Tarifas de DPO externo en España: variables del presupuesto y obligación legal

El Reglamento General de Protección de Datos (RGPD) obliga a ciertos tipos de organizaciones a designar un Delegado de Protección de Datos (DPO). Para la mayoría de las empresas que no pueden justificar un DPO interno a jornada completa, la figura del DPO externo (Data Protection Officer as a service) es la solución habitual. El mercado de DPO externo en España ha crecido enormemente desde 2018, y los criterios de presupuesto varían enormemente entre proveedores. Esta guía explica las variables que determinan el precio y cómo evaluar una propuesta de DPO externo.

Desde 2010 · 16 años Colaborador social AEAT

Elija un hueco en agenda con el especialista de su área.

Indíquenos cuándo llamarle y un socio le contactará en la franja elegida.

Escríbanos y le respondemos en menos de 24 horas laborables.

Datos tratados en la UE · RGPD · Sin compromiso

Cómo trabajamos

Del primer contacto al cierre del expediente

  1. Auditoría inicial de protección de datos

    Revisamos el estado actual del compliance de protección de datos: registro de actividades de tratamiento, bases jurídicas de los tratamientos, contratos con encargados del tratamiento, política de privacidad y cookies, y medidas técnicas y organizativas implementadas.

  2. Plan de adecuación al RGPD

    Identificamos las brechas entre la situación actual y los requisitos del RGPD y la LOPDGDD. Elaboramos un plan de adecuación con las medidas prioritarias, el calendario de implantación y la asignación de responsabilidades.

  3. Designación formal del DPO y notificación a la AEPD

    Formalizamos la designación del DPO, notificamos los datos de contacto a la Agencia Española de Protección de Datos (AEPD) y lo comunicamos a los empleados según requiere el RGPD.

  4. Mantenimiento y supervisión continua

    El DPO externo supervisa de forma continua el cumplimiento, responde a consultas internas y externas sobre protección de datos, gestiona los derechos de los interesados (acceso, rectificación, cancelación, oposición) y coordina la respuesta ante brechas de seguridad.

Autoevaluación · 45 segundos

¿Necesita este servicio?

Responda tres preguntas y le mostramos el servicio más relevante para su caso.

¿Reside actualmente en España?
¿Tiene patrimonio o ingresos en otro país?
¿Ha recibido o espera recibir una herencia?
¿Se está planteando establecer una empresa?
Responda para ver sus servicios recomendados.

El problema

El Reglamento General de Protección de Datos (RGPD) obliga a ciertos tipos de organizaciones a designar un Delegado de Protección de Datos (DPO). Para la mayoría de las empresas que no pueden justificar un DPO interno a jornada completa, la figura del DPO externo (Data Protection Officer as a service) es la solución habitual. El mercado de DPO externo en España ha crecido enormemente desde 2018, y los criterios de presupuesto varían enormemente entre proveedores. Esta guía explica las variables que determinan el precio y cómo evaluar una propuesta de DPO externo.

Nuestra solución

En BMC ofrecemos el servicio de DPO externo con profesionales certificados en protección de datos y con experiencia en los sectores más regulados: sanidad, finanzas, recursos humanos, tecnología y educación. No somos un proveedor de plantillas: somos asesores que conocen el negocio del cliente y adaptan el programa de compliance de datos a su realidad operativa. La primera consulta es gratuita. Consulta nuestras [modalidades de honorarios](/es/honorarios) para más información.

Proceso

Como lo hacemos

1

Auditoría inicial de protección de datos

Revisamos el estado actual del compliance de protección de datos: registro de actividades de tratamiento, bases jurídicas de los tratamientos, contratos con encargados del tratamiento, política de privacidad y cookies, y medidas técnicas y organizativas implementadas.

2

Plan de adecuación al RGPD

Identificamos las brechas entre la situación actual y los requisitos del RGPD y la LOPDGDD. Elaboramos un plan de adecuación con las medidas prioritarias, el calendario de implantación y la asignación de responsabilidades.

3

Designación formal del DPO y notificación a la AEPD

Formalizamos la designación del DPO, notificamos los datos de contacto a la Agencia Española de Protección de Datos (AEPD) y lo comunicamos a los empleados según requiere el RGPD.

4

Mantenimiento y supervisión continua

El DPO externo supervisa de forma continua el cumplimiento, responde a consultas internas y externas sobre protección de datos, gestiona los derechos de los interesados (acceso, rectificación, cancelación, oposición) y coordina la respuesta ante brechas de seguridad.

Caso a caso
Presupuesto detallado tras auditoría inicial
Obligatorio
Para ciertos sectores y entidades públicas (art. 37 RGPD)
72h
Plazo máximo para notificar brechas a la AEPD

¿Cómo se calculan los honorarios de un DPO externo en España?

