El artículo 37 del RGPD define al delegado de protección de datos como la persona con conocimientos especializados en Derecho y en la práctica de la protección de datos que informa y asesora al responsable o al encargado del tratamiento, supervisa el cumplimiento del Reglamento, coopera con la autoridad de control y actúa como su punto de contacto. El artículo 38.3 exige que ejerza sus funciones con independencia: no puede recibir instrucciones sobre cómo desempeñarlas, no puede ser destituido ni penalizado por ejercerlas, y debe reportar directamente al más alto nivel jerárquico de la organización. No es una figura decorativa ni un cargo que se añade a un organigrama para cumplir el expediente; es una función con garantías legales concretas.
La obligatoriedad de designarlo tiene dos niveles. El artículo 37.1 del RGPD la impone en tres supuestos generales: cuando el tratamiento lo lleva a cabo una autoridad u organismo público, salvo los tribunales en el ejercicio de su función judicial; cuando la actividad principal del responsable o del encargado consiste en operaciones que, por su naturaleza, alcance o fines, requieren una observación habitual y sistemática de interesados a gran escala; o cuando la actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos (art. 9 RGPD) o de datos relativos a condenas e infracciones penales (art. 10 RGPD). El artículo 34 de la LOPDGDD amplía esa obligación en España a una lista adicional de responsables, con independencia de que se cumplan o no los criterios generales del RGPD: colegios profesionales, entidades que exploten redes de comunicaciones electrónicas a gran escala, prestadores de servicios de la sociedad de la información que elaboren perfiles a gran escala, entidades del sector financiero, asegurador y de servicios de inversión, distribuidoras de electricidad y gas, entidades responsables de ficheros de solvencia patrimonial, empresas de publicidad y prospección comercial que elaboren perfiles, centros sanitarios legalmente obligados al mantenimiento de historias clínicas, y —el supuesto que con más frecuencia se interpreta mal— los centros docentes.
El error más habitual es pensar que la obligación de los centros educativos depende de que traten datos de menores de edad. No es así: el artículo 34.1.b) de la LOPDGDD designa como sujetos obligados a "los centros docentes que ofrezcan enseñanzas reguladas en la Ley Orgánica 2/2006, de 3 de mayo, de Educación, así como las Universidades públicas y privadas". El criterio legal es que la enseñanza esté reglada conforme a la LOE, no la edad del alumnado: la obligación alcanza a colegios de infantil, primaria y secundaria, a centros de formación profesional, y también a las universidades públicas y privadas, cuyo alumnado es mayoritariamente adulto. Es una de las categorías del artículo 34 LOPDGDD que con más frecuencia se pasa por alto precisamente por ese malentendido.
Summum Calidad no trata al DPO como un nombramiento aislado con un sello notarial, sino como una función que se integra en el sistema de gestión de la seguridad de la información y, cuando existe, en el PIMS de privacidad de la ISO/IEC 27701:2025. Eso significa definir su posición en el organigrama, documentar sus responsabilidades como exige la propia norma, asegurar que dispone de los recursos necesarios para ejercer su función, garantizar la vía de reporte directo a la dirección que impone el artículo 38.3 RGPD, y hacerlo partícipe del análisis de riesgos, de la auditoría interna y de la revisión por la dirección del sistema. Un DPO sin sistema de gestión detrás tiene poco que supervisar; un DPO integrado en el SGSI/PIMS pasa de ser una figura reactiva a ser un participante activo del ciclo de mejora continua.
La formación específica es igual de determinante que la posición organizativa. El DPO debe conocer en profundidad el RGPD, la LOPDGDD y el sistema de gestión sobre el que se apoya, y debe mantener esos conocimientos actualizados frente a la evolución normativa. Igual de importante es evitar el conflicto de intereses: el artículo 38.6 RGPD, en relación con el principio de independencia del artículo 38.3, hace incompatible la función de DPO con cualquier puesto que determine los fines y los medios del tratamiento de datos —no debería ser, por ejemplo, quien decide simultáneamente qué herramientas de marketing o de sistemas se implantan—. Documentamos también esas garantías dentro del sistema, junto con el nombramiento formal y su comunicación a la AEPD.
Si lo que tu empresa necesita es directamente el servicio de DPO externo puro —la persona designada, formada y registrada ante la AEPD que ejerce esa función para ti— ese es exactamente el servicio de DPO externo de nuestra división hermana, Summum Consultoría. Summum Calidad entra cuando quieres que esa figura, interna o externa, se apoye en un sistema de gestión de protección de datos real, con registro de tratamientos, procedimientos y auditoría, en lugar de sostenerse solo en el nombramiento.