DPO: qué es, funciones y cuándo es obligatorio en 2026

Mesa moderna con un portatil que muestra un panel abstracto de privacidad, candado e iconos de documentos, ilustrando la figura del DPO bajo el RGPD

El DPO (Data Protection Officer, en español Delegado de Protección de Datos) es la figura que el RGPD y la LOPDGDD obligan a designar a determinadas empresas para supervisar el cumplimiento de la normativa de protección de datos. Tres preguntas concentran el 90% de las dudas que llegan al despacho: ¿mi empresa está obligada a tenerlo?, ¿qué hace realmente?, y ¿me sale más a cuenta interno o externo? Esta guía las responde con la normativa vigente en 2026, ejemplos por sector y un checklist concreto para nombrar DPO en tu organización.

¿Qué es un DPO (Data Protection Officer)?

El DPO es un especialista en privacidad y protección de datos que actúa de forma independiente dentro de una organización. Su rol no es operativo (no decide qué se trata ni cómo se trata): es de control, asesoramiento y contacto institucional. Vela por que la empresa cumpla con el RGPD, asesora a quien decide y es el punto de contacto con la Agencia Española de Protección de Datos (AEPD) y con las personas cuyos datos se tratan.

Es una figura que aparece en el artículo 37 del Reglamento (UE) 2016/679 (RGPD) y en los artículos 34 a 37 de la LOPDGDD (Ley Orgánica 3/2018). Su designación no es opcional cuando la empresa cae dentro de alguno de los supuestos obligatorios, y fuera de ellos, sigue siendo muy recomendable cuando se trabaja con datos sensibles.

Marco legal: RGPD + LOPDGDD (artículos clave)

  • RGPD, artículo 37: Establece los tres supuestos generales de designación obligatoria (autoridades y organismos públicos; tratamientos a gran escala; categorías especiales y datos sobre condenas penales).
  • RGPD, artículo 38: Posición del DPO: independencia, recursos suficientes, sin instrucciones, sin sanción por ejercer sus funciones, secreto profesional.
  • RGPD, artículo 39: Funciones mínimas del DPO.
  • LOPDGDD, artículo 34: Amplía los supuestos obligatorios en España (entidades financieras, aseguradoras, sanitarias privadas, federaciones deportivas, prestadores de servicios de la sociedad de la información que elaboren perfiles a gran escala, casinos, distribuidoras eléctricas y de gas, etc.).
  • LOPDGDD, artículos 35-37: Cualificación, comunicación a la AEPD y certificación voluntaria mediante el Esquema AEPD-DPD.

¿Cuándo es obligatorio designar un DPO?

Tu empresa está obligada a designar DPO si encaja en alguno de estos supuestos:

  1. Autoridades u organismos públicos (excepto tribunales en el ejercicio de su función judicial).
  2. Las actividades principales del responsable o encargado consisten en operaciones que exijan una observación habitual y sistemática de interesados a gran escala (RGPD art. 37.1.b).
  3. Tratan a gran escala categorías especiales de datos del art. 9 (salud, biométricos, biométricos identificativos, ideología, sindicación, religión, etc.) o datos relativos a condenas o infracciones penales del art. 10.
  4. Supuestos específicos de la LOPDGDD art. 34: colegios profesionales, centros educativos privados, entidades de banca y crédito, aseguradoras, empresas de seguridad privada, federaciones deportivas con datos de menores, prestadores de servicios SaaS que perfilen a gran escala, operadores de juegos y apuestas, distribuidoras eléctricas y de gas, entre otros.

Si tu organización maneja datos sensibles aunque no esté en el listado, o trabaja con un número importante de personas, conviene hacer una evaluación específica antes de descartar la figura. Para el escenario de pyme tecnológica, lee también nuestra guía completa para que tu startup cumpla con el GDPR.

Funciones principales del DPO

El artículo 39 del RGPD fija las funciones mínimas. En la práctica el día a día se reparte así:

  • Asesoramiento al responsable, al encargado y a los empleados sobre obligaciones del RGPD y normativa derivada.
  • Supervisión del cumplimiento: políticas, registro de actividades, evaluaciones de impacto (EIPD), formación.
  • Formación de personal y sensibilización en privacidad.
  • Cooperación con la AEPD y actuación como punto de contacto en consultas previas y procedimientos.
  • Atención a interesados que ejerzan sus derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad).
  • Asesoramiento en EIPD (evaluaciones de impacto): supervisión cuando son obligatorias.
  • Gestión de brechas de seguridad: apoyo en notificación a AEPD en 72h y comunicación a interesados.

El detalle de la gestión de incidentes lo tratamos en la pesadilla del DPO: enfrentando brechas de seguridad.

