Una sola omisión administrativa puede costar a tu empresa hasta 10 millones de euros o el 2 % de su facturación global: no designar un Delegado de Protección de Datos cuando el Reglamento General de Protección de Datos (RGPD) lo exige es una infracción grave. No es una hipótesis teórica. La Agencia Española de Protección de Datos (AEPD) ya ha sancionado a empresas como Glovo precisamente por este motivo, con una multa de 25.000 euros en 2020 por no tener designado un Delegado de Protección de Datos pese a estar obligada a hacerlo.
En un contexto en el que el RGPD lleva años plenamente vigente y el nuevo Reglamento Europeo de Inteligencia Artificial (AI Act) empieza a desplegar sus obligaciones por fases, la figura del DPO ha pasado de ser una formalidad documental a convertirse en una pieza estratégica del gobierno del dato. Esta guía explica qué es, cuándo es obligatorio, qué perfil exige la normativa, cómo decidir entre un modelo interno o externo y por qué su papel se está ampliando con la llegada de la IA.
¿Qué es el Delegado de Protección de Datos (DPO) y qué dice el RGPD?
El Delegado de Protección de Datos —DPO por sus siglas en inglés (Data Protection Officer) o DPD en su denominación española— es la figura encargada de supervisar de forma independiente que una organización trata los datos personales conforme a la normativa. No es un mero «responsable de la LOPD» ni un cargo decorativo: el RGPD le atribuye funciones concretas de asesoramiento, supervisión y enlace con la autoridad de control.
Su regulación se encuentra en los artículos 37 a 39 del RGPD (Reglamento UE 2016/679), desarrollados en España por la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El RGPD establece tres ejes para entender la figura:
- Cuándo designarlo (artículo 37): los supuestos de obligatoriedad.
- Qué posición ocupa (artículo 38): independencia, recursos y ausencia de conflictos de interés.
- Qué hace (artículo 39): sus funciones mínimas.
A diferencia de otros roles de cumplimiento, el DPO disfruta de una protección reforzada: no puede ser destituido ni sancionado por desempeñar sus funciones, y reporta directamente al más alto nivel directivo de la organización. Esa independencia es, como veremos, el rasgo que define la figura.
El DPO no «decide» sobre los tratamientos: asesora, supervisa y vigila. La responsabilidad última del cumplimiento sigue recayendo en el responsable del tratamiento, es decir, en la dirección de la empresa.
¿Cuándo es obligatorio designar un DPO? Los tres supuestos del artículo 37 y la lista del artículo 34 LOPDGDD
Esta es la pregunta que más quebraderos de cabeza genera, porque la respuesta combina dos niveles normativos: el europeo (RGPD) y el español (LOPDGDD).
Los tres supuestos del artículo 37.1 del RGPD
El artículo 37.1 del RGPD obliga a designar un Delegado de Protección de Datos en tres situaciones:
- Autoridades y organismos públicos. Cuando el tratamiento lo lleva a cabo una autoridad u organismo público, con la única excepción de los tribunales que actúan en ejercicio de su función judicial.
- Observación habitual y sistemática a gran escala. Cuando las actividades principales del responsable o encargado consisten en operaciones que, por su naturaleza, alcance o fines, requieren una observación habitual y sistemática de interesados a gran escala.
- Tratamiento a gran escala de datos sensibles. Cuando las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos (artículo 9 del RGPD: salud, origen étnico, ideología, datos biométricos, etc.) o de datos relativos a condenas e infracciones penales (artículo 10).
El problema práctico es que conceptos como «gran escala» u «observación habitual y sistemática» son indeterminados. Para resolverlo, el legislador español dio un paso adicional.
