El DPO (Delegado de Protección de Datos, también DPD) es la figura prevista en los Arts. 37-39 del RGPD y los Arts. 34-37 de la LOPDGDD, encargada de informar, asesorar y supervisar el cumplimiento del RGPD dentro de una organización. En España conviven dos nombres para una misma figura: DPO (Data Protection Officer, terminología europea) y DPD (Delegado de Protección de Datos, terminología que utiliza la LOPDGDD). Esta guía explica cuándo el nombramiento es obligatorio, qué funciones desempeña, qué garantías exige la norma, las diferencias entre un DPO externo y uno interno, cómo se comunica el nombramiento a la AEPD en el plazo de 10 días y los errores típicos que detectamos en auditorías en pymes españolas.
Índice de contenidos
- Qué es el DPO y por qué existe esta figura
- Cuándo es obligatorio nombrar un DPO
- Funciones del DPO según el Art. 39 RGPD
- Garantías y posición del DPO en la organización (Art. 38)
- DPO externo vs interno: cuál elegir
- Certificación del DPO en España
- Cómo nombrar un DPO paso a paso
- Errores frecuentes al nombrar un DPO
- Preguntas frecuentes
- Próximos pasos
Qué es el DPO y por qué existe esta figura
El DPO es un cargo de cumplimiento normativo introducido por el Reglamento General de Protección de Datos (Reglamento UE 2016/679) que entró en vigor el 25 de mayo de 2018 y, en España, por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Su misión, recogida en el Art. 39 RGPD, es actuar como bisagra entre la organización, los interesados (titulares de los datos) y la Agencia Española de Protección de Datos (AEPD).
El RGPD eleva al DPO a una pieza estructural del modelo de accountability del Art. 5.2 RGPD: ya no basta con cumplir, hay que poder demostrarlo. El DPO es la figura técnica encargada de generar y custodiar la evidencia de ese cumplimiento. No es un cargo decorativo: las Directrices WP243 del Grupo de Trabajo del Artículo 29, asumidas por el Comité Europeo de Protección de Datos (EDPB) en su primera reunión plenaria de 25 de mayo de 2018, dejan claro que la figura debe disponer de independencia, recursos y acceso directo a la alta dirección.
Conviene desmontar un equívoco frecuente: el DPO no sustituye al responsable del tratamiento. La responsabilidad jurídica de cumplir el RGPD sigue recayendo en la persona jurídica (la empresa, el organismo público) y, en última instancia, en su órgano de administración. El DPO informa, asesora y supervisa, pero no decide el tratamiento ni asume la culpa por incumplimientos. Esta separación de roles es esencial para entender, más adelante, por qué el DPO no puede ser el CEO ni el director de marketing.
En España, la AEPD ha publicado un esquema específico para certificar DPOs y una guía oficial titulada "El Delegado de Protección de Datos en las Administraciones Públicas" (2018) que sigue siendo referencia, junto con las directrices europeas del Comité Europeo de Protección de Datos (EDPB).
Cuándo es obligatorio nombrar un DPO
Las situaciones que obligan a nombrar un DPO se reparten en dos bloques: los tres casos del Art. 37.1 RGPD (aplicables en toda la UE) y los 16 supuestos tasados (más una cláusula abierta del apartado in fine) adicionales del Art. 34 LOPDGDD (específicos del derecho español). Si la organización encaja en cualquiera de ellos, el nombramiento es exigible.
El Art. 37.1 RGPD obliga a designar un DPO cuando:
- El tratamiento lo lleva a cabo una autoridad u organismo público, salvo los tribunales en el ejercicio de su función jurisdiccional.
- Las actividades principales del responsable o encargado consisten en operaciones de tratamiento que requieren una observación habitual y sistemática de interesados a gran escala (geolocalización, profiling, vigilancia masiva).
- Las actividades principales consisten en el tratamiento a gran escala de las categorías especiales de datos del Art. 9 (salud, biometría, religión, orientación sexual, opiniones políticas) o de datos relativos a condenas e infracciones penales del Art. 10.