Perfil profesional y certificaciones reconocidas

El DPO debe acreditar «conocimientos especializados del derecho y la práctica en materia de protección de datos» (RGPD art. 37.5). No hay una titulación obligatoria, pero existen vías reconocidas:

  • Esquema AEPD-DPD: Certificación oficial española, basada en el referencial publicado por la AEPD. Es el sello más reconocido en el mercado español.
  • Esquemas privados ENAC (acreditados como certificadores por el Esquema AEPD).
  • Certificaciones internacionales: CIPP/E, CIPM, CIPT (IAPP). Reconocidas en entornos multinacionales.
  • Formación complementaria en ciberseguridad: ISO 27001 e ISO 27701 son muy valoradas para perfiles que combinan privacidad y seguridad. Lee también las ventajas de un sistema de gestión de privacidad (ISO/IEC 27701).

El perfil habitual combina formación jurídica con conocimientos técnicos (gestión de sistemas, ciberseguridad, comprensión de arquitecturas SaaS).

DPO interno vs DPO externo: ventajas y casos de uso

DPO interno DPO externo
Coste anual 40.000-90.000 € (salario + cotizaciones) 3.000-30.000 € según tamaño/complejidad
Conocimiento del negocio Profundo, día a día Externo, requiere onboarding inicial
Independencia frente a dirección Más exigente, requiere blindaje contractual Natural: el DPO no tiene jerarquía interna
Conflictos de interés Riesgo si el rol se combina con responsabilidades de tratamiento Bajo
Disponibilidad inmediata Sí (en horario laboral) Según contrato de servicios, SLA habitual 24h
Encaje para pymes Sobredimensionado en la mayoría Óptimo
Encaje para multinacionales Recomendable, especialmente si hay tratamientos a gran escala Posible como apoyo a un DPO interno

El externo es la opción más eficiente para pymes y para empresas que no quieren mantener un puesto a tiempo completo. El interno tiene más sentido cuando los tratamientos son críticos, hay equipos de privacidad ya consolidados o la regulación sectorial lo exige.

Honorarios orientativos y modelos de contratación de un DPO externo

Cuando contratas un DPO externo, los modelos habituales son tres:

  • Cuota mensual de servicio continuo: Cubre asesoramiento, supervisión, atención a interesados, formación anual y EIPD básicas. Desde 250 €/mes para pyme con tratamientos sencillos; 800-2.500 €/mes para empresas medianas con tratamientos complejos.
  • Proyecto inicial de implantación + cuota reducida. Un alta inicial (registro de actividades, política de privacidad, contratos de encargo, EIPD, formación) seguida de una cuota de mantenimiento.
  • Bolsa de horas anual: Para empresas con necesidades puntuales y autonomía interna.

Errores comunes al designar DPO en pymes

  • Designar al CTO o al responsable de sistemas: hay conflicto de interés si esa persona decide cómo se tratan datos.
  • Designar al asesor laboral o al asesor fiscal: rara vez tiene los conocimientos especializados que exige el RGPD.
  • «Designar» sin comunicar a la AEPD: la comunicación es obligatoria y los datos deben actualizarse.
  • Pensar que con el certificado vale: el DPO requiere actuación continua, no solo titulación.
  • Combinar DPO con responsable de marketing o ventas: incompatible, quien define las finalidades del tratamiento no puede ser su supervisor.

DPO y otras figuras (CCO, CISO, RSC): diferencias

  • DPO: Especialista en protección de datos. Reporta al máximo nivel; independencia. Función reglada por el RGPD.
  • Compliance Officer (CCO): Vela por el cumplimiento normativo general (penal, fiscal, laboral, sectorial). Puede coordinar con el DPO en lo que afecta a datos.
  • CISO: Responsable de seguridad de la información. Trabaja con el DPO en brechas y EIPD, pero su foco es técnico, no normativo.
  • Responsable de RSC: Responsabilidad social corporativa. Ámbito distinto, aunque cada vez más vinculado a privacidad en empresas grandes.

Para entender mejor cómo encaja el rol con la función general de compliance, lee conflicto de intereses en la empresa: cómo detectarlo y gestionarlo.

