Una sola omissió administrativa pot costar a la teva empresa fins a 10 milions d'euros o el 2 % de la seva facturació global: no designar un Delegat de Protecció de Dades quan el Reglament General de Protecció de Dades (RGPD) ho exigeix és una infracció greu. No és una hipòtesi teòrica. L'Agència Espanyola de Protecció de Dades (AEPD) ja ha sancionat empreses com Glovo precisament per aquest motiu, amb una multa de 25.000 euros el 2020 per no tenir designat un Delegat de Protecció de Dades tot i estar obligada a fer-ho.
En un context en què el RGPD porta anys plenament vigent i el nou Reglament Europeu d'Intel·ligència Artificial (AI Act) comença a desplegar les seves obligacions per fases, la figura del DPO ha passat de ser una formalitat documental a convertir-se en una peça estratègica del govern de les dades. Aquesta guia explica què és, quan és obligatori, quin perfil exigeix la normativa, com decidir entre un model intern o extern i per què el seu paper s'està ampliant amb l'arribada de la IA.
Què és el Delegat de Protecció de Dades (DPO) i què diu el RGPD?
El Delegat de Protecció de Dades —DPO per les seves sigles en anglès (Data Protection Officer) o DPD en la seva denominació espanyola— és la figura encarregada de supervisar de forma independent que una organització tracta les dades personals d'acord amb la normativa. No és un simple «responsable de la LOPD» ni un càrrec decoratiu: el RGPD li atribueix funcions concretes d'assessorament, supervisió i enllaç amb l'autoritat de control.
La seva regulació es troba als articles 37 a 39 del RGPD (Reglament UE 2016/679), desenvolupats a Espanya per la Llei Orgànica 3/2018, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD). El RGPD estableix tres eixos per entendre la figura:
- Quan designar-lo (article 37): els supòsits d'obligatorietat.
- Quina posició ocupa (article 38): independència, recursos i absència de conflictes d'interès.
- Què fa (article 39): les seves funcions mínimes.
A diferència d'altres rols de compliment, el DPO gaudeix d'una protecció reforçada: no pot ser destituït ni sancionat per exercir les seves funcions, i informa directament al nivell directiu més alt de l'organització. Aquesta independència és, com veurem, el tret que defineix la figura.
El DPO no «decideix» sobre els tractaments: assessora, supervisa i vetlla. La responsabilitat última del compliment segueix recaient en el responsable del tractament, és a dir, en la direcció de l'empresa.
Quan és obligatori designar un DPO? Els tres supòsits de l'article 37 i la llista de l'article 34 de la LOPDGDD
Aquesta és la pregunta que genera més maldecaps, perquè la resposta combina dos nivells normatius: l'europeu (RGPD) i l'espanyol (LOPDGDD).
Els tres supòsits de l'article 37.1 del RGPD
L'article 37.1 del RGPD obliga a designar un Delegat de Protecció de Dades en tres situacions:
- Autoritats i organismes públics. Quan el tractament el duu a terme una autoritat o organisme públic, amb l'única excepció dels tribunals que actuen en l'exercici de la seva funció judicial.
- Observació habitual i sistemàtica a gran escala. Quan les activitats principals del responsable o encarregat consisteixen en operacions que, per la seva naturalesa, abast o finalitats, requereixen una observació habitual i sistemàtica dels interessats a gran escala.
- Tractament a gran escala de dades sensibles. Quan les activitats principals consisteixen en el tractament a gran escala de categories especials de dades (article 9 del RGPD: salut, origen ètnic, ideologia, dades biomètriques, etc.) o de dades relatives a condemnes i infraccions penals (article 10).
El problema pràctic és que conceptes com «gran escala» o «observació habitual i sistemàtica» són indeterminats. Per resoldre-ho, el legislador espanyol va fer un pas addicional.
