Privacidad y seguridad

Delegado de Protección de Datos (DPO)

El delegado de protección de datos (DPO) es la figura que supervisa el cumplimiento del RGPD dentro de tu organización, asesora a la dirección y actúa como interlocutor con la Agencia Española de Protección de Datos (AEPD). El RGPD y la LOPDGDD obligan a designarlo en determinados supuestos —y muchas empresas que creen estar exentas, no lo están—. Summum Calidad sitúa al DPO dentro del sistema de gestión de la seguridad de la información: no como una figura aislada con un sello, sino como una pieza formada y con posición real dentro del SGSI y del PIMS de privacidad (ISO 27701).

NormativaRGPD art. 37-39 · LOPDGDD (LO 3/2018) art. 34-37
EnfoqueDPO integrado en el SGSI/PIMS (ISO 27001/27701)
ModalidadFormación, posición organizativa y acompañamiento continuo

El artículo 37 del RGPD define al delegado de protección de datos como la persona con conocimientos especializados en Derecho y en la práctica de la protección de datos que informa y asesora al responsable o al encargado del tratamiento, supervisa el cumplimiento del Reglamento, coopera con la autoridad de control y actúa como su punto de contacto. El artículo 38.3 exige que ejerza sus funciones con independencia: no puede recibir instrucciones sobre cómo desempeñarlas, no puede ser destituido ni penalizado por ejercerlas, y debe reportar directamente al más alto nivel jerárquico de la organización. No es una figura decorativa ni un cargo que se añade a un organigrama para cumplir el expediente; es una función con garantías legales concretas.

La obligatoriedad de designarlo tiene dos niveles. El artículo 37.1 del RGPD la impone en tres supuestos generales: cuando el tratamiento lo lleva a cabo una autoridad u organismo público, salvo los tribunales en el ejercicio de su función judicial; cuando la actividad principal del responsable o del encargado consiste en operaciones que, por su naturaleza, alcance o fines, requieren una observación habitual y sistemática de interesados a gran escala; o cuando la actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos (art. 9 RGPD) o de datos relativos a condenas e infracciones penales (art. 10 RGPD). El artículo 34 de la LOPDGDD amplía esa obligación en España a una lista adicional de responsables, con independencia de que se cumplan o no los criterios generales del RGPD: colegios profesionales, entidades que exploten redes de comunicaciones electrónicas a gran escala, prestadores de servicios de la sociedad de la información que elaboren perfiles a gran escala, entidades del sector financiero, asegurador y de servicios de inversión, distribuidoras de electricidad y gas, entidades responsables de ficheros de solvencia patrimonial, empresas de publicidad y prospección comercial que elaboren perfiles, centros sanitarios legalmente obligados al mantenimiento de historias clínicas, y —el supuesto que con más frecuencia se interpreta mal— los centros docentes.

El error más habitual es pensar que la obligación de los centros educativos depende de que traten datos de menores de edad. No es así: el artículo 34.1.b) de la LOPDGDD designa como sujetos obligados a "los centros docentes que ofrezcan enseñanzas reguladas en la Ley Orgánica 2/2006, de 3 de mayo, de Educación, así como las Universidades públicas y privadas". El criterio legal es que la enseñanza esté reglada conforme a la LOE, no la edad del alumnado: la obligación alcanza a colegios de infantil, primaria y secundaria, a centros de formación profesional, y también a las universidades públicas y privadas, cuyo alumnado es mayoritariamente adulto. Es una de las categorías del artículo 34 LOPDGDD que con más frecuencia se pasa por alto precisamente por ese malentendido.

Summum Calidad no trata al DPO como un nombramiento aislado con un sello notarial, sino como una función que se integra en el sistema de gestión de la seguridad de la información y, cuando existe, en el PIMS de privacidad de la ISO/IEC 27701:2025. Eso significa definir su posición en el organigrama, documentar sus responsabilidades como exige la propia norma, asegurar que dispone de los recursos necesarios para ejercer su función, garantizar la vía de reporte directo a la dirección que impone el artículo 38.3 RGPD, y hacerlo partícipe del análisis de riesgos, de la auditoría interna y de la revisión por la dirección del sistema. Un DPO sin sistema de gestión detrás tiene poco que supervisar; un DPO integrado en el SGSI/PIMS pasa de ser una figura reactiva a ser un participante activo del ciclo de mejora continua.

La formación específica es igual de determinante que la posición organizativa. El DPO debe conocer en profundidad el RGPD, la LOPDGDD y el sistema de gestión sobre el que se apoya, y debe mantener esos conocimientos actualizados frente a la evolución normativa. Igual de importante es evitar el conflicto de intereses: el artículo 38.6 RGPD, en relación con el principio de independencia del artículo 38.3, hace incompatible la función de DPO con cualquier puesto que determine los fines y los medios del tratamiento de datos —no debería ser, por ejemplo, quien decide simultáneamente qué herramientas de marketing o de sistemas se implantan—. Documentamos también esas garantías dentro del sistema, junto con el nombramiento formal y su comunicación a la AEPD.

Si lo que tu empresa necesita es directamente el servicio de DPO externo puro —la persona designada, formada y registrada ante la AEPD que ejerce esa función para ti— ese es exactamente el servicio de DPO externo de nuestra división hermana, Summum Consultoría. Summum Calidad entra cuando quieres que esa figura, interna o externa, se apoye en un sistema de gestión de protección de datos real, con registro de tratamientos, procedimientos y auditoría, en lugar de sostenerse solo en el nombramiento.

El proceso de Delegado de Protección de Datos (DPO).

