen a los responsables a considerar el número de titulares de datos, el volumen de datos, el alcance geográfico, la duración y la naturaleza del tratamiento. Un solo hospital que trata datos de salud de su población de pacientes califica; un médico independiente que atiende a pacientes individuales no.
Desencadenante 3: tratamiento a gran escala de datos de categorías especiales o de naturaleza penal. Las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos conforme al artículo 9 (incluidos el origen racial o étnico, los datos de salud, los datos biométricos y los datos relativos a la orientación sexual) o de datos personales relativos a condenas e infracciones penales conforme al artículo 10.
El concepto de "actividades principales" es fundamental. El CEPD aclara que se refiere a las operaciones comerciales primarias, no a las funciones de apoyo accesorias. Una aseguradora que trata datos de salud para evaluar el riesgo realiza una actividad principal; un despacho de abogados que trata datos de nómina de sus empleados no, aunque la nómina involucre datos personales.
"El concepto de 'actividades principales' puede interpretarse como las operaciones clave necesarias para alcanzar los objetivos del responsable o del encargado. Por ejemplo, un hospital no puede prestar atención médica sin tratar los datos de salud de los pacientes, por lo que el tratamiento de estos datos constituye una actividad principal." -- GT29, Directrices sobre los Delegados de Protección de Datos (WP243rev.01), 5 de abril de 2017
Calificaciones del DPD (artículo 37(5))
El artículo 37(5) del RGPD exige que el DPD posea "conocimientos especializados en derecho y práctica en materia de protección de datos". No se exige ningún título académico ni certificación profesional específicos a nivel de la UE. El nivel de experiencia requerido escala con la complejidad de las operaciones de tratamiento de datos de la organización. Para un responsable a gran escala de datos sensibles, se espera un alto nivel de conocimiento especializado. Para un organismo público más pequeño con un tratamiento sencillo, basta un nivel proporcional de conocimiento.
En la práctica, certificaciones como la CIPP/E (Certified Information Privacy Professional/Europe) y la CIPM (Certified Information Privacy Manager) de la Asociación Internacional de Profesionales de la Privacidad (IAPP) se consideran ampliamente como evidencia de la experiencia requerida, aunque siguen siendo voluntarias conforme al derecho de la UE.
Posición e independencia (artículo 38)
El artículo 38 establece los requisitos operativos que protegen la independencia del DPD:
- El DPD debe participar de manera adecuada y oportuna en todas las cuestiones relativas a la protección de datos personales.
- El responsable y el encargado del tratamiento deben apoyar al DPD proporcionando los recursos necesarios para desempeñar sus tareas, mantener sus conocimientos especializados, y acceder a los datos personales y a las operaciones de tratamiento.
- El DPD debe reportar directamente al nivel más alto de dirección del responsable o del encargado.
- El DPD no puede ser destituido ni sancionado por desempeñar sus tareas.
- El DPD puede cumplir otras funciones, pero no debe existir conflicto de interés.
El requisito de ausencia de conflicto de interés ha sido objeto de importantes acciones de aplicación. El CEPD confirma que los cargos que determinan las finalidades y los medios del tratamiento de datos entran inherentemente en conflicto con el cargo de DPD. Esto incluye: director ejecutivo, director de operaciones, director de tecnología, jefe de TI, jefe de recursos humanos, jefe de marketing y, en la mayoría de los contextos, jefe del departamento legal (cuando el asesor legal asesora sobre las mismas decisiones de tratamiento que el DPD debe supervisar de manera independiente).
En 2025, la autoridad polaca de protección de datos (UODO) impuso una multa administrativa de 132.000 euros a una organización por una posición inadecuada del DPD, incluido un conflicto de interés derivado de que el DPD ocupaba simultáneamente funciones de cumplimiento, auditoría y gestión de riesgos (Decisión de la UODO, 2025). El Comisionado de Berlín para la Protección de Datos multó por separado a un grupo minorista con 525.000 euros por una infracción comparable del artículo 38(6).
Las tareas del DPD (artículo 39)
El artículo 39 define cinco categorías de tareas obligatorias:
- Informar y asesorar al responsable, al encargado y a sus empleados sobre sus obligaciones de protección de datos conforme al RGPD y a otras disposiciones del derecho de la UE o de los Estados miembros en materia de protección de datos.
- Supervisar el cumplimiento, incluida la asignación de responsabilidades, la sensibilización, la formación del personal que participa en las operaciones de tratamiento, y las auditorías relacionadas.
- Ofrecer asesoramiento, cuando se le solicite, sobre las EIPD y supervisar su ejecución conforme al artículo 35.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control sobre cuestiones de tratamiento y consultarla cuando resulte apropiado.
Sanciones por incumplimiento en materia de DPD (artículo 83(4))
El incumplimiento de designar un DPD requerido, la interferencia con la independencia del DPD, o la falta de publicación de los datos de contacto del DPD, quedan comprendidos en el artículo 83(4)(a), que permite multas de hasta 10 millones de euros o el 2% de la facturación mundial anual total del ejercicio anterior, lo que sea mayor.
Las directrices del CEPD sobre el DPD y la acción coordinada de aplicación de 2024
Las Directrices del GT29 sobre los Delegados de Protección de Datos (WP243rev.01), adoptadas en diciembre de 2016 y revisadas en abril de 2017, siguen siendo la autoridad interpretativa principal sobre los artículos 37 a 39. El CEPD respaldó estas directrices en su primera reunión plenaria en mayo de 2018.
