El delegado de protección de datos (DPO) es una figura central del modelo de cumplimiento establecido por el Reglamento General de Protección de Datos. Desde que el RGPD entró en vigor en mayo de 2018, la demanda de profesionales cualificados en protección de datos ha crecido exponencialmente en toda Europa. En España, la cifra de delegados de protección de datos inscritos en el registro de la AEPD superó los 100.000 en 2025 --91.221 del sector privado y 9.129 del sector público–, lo que refleja la consolidación definitiva de esta función en el tejido empresarial e institucional del país (Cuadernos de Seguridad / AEPD).
Este artículo ofrece una guía completa sobre el delegado de protección de datos: quién debe designarlo, qué funciones desempeña, qué cualificación se requiere y cómo se articula esta figura en el marco normativo español.
¿Quién debe designar un delegado de protección de datos?
El artículo 37 del RGPD establece tres supuestos en los que la designación de un delegado de protección de datos es obligatoria: cuando el tratamiento lo lleve a cabo una autoridad u organismo público, cuando las actividades principales del responsable consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala, y cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas e infracciones penales.
Obligaciones adicionales en la LOPDGDD
La LOPDGDD amplía significativamente el ámbito de designación obligatoria. Su artículo 34 enumera una lista extensa de entidades que deben contar con un delegado de protección de datos en España, incluyendo colegios profesionales, centros docentes, entidades aseguradoras, entidades financieras, empresas de seguridad privada, federaciones deportivas, centros sanitarios y distribuidoras y comercializadoras de energía.
Esta ampliación supone que miles de organizaciones en España que, bajo el RGPD, podrían argumentar que no encajan en los tres supuestos generales, están obligadas por la legislación nacional a designar un DPO.
Nombramiento voluntario
Las organizaciones no obligadas pueden designar voluntariamente un delegado de protección de datos. Esta decisión se considera una buena práctica y constituye un factor atenuante relevante en caso de procedimiento sancionador ante la AEPD. Las directrices del CEPD sobre DPO recomiendan que, cuando la designación sea voluntaria, se apliquen los mismos estándares que cuando es obligatoria.
Funciones del delegado de protección de datos
El artículo 39 del RGPD define las funciones mínimas que debe desempeñar el delegado de protección de datos. Estas funciones configuran un perfil profesional que combina competencias jurídicas, técnicas y de gestión.
Asesoramiento y supervisión
El delegado de protección de datos informa y asesora al responsable, al encargado del tratamiento y a los empleados que participen en las operaciones de tratamiento sobre sus obligaciones en virtud del RGPD y de la normativa nacional aplicable. Además, supervisa el cumplimiento del reglamento, incluida la asignación de responsabilidades, la sensibilización y formación del personal y las auditorías correspondientes.
Una función crítica es ofrecer asesoramiento sobre la evaluación de impacto relativa a la protección de datos y supervisar su realización. El DPO debe participar en el proceso desde las fases más tempranas del diseño de nuevas actividades de tratamiento.
Punto de contacto. El delegado de protección de datos actúa como punto de contacto con la AEPD y coopera con ella en relación con las cuestiones vinculadas al tratamiento. También es el interlocutor de los interesados para el ejercicio de sus derechos ARCO y demás derechos reconocidos por el RGPD.
La organización debe publicar los datos de contacto del DPO y comunicarlos a la AEPD. En España, esta comunicación se realiza a través del canal electrónico habilitado en la sede electrónica de la AEPD.
¿Qué cualificación necesita un delegado de protección de datos?
El RGPD no exige una titulación específica ni una certificación obligatoria para ejercer como delegado de protección de datos. Sin embargo, el artículo 37.5 establece que el DPO será designado atendiendo a sus cualidades profesionales, en particular a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.
Perfil profesional y formación
En la práctica, los delegados de protección de datos efectivos combinan conocimientos jurídicos sólidos sobre el RGPD y la LOPDGDD con comprensión técnica de los sistemas de información, experiencia en gestión de riesgos y cumplimiento normativo, y habilidades de comunicación y negociación.
La AEPD ha publicado un esquema de certificación de DPO conforme a la norma UNE, aunque esta certificación no es legalmente obligatoria. Existen actualmente múltiples entidades de certificación acreditadas por ENAC que ofrecen programas de certificación para delegados de protección de datos.
Posición del delegado en la organización
El RGPD establece garantías específicas para proteger la independencia del delegado de protección de datos. Estas garantías son esenciales para que el DPO pueda desempeñar sus funciones sin interferencias.
Independencia y ausencia de conflicto de intereses
El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones. No podrá ser destituido ni sancionado por el ejercicio de sus funciones. El DPO rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. Además, el delegado de protección de datos no podrá desempeñar funciones que generen un conflicto de intereses, lo que excluye posiciones como director general, director financiero, director de informática o director de recursos humanos.
En la práctica, la AEPD ha sancionado a organizaciones donde el DPO carecía de independencia real o acumulaba funciones incompatibles. Las sanciones RGPD en este ámbito subrayan la importancia de respetar estas garantías.
¿Puede externalizarse la función de delegado de protección de datos?
El artículo 37.6 del RGPD permite expresamente que la función del delegado de protección de datos sea ejercida por un profesional externo mediante un contrato de servicios. La externalización es una opción especialmente adecuada para pymes que necesitan cumplir con la obligación de designación pero no disponen de recursos para mantener un DPO interno a tiempo completo.
La organización que externalice la función debe asegurarse de que el profesional o empresa externa cumpla con todos los requisitos del RGPD, incluyendo la accesibilidad, la independencia y la cualificación. El contrato debe definir claramente las funciones, la disponibilidad y los mecanismos de reporte.
Para garantizar que la designación del DPO se integra adecuadamente en el programa general de cumplimiento, es recomendable utilizar una checklist RGPD que contemple todos los aspectos de gobernanza. Consulte también nuestra guía sobre cumplimiento RGPD para una visión integral, así como la guía sobre evaluación de impacto que el DPO debe supervisar.
FAQ
¿Es obligatorio designar un DPO en todas las empresas españolas?
No en todas, pero la LOPDGDD ha ampliado sustancialmente los supuestos de designación obligatoria respecto al RGPD. Además de los tres supuestos del artículo 37 del RGPD, el artículo 34 de la LOPDGDD enumera una lista extensa de entidades obligadas que abarca sectores como la sanidad, la educación, las telecomunicaciones, los seguros y la energía. Incluso cuando no sea obligatorio, la designación voluntaria se recomienda como buena práctica.
¿Cuánto cuesta un delegado de protección de datos externo?
El coste varía significativamente según el tamaño de la organización, la complejidad de los tratamientos y el alcance de los servicios contratados. Para una pyme con tratamientos estándar, los servicios de DPO externo oscilan habitualmente entre tres mil y doce mil euros anuales. Para organizaciones con tratamientos complejos o de alto riesgo, el coste puede superar los veinticinco mil euros anuales.
¿Qué ocurre si no designo un DPO cuando es obligatorio?
La ausencia de designación cuando es obligatoria constituye una infracción del RGPD que puede dar lugar a sanciones administrativas. La AEPD ha impuesto multas por este motivo y, además, la ausencia de DPO debilita la posición de la organización en cualquier otro procedimiento sancionador, ya que evidencia una falta de compromiso con la protección de datos. Para conocer el régimen sancionador completo, consulte nuestra guía sobre sanciones RGPD y la guía sobre derecho de supresión.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
