DPO en España: cuándo es obligatorio en 2026

En una frase. El artículo 34 de la LOPDGDD amplía los supuestos del artículo 37 RGPD y enumera 16 tipos de entidades en España que deben designar DPO con independencia del volumen de tratamiento; no hacerlo es infracción grave.

Puntos clave

• Base normativa: artículo 37 RGPD + artículo 34 LOPDGDD.
• La LOPDGDD añade 16 supuestos específicos para España, ampliando el RGPD.
• La designación debe notificarse a la AEPD en 10 días mediante sede electrónica.
• No designar DPO cuando es obligatorio es infracción grave (hasta 300.000 EUR según LOPDGDD).
• El DPO puede ser interno, externo (persona física o jurídica) o compartido entre varias entidades.

1. Supuestos del artículo 37 RGPD

El artículo 37 RGPD impone designar DPO en tres supuestos:

• Autoridades y organismos públicos (excepto tribunales en su función jurisdiccional).
• Responsables o encargados cuya actividad principal consista en operaciones de tratamiento que requieran observación habitual y sistemática de interesados a gran escala.
• Responsables o encargados cuya actividad principal consista en tratamiento a gran escala de categorías especiales del artículo 9 o de datos relativos a condenas penales.

Las directrices del antiguo Grupo de Trabajo del Artículo 29, asumidas por el CEPD, clarifican los conceptos “a gran escala” y “observación habitual y sistemática”.

2. Los 16 supuestos del artículo 34 LOPDGDD

La LOPDGDD añade obligación de DPO para:

1. Colegios profesionales y sus consejos generales.
2. Centros docentes (públicos y privados) y universidades.
3. Entidades del sector financiero, incluido crédito al consumo.
4. Entidades aseguradoras y reaseguradoras.
5. Empresas de servicios de inversión.
6. Distribuidores y comercializadores de energía eléctrica y gas natural.
7. Entidades responsables de ficheros comunes de evaluación de solvencia patrimonial (ficheros de morosos).
8. Entidades que desarrollen actividades de publicidad y prospección comercial (con perfilado).
9. Centros sanitarios privados (con obligación legal de mantener historiales).
10. Entidades emisoras de informes comerciales y de solvencia.
11. Operadores de juego online y físico.
12. Empresas de seguridad privada.
13. Federaciones deportivas con datos de menores.
14. Empresas que traten datos sobre la base del interés legítimo del 19 LOPDGDD (sistemas de información crediticia).
15. Centros que utilicen videovigilancia con sistemas que vayan más allá de medidas básicas.
16. Otras entidades que reglamentariamente se determinen.

La lista no es taxativa: una entidad puede no encajar en el artículo 34 LOPDGDD y sin embargo verse obligada por el artículo 37 RGPD si reúne los criterios de actividad principal y gran escala.

3. Concepto de “gran escala”

El CEPD propone analizar:

• Número de interesados afectados (absoluto o relativo a la población).
• Volumen y categorías de datos.
• Duración del tratamiento.
• Alcance geográfico.

Ejemplos confirmados como gran escala: hospital tratando datos de pacientes, plataforma online con millones de usuarios, operador de transporte público. No considerados gran escala: tratamiento de pacientes por un médico individual o de clientes por un abogado individual.

4. Observación habitual y sistemática

Habitual significa “continua o sucediendo en intervalos”. Sistemática significa “ocurriendo conforme a un sistema, planificada y organizada”. Ejemplos: gestión de redes de telecomunicaciones, publicidad comportamental, profiling para scoring, sistemas de fidelización, geolocalización por apps, IoT.

5. Designación y notificación a la AEPD

Una vez designado, el responsable debe notificar a la AEPD en 10 días desde la designación mediante el formulario de la sede electrónica. La notificación incluye:

• Datos identificativos del responsable.
• Datos del DPO (nombre o razón social, contacto profesional).
• Si es interno o externo.
• Sector de actividad.

La AEPD publica el registro de DPO consultable públicamente.

6. Requisitos del DPO

• Conocimientos jurídicos del RGPD y normativa nacional.
• Conocimientos técnicos sobre seguridad y tratamiento.
• Capacidad de comunicación y formación.
• Independencia funcional y ausencia de conflicto de intereses.