En enero de 2024, el CEPD publicó el informe de su Acción Coordinada de Aplicación de 2023 (CEF 2023) sobre la designación y posición del DPD. La investigación involucró a 25 autoridades de protección de datos en todo el EEE, que revisaron más de 17.000 respuestas de organizaciones y DPD de los sectores privado y público. Los hallazgos clave incluyeron:
- Un número significativo de organizaciones obligadas a designar un DPD no lo había hecho.
- Muchos DPD designados carecían del conocimiento especializado suficiente para la complejidad del tratamiento que supervisaban.
- Los DPD reportaron con frecuencia recursos insuficientes: tiempo, presupuesto y personal inadecuados.
- La independencia inadecuada seguía siendo generalizada, con algunos DPD reportando presión por parte de la dirección para modificar las evaluaciones de cumplimiento.
- Los DPD no siempre participaban desde el inicio de nuevos proyectos de tratamiento de datos.
El CEPD recomendó que las autoridades de protección de datos aumenten las actividades de sensibilización y la aplicación dirigida. El informe completo está disponible en edpb.europa.eu.
Variaciones entre los Estados miembros de la UE
Aunque el RGPD establece un piso mínimo, los Estados miembros pueden imponer requisitos adicionales mediante legislación nacional de implementación.
Alemania. La Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, BDSG), artículo 38, exige la designación de un DPD para cualquier organización que emplee habitualmente al menos a 20 personas dedicadas al tratamiento automatizado de datos personales. Este umbral es sustancialmente más bajo que el estándar de gran escala del RGPD y abarca a muchas pequeñas y medianas empresas.
Francia. La CNIL recomienda una adopción amplia del DPD, pero no agrega desencadenantes obligatorios de designación más allá del RGPD. Francia registró más de 80.000 DPD ante la CNIL para 2024, lo que refleja una sólida adopción institucional del cargo.
Rumania. La Autoridad Nacional de Supervisión (ANSPDCP) exige que los DPD posean calificaciones formales reconocidas por la autoridad, lo que convierte a Rumania en uno de los pocos Estados miembros de la UE que impone un requisito de facto de certificación.
Polonia. La autoridad polaca de protección de datos (UODO) exige la notificación de la designación del DPD dentro de los 14 días y publica un registro público. En 2025, la UODO impuso una multa de 5.814 euros por no designar a un DPD y por no publicar los datos de contacto del DPD (Decisión de la UODO, 2025).
Reino Unido (RGPD del Reino Unido y DPA 2018)
Desde el Brexit, el Reino Unido opera conforme al RGPD del Reino Unido y a la Ley de Protección de Datos de 2018 (DPA 2018). Los desencadenantes de designación del DPD reflejan la estructura tripartita del artículo 37 del RGPD de la UE. La Oficina del Comisionado de Información (ICO) ofrece orientación en ico.org.uk.
El Proyecto de Ley de Protección de Datos e Información Digital, presentado en 2023, proponía reemplazar el requisito obligatorio de DPD por un modelo más flexible de "persona senior responsable" (SRI). A mayo de 2026, el Proyecto de Ley no ha sido sancionado, y el requisito de DPD del RGPD del Reino Unido sigue vigente.
Requisitos equivalentes al DPD en otras jurisdicciones
Brasil (LGPD) -- Encargado
La Ley General de Protección de Datos de Brasil (LGPD), Ley 13.709/2018, vigente desde septiembre de 2020, exige a todo responsable del tratamiento designar un encargado conforme al artículo 41. A diferencia del RGPD, la obligación de Brasil se aplica a todos los responsables sin importar su tamaño o tipo de tratamiento. El encargado recibe reclamaciones de los titulares de los datos, brinda información a los titulares de los datos y a la ANPD, coopera con la ANPD, y orienta los esfuerzos internos de cumplimiento.
La Resolución CD/ANPD N.º 2 de enero de 2022 de la ANPD flexibilizó la obligación para las pequeñas empresas y microempresas clasificadas conforme al derecho brasileño, permitiendo una designación voluntaria en lugar de obligatoria. No se prescriben calificaciones específicas. El cargo puede ser desempeñado por una persona física o por una organización externa; no existe un requisito de presencia local.
China (PIPL) -- Responsable de la Protección de la Información Personal
La Ley de Protección de la Información Personal de China (PIPL), vigente desde el 1 de noviembre de 2021, exige a las organizaciones que tratan información personal de más de 1 millón de personas designar a un responsable de la protección de la información personal conforme al artículo 52. El responsable debe estar radicado en China, o la organización debe establecer una entidad dedicada o designar a un representante dentro de China. El nombre y los datos de contacto del responsable deben divulgarse públicamente e informarse al departamento correspondiente de la Administración del Ciberespacio de China (CAC).
Las sanciones por infracciones, incluida la falta de designación de un responsable, pueden alcanzar los 50 millones de yuanes (aproximadamente 7 millones de dólares estadounidenses) o el 5% de la facturación del año anterior, lo que sea mayor.
India (DPDPA 2023) -- DPD para los Fiduciarios de Datos Significativos
La Ley de Protección de Datos Personales Digitales de India, 2023 (DPDPA), promulgada el 11 de agosto de 2023, exige a los "Fiduciarios de Datos Significativos" (FDS) designar un Delegado de Protección de Datos radicado en India conforme a la sección 10(2)(a). Las Reglas DPDP, notificadas por el MeitY el 13 de noviembre de 2025 y vigentes de manera progresiva entre 2026 y 2027, definen los criterios de FDS y las responsabilidades del DPD.
