Requisitos del DPO del RGPD: ¿Necesitas un Delegado de Protección de Datos? (2026)

Los artículos 37-39 del RGPD exigen a ciertos responsables y encargados del tratamiento designar a un Delegado de Protección de Datos (DPO). La obligación es imperativa en tres escenarios: eres una autoridad u organismo público; tus actividades principales requieren una observación habitual y sistemática de personas a gran escala; o tus actividades principales implican el tratamiento a gran escala de datos de categoría especial o de condenas penales.
¿Cuándo Es Obligatorio un DPO? Los Tres Motivos del Artículo 37(1)
El artículo 37(1) del Reglamento (UE) 2016/679 establece tres condiciones, cualquiera de las cuales activa la obligación de designar a un DPO. Cumplir un único motivo es suficiente.
| Motivo | Artículo | Ejemplo Representativo |
|---|---|---|
| Autoridad u organismo público (salvo los tribunales que actúen en ejercicio de su función judicial) | Art. 37(1)(a) | Una agencia tributaria nacional, un gobierno municipal, una universidad pública, un hospital estatal |
| Las actividades principales requieren la observación habitual y sistemática de interesados a gran escala | Art. 37(1)(b) | Una red publicitaria en internet, un proveedor de telecomunicaciones que rastrea registros de llamadas, un banco que realiza evaluación crediticia |
| Las actividades principales consisten en el tratamiento a gran escala de datos de categoría especial (art. 9) o de datos de condenas penales (art. 10) | Art. 37(1)(c) | Una cadena hospitalaria que trata registros de salud de pacientes, una empresa de seguridad privada que trata verificaciones de antecedentes penales a gran escala |
El considerando 97 confirma este marco y añade que el nivel requerido de conocimientos especializados del DPO debe corresponderse con la complejidad de las operaciones de tratamiento.
Motivo Uno: Autoridad u Organismo Público (Artículo 37(1)(a))
Toda autoridad u organismo público debe designar a un DPO, con independencia de la escala o sensibilidad de su tratamiento. El motivo es incondicional: no existe umbral de volumen, ni categoría de datos particular, ni tipo específico de actividad exigido.
La exclusión expresa cubre a los tribunales que actúan en ejercicio de su función judicial. El considerando 20 explica que la independencia judicial exige que las autoridades de control no examinen directamente la gestión de casos de los tribunales. Las demás funciones administrativas de los tribunales (nómina, recursos humanos, gestión de edificios) siguen sujetas al RGPD; esas actividades quedan fuera de la exención de función judicial.
Lo que cuenta como autoridad pública depende del derecho nacional de cada Estado miembro de la UE. Los departamentos del gobierno central, las autoridades regionales y locales, los organismos reguladores, los medios de radiodifusión pública financiados por el Estado, las universidades públicas financiadas con fondos públicos y los hospitales públicos son los casos paradigmáticos. Los organismos mixtos público-privados y las empresas de propiedad estatal pueden o no calificar según el derecho constitucional y administrativo del Estado miembro pertinente.
Motivo Dos: Observación Habitual y Sistemática a Gran Escala (Artículo 37(1)(b))
El Motivo Dos se aplica a los responsables y encargados del tratamiento cuyas actividades principales requieren una observación habitual y sistemática de interesados a gran escala. Ambos elementos requieren un análisis detenido: "observación habitual y sistemática" y "gran escala" son calificaciones distintas.
Qué Significa "Observación Habitual y Sistemática"
El antiguo Grupo de Trabajo del Artículo 29 (WP29), cuyas directrices fueron adoptadas por el Comité Europeo de Protección de Datos (CEPD) el 25 de mayo de 2018, abordó esto en WP243 rev.01. "Habitual" significa continuo, recurrente a intervalos fijos, o que ocurre de forma constante o periódica. "Sistemático" significa que ocurre conforme a un sistema, preconcebido o metódico, o que se realiza como parte de un plan general de recopilación de datos.
Ejemplos de WP29 de observación habitual y sistemática: la explotación de una red de telecomunicaciones; la prestación de servicios de internet; el rastreo de datos de ubicación desde aplicaciones móviles; los programas de fidelización con análisis conductual; el tratamiento de datos biométricos para control de acceso; la videovigilancia de personas en espacios públicos; la publicidad conductual; y el rastreo a través de dispositivos conectados.
