El Reglamento General de Protección de Datos (RGPD) establece en su artículo 37 la obligación de designar un Delegado de Protección de Datos en determinados supuestos. Desde la entrada en vigor del RGPD en mayo de 2018, la AEPD ha impuesto sanciones por la falta de designación cuando la empresa está obligada. Sin embargo, la identificación de cuándo exactamente se aplica esa obligatoriedad no siempre es sencilla.
Los supuestos de obligatoriedad del RGPD
El artículo 37.1 del RGPD establece tres categorías de organizaciones que están obligadas a designar un DPO:
1. Autoridades y organismos públicos
Con independencia de la naturaleza de los tratamientos que realicen, todas las autoridades y organismos públicos deben tener DPO. En el ámbito privado, las empresas que realizan funciones de autoridad pública (como ciertos concesionarios de servicios públicos) también pueden estar en este supuesto.
2. Tratamientos que requieren observación habitual y sistemática a gran escala
Esta categoría aplica a organizaciones cuya actividad principal implica el seguimiento regular de personas: plataformas digitales con publicidad comportamental, empresas de seguros con telemetría, aplicaciones de geolocalización, sistemas de videovigilancia extensa, plataformas de fidelización con perfilado de clientes. La clave es la conjunción de los tres elementos: habitual (no ocasional), sistemático (organizado) y a gran escala.
3. Tratamiento a gran escala de categorías especiales o de datos penales
Son datos de categorías especiales los relativos a salud, origen étnico, creencias religiosas, ideología política, orientación sexual, datos genéticos o biométricos. Las empresas cuya actividad principal implica tratar estas categorías a gran escala —clínicas, aseguradoras de salud, centros deportivos con datos biométricos, empresas de ciberseguridad que acceden a datos de ficheros de delincuentes— deben designar DPO.
La obligatoriedad en la normativa española
La LOPDGDD amplía los supuestos de designación obligatoria en España más allá del RGPD. La normativa española incluye entre los obligados a entidades de crédito, aseguradoras, operadores de telecomunicaciones, centros educativos, colegios profesionales, federaciones deportivas y otras categorías que traten datos de sus miembros o clientes de forma habitual.
Cuándo conviene designar un DPO aunque no sea obligatorio
Aunque la empresa no esté en ninguno de los supuestos obligatorios, la designación voluntaria de un DPO es recomendable cuando:
- La empresa trata datos sensibles aunque no a gran escala (por ejemplo, datos de salud de empleados)
- La empresa realiza transferencias internacionales de datos habituales
- La empresa tiene un perfil de riesgo reputacional elevado en materia de datos
- La empresa opera en sectores con alta litigiosidad en materia de privacidad
- La empresa quiere prepararse para la realización de evaluaciones de impacto (EIPD) de forma habitual
DPO interno vs. DPO externo: cuándo externalizar
El RGPD permite que el DPO sea un empleado de la organización o un profesional externo que preste el servicio en virtud de un contrato. La decisión depende de varios factores:
DPO interno es preferible cuando:
- La organización es grande y tiene un volumen de consultas e incidencias de datos elevado
- Existe ya un equipo legal o de TI con capacidad de absorber el rol
- La dirección valora la disponibilidad inmediata y el conocimiento interno de los procesos
DPO externo es preferible cuando:
- La organización es una pyme sin capacidad de contratar un perfil técnico-jurídico especializado
- Se busca garantizar la independencia del DPO respecto de la dirección (el externo tiene menor conflicto de intereses)
- Se quiere acceso a un equipo con conocimiento actualizado de doctrina de la AEPD y jurisprudencia del TJUE
- La carga de trabajo no justifica una dedicación a tiempo completo
Cómo le ayudamos en BMC
Nuestro servicio de DPO externo incluye la designación formal ante la AEPD, la supervisión continua del cumplimiento del RGPD, la atención a solicitudes de derechos de los interesados, la coordinación de evaluaciones de impacto y la actuación como punto de contacto con la AEPD en caso de inspección o investigación.
Si tiene dudas sobre si su empresa está obligada a designar DPO o quiere revisar la suficiencia del sistema actual de protección de datos, contáctenos para una primera evaluación sin compromiso.
Marco regulador específico
La obligación de designar DPO emana del artículo 37 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), que establece en su apartado 1 los tres supuestos de designación obligatoria. El artículo 38 RGPD regula la posición del DPO (independencia, recursos, confidencialidad) y el artículo 39 sus funciones.
En España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) amplía los supuestos de designación obligatoria en su artículo 34, incluyendo entidades de crédito, aseguradoras, operadores de telecomunicaciones, centros educativos, colegios profesionales, federaciones deportivas y empresas de seguridad privada, entre otros.