El concepto de "gran escala" no aparece definido en el RGPD; las Directrices WP243 sugieren valorar el número de interesados, el volumen de datos, la duración del tratamiento y su alcance geográfico. Un hospital comarcal procesa a gran escala; la clínica dental de barrio, normalmente no. En la práctica, la AEPD ha sancionado a empresas que descartaron erróneamente el nombramiento basándose en una lectura restrictiva del concepto.
El Art. 34 LOPDGDD añade 16 supuestos tasados (más una cláusula abierta del apartado in fine) en los que la designación es obligatoria por imperativo de derecho español, con independencia del análisis del Art. 37.1 RGPD:
| Nº | Tipología de entidad obligada | Base jurídica |
|---|---|---|
| 1 | Colegios profesionales y sus consejos generales | Art. 34.1.a LOPDGDD |
| 2 | Centros docentes (todos los niveles) y universidades públicas y privadas | Art. 34.1.b LOPDGDD |
| 3 | Entidades operadoras de redes y servicios de comunicaciones electrónicas (telecos) cuando traten habitualmente datos personales a gran escala | Art. 34.1.c LOPDGDD |
| 4 | Prestadores de servicios de la sociedad de la información que elaboren perfiles a gran escala (LSSI-CE) | Art. 34.1.d LOPDGDD |
| 5 | Entidades de crédito (bancos, financieras) reguladas por la Ley 10/2014 | Art. 34.1.e LOPDGDD |
| 6 | Establecimientos financieros de crédito (EFCs) | Art. 34.1.f LOPDGDD |
| 7 | Entidades aseguradoras y reaseguradoras reguladas por la Ley 20/2015 | Art. 34.1.g LOPDGDD |
| 8 | Empresas de servicios de inversión reguladas por la Ley del Mercado de Valores | Art. 34.1.h LOPDGDD |
| 9 | Distribuidores y comercializadores de energía eléctrica y de gas natural | Art. 34.1.i LOPDGDD |
| 10 | Entidades responsables de ficheros comunes de solvencia patrimonial y crédito (ASNEF, CIRBE) y los responsables del Art. 20 LOPDGDD | Art. 34.1.j LOPDGDD |
| 11 | Entidades que desarrollen actividades de publicidad y prospección comercial (incluyendo investigación de mercados) cuando realicen tratamientos a gran escala basados en preferencias o seguimiento de comportamiento | Art. 34.1.k LOPDGDD |
| 12 | Centros sanitarios obligados legalmente al mantenimiento de historias clínicas (excluida la consulta a título individual del Art. 34.4) | Art. 34.1.l LOPDGDD |
| 13 | Entidades emisoras de informes comerciales sobre personas y empresas | Art. 34.1.m LOPDGDD |
| 14 | Operadores que desarrollen actividad de juego a través de canales electrónicos | Art. 34.1.n LOPDGDD |
| 15 | Empresas de seguridad privada (Ley 5/2014) | Art. 34.1.ñ LOPDGDD |
| 16 | Federaciones deportivas, cuando traten datos de menores | Art. 34.1.o LOPDGDD |
| 17 | Resto de supuestos que normas con rango de Ley añadan al listado anterior | Art. 34.1 LOPDGDD (cláusula abierta) |
La designación voluntaria también es perfectamente válida: organizaciones que no encajan en ninguna obligación legal nombran un DPO como ventaja competitiva, especialmente en sectores B2B con licitaciones públicas. Cuando se opta por la designación voluntaria, el DPO queda sujeto al mismo régimen de garantías y obligaciones del Art. 38 y 39 RGPD: no es una figura "ligera".