Las tarifas de Delegado de Protección de Datos externo en España dependen de múltiples variables: tamaño de la empresa, sector de actividad, número y sensibilidad de los tratamientos de datos, y si la organización está en un sector de alto riesgo como la sanidad, las finanzas o la tecnología de seguimiento. En BMC presupuestamos siempre el servicio por escrito tras una auditoría inicial del compliance. Consulta nuestras modalidades de honorarios para conocer el proceso general.

Variables que determinan el presupuesto

El precio de un servicio de DPO externo no es solo función del tamaño de la empresa. Los factores que más impactan en el presupuesto son los siguientes.

Sector de actividad y categorías de datos tratados. Los datos de salud, los datos biométricos, los datos de menores y los datos financieros están sujetos a requisitos legales mucho más estrictos que los datos ordinarios de clientes y empleados. Un sector con mayor riesgo inherente requiere más trabajo del DPO.

Número y diversidad de tratamientos. Una empresa que trata datos de clientes, empleados, candidatos, usuarios de su web y destinatarios de comunicaciones comerciales tiene varios tratamientos independientes que documentar, mantener y supervisar.

Evaluaciones de impacto (EIPD). Algunos tratamientos de alto riesgo requieren una Evaluación de Impacto en la Protección de Datos (EIPD) antes de iniciarse. Elaborar una EIPD requiere un trabajo significativo adicional al mantenimiento ordinario del compliance.

Número de entidades en el grupo. Un grupo de empresas con varias sociedades puede compartir un único DPO externo, pero el trabajo de mantener el registro de actividades y el compliance para cada entidad se multiplica.

Incidentes de seguridad. Las empresas con mayor exposición a ciberataques o con historial de incidentes de seguridad necesitan un DPO más activo y con mayor disponibilidad para gestionar las notificaciones a la AEPD en el plazo de 72 horas.

Servicios complementarios. Auditoría inicial (gap analysis), formación de empleados, gestión de brechas complejas y representación ante la AEPD son servicios que pueden incluirse en el alcance mensual o presupuestarse por separado.

Transparencia de honorarios en BMC

En BMC el servicio de DPO externo se presupuesta siempre por escrito, con el alcance detallado de lo que está incluido en la cuota mensual y lo que se factura por separado (auditorías adicionales, EIPDs, gestión de brechas complejas, representación ante la AEPD). No aplicamos precios genéricos sin conocer la realidad de cada organización.

Consulta nuestro servicio de DPO externo →

FAQ

Preguntas frecuentes

El DPO es obligatorio para tres tipos de organizaciones según el artículo 37 del RGPD: autoridades y organismos públicos; organizaciones cuya actividad principal consiste en operaciones de tratamiento a gran escala que requieren una observación habitual y sistemática de los interesados (ej: empresas de publicidad digital, plataformas de seguimiento); y organizaciones cuya actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos (salud, datos biométricos, religiosos, penales). Para las demás empresas, el DPO es voluntario pero recomendable.
El presupuesto se construye sobre varios factores: sector de actividad (sanidad, finanzas y tecnología tienen requisitos más estrictos), número y diversidad de tratamientos, volumen de datos, número de entidades del grupo, y necesidad de Evaluaciones de Impacto (EIPD). Tras una auditoría inicial enviamos un presupuesto detallado con el alcance del servicio mensual y lo que se factura por separado. Consulta nuestras modalidades de honorarios.
El DPO interno es un empleado de la organización que asume las funciones de DPO además de o en lugar de sus funciones habituales. El DPO externo es un proveedor externo que presta el servicio a través de un contrato de servicios. El RGPD permite ambas modalidades. La ventaja del DPO externo es la independencia funcional garantizada y la experiencia multisectorial; la del interno es el conocimiento profundo de la organización. Las empresas con datos muy sensibles o en sectores altamente regulados suelen preferir el DPO externo.
La auditoría inicial (gap analysis) del estado del compliance de protección de datos en una empresa es un trabajo puntual que se presupuesta por separado del servicio continuo de DPO externo. El alcance varía según el número de tratamientos, la diversidad de sistemas de información y si la empresa ya tiene documentación previa. La auditoría es el punto de partida para saber cuánto hay que hacer para cumplir.
La ausencia de DPO en una organización obligada es una infracción del RGPD que puede sancionarse con multas de hasta 10 millones de euros o el 2% del volumen de negocio anual mundial. La AEPD ha sancionado a múltiples entidades por la ausencia o la designación incorrecta del DPO. Además de la sanción, la empresa puede tener dificultades para demostrar el principio de responsabilidad proactiva (accountability) en caso de brecha de datos.
El RGPD no exige una certificación específica para el DPO, pero requiere que tenga conocimientos especializados del derecho y la práctica en materia de protección de datos y la capacidad de cumplir las tareas definidas en el Reglamento. En la práctica, las certificaciones de CIPP/E (IAPP), CDPP o el esquema de certificación del AEPD/ENAC son una garantía de competencia. Al contratar un DPO externo conviene verificar sus credenciales y experiencia sectorial.
Cuando se produce una brecha de seguridad (acceso no autorizado, pérdida, robo o filtración de datos personales), el responsable del tratamiento tiene 72 horas para notificarla a la AEPD si hay riesgo para los derechos de los interesados. El DPO coordina esta notificación. En incidentes complejos (ransomware, fuga masiva de datos de clientes), el soporte del DPO y del equipo legal durante la gestión de la crisis se presupuesta como servicio adicional según la gravedad y la dedicación requerida.
Las principales son: (1) sector de alto riesgo (sanidad, finanzas, tecnología de seguimiento), (2) categorías especiales de datos (salud, biométricos, menores), (3) número y diversidad de tratamientos, (4) necesidad de EIPDs (evaluaciones de impacto), y (5) número de entidades del grupo. En BMC analizamos estos factores en la auditoría inicial.