Qué Significa "Gran Escala"
El RGPD no define "gran escala" de forma numérica. El considerando 91 establece que el tratamiento a gran escala pretende gestionar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y podría afectar a un gran número de interesados. Como contraejemplo, el considerando 91 señala que un único médico o abogado que trata los datos de sus pacientes o clientes no constituye un tratamiento a gran escala.
WP29 identificó cuatro factores de evaluación: el número de interesados (en términos absolutos o como proporción de la población pertinente); el volumen o la variedad de elementos de datos tratados; la duración o permanencia de la actividad; y el alcance geográfico.
El CEPD trata como gran escala: un hospital que trata datos de pacientes en el curso ordinario de sus operaciones; una empresa de transporte que trata datos de viaje en todo el sistema de transporte público de una ciudad; un procesador de geolocalización en tiempo real que cubre una red de carreteras nacional; un motor de búsqueda que trata datos para publicidad conductual a nivel mundial. No es a gran escala: un médico o especialista individual que trata registros de pacientes; un abogado individual que trata datos de clientes.
Motivo Tres: Tratamiento a Gran Escala de Datos de Categoría Especial o de Condenas Penales (Artículo 37(1)(c))
El Motivo Tres se centra en la sensibilidad de los datos, no en el tipo de observación. Se aplica cuando las actividades principales consisten en el tratamiento a gran escala de las categorías especiales enumeradas en el artículo 9(1) o de datos de condenas penales conforme al artículo 10.
El artículo 9(1) enumera ocho categorías especiales: origen racial o étnico; opiniones políticas; creencias religiosas o filosóficas; afiliación sindical; datos genéticos; datos biométricos tratados para identificar de manera unívoca a una persona; datos de salud; y datos sobre la vida sexual o la orientación sexual.
Los datos del artículo 10 se refieren a condenas e infracciones penales. La mayoría de las organizaciones que tratan datos del artículo 10 en sus actividades principales lo hacen bajo una habilitación legal específica. El requisito de gran escala sigue aplicándose; una pequeña organización benéfica que realiza una única verificación de antecedentes penales a un voluntario no activa este motivo.
Organizaciones con probabilidad de cumplir el Motivo Tres: una aseguradora médica privada que trata datos de suscripción médica de toda su base de clientes; una empresa de selección de personal que realiza verificaciones de antecedentes penales a gran escala; un servicio de pruebas genéticas que trata ADN de cientos de miles de consumidores; un proveedor de control de acceso biométrico que cubre una plantilla numerosa.
El Concepto de "Actividades Principales"
Los Motivos Dos y Tres exigen ambos que el tratamiento pertinente forme parte de las "actividades principales" de la organización. El tratamiento que es accesorio o de apoyo no activa la obligación de DPO.
WP29 trazó la línea entre las funciones empresariales primarias y las funciones de apoyo, como la nómina, la gestión de TI y los recursos humanos. Un hospital trata datos de salud como actividad principal porque la atención sanitaria es su finalidad primaria. Su tratamiento de nómina, aunque implique datos personales, es accesorio y no activa el Motivo Tres.
Una empresa de seguridad que vigila centros comerciales y espacios públicos con CCTV realiza una observación habitual y sistemática como actividad principal porque la vigilancia es el servicio principal que vende. Un supermercado que instala CCTV para prevención de robos usa la vigilancia como herramienta secundaria, no como oferta primaria.
Muchas empresas medianas tratan datos personales de forma extensiva en sistemas de RR. HH., plataformas CRM y software de contabilidad, pero ninguna de esas actividades es principal en el sentido del RGPD. Un fabricante cuya actividad principal es producir bienes trata datos de empleados y clientes como funciones de apoyo. Si su actividad principal no implica una observación a gran escala ni un tratamiento a gran escala de categoría especial, no surge una obligación obligatoria de DPO conforme a los Motivos Dos o Tres.
Designación Voluntaria del DPO
El artículo 37(4) confirma que, cuando la designación no es obligatoria, las organizaciones "podrán o deberán" designar a un DPO. El lenguaje "deberán" hace referencia a posibilidades del derecho de un Estado miembro o de la Unión que exijan la designación más allá del mínimo del artículo 37(1); las organizaciones deben consultar la legislación nacional de aplicación.
El CEPD recomienda la designación voluntaria para cualquier organización que trate volúmenes significativos de datos personales, con independencia de si se cumplen los umbrales obligatorios. Un DPO voluntario puede demostrar rendición de cuentas, generar confianza regulatoria y reducir el riesgo de infracciones no detectadas.