Funciones del DPO según el Art. 39 RGPD
El Art. 39.1 RGPD enumera cinco funciones mínimas. La palabra "mínimas" es clave: la organización puede asignar más tareas al DPO, siempre que no entren en conflicto con su deber de independencia. Estas son las cinco funciones:
1. Informar y asesorar al responsable, al encargado y a los empleados sobre las obligaciones del RGPD y otras normas de protección de datos (LOPDGDD, normas sectoriales, futuras Reglamento ePrivacy). En la práctica esto se traduce en notas internas, formación, revisión de contratos de encargo (Art. 28 RGPD) y participación en comités de cumplimiento.
2. Supervisar el cumplimiento del RGPD, de la LOPDGDD y de las políticas internas del responsable o encargado, incluyendo la asignación de responsabilidades, la concienciación y formación del personal y las auditorías correspondientes. Aquí entra el control del Registro de Actividades del Tratamiento (RAT) del Art. 30, la verificación de los contratos con encargados, el seguimiento de incidentes de seguridad y el control de los plazos de notificación de brechas (72 horas, Art. 33 RGPD).
3. Ofrecer asesoramiento sobre la Evaluación de Impacto en Protección de Datos (EIPD) del Art. 35 RGPD y supervisar su realización. La AEPD ha publicado una lista de tipos de tratamiento que requieren EIPD obligatoriamente. El DPO no necesariamente ejecuta la EIPD, pero sí debe validarla.
4. Cooperar con la autoridad de control (la AEPD en España, las autoridades autonómicas catalana APDCAT, vasca AVPD y andaluza CDPA donde corresponda). En la práctica esto significa atender requerimientos de información, colaborar en inspecciones y, cuando hay sanción, presentar alegaciones técnicas.
5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del Art. 36 RGPD (consulta cuando la EIPD arroja un riesgo alto residual). El contacto del DPO debe figurar en las políticas de privacidad de la web del responsable.
Adicionalmente, el Art. 39.2 RGPD exige que el DPO, al desempeñar sus funciones, tenga debidamente en cuenta el riesgo asociado a las operaciones de tratamiento, considerando su naturaleza, alcance, contexto y fines. Es decir: enfoque basado en el riesgo, no checklist mecánico.
En España, el Art. 37 LOPDGDD añade una pieza relevante: cuando los afectados se dirijan al DPO para presentar reclamaciones, el DPO debe responder en el plazo de dos meses. La reclamación a la AEPD podrá presentarse directamente o, opcionalmente, tras agotar este trámite previo ante el DPO.
Garantías y posición del DPO en la organización (Art. 38)
El Art. 38 RGPD blinda al DPO con un paquete de garantías cuyo objetivo es asegurar su independencia. Sin estas garantías, el cargo carece de eficacia real y la AEPD ha sancionado en varias ocasiones a responsables que designaron formalmente un DPO sin dotarlo de recursos, tiempo o acceso a la información necesaria para ejercer sus funciones.
Participación temprana y adecuada. El Art. 38.1 RGPD exige que el responsable involucre al DPO "de forma adecuada y en tiempo oportuno" en todas las cuestiones relativas a la protección de datos. No vale convocarlo al final del proyecto; debe estar desde el diseño (privacy by design del Art. 25 RGPD).
Recursos suficientes. El Art. 38.2 RGPD obliga a facilitar al DPO los recursos necesarios para el desempeño de sus funciones, el acceso a los datos personales y a las operaciones de tratamiento, y el mantenimiento de sus conocimientos especializados. Esto incluye tiempo, presupuesto, formación continua y, en organizaciones grandes, un equipo de apoyo.
Independencia funcional. El Art. 38.3 RGPD prohíbe que el DPO reciba instrucciones sobre el ejercicio de sus funciones. La organización no puede decirle "no informes de esto a la AEPD" ni "no abras esta investigación interna". Las directrices WP243 detallan que el DPO debe poder discrepar abiertamente con la dirección sin consecuencias.
Inamovilidad relativa. El Art. 38.3 RGPD prohíbe destituir o sancionar al DPO por el desempeño de sus funciones. No es una inamovilidad absoluta (puede ser cesado por mal desempeño manifiesto, por ejemplo), pero sí blinda al DPO frente a represalias por hacer su trabajo.