La llista de l'article 34 de la LOPDGDD
Aquí és on Espanya aporta seguretat jurídica. L'article 34 de la LOPDGDD amplia i concreta l'obligació, enumerant, segons la pròpia AEPD en la seva documentació de preguntes freqüents, 16 tipus d'entitats que han de designar un DPD en tot cas. Entre elles figuren:
| Sector / tipus d'entitat | Exemples habituals |
|---|---|
| Centres sanitaris | Hospitals, clíniques, laboratoris |
| Entitats financeres i d'assegurances | Bancs, asseguradores, gestores |
| Distribuïdors i comercialitzadors d'energia | Elèctriques, gasistes |
| Empreses de seguretat privada | Vigilància, alarmes |
| Operadors de joc en línia | Apostes, casinos digitals |
| Col·legis professionals | I els seus consells generals |
| Centres docents i universitats | Públics i privats |
| Empreses de publicitat i prospecció comercial | Que elaboren perfils dels interessats |
La conseqüència és clara: tot i que una empresa dubti de si encaixa en els conceptes oberts del RGPD, si pertany a un dels sectors de l'article 34 de la LOPDGDD, la designació és obligatòria sense marge d'interpretació.
L'obligació de comunicar a l'AEPD
Designar el DPO no esgota l'obligació. Segons l'AEPD, els responsables i encarregats del tractament han de comunicar les designacions, nomenaments i cessaments del DPD en un termini de 10 dies a la pròpia Agència (o a l'autoritat autonòmica competent, on n'hi hagi). I això s'aplica tant als casos en què la designació és obligatòria com a les designacions voluntàries: una empresa que decideix nomenar un DPO sense estar obligada també ho ha de comunicar.
Aquesta comunicació crea un registre públic de delegats que, a la pràctica, facilita a l'autoritat de control comprovar d'un cop d'ull quines organitzacions compleixen i quines no. És, també, una de les vies per les quals l'AEPD detecta incompliments.
Funcions i perfil del DPO: independència, coneixement expert i absència de conflictes d'interès
El RGPD no exigeix una titulació concreta ni una certificació obligatòria per exercir com a Delegat de Protecció de Dades. El que exigeix l'article 37.5 és que el DPO sigui designat «atenent a les seves qualitats professionals i, en particular, als seus coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades». Dit d'una altra manera: el que compta és la competència demostrable, no un paper.
Coneixement expert, però sense certificació obligatòria
Com matisa la documentació de referència del sector —per exemple, les anàlisis del Grupo Atico34—, el DPO no necessita una certificació obligatòria per exercir, però sí ha d'acreditar coneixements especialitzats i experiència real en protecció de dades. A Espanya existeixen esquemes de certificació voluntària acreditats per l'ENAC en el marc de l'AEPD, que aporten una garantia addicional de competència, però no són un requisit legal. El perfil ideal combina:
- Base jurídica sòlida en RGPD, LOPDGDD i normativa sectorial aplicable.
- Comprensió tècnica dels sistemes d'informació, la seguretat i els fluxos de dades de l'organització.
- Habilitats de comunicació per assessorar la direcció i formar els equips.
Les funcions mínimes de l'article 39
El RGPD assigna al DPO, com a mínim, les funcions següents:
- Informar i assessorar el responsable, l'encarregat i els empleats sobre les seves obligacions.
- Supervisar el compliment del RGPD, de la LOPDGDD i de les polítiques internes, incloent-hi l'assignació de responsabilitats i la formació del personal.
- Assessorar sobre l'avaluació d'impacte relativa a la protecció de dades (AIPD) i supervisar-ne l'aplicació.
- Cooperar amb l'autoritat de control (l'AEPD) i actuar com a punt de contacte per a ella.
- Atendre les consultes dels interessats sobre el tractament de les seves dades i l'exercici dels seus drets.
Independència i absència de conflictes d'interès
L'article 38 del RGPD és categòric: el DPO ha d'exercir les seves funcions amb independència, disposar dels recursos adequats i no rebre instruccions sobre com exercir-les. A més, no pot ocupar simultàniament un lloc que el porti a determinar les finalitats i els mitjans del tractament, perquè incorreria en conflicte d'interès. Per això, un director de màrqueting, un responsable de sistemes o un director financer difícilment poden ser, alhora, DPO de la seva pròpia empresa: estarien supervisant-se a si mateixos.