De forma crucial, los artículos 38 y 39 se aplican en su totalidad a un DPO voluntario. Una organización no puede designar a un DPO nominal despojado de independencia o protegido de las normas de conflicto de intereses.
¿Quién Puede Ejercer Como DPO?
Cualificaciones Requeridas
El artículo 37(5) exige la designación en función de las cualidades profesionales y los conocimientos especializados en derecho de protección de datos y sus prácticas, además de la capacidad de llevar a cabo las tareas del artículo 39. No existe una cualificación o examen prescrito. La experiencia requerida es proporcional a la sensibilidad de los datos y a la complejidad del tratamiento.
WP29 identificó áreas de experiencia relevantes: las leyes nacionales y europeas de protección de datos; el sector y la materia de la organización; la infraestructura empresarial y de TI de la organización; la gestión de funciones de cumplimiento; y los marcos de transferencia internacional de datos.
Para una organización pequeña que solo recopila datos de contacto básicos para un boletín, un empleado competente con una comprensión razonable del RGPD puede ser suficiente. Para una multinacional grande que trata datos biométricos, ejecuta publicidad conductual y transfiere datos entre jurisdicciones, es apropiada una experiencia jurídica y técnica especializada.
Miembro del Personal o Proveedor de Servicios Externo
El artículo 37(6) permite expresamente que el DPO sea un miembro del personal o desempeñe la función mediante un contrato de servicios. El modelo de DPO externo ha crecido de forma significativa desde la entrada en vigor del RGPD. Los despachos de abogados, las consultoras y los proveedores especializados en privacidad ofrecen servicios de DPO compartidos o fraccionados.
Cuando el DPO es externo, el contrato de servicios debe estructurarse de forma que se cumplan los artículos 38 y 39. El DPO externo debe tener acceso genuino a las operaciones de tratamiento y a la dirección de la organización, no servir meramente como contacto nominal de cumplimiento.
DPO a Nivel de Grupo y DPO Multiautoridad
El artículo 37(2) permite a un grupo empresarial designar a un único DPO, siempre que ese DPO sea fácilmente accesible desde cada establecimiento. El artículo 37(3) permite de forma similar un único DPO para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y tamaño.
"Fácilmente accesible" es un requisito funcional. El DPO debe ser localizable por los empleados, los interesados y las autoridades de control sin dificultad indebida. WP29 identificó factores de apoyo: la comunicación clara de los datos de contacto del DPO en todo el grupo; la disponibilidad para consultas sobre cuestiones de protección de datos; y la presencia física donde ocurre un tratamiento complejo o sensible.
El artículo 37(7) exige que los responsables y encargados publiquen los datos de contacto del DPO y los comuniquen a su autoridad de control. No es necesario publicar la identidad completa, pero debe existir una dirección de contacto accesible para los interesados.
Las Tareas del DPO Conforme al Artículo 39
El artículo 39(1) enumera cinco tareas mínimas. El lenguaje "como mínimo" deja claro que el derecho de un Estado miembro, los términos de contratación del DPO, o la propia gobernanza de la organización pueden asignar responsabilidades adicionales.
Tarea Uno: Informar y Asesorar (Artículo 39(1)(a))
El DPO debe informar y asesorar al responsable, al encargado y a los empleados sobre las obligaciones del RGPD y otras disposiciones aplicables de protección de datos. Esto abarca la orientación sobre las bases lícitas de tratamiento, los mecanismos de consentimiento, los procedimientos de derechos de los interesados, la formación del personal y la estrategia de protección de datos.
El DPO informa y asesora; el DPO no decide. Conforme al artículo 38(3), el DPO no puede recibir instrucciones en el ejercicio de sus tareas, pero el responsable o el encargado conserva la autoridad decisoria sobre cómo se tratan los datos personales. El papel del DPO es garantizar que quienes toman las decisiones entiendan el panorama legal y señalar las directrices no conformes.
Tarea Dos: Supervisar el Cumplimiento (Artículo 39(1)(b))
El DPO debe supervisar el cumplimiento del RGPD, de otras disposiciones aplicables de protección de datos, y de las propias políticas de protección de datos de la organización. La supervisión implica: asignar responsabilidades de protección de datos; realizar auditorías internas; revisar los acuerdos de tratamiento y los arreglos de intercambio de datos; actualizar los registros de actividades de tratamiento; supervisar las solicitudes de derechos de los interesados; y hacer seguimiento de las medidas técnicas y organizativas de seguridad.