Reporte al nivel jerárquico más alto. El DPO debe reportar directamente al órgano de administración (consejo de administración, administrador único, gerente). No al director de IT ni al de RRHH: al máximo nivel.
Ausencia de conflictos de interés. El Art. 38.6 RGPD permite que el DPO desempeñe otras funciones, siempre que no impliquen conflicto. Las directrices WP243 del Grupo del Art. 29 listan como incompatibles los cargos directivos que determinan los fines y medios del tratamiento: CEO, director financiero, director de RRHH, director de marketing y director de IT con poder decisorio. La AEPD ha sancionado de forma reiterada esta clase de conflicto, con cuantías orientativas que en pymes suelen moverse entre 10.000 € y 75.000 € según gravedad, reincidencia y volumen de afectados (Art. 83.2 RGPD).
Confidencialidad o secreto profesional. El Art. 38.5 RGPD impone al DPO un deber de secreto en el cumplimiento de sus funciones. En España, el Art. 36.2 LOPDGDD precisa que esta obligación no impedirá la cooperación con la AEPD.
DPO externo vs interno: cuál elegir
El Art. 37.6 RGPD permite expresamente que el DPO sea miembro del personal del responsable o del encargado, o que desempeñe sus funciones en el marco de un contrato de servicios. Ambas modalidades son legalmente equivalentes: lo que cambia es la operativa, el coste y el perfil de riesgo. La elección depende de tres factores: tamaño de la organización, complejidad del tratamiento y disponibilidad de talento interno.
| Criterio | DPO interno | DPO externo |
|---|---|---|
| Dedicación | Tiempo parcial o completo según volumen | Habitualmente fraccionada (varios clientes) |
| Coste anual orientativo | 35.000-70.000 € (salario bruto + seguros + costes) | 1.500-12.000 €/año (según volumen) |
| Conocimiento del negocio | Alto desde el primer día | Curva de aprendizaje 3-6 meses |
| Independencia frente a dirección | Más vulnerable a presión jerárquica | Estructuralmente más independiente |
| Seguro de Responsabilidad Civil | Cubierto por la empresa | Pólizas propias (1.000.000-2.000.000 €) |
| Cobertura sectorial transversal | Limitada al sector propio | Amplia (cartera diversificada) |
| Rotación / continuidad | Riesgo de baja por excedencia o despido | Estabilidad contractual del proveedor |
| Adecuado para | Empresas con >250 empleados, hospitales, bancos, aseguradoras | Pymes, startups, ecommerce, despachos, colegios profesionales |
En el mercado español, según la experiencia operativa del sector, una mayoría amplia de los DPOs comunicados a la AEPD por pymes son externos, reflejo del predominio de pymes y entidades públicas que externalizan el rol por motivos de coste, independencia y especialización. Para una empresa de 20-50 empleados, designar un DPO interno es desproporcionado: el cargo no genera carga de trabajo para tiempo completo y obliga a quemar a un perfil legal generalista en una especialidad muy técnica.
Cuando se opta por un DPO externo conviene comprobar tres aspectos: certificación profesional (esquema AEPD, AENOR, Bureau Veritas, APEP, ISMS Forum, INESDI o equivalente), póliza de Responsabilidad Civil profesional y experiencia sectorial demostrable. Los contratos suelen incluir un volumen mensual de horas, un canal de atención a interesados y un SLA de respuesta a brechas de seguridad alineado con las 72 horas del Art. 33 RGPD.
Certificación del DPO en España
La certificación NO es obligatoria para ejercer como DPO. El Art. 37.5 RGPD exige "conocimientos especializados del derecho y la práctica en materia de protección de datos" y "capacidad para desempeñar las funciones" del Art. 39, pero no impone titulación específica. Ahora bien, en la práctica la certificación se ha convertido en estándar de mercado, especialmente para licitaciones públicas y clientes regulados.
