Delegado de protección de datos: ¿necesito?
No todas las empresas necesitan DPO, pero muchas que sí lo necesitan no lo saben. Guía para PYMEs sobre cuándo es obligatorio.
Delegado de protección de datos: ¿lo necesito?
El DPO (Data Protection Officer) o Delegado de Protección de Datos es la persona encargada de supervisar el cumplimiento del RGPD en tu empresa. No todas las empresas necesitan uno, pero si tratas datos a gran escala, datos sensibles o haces monitorización sistemática, es obligatorio. Según la AEPD (2024), el 15% de las empresas que están obligadas a tener DPO no lo tienen designado.
Según el RGPD, no designar un DPO cuando es obligatorio constituye una infracción que puede sancionarse con multas de hasta 10 millones de EUR o el 2% de la facturación anual global (artículo 83.4). En la práctica, la AEPD ha impuesto sanciones menores a PYMEs (desde 1.000 EUR), pero la cuantía depende de la gravedad. La AEPD lo verifica activamente en las inspecciones.
¿Tu empresa está obligada a tener DPO y no lo sabe?
Cuándo es obligatorio el DPO
| Caso | ¿DPO obligatorio? | Ejemplo |
|---|---|---|
| Entidad pública | ✅ Siempre | Ayuntamiento, universidad pública |
| Monitorización sistemática a gran escala | ✅ | Videovigilancia 50+ cámaras, tracking web masivo |
| Datos de categoría especial a gran escala | ✅ | Clínica, hospital, laboratorio |
| Centros educativos | ✅ (España) | Colegio, academia |
| Empresas de seguridad | ✅ (España) | Vigilancia, alarmas |
| Despachos de abogados/asesorías | ✅ (España) | Datos judiciales |
| PYME sin lo anterior | ❌ No obligatorio | Consultoría, tienda, restaurante |
Según el artículo 34 de la LOPDGDD, España amplía la obligatoriedad del DPO más allá de lo que exige el RGPD europeo. Deben designar DPO obligatoriamente: colegios profesionales, centros docentes y universidades, entidades de servicios de comunicaciones electrónicas, prestadores de servicios que elaboren perfiles a gran escala, entidades de crédito y aseguradoras, empresas de servicios de inversión, distribuidoras de energía, centros sanitarios, empresas de seguridad privada, y empresas de publicidad que elaboren perfiles.
DPO interno vs. externo
| Característica | DPO interno | DPO externo |
|---|---|---|
| Coste | Salario (30.000-50.000 EUR/año) | 100-500 EUR/mes (aprox.) |
| Disponibilidad | 100% | Horas pactadas |
| Conocimiento empresa | Alto | Medio |
| Independencia | Puede haber conflictos | Garantizada |
| Ideal para | Empresas 100+ empleados | PYMEs |
Según Garrigues (2024), el 70% de las PYMEs que necesitan DPO optan por la modalidad externa por coste y garantía de independencia. Un DPO externo cuesta entre 100 y 500 EUR al mes para una PYME.
Funciones del DPO
Según el RGPD (artículo 39), las funciones del DPO son:
- Informar y asesorar sobre obligaciones de protección de datos
- Supervisar el cumplimiento del RGPD y políticas internas
- Asesorar en Evaluaciones de Impacto (EIPD)
- Cooperar con la AEPD y ser punto de contacto
- Atender consultas de interesados sobre sus derechos
Consulta nuestra guía de registro de tratamiento para una de las tareas que supervisa el DPO.
Alternativas para PYMEs sin obligación de DPO
Si no estás obligado a tener DPO, sí necesitas:
- Responsable interno de privacidad: persona que gestiona el RGPD (gerente, administrador)
- Registro de actividades de tratamiento actualizado
- Política de privacidad conforme al RGPD
- Protocolo de respuesta a solicitudes de derechos ARCO-POL
Según la AEPD (2024), aunque no sea obligatorio, tener DPO voluntario demuestra compromiso con la protección de datos y se valora positivamente en inspecciones. Consulta nuestra guía de auditoría RGPD para verificar tu cumplimiento.