El proceso · cuatro tiempos
01

Diagnóstico de obligatoriedad

Analizamos si tu organización está en alguno de los supuestos del artículo 37.1 RGPD o del artículo 34 LOPDGDD, con especial atención al criterio real de "enseñanza reglada" en el caso de centros docentes, y no solo al criterio, más restringido y a menudo mal aplicado, de "datos de menores".

02

Diseño de la posición del DPO

Definimos si el DPO será interno o externo, su ubicación en el organigrama, los recursos de los que dispondrá, la vía de reporte directo a la dirección y las garantías de independencia que exige el artículo 38 RGPD.

03

Formación y nombramiento

Formación específica en RGPD, LOPDGDD y en el sistema de gestión (ISO 27701/27001), redacción del nombramiento formal y comunicación/registro de la designación ante la AEPD.

04

Integración en el SGSI/PIMS y seguimiento

El DPO participa en la auditoría interna, en la revisión por la dirección y en el análisis de riesgos, con evidencia documentada de su actividad de supervisión a lo largo del año.

Qué incluye

Qué incluye Delegado de Protección de Datos (DPO).

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Diagnóstico de obligatoriedad de designación

    Análisis motivado conforme al artículo 37.1 RGPD y al artículo 34 LOPDGDD, con el detalle de cada supuesto aplicable.

  • Definición de funciones y garantías de independencia

    Los artículos 38 y 39 RGPD documentados dentro del sistema: reporte directo, ausencia de instrucciones y ausencia de conflicto de intereses.

  • Comunicación y registro del DPO ante la AEPD

    Trámite del formulario específico de la AEPD y evidencia documental de la notificación.

  • Formación específica del DPO

    RGPD, LOPDGDD y el sistema de gestión ISO 27701/27001, con actualización ante cambios normativos.

  • Integración en el organigrama del SGSI/PIMS

    Posición, recursos y vía de reporte del DPO documentados dentro del sistema de gestión.

  • Participación en auditoría interna y revisión por la dirección

    Evidencia anual de la actividad de supervisión del DPO dentro del ciclo de mejora continua.

Preguntas frecuentes sobre Delegado de Protección de Datos (DPO).

¿Cuándo es obligatorio nombrar un delegado de protección de datos?

El artículo 37.1 del RGPD obliga a designar un DPO en tres supuestos: cuando el tratamiento lo realiza una autoridad u organismo público (salvo los tribunales en ejercicio de su función judicial); cuando la actividad principal del responsable o encargado consiste en operaciones que requieren una observación habitual y sistemática de interesados a gran escala; o cuando la actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos (art. 9 RGPD) o de datos relativos a condenas e infracciones penales (art. 10 RGPD). Además, el artículo 34 de la LOPDGDD amplía esta obligación en España a categorías adicionales de responsables, con independencia de que se cumplan o no los criterios generales del RGPD.

¿Es obligatorio para todos los centros educativos, o solo si tratan datos de menores?

Es un error habitual pensar que la obligación depende de que el alumnado sea menor de edad. El artículo 34.1.b) de la LOPDGDD designa como sujetos obligados a "los centros docentes que ofrezcan enseñanzas reguladas en la Ley Orgánica 2/2006, de 3 de mayo, de Educación, así como las Universidades públicas y privadas". El criterio es que la enseñanza esté reglada conforme a la LOE, no la edad del alumnado: esto incluye colegios de infantil, primaria y secundaria, centros de formación profesional, y también universidades públicas y privadas, con independencia de que su alumnado sea mayor de edad.

¿Puede el DPO ser un empleado interno de la empresa, o tiene que ser externo?

El RGPD permite ambas opciones. El artículo 37.6 establece que el DPO puede ser un miembro del personal del responsable o del encargado, o bien desempeñar sus funciones sobre la base de un contrato de servicios (DPO externo). Lo determinante no es su relación laboral, sino que cuente con conocimientos especializados, actúe con independencia conforme al artículo 38.3 y no incurra en conflicto de intereses con otras funciones que desempeñe en la organización —por ejemplo, no debería ser simultáneamente quien decide los fines y medios del tratamiento en el área de sistemas o de marketing—.

¿Qué pasa si mi empresa no está obligada a tener DPO, pero quiero tener uno igualmente?

Nada lo impide: el artículo 37.4 del RGPD permite designar un DPO de forma voluntaria aunque no concurra ninguno de los supuestos de obligatoriedad. Una vez designado voluntariamente, sin embargo, el DPO queda sujeto a los mismos requisitos y garantías de independencia que si la designación fuera obligatoria. Es una decisión habitual en empresas que quieren transmitir una señal clara de madurez en protección de datos ante clientes y socios, incluso sin estar legalmente obligadas.

¿El DPO responde personalmente si la empresa incumple el RGPD?

No. El DPO es una figura de asesoramiento y supervisión, no el responsable del tratamiento. La responsabilidad por el cumplimiento del RGPD recae sobre el responsable o el encargado del tratamiento —la organización—, conforme al principio de responsabilidad proactiva del artículo 24 RGPD. El DPO informa, asesora y supervisa; no toma las decisiones sobre los fines y medios del tratamiento ni sustituye la responsabilidad legal de la dirección.

¿Cómo se comunica la designación del DPO a la Agencia Española de Protección de Datos?

El artículo 37.7 RGPD obliga a comunicar la identidad y los datos de contacto del DPO a la autoridad de control. La AEPD dispone de un formulario específico de comunicación en su sede electrónica, y esta información debe mantenerse actualizada y también publicarse de forma que sea fácilmente accesible para los interesados —habitualmente dentro de la política de privacidad del responsable—.