Cuándo es obligatorio el DPO externo — Guía RGPD 2026

Q: ¿Qué es el DPO y qué funciones tiene?

El Delegado de Protección de Datos (DPO, por sus siglas en inglés) es la figura que el RGPD establece para supervisar el cumplimiento de la normativa de protección de datos en la organización. Sus funciones incluyen informar y asesorar al responsable y encargados del tratamiento, supervisar el cumplimiento del RGPD y las políticas internas de datos, cooperar con la autoridad de control (AEPD en España) y actuar como punto de contacto para los interesados.

Q: ¿Qué pasa si una empresa está obligada a tener DPO y no lo designa?

La falta de designación de DPO cuando es obligatoria es una infracción del artículo 37 del RGPD, clasificable como grave, con multas de hasta 10 millones de euros o el 2% del volumen de negocio anual global. La AEPD ha impuesto sanciones por este concepto, aunque habitualmente por cuantías menores cuando la empresa colabora y subsana la infracción.

Q: ¿El DPO debe ser un abogado o puede ser cualquier perfil?

El RGPD no exige una titulación concreta. El DPO debe tener conocimientos especializados en derecho y práctica de protección de datos, que pueden proceder de formación jurídica, técnica o una combinación de ambas. En la práctica, los perfiles más habituales son abogados con especialización en protección de datos, ingenieros con conocimiento de seguridad de la información, o profesionales con certificaciones específicas (CIPP/E, CIPM).

Q: ¿Puede el DPO ser también el responsable de seguridad o el compliance officer?

El DPO no puede asumir funciones que supongan un conflicto de intereses con su rol de supervisión independiente. Ser director de TI, director legal o responsable de seguridad puede generar ese conflicto si esas funciones implican decidir sobre los fines y medios del tratamiento. Sin embargo, en organizaciones pequeñas se admite cierta acumulación de funciones si se garantiza la independencia efectiva.

Q: ¿Cuánto cuesta un servicio de DPO externo en España?

El coste varía según la complejidad del perfil de tratamiento de la empresa. Para una pyme de tamaño medio sin tratamientos de alto riesgo, el servicio de DPO externo se sitúa habitualmente entre 150 y 500 euros mensuales. Para organizaciones con mayor volumen de datos o tratamientos sensibles, el coste puede ser superior.

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 37 la obligación de designar un Delegado de Protección de Datos en determinados supuestos. Desde la entrada en vigor del RGPD en mayo de 2018, la AEPD ha impuesto sanciones por la falta de designación cuando la empresa está obligada. Sin embargo, la identificación de cuándo exactamente se aplica esa obligatoriedad no siempre es sencilla.

Los supuestos de obligatoriedad del RGPD

El artículo 37.1 del RGPD establece tres categorías de organizaciones que están obligadas a designar un DPO:

1. Autoridades y organismos públicos

Con independencia de la naturaleza de los tratamientos que realicen, todas las autoridades y organismos públicos deben tener DPO. En el ámbito privado, las empresas que realizan funciones de autoridad pública (como ciertos concesionarios de servicios públicos) también pueden estar en este supuesto.

2. Tratamientos que requieren observación habitual y sistemática a gran escala

Esta categoría aplica a organizaciones cuya actividad principal implica el seguimiento regular de personas: plataformas digitales con publicidad comportamental, empresas de seguros con telemetría, aplicaciones de geolocalización, sistemas de videovigilancia extensa, plataformas de fidelización con perfilado de clientes. La clave es la conjunción de los tres elementos: habitual (no ocasional), sistemático (organizado) y a gran escala.

3. Tratamiento a gran escala de categorías especiales o de datos penales

Son datos de categorías especiales los relativos a salud, origen étnico, creencias religiosas, ideología política, orientación sexual, datos genéticos o biométricos. Las empresas cuya actividad principal implica tratar estas categorías a gran escala —clínicas, aseguradoras de salud, centros deportivos con datos biométricos, empresas de ciberseguridad que acceden a datos de ficheros de delincuentes— deben designar DPO.