Los FDS son clasificados por el gobierno según el volumen de datos personales tratados, la sensibilidad de los datos, el riesgo para los titulares de los datos, las consideraciones de seguridad nacional, y el impacto potencial sobre los derechos de los titulares de los datos. El DPD debe ser un funcionario superior del FDS radicado en India, debe reportar a la junta directiva, y actúa como punto de contacto con la Junta de Protección de Datos de India. Los FDS también deben realizar EIPD periódicas y designar un auditor de datos independiente. La multa máxima por incumplimiento es de 250 crore de rupias (aproximadamente 30 millones de dólares estadounidenses).
Singapur (PDPA) -- DPD universal y obligatorio
La Ley de Protección de Datos Personales de Singapur de 2012 (PDPA), administrada por la Comisión de Protección de Datos Personales (PDPC), exige a toda organización sujeta a la PDPA designar al menos a una persona como su DPD conforme a la sección 11(3). No existe un umbral mínimo de tratamiento. La obligación se extiende a las sociedades controladoras, las empresas inactivas, y las organizaciones que cesan operaciones mientras continúan tratando datos personales.
Desde el 1 de junio de 2025, la PDPC exige a las organizaciones notificarle los datos de contacto de su DPD. La ley no exige calificaciones específicas, aunque el DPD debe poseer un conocimiento adecuado de la PDPA para orientar eficazmente a la organización.
Malasia (PDPA, enmendada en 2024)
La Ley de Protección de Datos Personales de Malasia de 2010 (PDPA) fue enmendada sustancialmente por la Ley de Protección de Datos Personales (Enmienda) de 2024. La enmienda hace obligatoria la designación de un DPD para los responsables y encargados del tratamiento que traten grandes volúmenes de datos personales, manejen datos personales sensibles, o realicen un seguimiento habitual y sistemático de personas. La enmienda entró en vigor por etapas entre enero y junio de 2025.
Requisitos clave: el DPD debe ser residente de Malasia durante al menos 180 días al año; debe notificarse al Comisionado sobre la designación del DPD; el DPD asesora sobre las obligaciones de la PDPA, supervisa el cumplimiento, realiza evaluaciones de impacto, y actúa como punto de contacto con el Comisionado. Se permiten servicios externos de DPD siempre que se cumpla el requisito de residencia.
Corea del Sur (PIPA) -- CPO y la enmienda de 2026 sobre responsabilidad del CEO
La Ley de Protección de la Información Personal de Corea del Sur (PIPA), enmendada de manera significativa en 2023, exige a todos los responsables y encargados de información personal designar a un Director de Privacidad (CPO) conforme al artículo 31. El CPO debe tener autoridad de decisión dentro de la organización. Las instituciones públicas deben designar al CPO a nivel de funcionario ejecutivo senior. El nombre, el departamento y los datos de contacto del CPO deben divulgarse públicamente.
El 12 de febrero de 2026, la Asamblea Nacional aprobó una nueva enmienda a la PIPA, promulgada el 10 de marzo de 2026 y vigente desde el 11 de septiembre de 2026. La enmienda de 2026: designa al director ejecutivo o al representante del negocio como el "responsable último de la protección de datos"; exige que la designación, reasignación o remoción del CPO se realice mediante resolución formal de la junta directiva con notificación a la Comisión de Protección de la Información Personal (PIPC) para organizaciones por encima de un umbral de tamaño; exige que el CPO reporte directamente tanto al CEO como a la junta directiva; e introduce un tope de sanción agravada del 10% de la facturación total para infracciones reiteradas o graves.
Tailandia (PDPA)
La Ley de Protección de Datos Personales de Tailandia B.E. 2562 (2019), plenamente vigente desde el 1 de junio de 2022, exige la designación de un DPD para las autoridades públicas, las organizaciones que realizan un seguimiento habitual y sistemático a gran escala, y las organizaciones cuyas actividades principales involucran el tratamiento de datos personales sensibles (secciones 41 a 42 de la PDPA). La Notificación de la PDPC sobre la Designación de Delegados de Protección de Datos, vigente desde el 13 de diciembre de 2023, ofrece orientación detallada de implementación.
Una notificación de la Gaceta Real del 9 de octubre de 2025 extendió los requisitos obligatorios de DPD a todos los organismos estatales. El DPD puede ser un empleado o un contratista externo. Los datos de contacto del DPD deben proporcionarse a la PDPC. En marzo de 2026, la PDPC abrió una consulta pública sobre directrices actualizadas de la PDPA, con las obligaciones del DPD entre las áreas prioritarias.
Sudáfrica (POPIA) -- Funcionario de Información
La Ley de Protección de la Información Personal 4 de 2013 de Sudáfrica (POPIA), plenamente vigente desde el 1 de julio de 2021, exige que todo responsable registre un Funcionario de Información ante el Regulador de Información conforme a la sección 56. Para las organizaciones del sector privado, el titular de la organización es el Funcionario de Información por defecto. Puede designarse un Funcionario de Información Adjunto para las funciones diarias de cumplimiento. Todos los Funcionarios de Información y Funcionarios de Información Adjuntos deben registrarse en el registro público del Regulador de Información. Las sanciones por incumplimiento incluyen multas de hasta 10 millones de rand (aproximadamente 550.000 dólares estadounidenses) y prisión de hasta 10 años.