En España coexisten varios esquemas de certificación acreditados por la Entidad Nacional de Acreditación (ENAC) bajo el esquema AEPD-DPD aprobado el 25 de mayo de 2018. Los principales son:
- Esquema AEPD-DPD certificado por AENOR, ENAC nº 134/C-PR295.
- Bureau Veritas, certificación bajo esquema AEPD.
- APEP (Asociación Profesional Española de Privacidad), certificación CDPP.
- ISMS Forum / Data Privacy Institute, certificación CDPP también reconocida.
- CertiUni, certificación basada en el esquema AEPD adaptada al ámbito universitario.
Todas estas certificaciones se basan en el esquema oficial AEPD, que establece un examen teórico-práctico, requisitos de formación previa (mínimo 180 horas para vía de formación) y renovación cada tres años. La AEPD mantiene un registro público de certificadores en su web.
Además, en el ámbito europeo, certificaciones como CIPP/E (IAPP) gozan de reconocimiento internacional, especialmente útiles para DPOs de grupos multinacionales. La AEPD no las equipara automáticamente al esquema nacional, pero son una credencial reputacional.
El coste medio de obtener la certificación oscila entre 2.500 y 5.000 euros (formación + examen) y la renovación trianual cuesta otros 600-1.200 euros. Para un DPO externo, es una inversión amortizable; para uno interno, suele financiarla la empresa.
Cómo nombrar un DPO paso a paso
El proceso de nombramiento tiene cuatro grandes hitos: selección, formalización contractual, comunicación a la AEPD y despliegue interno. Saltarse cualquiera de ellos abre flancos de incumplimiento.
1. Definición del perfil y selección. Antes de buscar, hay que mapear la complejidad del tratamiento (RAT actualizado, volumen de interesados, datos especiales, transferencias internacionales) y definir si se busca interno o externo, tiempo parcial o completo, certificación exigida y perfil sectorial. Para una pyme de comercio electrónico bastará un DPO externo con experiencia en LSSI-CE y cookies; para un hospital, exige experiencia con datos del Art. 9 y EIPD complejas.
2. Formalización contractual. El nombramiento se documenta por escrito: contrato laboral con cláusula específica de funciones de DPO (interno) o contrato mercantil de prestación de servicios (externo). El contrato debe recoger expresamente las garantías del Art. 38 RGPD (independencia, recursos, no instrucciones, reporte al órgano de administración) y la duración mínima orientativa. Recomendamos cláusulas de inamovilidad reforzada y obligaciones de confidencialidad alineadas con el Art. 38.5 RGPD.
3. Comunicación a la AEPD en el plazo de 10 días. El Art. 37.7 RGPD y el Art. 34.3 LOPDGDD obligan a comunicar el nombramiento (y cualquier modificación posterior) a la AEPD. El plazo orientativo aplicado por la AEPD en su sede electrónica es de 10 días hábiles desde la designación. La comunicación se realiza online en la sede electrónica de la AEPD con certificado electrónico del responsable. Hay que aportar nombre, datos de contacto profesional y, si procede, nombre de la entidad prestadora del servicio. La AEPD publica el contacto en su buscador público.
4. Despliegue interno. Una vez comunicado, hay que publicar los datos de contacto del DPO en la política de privacidad de la web, las cláusulas informativas del Art. 13 RGPD, las firmas de correo de RRHH y los carteles de información en oficinas físicas (videovigilancia, recepción). Adicionalmente, se debe formar al equipo en el procedimiento para escalar consultas y reclamaciones al DPO, dotar al DPO de acceso a sistemas (RAT, CMDB, registro de incidencias) y calendarizar una reunión mensual o trimestral con el órgano de administración.
En Cardeseo gestionamos este flujo completo dentro del servicio anual de adecuación RGPD para clientes que requieren acompañamiento. El pack documental incluye el modelo de contrato de prestación de servicios de DPO externo y la plantilla de comunicación a la AEPD.