El artículo 39(1)(b) también hace referencia a sensibilizar y formar al personal. El DPO tiene, por tanto, una obligación permanente de mantener a la plantilla al día sobre los requisitos del RGPD a medida que evolucionan el marco regulatorio y las operaciones de tratamiento de la organización.
Tarea Tres: Asesorar Sobre las EIPD (Artículo 39(1)(c))
Cuando es probable que una nueva actividad de tratamiento entrañe un alto riesgo para los interesados, el artículo 35 exige una Evaluación de Impacto Relativa a la Protección de Datos (EIPD) antes de comenzar el tratamiento. El DPO ofrece asesoramiento sobre la EIPD y supervisa su aplicación.
Conforme al artículo 38(1), el DPO debe participar "adecuada y oportunamente" y debe ser consultado al inicio de cualquier proyecto que probablemente requiera una EIPD. El asesoramiento del DPO y la respuesta del responsable deben documentarse junto con el registro de la EIPD. El considerando 97 señala que el DPO debe ayudar a evaluar si se necesita una EIPD y a determinar cómo llevarla a cabo.
Si un responsable procede con una actividad de tratamiento de alto riesgo pese a la objeción documentada del DPO, tanto el asesoramiento del DPO como la decisión del responsable deben registrarse por escrito. Esa documentación evidencia la independencia del DPO y la rendición de cuentas del responsable conforme al artículo 5(2).
Tarea Cuatro: Cooperar con la Autoridad de Control (Artículo 39(1)(d))
El DPO debe cooperar con la autoridad de control. La cooperación incluye facilitar inspecciones e investigaciones; proporcionar información conforme a los poderes de investigación del artículo 58 de la autoridad; participar en reuniones o audiencias; y gestionar las notificaciones de violaciones de datos a la autoridad conforme al artículo 33.
Tarea Cinco: Actuar Como Punto de Contacto Para la Autoridad de Control (Artículo 39(1)(e))
El DPO actúa como punto de contacto de la autoridad de control en cuestiones relacionadas con el tratamiento y, cuando proceda, realiza la consulta previa conforme al artículo 36. La consulta previa es el mecanismo mediante el cual un responsable que no puede mitigar los riesgos identificados por la EIPD a un nivel aceptable consulta a la autoridad de control antes de comenzar el tratamiento.
La función de punto de contacto también significa que los interesados disponen de una dirección publicada para ejercer sus derechos del RGPD. El artículo 37(7) garantiza que los datos de contacto del DPO estén disponibles públicamente, y el artículo 38(4) confirma que los interesados pueden contactar al DPO en todas las cuestiones de tratamiento y de derechos.
El Enfoque Basado en el Riesgo en la Práctica
El artículo 39(2) exige al DPO, en las cinco tareas, tener en cuenta el riesgo asociado a las operaciones de tratamiento, atendiendo a su naturaleza, alcance, contexto y fines. Un enfoque proporcional y basado en el riesgo dirige la atención hacia las actividades con más probabilidad de crear altos riesgos: la elaboración de perfiles, la toma de decisiones automatizada, el tratamiento a gran escala de categorías especiales, y las transferencias transfronterizas sin garantías adecuadas.
Independencia del DPO y Protección Frente a la Destitución (Artículo 38)
No se Permiten Instrucciones
El artículo 38(3) establece que el DPO "no recibirá ninguna instrucción en lo que respecta al desempeño de dichas funciones". Esta prohibición se aplica en todos los niveles de gestión. El DPO reporta directamente al nivel más alto de dirección, lo que en la mayoría de las estructuras corporativas significa el consejo de administración o un órgano de gobierno equivalente.
Un DPO que determina que una actividad de tratamiento es ilícita no puede ser obligado a aprobarla. Un DPO que cree que la organización está subnotificando violaciones de datos no puede ser silenciado. El DPO debe ser libre de escalar sus inquietudes a la autoridad de control conforme al artículo 39(1)(d) sin necesidad de aprobación interna.
Protección Frente a la Destitución y las Sanciones
El artículo 38(3) prohíbe destituir o sancionar al DPO por desempeñar sus funciones. Un DPO que es destituido, degradado, reducido en su compensación, o sometido a otra acción adversa a causa de su función como DPO tiene una reclamación directa conforme al RGPD, y la autoridad de control puede investigar y sancionar al responsable o al encargado.
La protección se aplica tanto a los DPO empleados como a los proveedores de servicios externos. Un responsable no puede terminar el contrato de servicios del DPO como represalia por plantear inquietudes de cumplimiento. Las cláusulas contractuales que otorgan al responsable un derecho ilimitado a rescindir sin causa pueden socavar el requisito de independencia si se usan para suprimir una actividad lícita del DPO.