EAU (PDPL federal, DIFC, ADGM)
Los Emiratos Árabes Unidos cuentan con tres marcos de protección de datos superpuestos pero distintos, con diferentes requisitos de DPD:
PDPL federal. El Decreto-Ley Federal N.º 45 de 2021 de los EAU (PDPL) exige a los responsables designar un DPD cuando: el tratamiento implica el manejo sistemático a gran escala de datos personales sensibles; el tratamiento plantea un alto riesgo para la privacidad y la confidencialidad de los datos personales; o el tratamiento implica la elaboración de perfiles a gran escala, sensible o sistemáticamente automatizada. Una vez designado, el responsable o el encargado debe notificar a la Oficina de Datos de los EAU los datos de contacto del DPD. El DPD puede ser un empleado interno o un proveedor de servicios externo.
DIFC. El Centro Financiero Internacional de Dubái opera conforme a la Ley DIFC N.º 5 de 2020 (Ley de Protección de Datos). La designación de un DPD es obligatoria para los organismos del DIFC y para cualquier responsable o encargado que realice Actividades de Tratamiento de Alto Riesgo de manera sistemática o habitual. El DPD debe residir en los EAU, salvo que la persona esté empleada dentro del grupo de la organización y desempeñe una función equivalente a nivel internacional. La organización debe publicar los datos de contacto del DPD. Los Reglamentos de Protección de Datos enmendados, promulgados en septiembre de 2023, alinearon aún más el marco con los estándares internacionales.
ADGM. El Mercado Global de Abu Dabi opera conforme a los Reglamentos de Protección de Datos del ADGM de 2021. Debe designarse un DPD para las empresas cuyas actividades principales involucren el tratamiento habitual y sistemático de datos personales a gran escala, o el tratamiento a gran escala de categorías especiales de datos personales. El responsable o el encargado debe notificar al Comisionado de Protección de Datos del ADGM la designación del DPD dentro del mes siguiente a su nombramiento.
Indonesia (Ley PDP 2022)
La Ley N.º 27 de 2022 de Indonesia sobre Protección de Datos Personales entró en vigor plena el 17 de octubre de 2024. El artículo 53 exige la designación de un DPD cuando el tratamiento se realiza en interés de servicios públicos, cuando las actividades principales requieren un seguimiento habitual y sistemático de datos personales a gran escala, o cuando las actividades principales involucran el tratamiento a gran escala de categorías especiales de datos personales.
En julio de 2025, la Corte Constitucional de Indonesia (Decisión N.º 151/PUU-XXII/2024) emitió un fallo que amplió el alcance de la designación obligatoria del DPD más allá de los umbrales estatutarios iniciales, aunque los reglamentos de implementación que definen los criterios revisados siguen pendientes a mayo de 2026.
Vietnam (Ley PDPL 2025)
La Ley N.º 91/2025/QH15 de Vietnam sobre Protección de Datos Personales, promulgada el 26 de junio de 2025 y vigente desde el 1 de enero de 2026, exige a los responsables y encargados designar un departamento o personal interno de protección de datos, o contratar proveedores externos de servicios de protección de datos. Las empresas emergentes, las pequeñas empresas, los hogares comerciales y las microempresas están exentos de este requisito y de las obligaciones de evaluación de impacto de la protección de datos.
Requisitos de DPD a nivel global: tabla comparativa
| Jurisdicción | Ley | Título del cargo | Quién debe designar | ¿Se exige presencia local? | ¿Se permite el DPD externo? | Sanción máxima |
|---|---|---|---|---|---|---|
| UE/EEE | RGPD, art. 37 | Delegado de Protección de Datos | Organismos públicos; seguimiento sistemático a gran escala; tratamiento a gran escala de datos especiales | No (debe ser accesible) | Sí | 10 millones de euros / 2% de la facturación |
| Alemania | BDSG, art. 38 | Delegado de Protección de Datos | 20 o más personas en tratamiento automatizado (además de los desencadenantes del RGPD) | No | Sí | 10 millones de euros / 2% de la facturación |
| Reino Unido | RGPD del Reino Unido / DPA 2018 | Delegado de Protección de Datos | Igual que el RGPD (se propuso el modelo SRI, no sancionado) | No | Sí | 17,5 millones de libras / 4% de la facturación |
| Brasil | LGPD, art. 41 | Encargado | Todos los responsables (exención para PYME vía Resolución ANPD 2/2022) | No | Sí | 2% de la facturación (tope de 50 millones de reales/infracción) |
| China | PIPL, art. 52 | Responsable de la Protección de la IP | Responsables que tratan datos de 1 millón o más de personas | Sí | No (se espera un interno) | 50 millones de yuanes / 5% de la facturación |
| India | DPDPA, s. 10 / Reglas DPDP 2025 | Delegado de Protección de Datos | Fiduciarios de Datos Significativos (umbrales en las Reglas) | Sí (radicado en India) | No (funcionario senior del FDS) | 250 crore de rupias (~30 millones USD) |
| Singapur | PDPA, s. 11(3) | Delegado de Protección de Datos | Todas las organizaciones que traten datos personales | No | Sí | 1 millón SGD |
| Malasia | PDPA (enmendada 2024) | Delegado de Protección de Datos | Responsables y encargados con gran volumen/datos sensibles/seguimiento sistemático | Sí (residente 180 días/año) | Sí (si se cumple la residencia) | 1 millón MYR / posible prisión |
| Corea del Sur | PIPA, art. 31 (enmiendas 2023 y 2026) | Director de Privacidad | Todos los responsables y encargados de IP | No | No (interno, con autoridad de decisión) | 10% de la facturación total (enmienda 2026) |