Aquest requisit d'independència és un dels arguments de més pes a favor del model extern, com veurem a continuació. Si la teva organització està estructurant tot el seu programa de compliment, convé encaixar la figura del DPO dins d'una estratègia més àmplia de protecció de dades i adequació al RGPD que cobreixi polítiques, registres d'activitats i procediments de resposta davant d'incidents.
DPO intern vs. DPO extern: costos, avantatges i quin triar segons la mida de l'empresa
El RGPD permet ambdues modalitats: el DPO pot ser un empleat de l'organització o un professional extern que presta el servei mitjançant contracte. L'elecció no és trivial i depèn, sobretot, de la mida, la complexitat i el sector de l'empresa.
El factor cost
La diferència econòmica és significativa. Segons les anàlisis del Grupo Atico34, contractar un DPO intern a Espanya pot costar entre 45.000 i 75.000 euros anuals (salari, càrregues socials, formació contínua i eines). En canvi, un DPO extern resulta entre tres i deu vegades més econòmic, la qual cosa permet a una pime estalviar entre 30.000 i 60.000 euros a l'any sense renunciar a la cobertura legal.
Comparativa de models
| Criteri | DPO intern | DPO extern |
|---|---|---|
| Cost anual orientatiu | 45.000–75.000 € | De 3 a 10 vegades menys |
| Coneixement del negoci | Molt alt, dia a dia | Requereix fase d'immersió |
| Independència | Risc de conflicte d'interès | Estructuralment més independent |
| Disponibilitat | Dedicació completa | Compartida entre clients |
| Actualització normativa | A càrrec de l'empresa | Inclosa en el servei |
| Cobertura de baixes/vacances | Vulnerable a interrupcions | Garantida pel proveïdor |
| Idoni per a | Grans empreses, sectors molt regulats | Pimes i empreses mitjanes |
Quin triar
Com a regla pràctica:
- Gran empresa o sector altament regulat (banca, salut, assegurances, energia): el volum i la sensibilitat dels tractaments solen justificar un DPO intern, o fins i tot un equip sota la seva direcció.
- Pime i empresa mitjana: el DPO extern ofereix el millor equilibri entre cost, independència i rigor tècnic. Evita el conflicte d'interès que sorgeix en «doblar» un empleat en funcions de compliment i garanteix continuïtat davant de baixes o vacances.
Sigui quin sigui el model, el DPO no treballa en el buit: necessita recolzar-se en un sistema de gestió de la seguretat de la informació. Les organitzacions que ja operen sota un marc com la certificació ISO 27001 parteixen amb avantatge, perquè molts dels controls de seguretat, registres i procediments que el DPO ha de supervisar ja estan documentats i auditats.
El nou rol del DPO davant l'AI Act: governança de la IA i sistemes d'alt risc
La figura del DPO es va dissenyar per al món de les dades personals, però l'avenç de la intel·ligència artificial està ampliant el seu perímetre de responsabilitat. El motiu és senzill: la majoria dels sistemes d'IA empresarials s'entrenen i operen amb dades personals, la qual cosa situa la governança de la IA en la intersecció exacta del treball del DPO.
El calendari de l'AI Act
El Reglament Europeu d'Intel·ligència Artificial —AI Act (Reglament UE 2024/1689)— s'aplica de forma escalonada. Segons el calendari oficial recollit en les anàlisis de firmes com Audidat:
- 2 de febrer de 2025: entren en vigor els Capítols I i II, incloses les pràctiques d'IA prohibides i les obligacions d'alfabetització.
- 2 d'agost de 2025: comencen a aplicar-se les obligacions de governança i les relatives als models d'IA de propòsit general (GPAI).
- Al llarg de 2026: es despleguen les regles més estrictes, especialment les que afecten els sistemes d'IA d'alt risc.
Aquesta progressió amplia de forma directa el rol del DPO en l'avaluació de riscos de la IA, perquè els sistemes d'alt risc exigeixen una gestió de riscos, una governança de dades i una documentació que es solapen amb les funcions tradicionals de protecció de dades.
Què canvia per al DPO?