La obligatoriedad en la normativa española

La LOPDGDD amplía los supuestos de designación obligatoria en España más allá del RGPD. La normativa española incluye entre los obligados a entidades de crédito, aseguradoras, operadores de telecomunicaciones, centros educativos, colegios profesionales, federaciones deportivas y otras categorías que traten datos de sus miembros o clientes de forma habitual.

Cuándo conviene designar un DPO aunque no sea obligatorio

Aunque la empresa no esté en ninguno de los supuestos obligatorios, la designación voluntaria de un DPO es recomendable cuando:

La empresa trata datos sensibles aunque no a gran escala (por ejemplo, datos de salud de empleados)
La empresa realiza transferencias internacionales de datos habituales
La empresa tiene un perfil de riesgo reputacional elevado en materia de datos
La empresa opera en sectores con alta litigiosidad en materia de privacidad
La empresa quiere prepararse para la realización de evaluaciones de impacto (EIPD) de forma habitual

DPO interno vs. DPO externo: cuándo externalizar

El RGPD permite que el DPO sea un empleado de la organización o un profesional externo que preste el servicio en virtud de un contrato. La decisión depende de varios factores:

DPO interno es preferible cuando:

La organización es grande y tiene un volumen de consultas e incidencias de datos elevado
Existe ya un equipo legal o de TI con capacidad de absorber el rol
La dirección valora la disponibilidad inmediata y el conocimiento interno de los procesos

DPO externo es preferible cuando:

La organización es una pyme sin capacidad de contratar un perfil técnico-jurídico especializado
Se busca garantizar la independencia del DPO respecto de la dirección (el externo tiene menor conflicto de intereses)
Se quiere acceso a un equipo con conocimiento actualizado de doctrina de la AEPD y jurisprudencia del TJUE
La carga de trabajo no justifica una dedicación a tiempo completo

Cómo le ayudamos en BMC

Nuestro servicio de DPO externo incluye la designación formal ante la AEPD, la supervisión continua del cumplimiento del RGPD, la atención a solicitudes de derechos de los interesados, la coordinación de evaluaciones de impacto y la actuación como punto de contacto con la AEPD en caso de inspección o investigación.

Si tiene dudas sobre si su empresa está obligada a designar DPO o quiere revisar la suficiencia del sistema actual de protección de datos, contáctenos para una primera evaluación sin compromiso.

dpo proteccion-datos rgpd compliance

← Volver a Insights

Advisory

Análisis y Valoración

Transformación

Gobierno y transición

Estrategia Fiscal

Cumplimiento

Regímenes Especiales

Patrimonio y Litigios

Derecho Mercantil y Societario

Insolvencia y Reestructuración

Personas y Compliance

Litigios y Resoluciones

Ciberseguridad

Privacidad e IA

Finanzas y Reporting

Servicios Corporativos

Crecimiento

Riesgos y Resiliencia

Artículos y Análisis

Informes y Whitepapers

Herramientas

Industrias

Los supuestos de obligatoriedad del RGPD

La obligatoriedad en la normativa española

Cuándo conviene designar un DPO aunque no sea obligatorio

DPO interno vs. DPO externo: cuándo externalizar

Cómo le ayudamos en BMC

Servicios Relacionados

DPO Externo (Delegado de Protección de Datos)

Protección de Datos y Privacidad

Evaluación de Impacto en Protección de Datos (EIPD)

Glosario

Delegado de Protección de Datos (DPO)

Evaluación de Impacto en Protección de Datos (EIPD / DPIA)

LOPD / RGPD (protección de datos)

Privacidad desde el Diseño (Privacy by Design)

Protección de datos personales (RGPD/LOPDGDD)

Artículos relacionados

Qué hacer si recibe una inspección de la AEPD

Cómo implementar un canal de denuncias conforme a la Ley 2/2023

Cómo proteger su empresa frente al blanqueo de capitales

Le interesa saber más?

Configuración de cookies