| Tailandia | PDPA, ss. 41-42 / Notificación dic. 2023 | Delegado de Protección de Datos | Organismos públicos; seguimiento a gran escala; tratamiento de datos sensibles | No | Sí | 5 millones THB (~140.000 USD) |
| Sudáfrica | POPIA, s. 56 | Funcionario de Información | Todos los responsables | No | Puede designarse un Funcionario Adjunto | 10 millones ZAR / 10 años de prisión |
| EAU (federal) | PDPL / Regl. Ejec. | Delegado de Protección de Datos | Tratamiento de alto riesgo o sensible a gran escala | No | Sí | Pendiente de reglamentos secundarios |
| DIFC | Ley DPL del DIFC N.º 5/2020 | Delegado de Protección de Datos | Organismos del DIFC; entidades con Tratamiento de Alto Riesgo | Sí (residente en los EAU, excepción de grupo) | Sujeto a la Ley | Acción regulatoria del Comisionado del DIFC |
| ADGM | Regl. de PD del ADGM 2021 | Delegado de Protección de Datos | Tratamiento sistemático a gran escala o de datos especiales | No | Sujeto a los Reglamentos | Acción regulatoria del Comisionado del ADGM |
| Indonesia | Ley PDP N.º 27/2022, art. 53 | Delegado de Protección de Datos | Servicio público; seguimiento a gran escala; tratamiento a gran escala de datos especiales | No | Pendiente de Reglamentos | 60.000 millones IDR (~3,7 millones USD) / 6 años de prisión |
| Vietnam | Ley PDPL N.º 91/2025 | Personal/Departamento de Protección de Datos | Todos los responsables/encargados (exención PYME) | No | Sí (proveedores externos) | Pendiente de reglamentos secundarios |
| Japón | APPI | No se exige un DPD formal | N/A (mejor práctica voluntaria) | N/A | N/A | 100 millones JPY (~670.000 USD) |
| Australia | Ley de Privacidad de 1988 | No se exige un DPD formal | N/A (voluntario; propuestas de reforma en curso) | N/A | N/A | 50 millones AUD |
| Canadá | PIPEDA / Proyecto de Ley C-27 | Funcionario de Privacidad (obligatorio bajo la CPPA propuesta) | Todas las organizaciones (la CPPA aún no sancionada) | No | N/A | 25 millones CAD / 5% de la facturación (propuesto) |
DPD interno frente a externo
La mayoría de los marcos de privacidad más importantes permiten que el cargo de DPD sea ocupado por un contratista externo o un DPD de servicio compartido, siempre que se cumplan los estándares de independencia y experiencia. El artículo 37(2) del RGPD permite explícitamente que un grupo empresarial designe a un único DPD, siempre que esa persona sea "fácilmente accesible desde cada establecimiento".
Los servicios externos de DPD están disponibles comercialmente en la mayoría de las jurisdicciones y son populares entre las pequeñas y medianas empresas. Conforme al RGPD, la LGPD y la PDPA de Tailandia, un DPD externo debe cumplir los mismos requisitos de independencia que uno interno: no puede asesorar simultáneamente sobre las decisiones de tratamiento que se supone debe supervisar, y la organización sigue siendo plenamente responsable del cumplimiento.
Las jurisdicciones que exigen una designación interna incluyen: China (el responsable debe ser una persona interna con autoridad dentro de la organización), Corea del Sur (el CPO debe tener autoridad interna de decisión), e India (el DPD debe ser un funcionario senior del propio FDS).
Atención: utilizar un despacho de abogados o un consultor de privacidad de datos como DPD no satisface automáticamente los requisitos de independencia. El CEPD ha señalado que un asesor legal que también brinda recomendaciones de tratamiento al mismo cliente puede tener un conflicto de interés. Mantenga una separación clara del alcance de trabajo entre los servicios de asesoría y las funciones de supervisión del DPD al utilizar proveedores externos.
Cómo designar y posicionar eficazmente a un DPD
Con base en las directrices WP243rev.01 del CEPD y en los hallazgos del informe CEF de enero de 2024, los siguientes pasos reducen el riesgo de cumplimiento:
Paso 1: determinar si la designación es obligatoria. Trace un mapa de todas las jurisdicciones en las que su organización está establecida o trata datos personales. Aplique los desencadenantes de cada jurisdicción. Documente el análisis y revíselo anualmente o cuando las operaciones cambien de manera material.
Paso 2: seleccionar a un candidato calificado. El nivel de "conocimiento experto" requerido escala con la complejidad del tratamiento de la organización. El DPD de un hospital requiere una experiencia más profunda que el de un pequeño municipio. Las certificaciones (CIPP/E, CIPM, CDPSE) son evidencia común de experiencia, pero no son legalmente exigibles conforme al derecho de la UE.
Paso 3: realizar una revisión de conflictos de interés. Identifique cada cargo que el candidato ocupa o vaya a ocupar que involucre la determinación de las finalidades o los medios del tratamiento de datos. Conforme a la enmienda de 2026 a la PIPA de Corea del Sur, la designación, reasignación o remoción del CPO requiere una resolución formal de la junta directiva. Considere mecanismos de gobernanza similares en otras jurisdicciones como mejor práctica.
Paso 4: proporcionar recursos adecuados. El informe CEF 2023 identificó la insuficiencia de recursos como el fallo operativo más común. El DPD debe contar con tiempo protegido, presupuesto, y acceso a las operaciones de tratamiento y al personal relevante. Los DPD a tiempo parcial son admisibles, pero deben disponer de tiempo suficiente para el cargo.
Paso 5: establecer líneas de reporte directas. El DPD debe reportar al nivel más alto de dirección conforme al artículo 38(3) del RGPD. Las Reglas DPDP de India y la enmienda de 2026 a la PIPA de Corea del Sur exigen por ley un reporte a nivel de la junta directiva.