Errores frecuentes al nombrar un DPO
En la práctica detectamos un patrón recurrente de errores que terminan generando expedientes ante la AEPD. Los cinco más relevantes:
Designar al CEO, administrador único o socio mayoritario como DPO. Es incompatible por aplicación del Art. 38.6 RGPD: estos cargos definen los fines y medios del tratamiento y no pueden auto-supervisarse. La AEPD ha sancionado reiteradamente este conflicto tanto en banca como en sanidad privada, con cuantías orientativas en pymes habitualmente entre 10.000 € y 75.000 € según gravedad y reincidencia (Art. 83.2 RGPD). El mismo problema afecta al director de marketing, al director financiero y al director de RRHH cuando tienen poder decisorio sobre tratamientos a gran escala.
Nombrar al DPO sin recursos ni tiempo. Otorgar el cargo a una persona del departamento legal que tiene su agenda al 100 % ocupada en otras materias, sin formación específica ni acceso al RAT, equivale a no tener DPO a efectos prácticos. El Art. 38.2 RGPD lo prohíbe expresamente y la AEPD lo ha sancionado.
No comunicar el nombramiento a la AEPD o hacerlo fuera del plazo de 10 días. Genera un incumplimiento formal sancionable bajo el Art. 83.4.a RGPD (multas de hasta 10 millones de euros o el 2 % de la facturación). El portal de comunicación de la AEPD es gratuito y el trámite dura menos de 15 minutos.
Confundir DPO con consultor RGPD puntual. Contratar a un consultor para hacer una auditoría puntual no equivale a designar DPO. El DPO es una figura estructural y permanente, con obligación de reporte continuo y disponibilidad para atender consultas de la AEPD y de los interesados.
Olvidar los conflictos de interés sobrevenidos. Una promoción interna o un cambio organizativo puede convertir a un DPO interno válido en una figura con conflicto de interés. Hay que revisar la compatibilidad anualmente y, si es necesario, sustituir al DPO comunicándolo de nuevo a la AEPD.
Detectar estos errores en una auditoría externa es el motivo más frecuente de que se acabe contratando un DPO externo: cuando el órgano de administración entiende el riesgo real, la decisión se toma rápido.
Preguntas frecuentes
¿Es obligatorio nombrar DPO en una pyme?
Depende del tratamiento, no del tamaño. Una pyme de 12 empleados puede estar obligada si encaja en alguno de los 16 supuestos tasados (más una cláusula abierta del apartado in fine) del Art. 34 LOPDGDD (por ejemplo, clínica dental con historial clínico, ecommerce que perfila a gran escala, empresa de seguridad privada, despacho que ofrece servicios financieros). Si la pyme no encaja en ninguno de esos supuestos ni en los del Art. 37.1 RGPD, el nombramiento es voluntario, pero en muchos sectores se está convirtiendo en estándar de mercado y requisito para licitaciones públicas y B2B.
¿Cuál es la diferencia entre DPO y DPD?
Ninguna diferencia funcional: son la misma figura con dos denominaciones. DPO (Data Protection Officer) es el término en inglés que utiliza el RGPD europeo en su versión inglesa. DPD (Delegado de Protección de Datos) es el término en español que emplea la LOPDGDD. La AEPD utiliza oficialmente "DPD" en su web, pero acepta indistintamente ambos en comunicaciones formales. En el mercado profesional español conviven ambos, con ligero predominio de DPO en entornos corporativos y de DPD en el sector público.
¿El DPO puede ser el CEO de la empresa?
No, salvo organizaciones extremadamente pequeñas y sin tratamientos de riesgo. El Art. 38.6 RGPD y las Directrices WP243 del Grupo del Art. 29 prohíben que el DPO ejerza cargos que determinen los fines y medios del tratamiento. El CEO encabeza esa toma de decisiones, por lo que designarlo DPO supondría auto-supervisarse y vaciar de contenido las garantías de independencia. La AEPD ha confirmado reiteradamente esta doctrina en procedimientos sancionadores por conflicto de interés del DPO designado, con cuantías orientativas habituales en pymes entre 10.000 € y 75.000 €.