Las directrices interpretativas son las Directrices 07/2020 del Comité Europeo de Protección de Datos (EDPB), que aclaran qué significa tratamiento “a gran escala” y “actividad principal”. En España, la AEPD ha publicado la Guía sobre el Delegado de Protección de Datos (2021) que adapta estas directrices al contexto nacional.
La designación debe notificarse a la AEPD conforme al artículo 37.7 RGPD y el artículo 34.3 LOPDGDD, a través del Registro de Actividades de Tratamiento y el Portal de la AEPD. La falta de designación cuando es obligatoria constituye infracción sancionable con multa de hasta 10 millones de EUR o el 2 % del volumen de negocio anual global conforme al artículo 83.4.a) RGPD.
Ejemplo práctico: clínica dental con 3 consultorios
Caso: Clínica Dental Blanca Sonrisa, S.L. tiene 3 consultorios en Madrid (15 profesionales), trata datos de salud de aproximadamente 4.500 pacientes activos y utiliza una plataforma de gestión clínica para citas, historiales y facturación.
Análisis de obligatoriedad:
| Supuesto artículo 37.1 RGPD | Aplicación | Conclusión |
|---|---|---|
| Autoridad u organismo público | No aplica | — |
| Observación habitual y sistemática a gran escala de personas | No aplica (no hay seguimiento sistemático de comportamiento) | No obligatorio |
| Tratamiento a gran escala de categorías especiales (salud) | Sí aplica: datos de salud de 4.500 pacientes; actividad principal es el tratamiento sanitario | Obligatorio |
Análisis adicional (artículo 34.1.c) LOPDGDD): las entidades que prestan servicios de atención sanitaria están expresamente enumeradas entre los obligados a designar DPO en la normativa española, con independencia de su tamaño.
Decisión: Clínica Blanca Sonrisa debe designar DPO. Al tratarse de una pyme de 15 profesionales, el DPO externo es la opción más eficiente: coste estimado de 200-350 EUR/mes, frente a una multa mínima de 10.000 EUR por falta de designación.
Errores comunes que BMC corrige
-
Creer que la LOPDGDD no añade supuestos respecto al RGPD. La LOPDGDD amplía la obligación a categorías como centros educativos, colegios profesionales y empresas de seguridad privada. Algunas empresas solo revisan el RGPD y concluyen erróneamente que no están obligadas, ignorando la ampliación española.
-
Nombrar al director de RRHH o al director legal como DPO sin verificar el conflicto de intereses. El artículo 38.6 RGPD prohíbe que el DPO asuma funciones que supongan conflicto de intereses. Un director de RRHH que decide sobre sistemas de control de presencia y tratamiento de datos de empleados no puede ser DPO independiente. Este error, detectado por la AEPD, genera sanciones adicionales por nombramiento inválido.
-
No notificar la designación del DPO a la AEPD. El artículo 37.7 RGPD obliga a publicar los datos de contacto del DPO y comunicarlos a la autoridad de control. La omisión de la notificación es una infracción adicional separada de la falta de designación.
-
Confundir el DPO con el responsable de seguridad de la información (CISO). El DPO supervisa el cumplimiento normativo del RGPD, no gestiona la seguridad técnica. Son roles distintos con funciones, responsabilidades e independencia diferentes. En empresas que necesitan ambas figuras, deben mantenerse separadas.
-
No proporcionar al DPO los recursos necesarios para ejercer sus funciones. El artículo 38.2 RGPD obliga al responsable a facilitar al DPO los recursos necesarios: tiempo dedicado, acceso a información sobre los tratamientos, formación continua y participación en decisiones relevantes sobre datos. Un DPO externo sin acceso real a los procesos no puede cumplir su función legalmente.
Próximos pasos
- Revisar si la actividad de la empresa encaja en los supuestos del artículo 37.1 RGPD o del artículo 34 LOPDGDD (especialmente los supuestos españoles ampliados)
- Consultar las directrices 07/2020 del EDPB y la Guía sobre DPO de la AEPD (2021) para verificar si los tratamientos son “a gran escala”
- Si ya existe DPO, verificar que no tiene conflicto de intereses y que está notificado en el Registro de la AEPD
- Si se opta por DPO externo, firmar un contrato de encargo de tratamiento conforme al artículo 28 RGPD con el proveedor
- Comunicar a todos los empleados los datos de contacto del DPO (artículo 37.7 RGPD) como punto de contacto para ejercicio de derechos
- Solicitar al DPO designado que prepare el inventario de actividades de tratamiento como primer entregable
