La obligación de designar un delegado de protección de datos afecta a más empresas de las que se piensa. Conozca cuándo un DPO es legalmente obligatorio, qué cualificaciones se requieren y si un delegado interno o externo es la mejor opción.
Delegado de protección de datos: ¿cuándo lo necesita su empresa?
La protección de datos es uno de esos temas que muchos empresarios preferirían ignorar — hasta que llega una notificación de multa de la autoridad de control. Sin embargo, la cuestión de si su empresa necesita un delegado de protección de datos (DPO) dista de ser meramente académica: las infracciones de la obligación de designación pueden acarrear multas de hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial. En la práctica, las multas suelen ser menores, pero los riesgos no deben subestimarse.
Este artículo le ofrece una visión completa de cuándo la designación de un DPO es obligatoria, qué requisitos se exigen a la persona y cómo configurar de forma óptima esta función en su empresa.
¿Cuándo es obligatorio un delegado de protección de datos?
El umbral de 20 personas según el BDSG
La regla más conocida se encuentra en el § 38 Abs. 1 BDSG: en cuanto al menos 20 personas en su empresa estén ocupadas de forma regular en el tratamiento automatizado de datos personales, debe designar un DPO. Se cuentan:
- Empleados fijos (a tiempo completo y parcial)
- Trabajadores cedidos por ETT y colaboradores autónomos
- Becarios y aprendices, siempre que trabajen regularmente con datos personales
El criterio decisivo no es el número total de empleados, sino el número de quienes efectivamente tratan datos personales — por ejemplo, redactar correos electrónicos, mantener datos de clientes o gestionar expedientes de personal. En la práctica, esto afecta a prácticamente todos los empleados de oficina en la mayoría de las empresas.
Obligación independiente del número de empleados
Incluso si emplea a menos de 20 personas, puede existir la obligación de designar un DPO. Conforme al art. 37 Abs. 1 DSGVO y al § 38 Abs. 1 BDSG, un delegado de protección de datos es siempre necesario si:
- Su actividad principal consiste en la supervisión amplia, regular y sistemática de personas (p. ej., agencias de información crediticia, empresas de vigilancia, proveedores de servicios de rastreo)
- Su actividad principal implica el tratamiento a gran escala de categorías especiales de datos conforme al art. 9 DSGVO (datos de salud, datos biométricos, afiliación sindical, convicciones religiosas)
- Debe realizar evaluaciones de impacto en la protección de datos (§ 38 Abs. 1 Satz 2 BDSG)
- Trata datos personales con fines comerciales de transmisión o transmisión anonimizada
Organismos públicos
Para autoridades y organismos públicos, la obligación de designación se aplica sin excepción, con independencia del tamaño o el tipo de tratamiento de datos (art. 37 Abs. 1 lit. a DSGVO).
DPO interno frente a externo
El DPO interno
Un delegado interno de protección de datos es un empleado de su empresa que asume esta función de forma adicional o a tiempo completo. Las ventajas:
- Conocimiento de la empresa: un DPO interno conoce los procesos, sistemas y la cultura empresarial
- Disponibilidad permanente: vías de comunicación cortas y accesibilidad directa
- Sin costes externos recurrentes: sin honorarios mensuales de consultoría
No obstante, los inconvenientes son significativos:
- Protección especial contra el despido: un DPO interno goza de una protección contra el despido conforme al § 6 Abs. 4 BDSG similar a la de un miembro del comité de empresa — que se extiende un año después del cese en el cargo
- Costes de formación: el empleador debe financiar la formación continua (§ 38 Abs. 2 en relación con art. 38 Abs. 2 DSGVO)
- Conflictos de intereses: determinados puestos son incompatibles con la función de DPO
- Riesgo de responsabilidad: en caso de incumplimiento, la responsabilidad recae en el empleador, no en el DPO interno
El DPO externo
Un delegado externo de protección de datos actúa sobre la base de un contrato de prestación de servicios. Esto ofrece:
- Conocimiento especializado: los DPO externos suelen estar especializados en protección de datos y atienden a varios clientes
- Independencia: menor riesgo de conflictos de intereses
- Flexibilidad: el contrato puede resolverse con sujeción a los plazos de preaviso acordados — sin protección especial contra el despido
- Costes previsibles: tarifas mensuales fijas u honorarios por hora, típicamente entre 300 y 1.500 euros mensuales según el tamaño de la empresa
- Responsabilidad: un DPO externo responde de sus propios errores en el marco de su contrato de prestación de servicios
Comparación de costes
| Factor | DPO interno | DPO externo |
|---|---|---|
| Costes mensuales | Salario proporcional + formación | 300--1.500 EUR/mes |
| Formación | 1.500--5.000 EUR/año | Incluida en los honorarios |
| Protección contra el despido | Sí (§ 6 Abs. 4 BDSG) | No |
| Responsabilidad | El empleador responde | El DPO responde contractualmente |
| Disponibilidad | Alta | Según acuerdo |
Requisitos del delegado de protección de datos
Cualificación profesional
El art. 37 Abs. 5 DSGVO exige que el DPO posea cualificación profesional y en particular conocimientos especializados en derecho y práctica de la protección de datos. En concreto, esto significa:
- Conocimiento sólido del DSGVO, del BDSG y de la legislación especial pertinente (TTDSG, TMG, etc.)