¿Cuál es el coste orientativo de un DPO externo?
El mercado español sitúa el coste anual de un DPO externo para pymes entre 1.500 y 12.000 euros (más IVA), dependiendo del volumen y complejidad del tratamiento. Una pyme de comercio electrónico con un único tratamiento de marketing suele estar en 1.500-3.500 €/año; una clínica dental con historial clínico, entre 3.000-6.000 €/año; un grupo empresarial mediano con varias sociedades y tratamientos complejos, entre 6.000-12.000 €/año. Estos precios suelen incluir atención a interesados, asesoramiento ante brechas en menos de 72 horas y revisión anual del cumplimiento. Solicítanos un presupuesto personalizado para tu caso.
¿Hay que comunicar el nombramiento del DPO a la AEPD?
Sí, es obligatorio. El Art. 37.7 RGPD y el Art. 34.3 LOPDGDD imponen comunicar la designación del DPO, así como cualquier cambio posterior (cese, sustitución, modificación de datos de contacto), a la AEPD. El plazo es de 10 días hábiles desde la designación y el trámite se hace online en la sede electrónica de la AEPD con certificado electrónico del responsable o encargado. El registro es público y consultable por cualquier interesado. No comunicar el nombramiento en plazo puede sancionarse bajo el Art. 83.4.a RGPD.
¿El DPO necesita certificación oficial para ejercer?
No, la certificación no es obligatoria. El Art. 37.5 RGPD exige "conocimientos especializados del derecho y la práctica de protección de datos" y "capacidad para desempeñar las funciones", pero no impone una titulación concreta. En la práctica, las certificaciones acreditadas por ENAC bajo el esquema AEPD (AENOR, Bureau Veritas, APEP, ISMS Forum) se han convertido en estándar de mercado y son frecuentemente exigidas en licitaciones públicas y en clientes regulados. Para un DPO externo profesional, la certificación es prácticamente obligatoria desde el punto de vista comercial, aunque no lo sea desde el punto de vista legal.
¿Qué pasa si el DPO descubre un incumplimiento grave y la dirección no actúa?
El DPO está obligado a documentar el riesgo, advertir por escrito al órgano de administración y, si la situación persiste, ponerlo en conocimiento de la AEPD. El Art. 38.3 RGPD blinda al DPO frente a represalias por estas comunicaciones. Si la dirección sanciona o despide al DPO por haber alertado, la sanción es nula y la AEPD puede abrir expediente sancionador adicional contra la empresa. Recomendamos que el contrato del DPO incluya cláusula expresa de inamovilidad reforzada y derecho de escalada al órgano de administración por escrito.
Próximos pasos
Si tu organización todavía no tiene DPO o sospechas que el actual no cumple los requisitos del Art. 38 RGPD, estos son los siguientes pasos:
- Usa la calculadora de cumplimiento RGPD para ver en qué punto exacto estás y qué obligaciones de las del Art. 34 LOPDGDD te aplican.
- Si necesitas un servicio completo de adecuación y DPO externo recurrente, revisa el onboarding RGPD anual de Cardeseo, pensado específicamente para pymes españolas.
- Descarga las plantillas RGPD oficiales (contrato de DPO externo, comunicación a la AEPD, cláusulas informativas Art. 13) revisadas por jurista colaborador y actualizadas a 2026.
- Consulta nuestra guía sobre adecuación RGPD para pymes para entender el flujo completo más allá del nombramiento del DPO.
- Si tu duda es específica del sector sanitario, educativo o financiero, contáctanos en departamentojuridico@cardeseo.com para un análisis a medida.
Designar un DPO no es un trámite administrativo: es el cimiento sobre el que se sostiene la accountability del Art. 5.2 RGPD. Hacerlo bien la primera vez ahorra años de remediación.