No hay obligación legal de certificación, pero la AEPD reconoce el esquema de certificación de DPO basado en la norma UNE 0066. Las certificaciones más reconocidas en España son las de Bureau Veritas, AENOR, Tüv Rheinland y EQA.

7. Posición orgánica e independencia

El DPO debe reportar al máximo nivel directivo, disponer de recursos suficientes y no recibir instrucciones sobre el ejercicio de sus funciones. No puede ser despedido o sancionado por desempeñar sus tareas. El conflicto de interés se presume cuando el DPO ocupa también puestos de director de marketing, RRHH, IT o de cualquier otro responsable de tratamiento principal.

8. Funciones del DPO

Artículo 39 RGPD:

• Informar y asesorar al responsable, encargado y empleados.
• Supervisar el cumplimiento del RGPD y políticas internas.
• Asesorar sobre evaluaciones de impacto.
• Cooperar con la AEPD.
• Punto de contacto con la AEPD y los interesados.

Para una visión más completa, consulte la guía sobre delegado de protección de datos.

9. DPO interno, externo o compartido

Modalidad	Cuándo	Ventajas
Interno	Organizaciones grandes, alta sensibilidad	Conocimiento profundo del negocio
Externo persona física	Pymes, autónomos	Coste reducido, expertise externo
Externo persona jurídica	Pymes, multinacionales	Equipo y continuidad garantizada
Compartido (grupo empresarial)	Grupos con sociedades vinculadas	Eficiencia y coherencia

El DPO externo debe quedar designado en contrato escrito que detalle dedicación, canal de comunicación y régimen de responsabilidad.

10. Régimen sancionador por incumplimiento

No designar DPO cuando es obligatorio es infracción del artículo 83.4 RGPD (hasta 10 M EUR o 2% facturación) y de los artículos 73 (graves) y 74 (leves) de la LOPDGDD. La AEPD ha sancionado:

• Hospital privado: 30.000 EUR (no designación).
• Plataforma de apuestas: 50.000 EUR (DPO sin recursos suficientes).
• Aseguradora: 75.000 EUR (DPO con conflicto de interés).

11. Tareas operativas del primer año de un DPO

• Auditoría del registro de actividades de tratamiento.
• Revisión de la política de privacidad y banners.
• Mapeo de encargados y revisión de contratos artículo 28.
• Plan de formación al personal.
• Protocolo de respuesta a brechas de seguridad.
• Procedimiento de gestión de derechos del interesado.
• Reporte semestral al órgano de dirección.

12. DPO y plan estratégico AEPD 2025-2027

La AEPD ha reforzado la supervisión sobre la efectividad del DPO. Inspecciones recientes han revisado:

• Tiempo de dedicación real frente al declarado.
• Existencia de informes y reportes.
• Independencia frente a unidades de negocio.
• Acceso real a información y sistemas.

Designar un DPO formal sin recursos ni autoridad real es percibido como agravante en procedimientos sancionadores.

FAQ

¿Cuánto cuesta un DPO externo en España?

Para una pyme con tratamientos estándar, entre 200 EUR y 800 EUR al mes. Para entidades con tratamientos complejos, entre 1.500 EUR y 6.000 EUR al mes. Modalidad híbrida (interno + asesor externo) común en empresas medianas.

¿Puede el gerente ser DPO?

Solo si no toma decisiones sobre tratamientos. En la práctica esto excluye casi siempre al gerente. La AEPD ha sancionado conflictos de interés en figuras directivas.

¿Es obligatorio el DPO para una pyme?

Solo si encaja en alguno de los 16 supuestos del artículo 34 LOPDGDD o en los criterios del artículo 37 RGPD. La mayoría de pymes no están obligadas pero pueden designar voluntariamente.

¿Cómo notifico la designación a la AEPD?

Mediante el formulario electrónico de la sede AEPD, identificándose con certificado digital. La notificación es gratuita.

¿Puede el DPO ser despedido?

Solo por causa no relacionada con sus funciones. El despido debido al desempeño del cargo es nulo de pleno derecho conforme al artículo 38.3 RGPD.