Recursos y Acceso
El artículo 38(2) exige al responsable y al encargado proporcionar los recursos necesarios para llevar a cabo las tareas del artículo 39 y mantener conocimientos especializados, además de acceso a los datos personales y a las operaciones de tratamiento. Los recursos incluyen tiempo, financiación para formación y desarrollo profesional, y apoyo administrativo. Para un DPO a tiempo parcial o externo, esto incluye un acceso significativo a los sistemas, la documentación y el personal.
Un DPO que no puede obtener los registros de actividades de tratamiento, asistir a las reuniones donde se toman decisiones de tratamiento, o revisar los contratos de adquisición que implican datos personales carece del acceso necesario para llevar a cabo la supervisión del artículo 39(1)(b).
Conflicto de Intereses
El artículo 38(6) permite al DPO desempeñar otras tareas y funciones, pero el responsable o el encargado debe garantizar que esas tareas no generen ningún conflicto de intereses con la función de supervisión del DPO.
Las directrices de WP29 (WP243 rev.01) identificaron funciones generalmente incompatibles con la función de DPO: CEO, COO, CFO, CMO, director de RR. HH. y director de TI o de seguridad. En las organizaciones más pequeñas donde una persona ocupa múltiples funciones, la función de DPO debe mantenerse aislada de los roles que fijan los objetivos del tratamiento.
La prueba es funcional, no nominal. Cambiar un título de puesto de "Gerente de TI" a "DPO" sin modificar las responsabilidades sustantivas no subsana el conflicto. Existe un conflicto siempre que el puesto implique determinar las finalidades y los medios del tratamiento de datos personales.
Los DPO externos enfrentan sus propios riesgos: un despacho de abogados que asesora a un cliente sobre la legalidad de una estrategia de tratamiento mientras simultáneamente actúa como DPO puede enfrentar un conflicto cuando la función de DPO exija desaconsejar esa estrategia. Las organizaciones que usan servicios de DPO externos deben confirmar que el proveedor cuenta con medidas de gobernanza para gestionar esos conflictos.
Consecuencias del Incumplimiento
Multas Conforme al Artículo 83(4)
Las infracciones de los artículos 37, 38 y 39 se encuadran en el nivel inferior de multas del RGPD conforme al artículo 83(4), que cubre las obligaciones de los artículos 8, 11, 25-39, 42 y 43. El máximo es de 10 millones de euros o el 2% de la facturación mundial anual total de la empresa correspondiente al ejercicio financiero anterior, lo que sea mayor.
Infracciones relacionadas con el DPO sancionadas habitualmente: no designar a un DPO requerido; designar a un DPO que carece de cualificaciones o independencia; asignar al DPO a un puesto en conflicto; no proporcionar recursos o acceso suficientes; y no publicar los datos de contacto del DPO.
Aplicación en la Práctica
Las autoridades de control de toda la UE han investigado y multado a organizaciones por infracciones relacionadas con el DPO. Las autoridades alemanas de protección de datos han sido particularmente activas dado que el requisito del DPO tiene sus raíces en el derecho federal alemán de protección de datos anterior al RGPD. Varias autoridades de control han tratado a los DPO designados de forma nominal, sin autoridad real, sin recursos adecuados y sin protección frente a la injerencia de la dirección, como equivalentes a no tener ningún DPO.
No publicar los datos de contacto del DPO es una de las infracciones más sencillas de detectar para una autoridad de control: es visible en la propia política de privacidad. Las autoridades de control que realizan barridos de avisos de privacidad de sitios web señalan rutinariamente la falta de información de contacto del DPO.
Consecuencias Más Allá de las Multas
El incumplimiento de los requisitos del DPO socava la rendición de cuentas conforme al artículo 5(2). Un responsable que carece de un DPO requerido tiene una deficiencia estructural de rendición de cuentas que puede agravar la sanción por cualquier infracción del RGPD asociada que se encuentre en la misma investigación.
Para las empresas B2B, los equipos de adquisiciones que realizan diligencia debida en materia de RGPD sobre proveedores y subencargados solicitan cada vez más prueba de la designación del DPO, sus datos de contacto y los registros de actividades de tratamiento. La ausencia de un DPO requerido es una conclusión material en las evaluaciones de riesgo de proveedores empresariales.