- Comprensión de las medidas técnicas y organizativas (TOM)
- Conocimiento sectorial acorde con la naturaleza y el alcance del tratamiento de datos
- Formación continua regular para mantener el nivel de especialización
No existe una certificación legalmente prescrita. Sin embargo, entre las cualificaciones reconocidas se encuentran los programas del TÜV, de la GDD (Gesellschaft für Datenschutz und Datensicherheit) o de la IAPP (International Association of Privacy Professionals).
Independencia y libertad frente a instrucciones
El DPO no puede recibir instrucciones en el ejercicio de sus funciones (art. 38 Abs. 3 DSGVO). Informa directamente al más alto nivel de dirección y no puede ser destituido ni perjudicado por el desempeño de sus funciones.
Evitar conflictos de intereses
Determinados cargos son incompatibles con la función de DPO. No pueden ser designados como DPO:
- Administradores y miembros del consejo de administración
- Directores de TI y responsables de recursos humanos
- Directores de marketing que deciden sobre el uso de herramientas de rastreo
- En general: personas que deciden sobre los fines y medios del tratamiento de datos
Las autoridades de control han impuesto multas de forma consistente en el pasado — por ejemplo, contra empresas que designaron a su director de TI como DPO.
Funciones y responsabilidades del DPO
El catálogo de funciones se establece en el art. 39 DSGVO:
- Información y asesoramiento al responsable del tratamiento y a los empleados sobre las obligaciones en materia de protección de datos
- Supervisión del cumplimiento del DSGVO, del BDSG y demás disposiciones de protección de datos
- Asesoramiento en evaluaciones de impacto en la protección de datos (art. 35 DSGVO)
- Cooperación con la autoridad de control y función de punto de contacto
- Sensibilización y formación de los empleados
- Llevanza del registro de actividades de tratamiento (en la práctica, esta tarea se delega frecuentemente en el DPO)
Responsabilidad: ¿quién asume el riesgo?
Un malentendido generalizado: el DPO no es el responsable del tratamiento en el sentido del DSGVO. La responsabilidad en materia de protección de datos recae siempre en la empresa o en su dirección. El DPO tiene una función consultiva y de supervisión. Las multas se dirigen por tanto contra la empresa, no contra el DPO personalmente.
Consejos prácticos para la designación
- Realizar un inventario: determine primero cuántas personas en su empresa tratan efectivamente datos personales y si están afectadas categorías especiales de datos
- Análisis coste-beneficio: compare los costes totales de un DPO interno (salario, formación, protección contra el despido) con los costes de un prestador de servicios externo
- Verificar conflictos de intereses: asegúrese de que la persona seleccionada no desempeñe funciones contradictorias
- Designación por escrito: la designación debe realizarse por escrito con una definición clara de las funciones
- Publicación: conforme al art. 37 Abs. 7 DSGVO, debe publicar los datos de contacto del DPO y comunicarlos a la autoridad de control
- Proporcionar recursos: asegúrese de que el DPO disponga de tiempo suficiente, acceso a la información y posibilidades de formación
Conclusión
La cuestión de si su empresa necesita un delegado de protección de datos puede responderse rápidamente en la mayoría de los casos — pero la implementación práctica requiere una planificación cuidadosa. Ya sea un DPO interno o externo: lo decisivo es que la persona designada posea los conocimientos necesarios, pueda actuar con independencia y reciba recursos adecuados.
En compleneo le asesoramos no solo sobre la existencia de una obligación de designación, sino que también le apoyamos en la selección, designación y colaboración con su delegado de protección de datos — de forma práctica, clara y adaptada a su empresa.