La lista del artículo 34 de la LOPDGDD
Aquí es donde España aporta seguridad jurídica. El artículo 34 de la LOPDGDD amplía y concreta la obligación, enumerando, según la propia AEPD en su documentación de preguntas frecuentes, 16 tipos de entidades que deben designar un DPD en todo caso. Entre ellas figuran:
| Sector / tipo de entidad | Ejemplos habituales |
|---|---|
| Centros sanitarios | Hospitales, clínicas, laboratorios |
| Entidades financieras y de seguros | Bancos, aseguradoras, gestoras |
| Distribuidores y comercializadores de energía | Eléctricas, gasistas |
| Empresas de seguridad privada | Vigilancia, alarmas |
| Operadores de juego online | Apuestas, casinos digitales |
| Colegios profesionales | Y sus consejos generales |
| Centros docentes y universidades | Públicos y privados |
| Empresas de publicidad y prospección comercial | Que elaboran perfiles de los interesados |
La consecuencia es clara: aunque una empresa dude de si encaja en los conceptos abiertos del RGPD, si pertenece a uno de los sectores del artículo 34 de la LOPDGDD, la designación es obligatoria sin margen de interpretación.
La obligación de comunicar a la AEPD
Designar al DPO no agota la obligación. Según la AEPD, los responsables y encargados del tratamiento deben comunicar las designaciones, nombramientos y ceses del DPD en un plazo de 10 días a la propia Agencia (o a la autoridad autonómica competente, donde exista). Y esto aplica tanto a los casos en que la designación es obligatoria como a las designaciones voluntarias: una empresa que decide nombrar DPO sin estar obligada también debe comunicarlo.
Esta comunicación crea un registro público de delegados que, en la práctica, facilita a la autoridad de control comprobar de un vistazo qué organizaciones cumplen y cuáles no. Es, también, una de las vías por las que la AEPD detecta incumplimientos.
Funciones y perfil del DPO: independencia, conocimiento experto y ausencia de conflictos de interés
El RGPD no exige una titulación concreta ni una certificación obligatoria para ejercer como Delegado de Protección de Datos. Lo que exige el artículo 37.5 es que el DPO sea designado «atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos». Dicho de otro modo: lo relevante es la competencia demostrable, no un papel.
Conocimiento experto, pero sin certificación obligatoria
Como matiza la documentación de referencia del sector —por ejemplo, los análisis de Grupo Atico34—, el DPO no necesita una certificación obligatoria para ejercer, pero sí debe acreditar conocimientos especializados y experiencia real en protección de datos. En España existen esquemas de certificación voluntaria acreditados por la ENAC bajo el marco de la AEPD, que aportan una garantía adicional de competencia, pero no son un requisito legal. El perfil ideal combina:
- Base jurídica sólida en RGPD, LOPDGDD y normativa sectorial aplicable.
- Comprensión técnica de los sistemas de información, la seguridad y los flujos de datos de la organización.
- Habilidades de comunicación para asesorar a la dirección y formar a los equipos.
Las funciones mínimas del artículo 39
El RGPD asigna al DPO, como mínimo, las siguientes funciones:
- Informar y asesorar al responsable, al encargado y a los empleados sobre sus obligaciones.
- Supervisar el cumplimiento del RGPD, de la LOPDGDD y de las políticas internas, incluida la asignación de responsabilidades y la formación del personal.
- Asesorar sobre la evaluación de impacto relativa a la protección de datos (EIPD) y supervisar su aplicación.
- Cooperar con la autoridad de control (la AEPD) y actuar como punto de contacto para ella.
- Atender las consultas de los interesados sobre el tratamiento de sus datos y el ejercicio de sus derechos.
Independencia y ausencia de conflictos de interés
El artículo 38 del RGPD es categórico: el DPO debe desempeñar su función con independencia, contar con los recursos adecuados y no recibir instrucciones sobre cómo ejercerla. Además, no puede ocupar simultáneamente un puesto que le lleve a determinar los fines y medios del tratamiento, porque entraría en conflicto de interés. Por eso, un director de marketing, un responsable de sistemas o un director financiero difícilmente pueden ser, a la vez, DPO de su propia empresa: estarían supervisándose a sí mismos.