El UK GDPR y el Requisito de DPO
El Reino Unido conservó el RGPD como derecho interno a través de la European Union (Withdrawal) Act 2018 y la Data Protection Act 2018. El UK GDPR reproduce el texto de la UE con modificaciones menores. Los artículos 37, 38 y 39 del UK GDPR reproducen los equivalentes de la UE casi palabra por palabra, y los tres motivos obligatorios permanecen inalterados.
La Information Commissioner's Office (ICO) es la autoridad de control del UK GDPR. La ICO sigue de cerca el enfoque de WP29 y aplica el mismo marco analítico de "gran escala" y "actividades principales" que las autoridades de protección de datos de la UE. Las organizaciones sujetas a ambos regímenes pueden designar DPO separados o un único DPO que cubra a ambos, siempre que ese DPO sea accesible tanto para ambas autoridades de control como para los empleados y los interesados.
El régimen de multas del UK GDPR está denominado en libras esterlinas: el nivel inferior es de hasta 8,7 millones de libras esterlinas o el 2% de la facturación mundial anual, lo que sea mayor.
Cómo Evaluar Si Tu Organización Necesita un DPO
Comienza con el Motivo Uno: ¿es la organización una autoridad u organismo público conforme al derecho nacional del Estado miembro de la UE pertinente? Si es así, un DPO es obligatorio. Si la organización opera en varios Estados miembros, comprueba si alguno de ellos clasifica a la entidad como organismo público.
Si no es una autoridad pública, identifica las actividades empresariales principales. Para cada actividad principal, pregunta: ¿requiere esta actividad una observación habitual y sistemática de personas? Si es así, ¿se realiza esa observación a gran escala? Si ambas respuestas son afirmativas, se aplica el Motivo Dos.
Luego, para cada actividad principal, pregunta: ¿implica esta actividad el tratamiento de datos de categoría especial del artículo 9(1) o de datos de condenas penales del artículo 10? Si es así, ¿se realiza ese tratamiento a gran escala? Si ambas respuestas son afirmativas, se aplica el Motivo Tres.
Documenta el análisis. Incluso cuando no se requiera un DPO obligatorio, una evaluación documentada demuestra rendición de cuentas conforme al artículo 5(2) y protege a la organización si una autoridad de control cuestiona posteriormente la decisión. Actualiza la evaluación cada vez que las actividades de tratamiento cambien de forma material, incluso mediante adquisiciones, nuevas líneas de producto, o arreglos modificados de intercambio de datos.
Para saber cómo encajan las obligaciones del DPO dentro del programa más amplio de cumplimiento del RGPD, la lista de verificación de cumplimiento del RGPD ofrece una visión general estructurada de las obligaciones de responsables y encargados. Las organizaciones fuera de la UE que evalúan si el RGPD se aplica en absoluto pueden comenzar con la guía RGPD para pequeñas empresas. Para una introducción completa al reglamento, consulta qué es el RGPD.
Aviso legal: Este artículo ofrece información legal general sobre los requisitos del Delegado de Protección de Datos del RGPD y no es asesoramiento legal. El cumplimiento del RGPD depende de los hechos, y la aplicación de los artículos 37-39 a cualquier organización en particular depende de sus actividades de tratamiento específicas, su condición jurídica, y el derecho nacional del Estado miembro pertinente. Consulta a un profesional cualificado en protección de datos o a un asesor legal para obtener asesoramiento adaptado a tu situación.
Preguntas frecuentes
¿Necesitan las pequeñas empresas un DPO bajo el RGPD?
Las pequeñas empresas no están automáticamente exentas del requisito de DPO conforme al artículo 37. El considerando 13 permite a los Estados miembros adaptar las normas para las microempresas y las pequeñas y medianas empresas en algunos contextos, pero el artículo 37 no contiene ninguna exención para las pymes. Una pequeña empresa que cumple cualquiera de los tres motivos obligatorios del artículo 37(1) debe designar a un DPO. En la práctica, la mayoría de las pequeñas empresas no realizan un tratamiento a gran escala como actividad principal ni son autoridades públicas, por lo que es poco probable que se apliquen los motivos. Pero la obligación depende de la naturaleza y la escala del tratamiento, no del tamaño de la plantilla ni de la facturación. Una startup que opera una aplicación de datos de salud con cientos de miles de usuarios podría activar el artículo 37(1)(c) incluso si emplea a menos de 20 personas.
¿Puede un DPO ser un consultor externo o un proveedor de servicios?