Paso 6: registrar y notificar cuando se exija. Existen obligaciones de notificación en: Singapur (PDPC, desde junio de 2025), Malasia (Comisionado de la PDPA), Polonia (UODO, dentro de los 14 días), Sudáfrica (Regulador de Información), ADGM (Comisionado, dentro de un mes), y los EAU a nivel federal (Oficina de Datos de los EAU). Publique los datos de contacto del DPD en el aviso de privacidad de la organización y en su sitio web.
Novedades recientes (2024-2026)
Informe CEF 2023 del CEPD (enero de 2024). La acción coordinada de aplicación del CEPD examinó más de 17.000 respuestas de DPD y organizaciones de 25 autoridades del EEE. Identificó brechas sistémicas en los recursos e independencia de los DPD. Se recomendó a las autoridades nacionales dar seguimiento con investigaciones y aplicación específicas en 2025-2026.
La expansión de la carga de trabajo del DPD por la Ley de IA de la UE. La Ley de IA de la UE (Reglamento (UE) 2024/1689) contiene obligaciones para los sistemas de IA de alto riesgo que entran en aplicación plena el 2 de agosto de 2026. Muchas organizaciones están asignando la supervisión del cumplimiento de la IA a sus DPD existentes, particularmente para los sistemas de IA de alto riesgo que también tratan datos personales y, por lo tanto, requieren EIPD conforme al RGPD.
DPD obligatorio en Malasia (junio de 2025). La Ley de Protección de Datos Personales (Enmienda) de 2024 entró plenamente en vigor en junio de 2025, estableciendo requisitos obligatorios de DPD para los responsables y encargados que califiquen, con obligaciones de residencia y notificación.
Reglas DPDP de India (noviembre de 2025). El MeitY notificó las Reglas DPDP el 13 de noviembre de 2025, activando el marco de clasificación de FDS y la obligación de DPD para las entidades designadas. La Junta de Protección de Datos de India se estableció simultáneamente.
Enmienda de 2026 a la PIPA de Corea del Sur (vigente desde septiembre de 2026). Aprobada el 12 de febrero de 2026, promulgada el 10 de marzo de 2026. Introduce al CEO como responsable último, un requisito de resolución de la junta directiva para los cambios de CPO, un tope de sanción del 10% de la facturación para infracciones agravadas, y la certificación obligatoria ISMS-P para los grandes responsables a partir del 1 de julio de 2027.
Ley PDPL de Vietnam (enero de 2026). La primera ley independiente de protección de datos de Vietnam entró en vigor, exigiendo personal o departamentos de protección de datos en la mayoría de las organizaciones, con exenciones para las empresas emergentes y microempresas.
Fallo de la Corte Constitucional de Indonesia (julio de 2025). La Decisión N.º 151/PUU-XXII/2024 amplió los umbrales obligatorios de DPD conforme a la Ley PDP de 2022; los reglamentos de implementación que definen los criterios revisados siguen pendientes.
Notificación de DPD en Singapur (junio de 2025). La PDPC introdujo un requisito de notificación para que las organizaciones registren los datos de contacto del DPD, aumentando la responsabilidad y permitiendo un alcance supervisor específico.
Dónde aprender más
Para las organizaciones sujetas al RGPD, la referencia fundacional son las Directrices del GT29 sobre Delegados de Protección de Datos respaldadas por el CEPD (WP243rev.01), disponibles en edpb.europa.eu. Para el marco más amplio de cumplimiento del RGPD en el que se inserta la obligación del DPD, véase la lista de verificación de cumplimiento del RGPD y el centro de leyes de privacidad de datos de la UE en este sitio.
Las organizaciones que operan en múltiples jurisdicciones deben obtener asesoría de un abogado calificado en protección de datos en cada territorio relevante antes de finalizar su estructura de DPD.
Aviso legal
Este artículo ofrece información legal general sobre los requisitos del delegado de protección de datos en múltiples jurisdicciones a fecha del 19/05/2026. No constituye asesoría legal. Las leyes y regulaciones descritas cambian con frecuencia y pueden haber sido enmendadas después de la fecha de verificación. Los lectores no deben usar este artículo como sustituto de la asesoría de un abogado calificado y habilitado en las jurisdicciones específicas relevantes para sus operaciones. La lectura de este artículo no genera una relación abogado-cliente.