Este requisito de independencia es uno de los argumentos de mayor peso a favor del modelo externo, como veremos a continuación. Si tu organización está estructurando todo su programa de cumplimiento, conviene encajar la figura del DPO dentro de una estrategia más amplia de protección de datos y adecuación al RGPD que cubra políticas, registros de actividades y procedimientos de respuesta ante incidentes.
DPO interno vs. DPO externo: costes, ventajas y cuál elegir según el tamaño de tu empresa
El RGPD permite ambas modalidades: el DPO puede ser un empleado de la organización o un profesional externo que presta el servicio mediante contrato. La elección no es trivial y depende, sobre todo, del tamaño, la complejidad y el sector de la empresa.
El factor coste
La diferencia económica es significativa. Según los análisis de Grupo Atico34, contratar un DPO interno en España puede costar entre 45.000 y 75.000 euros anuales (salario, cargas sociales, formación continua y herramientas). En cambio, un DPO externo resulta entre tres y diez veces más económico, lo que permite a una pyme ahorrar entre 30.000 y 60.000 euros al año sin renunciar a la cobertura legal.
Comparativa de modelos
| Criterio | DPO interno | DPO externo |
|---|---|---|
| Coste anual orientativo | 45.000–75.000 € | 3 a 10 veces menos |
| Conocimiento del negocio | Muy alto, día a día | Requiere fase de inmersión |
| Independencia | Riesgo de conflicto de interés | Estructuralmente más independiente |
| Disponibilidad | Dedicación completa | Compartida entre clientes |
| Actualización normativa | A cargo de la empresa | Incluida en el servicio |
| Cobertura de bajas/vacaciones | Vulnerable a interrupciones | Garantizada por el proveedor |
| Idóneo para | Grandes empresas, sectores muy regulados | Pymes y medianas empresas |
Cuál elegir
Como regla práctica:
- Gran empresa o sector altamente regulado (banca, salud, seguros, energía): el volumen y la sensibilidad de los tratamientos suelen justificar un DPO interno, o incluso un equipo bajo su dirección.
- Pyme y empresa mediana: el DPO externo ofrece el mejor equilibrio entre coste, independencia y rigor técnico. Evita el conflicto de interés que surgiría al «doblar» a un empleado en funciones de cumplimiento y garantiza continuidad ante bajas o vacaciones.
Sea cual sea el modelo, el DPO no trabaja en el vacío: necesita apoyarse en un sistema de gestión de la seguridad de la información. Las organizaciones que ya operan bajo un marco como la certificación ISO 27001 parten con ventaja, porque muchos de los controles de seguridad, registros y procedimientos que el DPO debe supervisar ya están documentados y auditados.
El nuevo rol del DPO ante el AI Act: gobernanza de IA y sistemas de alto riesgo
La figura del DPO se diseñó para el mundo de los datos personales, pero el avance de la inteligencia artificial está ampliando su perímetro de responsabilidad. La razón es sencilla: la mayoría de los sistemas de IA empresariales se entrenan y operan con datos personales, lo que sitúa la gobernanza de la IA en la intersección exacta del trabajo del DPO.
El calendario del AI Act
El Reglamento Europeo de Inteligencia Artificial —AI Act (Reglamento UE 2024/1689)— se aplica de forma escalonada. Según el calendario oficial recogido en los análisis de firmas como Audidat:
- 2 de febrero de 2025: entran en vigor los Capítulos I y II, incluidas las prácticas de IA prohibidas y las obligaciones de alfabetización.
- 2 de agosto de 2025: comienzan a aplicarse las obligaciones de gobernanza y las relativas a los modelos de IA de propósito general (GPAI).
- A lo largo de 2026: se despliegan las reglas más estrictas, especialmente las que afectan a los sistemas de IA de alto riesgo.
Esta progresión amplía de forma directa el rol del DPO en la evaluación de riesgos de IA, porque los sistemas de alto riesgo exigen una gestión de riesgos, una gobernanza de datos y una documentación que se solapan con las funciones tradicionales de protección de datos.
¿Qué cambia para el DPO?