Sí. El artículo 37(6) establece expresamente que el DPO puede desempeñar la función sobre la base de un contrato de servicios con un proveedor externo. El arreglo de DPO externo es común en las organizaciones que no pueden justificar una contratación interna a tiempo completo. Los artículos 38 y 39 deben cumplirse con independencia del arreglo laboral: el DPO externo debe tener una independencia genuina, no debe estar sujeto a instrucciones, debe tener acceso a las actividades de tratamiento y a la alta dirección de la organización, y debe estar protegido frente a la destitución o sanción por desempeñar sus funciones. El contrato de servicios debe reflejar estos requisitos de forma explícita.
¿Necesita una empresa estadounidense con clientes en la UE designar a un DPO conforme al RGPD?
Una empresa estadounidense sujeta al RGPD conforme al artículo 3(2) debe evaluar si cumple los motivos del artículo 37(1). Si sus actividades principales requieren una observación habitual y sistemática a gran escala de los interesados de la UE, como es habitual en las empresas de tecnología publicitaria, los corredores de datos y las grandes plataformas de análisis, se aplica el Motivo Dos y debe designarse un DPO. Si las actividades de la empresa estadounidense orientadas a la UE son limitadas y no implican ni una observación sistemática a gran escala ni datos de categoría especial a gran escala, no se requiere un DPO, aunque puede seguir siendo obligatorio un representante en la UE independiente conforme al artículo 27. Las empresas estadounidenses deben realizar y documentar la evaluación del artículo 37 como parte de su programa general de cumplimiento del RGPD.
¿Puede el propietario de la empresa o el CEO actuar como DPO?
El CEO no puede actuar como DPO conforme a la prohibición de conflicto de intereses del artículo 38(6). Las directrices de WP29 (WP243 rev.01) identificaron específicamente el puesto de CEO como incompatible con la función de DPO, porque el CEO determina las finalidades y los medios del tratamiento de datos de la organización, y la función de supervisión del DPO exige independencia respecto de esa autoridad decisoria. El mismo razonamiento se aplica al COO, al CIO, al CMO, al CFO y al jefe de tecnología de la información. Un propietario de empresa que también es CEO no puede subsanar este conflicto designándose a sí mismo DPO, incluso en una organización pequeña. La solución para las organizaciones muy pequeñas suele ser un servicio de DPO externo.
¿Cuáles son las sanciones por no designar a un DPO cuando se requiere uno?
No designar a un DPO requerido es una infracción sujeta a multas conforme al artículo 83(4), que cubre las obligaciones establecidas en los artículos 25-39 e impone multas de hasta 10 millones de euros o el 2% de la facturación mundial anual, lo que sea mayor. No publicar los datos de contacto del DPO conforme al artículo 37(7) es sancionable de forma independiente. Las autoridades de control evalúan las multas en función de la naturaleza, la gravedad y la duración de la infracción, el carácter intencionado o negligente del incumplimiento, y el grado de cooperación. El UK GDPR reproduce esta estructura, con un máximo del nivel inferior de 8,7 millones de libras esterlinas o el 2% de la facturación mundial anual.
¿Qué hace realmente un DPO en el día a día?
Las actividades diarias de un DPO se derivan de las cinco tareas del artículo 39(1). Asesoran a los equipos sobre si una nueva función de producto requiere una EIPD y revisan la evaluación una vez redactada. Auditan los registros de actividades de tratamiento conforme al artículo 30. Revisan los acuerdos de tratamiento de datos y las cláusulas contractuales tipo antes de su ejecución. Investigan las solicitudes de derechos de los interesados y garantizan que las respuestas sean oportunas. Se coordinan con TI y seguridad tras una violación de datos personales para determinar si se requiere la notificación del artículo 33 a la autoridad de control en el plazo de 72 horas. Diseñan e imparten formación al personal. Actúan como punto único de contacto para la autoridad de control y garantizan que la correspondencia regulatoria reciba respuestas oportunas y precisas.
¿Exige el RGPD un DPO tanto para los encargados como para los responsables del tratamiento?
Sí. El artículo 37(1) se aplica tanto a los responsables como a los encargados del tratamiento. Un encargado del tratamiento, como un proveedor de servicios en la nube, una empresa de externalización de nóminas, o una plataforma de tecnología de marketing, debe designar a un DPO si sus actividades principales como encargado cumplen los motivos de observación a gran escala o de tratamiento a gran escala de categoría especial. La evaluación del DPO del encargado se centra en sus propias actividades principales, no en las actividades de los responsables a los que sirve. Un proveedor de infraestructura en la nube que aloja datos por cuenta de miles de responsables y supervisa patrones de uso de red a gran escala puede activar el artículo 37(1)(b) de forma independiente de lo que hagan sus clientes responsables con los datos.