Autoridades citadas
- Reglamento (UE) 2016/679 (RGPD), arts. 37 a 39, 83(4). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- GT29, Directrices sobre Delegados de Protección de Datos (WP243rev.01), 5 de abril de 2017 (respaldadas por el CEPD). https://ec.europa.eu/newsroom/article29/items/612048
- CEPD, Informe CEF 2023 sobre la Designación y Posición de los DPD, 16 de enero de 2024. https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en
- Bundesdatenschutzgesetz (BDSG) 2018, art. 38. https://www.gesetze-im-internet.de/bdsg_2018/__38.html
- ICO (Reino Unido), Guía sobre Responsabilidad y Gobernanza: Delegados de Protección de Datos. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/guide-to-accountability-and-governance/accountability-and-governance/data-protection-officers/
- LGPD de Brasil, Ley 13.709/2018, art. 41. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- Resolución CD/ANPD N.º 2, 27 de enero de 2022. https://www.gov.br/anpd/pt-br
- PIPL de China, vigente desde el 1 de noviembre de 2021, art. 52. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- DPDPA 2023 de India, s. 10. https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf
- Reglas DPDP 2025 de India, notificadas el 13 de noviembre de 2025. https://www.meity.gov.in
- PDPA 2012 de Singapur (rev. 2021), s. 11(3). https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
- Ley de Protección de Datos Personales (Enmienda) 2024 de Malasia. https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-amendment-act-2024/
- PIPA de Corea del Sur, art. 31 (enmienda 2023). https://www.law.go.kr/LSW/eng/engLsSc.do?menuId=2§ion=lawNm&query=personal+information+protection&x=0&y=0
- Enmienda a la PIPA de Corea del Sur (promulgada el 10 de marzo de 2026, vigente desde el 11 de septiembre de 2026). https://iapp.org/news/a/south-korea-overhauls-pipa-and-ties-fines-to-ceo-accountability
- PDPA B.E. 2562 (2019) de Tailandia, ss. 41-42; Notificación de la PDPC sobre Designación de DPD (vigente desde el 13 de diciembre de 2023). https://www.mdes.go.th/law
- POPIA de Sudáfrica, Ley 4 de 2013, s. 56. https://www.gov.za/documents/protection-personal-information-act
- Decreto-Ley Federal N.º 45 de 2021 de los EAU (PDPL), art. 10. https://uaepdpl.com/article-10/
- Ley de Protección de Datos del DIFC N.º 5 de 2020. https://www.difc.ae/business/laws-regulations/legal-database/data-protection-law-difc-law-no-5-2020/
- Reglamentos de Protección de Datos del ADGM 2021. https://www.adgm.com/operating-in-adgm/office-of-data-protection/guidance
- Ley N.º 27 de 2022 de Indonesia sobre Protección de Datos Personales, art. 53. https://jdih.kominfo.go.id
- Ley N.º 91/2025/QH15 de Vietnam sobre Protección de Datos Personales (vigente desde el 1 de enero de 2026). https://www.ey.com/en_vn/technical/tax/tax-and-law-updates/legal-alert-july-2025-personal-data-protection-law
- UODO de Polonia, multa administrativa de 132.000 euros por posición inadecuada del DPD (2025). https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-132-000-eu-improper-positioning-dpo-and_en
- UODO de Polonia, multa administrativa de 5.814 euros por no designar a un DPD (2025). https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-5-814-eu-failure-designate-data-protection_en
- BlnBDI (Berlín), multa administrativa de 525.000 euros por conflicto de interés del DPD (art. 38(6) del RGPD). https://gdprhub.eu/index.php?title=BlnBDI_(Berlin)_-_Berlin_DPO_Conflict_of_Interest
Última actualización: 19/05/2026. Las leyes citadas reflejan su versión vigente al 19/05/2026.
Preguntas frecuentes
Conforme al RGPD, ¿cuáles son los tres desencadenantes que hacen obligatoria la designación de un DPD?
El artículo 37(1) del RGPD exige la designación de un DPD para: (1) las autoridades u organismos públicos (salvo los tribunales en el ejercicio de su función judicial); (2) los responsables o encargados cuyas actividades principales requieren un seguimiento habitual y sistemático de los titulares de datos a gran escala; y (3) los responsables o encargados cuyas actividades principales implican el tratamiento a gran escala de datos de categorías especiales (artículo 9) o de datos de condenas penales (artículo 10). Cumplir con cualquiera de estos desencadenantes hace obligatoria la designación.
¿Toda empresa necesita un Delegado de Protección de Datos?
No, no de manera universal. Conforme al RGPD, solo las organizaciones que cumplen al menos uno de los tres desencadenantes del artículo 37 deben designar un DPD. Sin embargo, la PDPA de Singapur se aplica a toda organización que trate datos personales, sin importar su tamaño. La PIPA de Corea del Sur exige la designación de un CPO por parte de todos los responsables y encargados de información personal. La POPIA de Sudáfrica exige que todos los responsables registren un Funcionario de Información. La LGPD de Brasil exige que todos los responsables designen a un encargado, sujeto a exenciones para pequeñas empresas.
¿Qué calificaciones necesita un DPD conforme al RGPD?
El artículo 37(5) exige 'conocimientos especializados en derecho y práctica en materia de protección de datos'. No se exige ningún título o certificación específicos. El nivel requerido escala con la complejidad del tratamiento. Las certificaciones CIPP/E y CIPM de la IAPP se consideran ampliamente indicadores de la experiencia requerida, pero siguen siendo voluntarias. Rumania es actualmente el único Estado miembro de la UE que impone un requisito formal de calificación mediante su derecho nacional.
¿Puede destituirse a un DPD por desempeñar sus funciones?
No. El artículo 38(3) del RGPD establece que el DPD no puede ser destituido ni sancionado por desempeñar sus tareas. Esta protección garantiza que el DPD pueda plantear inquietudes de cumplimiento sin represalias. Disposiciones similares de protección laboral aparecen en la LGPD de Brasil y en la PDPA de Tailandia. Un DPD puede ser destituido por razones totalmente ajenas a sus funciones de DPD, siempre que esas razones sean demostrablemente independientes del trabajo de cumplimiento.
¿Puede un mismo DPD prestar servicio a varias empresas de un grupo?
Sí. Conforme al artículo 37(2) del RGPD, un grupo empresarial puede designar a un único DPD siempre que sea 'fácilmente accesible desde cada establecimiento'. Esto es ampliamente utilizado por grupos multinacionales para sus operaciones en la UE. Sin embargo, la PIPL de China y la DPDPA de India exigen una persona radicada localmente, por lo que un DPD de grupo con sede en Europa no puede satisfacer esas obligaciones. Corea del Sur exige un CPO con autoridad interna de decisión, lo que limita el uso de DPD a nivel de grupo o externos.