Aunque el AI Act no convierte automáticamente al DPO en «responsable de IA», en la práctica la figura asume nuevas tareas cuando la IA trata datos personales:
- Participar en las evaluaciones de impacto que combinan protección de datos (EIPD) y evaluación de riesgos de los sistemas de IA.
- Supervisar la calidad y la base de licitud de los datos usados para entrenar e inferir.
- Vigilar la transparencia hacia los interesados cuando interactúan con sistemas automatizados.
- Asegurar la trazabilidad de las decisiones automatizadas y el respeto a los derechos del artículo 22 del RGPD.
La propia AEPD ha reforzado este vínculo. En 2025 publicó una nueva guía sobre agentes de IA y tratamiento de datos personales que, según el análisis de la firma ECIJA, refuerza el papel del DPO en la supervisión del uso de IA que implica datos personales. La señal regulatoria es inequívoca: el DPO del futuro inmediato será también un actor clave en la gobernanza de la inteligencia artificial.
Sanciones por no designar DPO: qué arriesga tu empresa y cómo cumplir
Llegamos al punto que abre esta guía, pero ahora con todo el contexto. No designar un DPO cuando es obligatorio no es un olvido menor: es una infracción con consecuencias económicas y reputacionales tangibles.
El régimen sancionador
Conforme al artículo 83.4 del RGPD, no designar un Delegado de Protección de Datos cuando resulta obligatorio se considera una infracción grave, sancionable con multas de hasta 10 millones de euros o el 2 % del volumen de negocio anual global de la empresa, la cifra que resulte mayor de las dos. Para una multinacional, ese 2 % puede superar con creces el umbral fijo.
El caso Glovo: la teoría hecha multa
El precedente más citado en España es el de Glovo. La AEPD impuso a GlovoApp una sanción de 25.000 euros en 2020 por no tener designado un Delegado de Protección de Datos pese a estar obligada, según recogen análisis especializados como el de Trebia Abogados sobre el expediente. El caso es ilustrativo por dos motivos: demuestra que la AEPD vigila activamente este incumplimiento concreto y que la sanción puede llegar incluso a empresas con departamentos jurídicos consolidados.
Cómo cumplir, paso a paso
Para evitar el riesgo, el camino es directo:
- Analiza si estás obligado. Revisa los tres supuestos del artículo 37.1 del RGPD y la lista de 16 sectores del artículo 34 de la LOPDGDD.
- Elige el modelo. Decide entre DPO interno o externo según tu tamaño, sector y presupuesto.
- Designa a un perfil competente. Acredita conocimiento experto e independencia; evita conflictos de interés.
- Comunícalo a la AEPD en 10 días. No olvides esta obligación formal, también si la designación es voluntaria.
- Dótale de recursos. Garantízale acceso a la dirección, presupuesto y herramientas.
- Integra la IA. Prepara el rol del DPO para las obligaciones progresivas del AI Act.
Designar un DPO no es el final del camino, sino el inicio de un programa de cumplimiento vivo. La figura solo aporta valor —y protección frente a sanciones— si se integra en la gobernanza real del dato.
Conclusión
El Delegado de Protección de Datos ha dejado de ser una casilla que marcar para convertirse en una función estratégica que conecta el cumplimiento del RGPD, la seguridad de la información y, cada vez más, la gobernanza de la inteligencia artificial bajo el AI Act. Para la mayoría de las pymes y medianas empresas españolas, el modelo externo ofrece el mejor equilibrio entre rigor, independencia y coste; para las grandes organizaciones de sectores regulados, un DPO interno bien dotado resulta indispensable. En ambos casos, lo que la AEPD penaliza no es la duda, sino la inacción.
¿No tienes claro si tu empresa está obligada a designar un DPO o cómo encajar esta figura en tu estrategia de cumplimiento y gobernanza de IA? En Technova Partners ayudamos a organizaciones a diseñar e implantar programas de protección de datos sólidos, desde la designación del delegado hasta la adecuación completa al RGPD y al AI Act. Habla con nuestro equipo de cumplimiento y convierte una obligación legal en una ventaja competitiva.
