DPO externo: cuándo es obligatorio, cuánto cuesta y cómo elegir uno

El Delegado de Protección de Datos (DPO, por sus siglas en inglés) es una figura que el RGPD creó para supervisar el cumplimiento de la normativa dentro de las organizaciones. No todas las empresas están obligadas a tenerlo, pero muchas lo necesitan sin saberlo.

Cuándo es obligatorio tener un DPO

El artículo 37 del RGPD establece tres supuestos en los que el nombramiento de un DPO es obligatorio:

1. Autoridades y organismos públicos. Con excepciones menores, toda entidad pública debe tener DPO.

2. Organizaciones que realizan seguimiento sistemático a gran escala. Esto incluye empresas cuya actividad principal implica monitorizar el comportamiento de personas de forma habitual y masiva: operadoras de telecomunicaciones, plataformas de publicidad digital, aplicaciones de seguimiento de ubicación, o empresas que elaboran perfiles de usuarios a gran escala.

3. Organizaciones que tratan a gran escala datos de categorías especiales o datos relativos a condenas penales. Datos de salud, datos biométricos, datos sobre origen racial, orientación sexual, religión, opiniones políticas o sindicación.

La clave en los casos 2 y 3 es la expresión "a gran escala". Un médico que trata datos de salud de sus pacientes en una consulta pequeña no está obligado. Un hospital que trata datos de miles de pacientes, sí.

Si tienes dudas sobre si tu actividad te obliga, el Comité Europeo de Protección de Datos publicó una guía con criterios para determinar qué se entiende por "a gran escala".

Cuándo no es obligatorio pero puede ser conveniente

Aunque no estés obligado, puede tener sentido nombrar un DPO voluntario si:

• Tu empresa maneja volúmenes importantes de datos personales aunque no llegues al umbral de "gran escala".
• Quieres demostrar a clientes o socios que el cumplimiento del RGPD es una prioridad.
• Tu actividad está en un sector regulado (sanidad, seguros, servicios financieros) donde los clientes o auditores esperan este nivel de diligencia.
• Tu empresa está creciendo y quieres establecer una base sólida antes de que el cumplimiento se vuelva más complejo.

Qué hace exactamente un DPO

El DPO tiene tres funciones principales según el RGPD:

• Informar y asesorar a la empresa y a sus empleados sobre sus obligaciones en materia de protección de datos.
• Supervisar el cumplimiento del RGPD y de las políticas internas de protección de datos, incluyendo la asignación de responsabilidades, la formación y las auditorías.
• Cooperar con la autoridad de control (la AEPD en España) y actuar como punto de contacto para ella.

El DPO no es responsable de las infracciones que cometa la empresa. Es un asesor y supervisor, no el responsable del tratamiento. Esa responsabilidad sigue siendo del empresario.

Puede ser un empleado interno o alguien externo

El RGPD permite ambas opciones. El DPO puede ser:

• Un empleado de la empresa designado para ese rol (siempre que no tenga conflicto de intereses con sus otras funciones).
• Un profesional o empresa externa contratada específicamente para ejercer esa función.

La opción interna solo tiene sentido si la empresa es suficientemente grande para que un empleado pueda dedicar tiempo real a esta función sin conflictos. En la práctica, para pymes y empresas medianas, la opción externa es la más habitual y la más económica.

Cuánto cuesta un DPO externo en España

Los precios varían bastante según el tamaño de la empresa, el volumen de tratamientos y el nivel de servicio contratado. Como referencia orientativa:

• Autónomos y micropymes (menos de 10 empleados, tratamientos sencillos): entre 500 y 1.500 euros al año.
• Pymes medianas (10-50 empleados, tratamientos más complejos): entre 1.500 y 4.000 euros al año.
• Empresas grandes o con tratamientos sensibles: desde 5.000 euros al año en adelante.

Estos precios suelen incluir el mantenimiento de la documentación, la atención a solicitudes de derechos, la notificación de brechas y un número determinado de consultas o revisiones anuales.

Qué mirar antes de contratar un DPO externo

Acreditación y formación. No existe una certificación oficial obligatoria para ser DPO en España, pero hay certificaciones reconocidas en el sector como la CIPP/E (Certified Information Privacy Professional/Europe) de la IAPP o el esquema de certificación de AENOR. Un DPO sin ninguna formación acreditada es una señal de alerta.

Independencia real. El RGPD exige que el DPO pueda ejercer sus funciones con independencia. Si el proveedor que quiere venderte su software de gestión también te ofrece el DPO como complemento, hay un conflicto de intereses potencial.

Capacidad de respuesta. El DPO tiene que estar disponible cuando la AEPD contacte con tu empresa o cuando recibas una solicitud de ejercicio de derechos urgente. Pregunta cuáles son los tiempos de respuesta garantizados y si tienes asignado un profesional concreto o es un servicio anónimo.

Referencias verificables. Pide referencias de otros clientes en un sector similar al tuyo. Un DPO con experiencia en sanidad no tiene el mismo perfil que uno especializado en comercio electrónico.

Contrato claro. El contrato debe especificar qué servicios incluye, qué no incluye, cómo se gestionan los incrementos de precio y cómo se termina la relación. Algunos proveedores ofrecen precios bajos de entrada con costes adicionales por cada consulta o cada incidente.