El DPO no es el responsable de los tratamientos: solo asesora y supervisa. Quien decide finalidades y medios sigue siendo el responsable o el encargado del tratamiento. Confundirlo con un cargo ejecutivo es uno de los errores más típicos.
Qué es un DPO
El DPO (Data Protection Officer), conocido en castellano como Delegado de Protección de Datos, es la figura responsable de supervisar el cumplimiento del Reglamento General de Protección de Datos (RGPD) en una organización. Su misión es informar y asesorar a la dirección sobre obligaciones legales, supervisar el cumplimiento de la normativa, cooperar con la Agencia Española de Protección de Datos (AEPD) y actuar como punto de contacto para los titulares de los datos. Su independencia funcional está protegida explícitamente por el artículo 38 del RGPD: no puede recibir instrucciones sobre cómo ejercer sus funciones ni ser sancionado por las decisiones que tome dentro de su ámbito.
Por qué importa
El RGPD obliga a designar un DPO en tres supuestos: cuando el tratamiento lo realiza una autoridad u organismo público, cuando las actividades principales requieren observación sistemática y a gran escala de personas, o cuando se tratan a gran escala categorías especiales de datos (salud, biometría, ideología, etc.). Pero más allá de la obligación legal, un DPO bien posicionado ayuda a evitar sanciones administrativas que pueden llegar al 4% de la facturación global. Bajo NIS2 y DORA, el DPO también es la pieza que conecta las obligaciones de protección de datos con las de ciberseguridad y resiliencia operativa, evitando que cada área hable un idioma distinto. La AEPD ha publicado guías específicas sobre cómo dimensionar el rol y qué requisitos de cualificación esperar.
Puntos clave
Puede ser interno o externo. En PYMEs lo habitual es contratar un DPO externo (asesoría jurídica o consultora especializada) por coste y disponibilidad de experiencia jurídica. En grandes organizaciones suele ser interno o un equipo.
Su independencia es legal, no negociable. Debe reportar al máximo nivel directivo y disponer de recursos para ejercer su función. Si la dirección lo instrumentaliza o lo sanciona por hacer su trabajo, el RGPD permite a la AEPD intervenir.
DPO y CISO son figuras complementarias, no iguales. El DPO se centra en privacidad y derechos de los titulares; el CISO en seguridad técnica y organizativa. En incidentes de fuga de datos personales, ambos coordinan respuesta y notificación.
Ejemplo: brecha de seguridad con datos personales
Una empresa de comercio electrónico detecta exfiltración de la base de datos de clientes (nombres, correos, direcciones, historial de pedidos). El CISO activa respuesta a incidentes y contiene la brecha. El DPO entra en paralelo: evalúa si los datos son personales y de qué categoría, determina si la brecha entraña riesgo para los derechos y libertades de los afectados, decide si procede notificación a la AEPD (máximo 72 horas desde la detección, artículo 33 RGPD) y si procede comunicación individual a los titulares (artículo 34). Documenta todo en el registro de brechas obligatorio. Sin DPO, la organización suele saltarse plazos o comunicar de forma incorrecta, y eso multiplica el riesgo sancionador.
Errores habituales
- Designar DPO solo «para cumplir» sin darle recursos, formación ni acceso a la información que necesita para ejercer la función. La AEPD ha sancionado este tipo de designación nominal.
- Confundir DPO con responsable de cumplimiento (compliance officer) o con asesor jurídico general. Son figuras distintas con regulación y obligaciones específicas.
- No notificar al DPO de proyectos nuevos hasta que están casi cerrados. El RGPD obliga a involucrarlo desde el diseño (artículo 25, privacy by design). Si llega tarde, el coste de rehacer multiplica por diez.
- Publicar los datos de contacto del DPO solo en el aviso legal y no en sitios accesibles para los titulares (formularios, correos, política de privacidad). El RGPD exige facilitar el ejercicio de derechos, no esconderlo.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Toda empresa necesita DPO?
No. Solo es obligatorio en los tres supuestos del artículo 37 del RGPD: organismos públicos, tratamientos que requieren observación sistemática y a gran escala de personas, o tratamientos a gran escala de categorías especiales de datos. Fuera de esos supuestos puede designarse voluntariamente, pero los requisitos de independencia se aplican igual.
¿Puede el DPO ser interno o tiene que ser externo?
Cualquiera de las dos opciones es legal. El DPO interno conoce mejor la organización; el externo aporta independencia jurídica y especialización. En PYMEs lo habitual es externo por coste y por la dificultad de encontrar perfiles internos con la cualificación exigida.
¿Qué cualificación necesita un DPO?
El RGPD pide 'conocimientos especializados del Derecho y la práctica en materia de protección de datos'. No hay una titulación obligatoria, pero la AEPD reconoce esquemas de certificación de DPO bajo el ENS y otros emitidos por entidades acreditadas por ENAC. En la práctica, perfiles jurídicos con experiencia en privacidad y compliance son los más habituales.