Cómo elegir un DPO externo
Según la AEPD (2024), el DPO debe tener conocimientos en protección de datos y el sector específico de la empresa. Criterios para elegir:
- Certificación en protección de datos (CDPP, CIPP/E)
- Experiencia en tu sector (salud, educación, marketing)
- Disponibilidad para auditorías e inspecciones
- Seguro de responsabilidad civil profesional
- Coste transparente y contrato claro
Según Garrigues (2024), las firmas especializadas en DPO externo para PYMEs ofrecen paquetes desde 100 EUR/mes (aprox.) que incluyen: actualización de registro, respuesta a solicitudes de derechos y auditoría anual.
Responsabilidades del responsable del tratamiento (sin DPO)
Según el RGPD, si no tienes DPO, tú como responsable del tratamiento debes:
- Mantener el registro de actividades de tratamiento
- Atender solicitudes de derechos (acceso, rectificación, supresión) en 30 días
- Notificar brechas de seguridad a la AEPD en 72 horas
- Realizar EIPD cuando sea necesario
- Garantizar las medidas de seguridad adecuadas
Consulta nuestra guía de seguridad de datos para más información.
Lista ampliada española: entidades obligadas
Según el artículo 34 de la LOPDGDD, en España también necesitan DPO:
- Colegios profesionales
- Centros docentes y universidades
- Empresas de telecomunicaciones
- Prestadores de servicios de la sociedad de la información
- Entidades de publicidad y prospección comercial
- Centros sanitarios
- Compañías aseguradoras
Según la AEPD (2024), esta lista es la más amplia de la UE y genera obligación de DPO para muchas más PYMEs que la norma europea genérica. Consulta nuestra guía de auditoría RGPD para verificar si tu empresa está incluida.
Notificación a la AEPD
Según el RGPD (artículo 37.7), debes comunicar los datos de contacto del DPO a la AEPD. El proceso es gratuito y online a través de la sede electrónica de la AEPD. Según la AEPD (2024), más de 80.000 DPOs están registrados en España.
Incompatibilidades del DPO
Según la AEPD (2024), el DPO no puede ser:
- El gerente o CEO (conflicto de intereses)
- El director de IT (decide sobre tratamientos)
- El director de RRHH (toma decisiones sobre datos de empleados)
- El director de marketing (gestiona datos de leads)
La clave es la independencia: el DPO debe poder opinar sin miedo a represalias.
Preguntas frecuentes
¿Mi consultoría de marketing necesita DPO? Si tratas datos personales a gran escala (miles de leads, campañas masivas), posiblemente sí. Si tienes pocos clientes y tratamientos estándar, no.
¿El DPO puede ser el gerente? No recomendable. El DPO debe ser independiente y no puede tener conflicto de intereses. El gerente aprueba tratamientos de datos, el DPO los supervisa.
¿Cuánto cuesta un DPO externo? Desde 100 EUR/mes (aprox.) para PYMEs con bajo riesgo. Desde 300-500 EUR/mes (aprox.) para PYMEs con tratamientos complejos (salud, finanzas).
¿El DPO es responsable de las multas? No. La responsabilidad legal es de la empresa (responsable del tratamiento). El DPO asesora pero no asume responsabilidad legal.
Fuentes oficiales
- RGPD — Artículo 37 (Designación del DPO) — EUR-Lex
- LOPDGDD — Artículo 34 (DPO obligatorio en España) — BOE
- Guía del DPO — AEPD
- Comunicación de DPO a la AEPD
¿No sabes si tu empresa necesita Delegado de Protección de Datos? Agenda una consulta gratuita y evaluamos tu situación para recomendarte la mejor opción.
¿Necesitas ayuda con la automatización de tu empresa?
Analizamos tus procesos y te proponemos una solución a medida. Primera consulta sin compromiso.
Solicitar consulta gratuita →