¿Puede un único DPO cubrir a varias empresas?
Sí, en dos escenarios. El artículo 37(2) permite a un grupo empresarial designar a un único DPO siempre que sea fácilmente accesible desde cada establecimiento. El artículo 37(3) permite a varias autoridades u organismos públicos designar a un DPO compartido, teniendo en cuenta su estructura organizativa y tamaño. El requisito de fácil accesibilidad significa que el DPO debe ser localizable por los empleados, los interesados y las autoridades de control en cada entidad sin dificultad indebida. Los datos de contacto del DPO compartido deben ser publicados por cada entidad conforme al artículo 37(7), y el DPO debe tener capacidad suficiente para cubrir las tareas de DPO de todas las entidades.
¿Es un DPO lo mismo que un responsable de privacidad o un responsable de cumplimiento?
No necesariamente. Un DPO bajo el RGPD es una función estatutaria específica con tareas definidas conforme al artículo 39, una garantía estatutaria de independencia conforme al artículo 38, y protección frente a la destitución. Muchas organizaciones tienen responsables de privacidad o de cumplimiento cuyas descripciones de puesto se superponen con las funciones del DPO, pero esos puestos no equivalen a un DPO estatutario a menos que la persona haya sido designada formalmente y sus datos de contacto publicados conforme al artículo 37(7). Una organización que depende de un responsable de cumplimiento interno sin una designación formal no ha cumplido su obligación del artículo 37. Igualmente, una designación formal por sí sola es insuficiente: el DPO designado debe tener las cualificaciones, los recursos, la independencia y el acceso que exigen los artículos 37 y 38.
¿Cuál es el papel del DPO en una violación de datos?
El artículo 39 no enumera la gestión de violaciones de datos como una tarea independiente, pero el papel del DPO se deriva de las tareas de supervisión y cooperación de los artículos 39(1)(b), (d) y (e). En la práctica, el DPO evalúa si un incidente de seguridad constituye una violación de datos personales conforme al artículo 4(12), determina si es probable que suponga un riesgo para los derechos y libertades de los interesados, asesora sobre si se requiere la notificación del artículo 33 a la autoridad de control en el plazo de 72 horas, asesora sobre si se necesita la notificación del artículo 34 a los interesados afectados, y actúa como contacto de la autoridad de control durante toda la investigación. El DPO debe involucrarse desde el momento en que se identifica una posible violación, no después de que la dirección ya haya tomado decisiones de notificación.
Fuentes y referencias
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) — Artículo 37: Designación del delegado de protección de datos(eur-lex.europa.eu)
- Reglamento (UE) 2016/679 — Artículo 38: Posición del delegado de protección de datos(eur-lex.europa.eu)
- Reglamento (UE) 2016/679 — Artículo 39: Funciones del delegado de protección de datos(eur-lex.europa.eu)
- Reglamento (UE) 2016/679 — Considerando 97 (Delegado de protección de datos)(eur-lex.europa.eu)
- Reglamento (UE) 2016/679 — Considerando 91 (Evaluación de impacto relativa a la protección de datos y tratamiento a gran escala)(eur-lex.europa.eu)
- Directrices de WP29 sobre los Delegados de Protección de Datos (WP243 rev.01) — adoptadas por el CEPD(ec.europa.eu)
- Comité Europeo de Protección de Datos — Archivo de Documentos del Grupo de Trabajo del Artículo 29(edpb.europa.eu)
- Reglamento (UE) 2016/679 — Artículo 83: Condiciones generales para la imposición de multas administrativas(eur-lex.europa.eu)
- Reglamento (UE) 2016/679 — Artículo 35: Evaluación de impacto relativa a la protección de datos(eur-lex.europa.eu)
- Data Protection Act 2018 (Reino Unido) — Parte 2 y Anexo 6 que incorpora el UK GDPR(legislation.gov.uk)
- Guía de la ICO sobre el UK GDPR — Delegados de Protección de Datos(ico.org.uk)
- Reglamento (UE) 2016/679 — Artículo 9: Tratamiento de categorías especiales de datos personales(eur-lex.europa.eu)
- Reglamento (UE) 2016/679 — Artículo 10: Tratamiento de datos personales relativos a condenas e infracciones penales(eur-lex.europa.eu)