Servicios relacionados

Precio Plan Igualdad Empresa Tarifas Abogado Laboral Cuanto Cuesta Asesor Fiscal Pyme
Ver todos los servicios de esta área

Hable con un especialista

Primera conversación sin coste. Sin compromiso. Respuesta en menos de 1 hora en horario de oficina.

Primera consulta sin cargo 30 minutos con un especialista en su área
Presupuesto cerrado antes de empezar Sin sorpresas ni honorarios por éxito
Colaborador social AEAT Presentación telemática de todos los modelos

4,8/5 · Datos tratados en la UE · RGPD · Sin compromiso

Preguntas frecuentes

Preguntas sobre Tarifas de DPO externo en España

El DPO es obligatorio para tres tipos de organizaciones según el artículo 37 del RGPD: autoridades y organismos públicos; organizaciones cuya actividad principal consiste en operaciones de tratamiento a gran escala que requieren una observación habitual y sistemática de los interesados (ej: empresas de publicidad digital, plataformas de seguimiento); y organizaciones cuya actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos (salud, datos biométricos, religiosos, penales). Para las demás empresas, el DPO es voluntario pero recomendable.
El presupuesto se construye sobre varios factores: sector de actividad (sanidad, finanzas y tecnología tienen requisitos más estrictos), número y diversidad de tratamientos, volumen de datos, número de entidades del grupo, y necesidad de Evaluaciones de Impacto (EIPD). Tras una auditoría inicial enviamos un presupuesto detallado con el alcance del servicio mensual y lo que se factura por separado. Consulta nuestras modalidades de honorarios.
El DPO interno es un empleado de la organización que asume las funciones de DPO además de o en lugar de sus funciones habituales. El DPO externo es un proveedor externo que presta el servicio a través de un contrato de servicios. El RGPD permite ambas modalidades. La ventaja del DPO externo es la independencia funcional garantizada y la experiencia multisectorial; la del interno es el conocimiento profundo de la organización. Las empresas con datos muy sensibles o en sectores altamente regulados suelen preferir el DPO externo.
La auditoría inicial (gap analysis) del estado del compliance de protección de datos en una empresa es un trabajo puntual que se presupuesta por separado del servicio continuo de DPO externo. El alcance varía según el número de tratamientos, la diversidad de sistemas de información y si la empresa ya tiene documentación previa. La auditoría es el punto de partida para saber cuánto hay que hacer para cumplir.
La ausencia de DPO en una organización obligada es una infracción del RGPD que puede sancionarse con multas de hasta 10 millones de euros o el 2% del volumen de negocio anual mundial. La AEPD ha sancionado a múltiples entidades por la ausencia o la designación incorrecta del DPO. Además de la sanción, la empresa puede tener dificultades para demostrar el principio de responsabilidad proactiva (accountability) en caso de brecha de datos.
El RGPD no exige una certificación específica para el DPO, pero requiere que tenga conocimientos especializados del derecho y la práctica en materia de protección de datos y la capacidad de cumplir las tareas definidas en el Reglamento. En la práctica, las certificaciones de CIPP/E (IAPP), CDPP o el esquema de certificación del AEPD/ENAC son una garantía de competencia. Al contratar un DPO externo conviene verificar sus credenciales y experiencia sectorial.
Cuando se produce una brecha de seguridad (acceso no autorizado, pérdida, robo o filtración de datos personales), el responsable del tratamiento tiene 72 horas para notificarla a la AEPD si hay riesgo para los derechos de los interesados. El DPO coordina esta notificación. En incidentes complejos (ransomware, fuga masiva de datos de clientes), el soporte del DPO y del equipo legal durante la gestión de la crisis se presupuesta como servicio adicional según la gravedad y la dedicación requerida.
Las principales son: (1) sector de alto riesgo (sanidad, finanzas, tecnología de seguimiento), (2) categorías especiales de datos (salud, biométricos, menores), (3) número y diversidad de tratamientos, (4) necesidad de EIPDs (evaluaciones de impacto), y (5) número de entidades del grupo. En BMC analizamos estos factores en la auditoría inicial.
Email
Contacto