Guía completa del Delegado de Protección de Datos (DPO): obligaciones, cuándo es obligatorio y cómo designarlo

08 jun 2026UncategorizedComments (0)

El Delegado de Protección de Datos (DPO) es una figura clave dentro del Reglamento General de Protección de Datos (RGPD). Su función principal es supervisar que una organización cumple correctamente con la normativa de protección de datos y actuar como punto de contacto con la Agencia Española de Protección de Datos (AEPD). A pesar de su importancia, muchas entidades desconocen si están obligadas a designarlo o qué responsabilidades implica.

Esta guía ofrece una visión completa, práctica y actualizada sobre el DPO, especialmente útil para empresas, asociaciones y profesionales de Málaga y Andalucía.

Qué es un Delegado de Protección de Datos

El DPO es un profesional, interno o externo, con conocimientos especializados en protección de datos. Su papel está regulado en los artículos 37, 38 y 39 del RGPD.

Debe contar con:

  • Conocimientos técnicos y jurídicos en protección de datos
  • Independencia en el desempeño de sus funciones
  • Acceso directo a la dirección
  • Recursos suficientes para realizar su labor

Su misión no es evitar sanciones, sino garantizar que la organización aplica correctamente la normativa y gestiona los riesgos asociados al tratamiento de datos personales.

Cuándo es obligatorio nombrar un DPO

El RGPD establece tres supuestos principales en los que la designación de un DPO es obligatoria:

1. Administraciones y organismos públicos

Incluye ayuntamientos, universidades, colegios profesionales, empresas públicas y cualquier entidad que ejerza funciones públicas.

2. Entidades que traten datos sensibles a gran escala

Se consideran datos sensibles los relativos a salud, ideología, religión, discapacidad, datos biométricos, orientación sexual, entre otros.

Ejemplos habituales en Málaga:

  • Clínicas médicas y dentales
  • Centros de fisioterapia
  • Gabinetes psicológicos
  • Residencias de mayores

3. Entidades que realicen observación habitual y sistemática de personas

Incluye actividades como videovigilancia compleja, monitorización de usuarios, análisis de comportamiento o gestión de grandes bases de datos.

Ejemplos:

  • Empresas de seguridad
  • Plataformas digitales
  • Despachos profesionales con tratamientos masivos

Casos prácticos frecuentes en Málaga

  • Despachos de abogados: obligación probable si tratan datos penales o de salud de forma habitual.
  • Comunidades de propietarios: no están obligadas salvo en casos de videovigilancia avanzada.
  • Asociaciones: si gestionan datos sensibles (discapacidad, salud, menores), la designación es obligatoria.
  • Clínicas privadas: obligación en todos los casos.

Funciones principales del DPO

El Delegado de Protección de Datos debe desempeñar, entre otras, las siguientes funciones:

  • Supervisar el cumplimiento del RGPD y la LOPDGDD
  • Asesorar al responsable del tratamiento
  • Realizar auditorías periódicas
  • Supervisar y participar en las Evaluaciones de Impacto (EIPD)
  • Gestionar brechas de seguridad
  • Atender solicitudes de derechos de los interesados
  • Actuar como punto de contacto con la AEPD

Cómo designar un DPO paso a paso

  1. Identificar si la organización está obligada a designarlo.
  2. Seleccionar un profesional cualificado, interno o externo.
  3. Formalizar su nombramiento por escrito.
  4. Garantizar su independencia y acceso a la dirección.
  5. Comunicar su designación a la AEPD mediante el formulario oficial.
  6. Informar internamente a empleados y colaboradores.

DPO interno o DPO externo

DPO interno

Ventajas:

  • Conocimiento profundo de la organización.

Inconvenientes:

  • Riesgo de conflicto de intereses.
  • Coste elevado en formación y dedicación.

DPO externo

Ventajas:

  • Mayor independencia.
  • Coste más reducido.
  • Experiencia en múltiples sectores.
  • Sin costes laborales asociados.

Para pymes, asociaciones y despachos profesionales, la opción más eficiente suele ser el DPO externo.

Errores comunes al nombrar un DPO

  • Designar a una persona sin formación especializada.
  • No comunicar el nombramiento a la AEPD.
  • No garantizar su independencia.
  • No incluirlo en decisiones sobre tratamientos de datos.
  • Considerarlo un trámite formal en lugar de una figura estratégica.

En RGPD Málaga somos Delegados de Protección de Datos y podemos asumir la responsabilidad de este cargo en el sector.