¿Cuál es la sanción por no designar un DPD requerido conforme al RGPD?
Conforme al artículo 83(4)(a), la falta de designación de un DPD cuando se requiere puede dar lugar a multas de hasta 10 millones de euros o el 2% de la facturación mundial anual total. En 2025, la UODO polaca impuso una multa de 5.814 euros a un organismo público que no designó a un DPD, y una multa de 132.000 euros por una posición inadecuada del DPD. Sanciones en otras jurisdicciones: PIPL de China, 50 millones de yuanes o el 5% de la facturación; PIPA de Corea del Sur (enmienda de 2026), hasta el 10% de la facturación total.
¿Es un DPD personalmente responsable de las infracciones de protección de datos de la organización?
No. El RGPD y la mayoría de los demás marcos colocan la responsabilidad legal en el responsable o encargado del tratamiento, no en el DPD. El DPD asesora, supervisa y coopera, pero no autoriza personalmente las decisiones de tratamiento. El responsable sigue siendo el encargado de garantizar que se siga el asesoramiento del DPD. La responsabilidad del DPD por incumplimiento de confidencialidad o conflictos de interés personales es un asunto distinto regido por el derecho laboral y contractual nacional.
¿Qué cargos generan un conflicto de interés que impide desempeñarse como DPD?
La orientación WP243rev.01 del CEPD identifica cualquier cargo que determine las finalidades y los medios del tratamiento de datos como incompatible con el cargo de DPD. Esto suele incluir: CEO, COO, CTO, jefe de TI, jefe de recursos humanos, jefe de marketing y jefe del departamento legal. En 2025, la autoridad de Berlín multó a un grupo minorista con 525.000 euros y la UODO polaca multó con 132.000 euros por infracciones de conflicto de interés del DPD conforme al artículo 38(6) del RGPD.
¿Puede un consultor externo o un despacho de abogados desempeñarse como DPD?
Sí, conforme al RGPD, la LGPD de Brasil y la PDPA de Tailandia, la función de DPD puede externalizarse a un proveedor de servicios externo, siempre que el proveedor cumpla los mismos estándares de independencia y experiencia que un DPD interno. Malasia permite la externalización sujeta al requisito de residencia de 180 días. La PIPL de China y la PIPA de Corea del Sur esperan una persona interna con autoridad organizacional. Un despacho de abogados que también asesora al mismo cliente sobre decisiones de tratamiento debe mantener una estricta separación de alcance para evitar conflictos.
¿Qué exige la enmienda de 2024 a la PDPA de Malasia respecto de los DPD?
La Ley de Protección de Datos Personales (Enmienda) de 2024, vigente desde junio de 2025, exige a los responsables y encargados que tratan grandes volúmenes de datos personales, manejan datos personales sensibles, o realizan un seguimiento habitual y sistemático, designar a un DPD. El DPD debe ser residente de Malasia durante al menos 180 días al año. La designación debe notificarse al Comisionado de Protección de Datos Personales. Se permiten DPD externos si se cumple el requisito de residencia.
¿Qué cambia la enmienda de 2026 a la PIPA de Corea del Sur para los DPD?
La enmienda, aprobada el 12 de febrero de 2026 y vigente desde el 11 de septiembre de 2026, designa al CEO o al representante del negocio como el responsable último de la protección de datos. La designación, reasignación o remoción del CPO ahora requiere una resolución formal de la junta directiva y debe informarse a la PIPC para las organizaciones que califiquen. El CPO debe reportar directamente tanto al CEO como a la junta directiva. Las sanciones por infracciones reiteradas o graves aumentan hasta el 10% de la facturación total.
Fuentes y referencias
- RGPD, Reglamento (UE) 2016/679, arts. 37-39, 83(4)(eur-lex.europa.eu).gov
- Directrices del GT29 sobre Delegados de Protección de Datos (WP243rev.01)(ec.europa.eu).gov
- Informe CEF 2023 del CEPD sobre DPD, enero de 2024(edpb.europa.eu).gov
- Alemania, BDSG artículo 38 - Delegados de Protección de Datos(gesetze-im-internet.de).gov
- Guía de la ICO del Reino Unido sobre Delegados de Protección de Datos(ico.org.uk).gov
- LGPD de Brasil, artículo 41(planalto.gov.br).gov
- PIPL de China, artículo 52(npc.gov.cn).gov
- DPDPA 2023 de India, sección 10(meity.gov.in).gov
- Ley de Protección de Datos Personales (Enmienda) 2024 de Malasia(pdp.gov.my).gov
- PIPA de Corea del Sur, artículo 31(law.go.kr).gov
- Enmienda de 2026 a la PIPA de Corea del Sur(iapp.org)
- PDPA de Tailandia, secciones 41-42(mdes.go.th).gov
- POPIA de Sudáfrica, sección 56(gov.za).gov
- PDPL de los EAU, artículo 10(uaepdpl.com)
- Ley de Protección de Datos del DIFC N.º 5 de 2020(difc.ae).gov
- Guía de la Oficina de Protección de Datos del ADGM(adgm.com).gov
- PDPA de Singapur, sección 11(3)(pdpc.gov.sg).gov
- Multa de la UODO polaca de 132.000 euros por posición inadecuada del DPD (2025)(edpb.europa.eu).gov
- Multa de la UODO polaca de 5.814 euros por no designar a un DPD (2025)(edpb.europa.eu).gov
- Multa de la autoridad de Berlín de 525.000 euros por conflicto de interés del DPD(gdprhub.eu)