Tot i que l'AI Act no converteix automàticament el DPO en «responsable de la IA», a la pràctica la figura assumeix noves tasques quan la IA tracta dades personals:
- Participar en les avaluacions d'impacte que combinen protecció de dades (AIPD) i avaluació de riscos dels sistemes d'IA.
- Supervisar la qualitat i la base de licitud de les dades usades per entrenar i inferir.
- Vetllar per la transparència envers els interessats quan interactuen amb sistemes automatitzats.
- Assegurar la traçabilitat de les decisions automatitzades i el respecte als drets de l'article 22 del RGPD.
La pròpia AEPD ha reforçat aquest vincle. El 2025 va publicar una nova guia sobre agents d'IA i tractament de dades personals que, segons l'anàlisi de la firma ECIJA, reforça el paper del DPO en la supervisió de l'ús de la IA que implica dades personals. El senyal regulatori és inequívoc: el DPO del futur immediat serà també un actor clau en la governança de la intel·ligència artificial.
Sancions per no designar un DPO: què arrisca la teva empresa i com complir
Arribem al punt que obre aquesta guia, però ara amb tot el context. No designar un DPO quan és obligatori no és un oblit menor: és una infracció amb conseqüències econòmiques i reputacionals tangibles.
El règim sancionador
D'acord amb l'article 83.4 del RGPD, no designar un Delegat de Protecció de Dades quan és obligatori es considera una infracció greu, sancionable amb multes de fins a 10 milions d'euros o el 2 % del volum de negoci anual global de l'empresa, la xifra que resulti major de les dues. Per a una multinacional, aquell 2 % pot superar àmpliament el llindar fix.
El cas Glovo: la teoria feta multa
El precedent més citat a Espanya és el de Glovo. L'AEPD va imposar a GlovoApp una sanció de 25.000 euros el 2020 per no tenir designat un Delegat de Protecció de Dades tot i estar obligada, segons recullen anàlisis especialitzades com la de Trebia Abogados sobre l'expedient. El cas és il·lustratiu per dos motius: demostra que l'AEPD vigila activament aquest incompliment concret i que la sanció pot arribar fins i tot a empreses amb departaments jurídics consolidats.
Com complir, pas a pas
Per evitar el risc, el camí és directe:
- Analitza si estàs obligat. Revisa els tres supòsits de l'article 37.1 del RGPD i la llista de 16 sectors de l'article 34 de la LOPDGDD.
- Tria el model. Decideix entre DPO intern o extern en funció de la teva mida, sector i pressupost.
- Designa un perfil competent. Acredita coneixement expert i independència; evita conflictes d'interès.
- Comunica-ho a l'AEPD en 10 dies. No oblidis aquesta obligació formal, també si la designació és voluntària.
- Dota'l de recursos. Garanteix-li accés a la direcció, pressupost i eines.
- Integra la IA. Prepara el rol del DPO per a les obligacions progressives de l'AI Act.
Designar un DPO no és el final del camí, sinó l'inici d'un programa de compliment viu. La figura només aporta valor —i protecció davant de sancions— si s'integra en la governança real de les dades.
Conclusió
El Delegat de Protecció de Dades ha deixat de ser una casella que marcar per convertir-se en una funció estratègica que connecta el compliment del RGPD, la seguretat de la informació i, cada vegada més, la governança de la intel·ligència artificial sota l'AI Act. Per a la majoria de les pimes i empreses mitjanes espanyoles, el model extern ofereix el millor equilibri entre rigor, independència i cost; per a les grans organitzacions de sectors regulats, un DPO intern ben dotat resulta indispensable. En tots dos casos, el que l'AEPD penalitza no és el dubte, sinó la inacció.
No tens clar si la teva empresa està obligada a designar un DPO o com encaixar aquesta figura en la teva estratègia de compliment i governança de la IA? A Technova Partners ajudem les organitzacions a dissenyar i implantar programes de protecció de dades sòlids, des de la designació del delegat fins a l'adequació completa al RGPD i a l'AI Act. Parla amb el nostre equip de compliment i converteix una obligació legal en un avantatge competitiu.