Checklist: pasos para nombrar DPO en tu organización

  1. Confirmar si la designación es obligatoria revisando RGPD art. 37 + LOPDGDD art. 34.
  2. Decidir modelo: interno, externo o mixto.
  3. Definir el perfil: cualificaciones mínimas (jurídico + técnico) y certificaciones deseadas.
  4. Garantizar independencia: sin tareas operativas conflictivas, reporte directo a la dirección, no se le puede destituir por ejercer sus funciones.
  5. Dotarle de recursos: tiempo, presupuesto, acceso a documentación y a sistemas.
  6. Comunicar a la AEPD: Sede electrónica de la AEPD, dentro de los 10 días hábiles desde la designación.
  7. Publicar datos de contacto: en la política de privacidad y en el aviso legal de la web.
  8. Acordar plan de trabajo del primer año: auditoría inicial, registro de actividades, EIPDs, política, formación, plan de respuesta a brechas.
  9. Programar revisión anual: evolución del marco, nuevas tecnologías, modificaciones del tratamiento.

Preguntas frecuentes sobre el DPO

¿La AEPD multa si no nombro DPO estando obligado?

Sí. Es una infracción tipificada (art. 73.s LOPDGDD) que puede llevar a sanción. Y, además, si hay una brecha o reclamación, la falta de DPO se valora como agravante.

¿Puede el DPO ser una empresa, no una persona física?

Sí. El RGPD permite designar a una persona jurídica. En ese caso debe haber una persona física identificada como interlocutora.

¿Cuánto tiempo dedica un DPO externo a una pyme al mes?

Para una pyme con tratamientos no críticos, entre 4 y 12 horas mensuales son habituales. Empresas medianas con varios tratamientos complejos van a 20-40 horas.

¿Es obligatorio que el DPO sea abogado?

No. La normativa no exige titulación específica, solo «conocimientos especializados del derecho y la práctica en materia de protección de datos».

¿Puedo cambiar de DPO?

Sí. Es perfectamente posible. La condición es comunicarlo a la AEPD y actualizar los datos de contacto en política de privacidad y avisos.

¿El DPO responde personalmente ante una sanción?

Por regla general, no. La responsabilidad por incumplimiento es del responsable o encargado del tratamiento. El DPO solo responde si ha incurrido en un incumplimiento doloso o gravemente negligente personal.

¿Las empresas que no están obligadas pueden designar DPO voluntariamente?

Sí. La designación voluntaria es válida y, una vez nombrado, tiene los mismos derechos y obligaciones que un DPO obligatorio. Es habitual en empresas tecnológicas que tratan datos personales como parte central del servicio.

¿Hay sectores donde el DPO sea casi inevitable aunque la ley no obligue?

Sí. SaaS B2C, healthtech, fintech, ad tech, edtech, marketing intensivo en datos y empresas de seguridad privada manejan tratamientos donde la designación es altamente recomendable aunque no encajen estrictamente en el art. 37.

Solicita una consultoría DPO con Laworatory

Si necesitas evaluar si tu empresa está obligada a designar DPO, comparar interno vs externo o externalizar la función con un equipo especializado, podemos ayudarte. Laworatory presta servicios de DPO externo para pymes y empresas medianas con un enfoque práctico: la norma traducida en acciones concretas, sin alarmismo y sin burocracia innecesaria. Consulta también la guía whistleblower para empresas si tu organización maneja el canal de denuncias dentro del mismo paraguas de compliance.

Si has llegado hasta aquí,
¿quieres más información de las soluciones CompaaS?

Laworatory tratará los datos personales facilitados a través del presente formulario con la finalidad de gestionar su solicitud de contacto para agendar una demo de la herramienta de LAWORATORY, legitimando el consentimiento mostrado mediante la remisión del mismo. Puede obtener más información en nuestra Política de Privacidad, así como contactar con nuestro Delegado de Protección de Datos a través de dpd@laworatory.com.

Los campos marcados con asterisco (*) son obligatorios. En caso de no ser facilitados no podrá atenderse correctamente su solicitud.

Estos recursos de Privacidad pueden interesarte:

PRIVACIDAD
Contrato Encargado de Tratamiento de Datos

RGPD en Cristiano

¿Harto de tanto rollo legal? Te explicamos todo lo que necesitas saber sobre privacidad en tu empresa, como si estuviéramos tomando un café.

Descargar
PRIVACIDAD
Contrato Encargado de Tratamiento de Datos

El Contrato Perfecto con Proveedores RGPD

"Pero si siempre lo hemos hecho así..." ¡No más excusas! Template actualizado que cumple al 100% con el RGPD. Sin dolores de cabeza.

Descargar
PRIVACIDAD Y CIBERSEGURIDAD
Guía Práctica de Implementación NIS2

Guía Práctica de Implementación NIS2

De la Teoría a la Acción. ¿Atascado con los requisitos de NIS2? ¡Basta de complicaciones! En esta guía encontrarás un paso a paso claro y realista para cumplir la Directiva y reforzar la seguridad de tu organización.

Descargar

¿Necesitas más información?

Escríbenos
Recursos

¿Necesitas más información?

Escríbenos
Recursos