Legal

DPO (Delegado de Protección de Datos)

Figura obligatoria en organizaciones que tratan datos sensibles a gran escala, regulada por el artículo 37 del RGPD y el artículo 34 de la LOPDGDD. En investigaciones forenses, el DPO supervisa que la recopilación y análisis de evidencia digital cumpla la normativa de protección de datos.

11 min de lectura

DPO (Delegado de Protección de Datos)

75,000 delegados de protección de datos registrados ante la AEPD a cierre de 2025, la cifra más alta per cápita de toda la Unión Europea. Sin embargo, según datos del INCIBE, el 43% de organizaciones obligadas a designar DPO en España todavía no lo han hecho, arriesgándose a sanciones que pueden alcanzar los 10 millones de euros. En un contexto donde las brechas de datos notificadas a la AEPD superan las 2,800 anuales, el DPO se ha convertido en la pieza central que conecta cumplimiento normativo, gestión de incidentes y peritaje informático forense.

Definición técnica

El DPO (Data Protection Officer) o Delegado de Protección de Datos es la persona designada por una organización para garantizar el cumplimiento de la normativa de protección de datos personales. Su figura está regulada por dos marcos legales complementarios:

Marco europeo (RGPD):

  • Artículo 37: Obligación de designación y supuestos
  • Artículo 38: Posición del DPO (independencia, recursos, prohibición conflicto intereses)
  • Artículo 39: Funciones (informar, supervisar, cooperar con autoridad control)

Marco español (LOPDGDD - Ley Orgánica 3/2018):

  • Artículo 34: Designación obligatoria para entidades listadas
  • Artículo 35: Cualificación profesional (conocimientos jurídicos y técnicos)
  • Artículo 36: Posición en la organización
  • Artículo 37: Intervención del DPO en caso de reclamación ante AEPD
DPO interno vs. externo

El RGPD permite que el DPO sea un empleado de la organización (DPO interno) o un profesional externo contratado mediante contrato de servicios (DPO externo). En España, aproximadamente el 62% de las pymes con DPO han optado por la modalidad externa, según datos del Consejo General de la Abogacía Española (2024). La clave es que el DPO no puede tener conflicto de intereses: no puede ser el CEO, director de IT o responsable de RRHH simultáneamente.

Cuándo es obligatorio designar un DPO

El artículo 37.1 del RGPD establece tres supuestos generales obligatorios:

  1. Autoridades u organismos públicos (excepto tribunales en ejercicio jurisdiccional)
  2. Tratamiento a gran escala de categorías especiales de datos (salud, biométricos, genéticos)
  3. Observación habitual y sistemática de interesados a gran escala (videovigilancia, perfilado)

La LOPDGDD amplía significativamente estos supuestos en su artículo 34, como se detalla más adelante.

Funciones del DPO

El artículo 39 del RGPD define cinco funciones esenciales:

  1. Informar y asesorar al responsable y encargados del tratamiento sobre sus obligaciones en materia de protección de datos, incluyendo nuevos proyectos que impliquen tratamiento de datos personales.

  2. Supervisar el cumplimiento del RGPD, la LOPDGDD y las políticas internas de protección de datos, incluyendo la asignación de responsabilidades, la concienciación y formación del personal, y las auditorías correspondientes.

  3. Asesorar sobre la Evaluación de Impacto en Protección de Datos (EIPD/DPIA) cuando sea necesaria conforme al artículo 35 del RGPD, y supervisar su aplicación.

  4. Cooperar con la AEPD como punto de contacto para cuestiones relativas al tratamiento, incluyendo la consulta previa del artículo 36 del RGPD.

  5. Atender a los interesados como punto de contacto para el ejercicio de derechos ARCO (acceso, rectificación, cancelación, oposición) y los nuevos derechos de la LOPDGDD (portabilidad, limitación, supresión).

El DPO no es responsable del cumplimiento

Un error frecuente: el DPO informa, asesora y supervisa, pero la responsabilidad del cumplimiento recae en el responsable del tratamiento (la empresa). Si se produce una infracción, la AEPD sanciona a la organización, no al DPO. Sin embargo, la ausencia de DPO o su falta de independencia se considera agravante en procedimientos sancionadores.

DPO y peritaje informático forense

La intersección entre el DPO y el perito informático forense se produce en escenarios críticos donde la investigación técnica debe cumplir simultáneamente la normativa de protección de datos.

Cuándo el DPO debe involucrar a un perito forense

1. Brechas de datos (artículo 33 RGPD - notificación 72 horas)

Ante una brecha de seguridad, el DPO necesita que un perito forense determine:

  • Alcance real de la brecha (registros afectados, tipo de datos comprometidos)
  • Vector de ataque (cómo se produjo la intrusión)
  • Si hubo exfiltración efectiva de datos (no solo acceso)
  • Timeline forense para la notificación a la AEPD

2. Investigaciones internas (conducta de empleados)

Cuando se sospecha que un empleado ha accedido indebidamente a datos personales, el DPO supervisa que la investigación forense:

  • Respete el artículo 87 LOPDGDD (derecho a la intimidad en dispositivos digitales)
  • Cumpla la doctrina del Tribunal Constitucional sobre proporcionalidad
  • Preserve la cadena de custodia para eventual procedimiento disciplinario o judicial

3. Auditorías de cumplimiento

El DPO puede solicitar auditorías técnicas forenses para verificar:

  • Que los sistemas de tratamiento cumplen medidas de seguridad adecuadas (artículo 32 RGPD)
  • Eficacia de las medidas de seudonimización y cifrado implementadas
  • Análisis de logs de acceso a datos especialmente protegidos

4. Procedimientos sancionadores AEPD

Cuando la AEPD abre un expediente, el DPO coordina con el perito forense la elaboración de:

  • Informe técnico pericial que acredite las medidas de seguridad existentes
  • Documentación de la respuesta al incidente (atenuante cooperación)
  • Análisis de proporcionalidad de la sanción propuesta

Caso práctico: brecha de datos y coordinación DPO-perito forense

Nota: El siguiente caso está basado en escenarios reales de investigaciones forenses en España. Los datos específicos (nombres, empresas, cantidades) han sido anonimizados para proteger la confidencialidad de los afectados, preservando los aspectos técnicos relevantes para fines educativos.

Escenario

Una empresa de comercio electrónico con 280 empleados detecta un acceso no autorizado a su base de datos de clientes. El DPO recibe la alerta del equipo de IT el martes a las 09:00h.

Timeline de actuación coordinada

Martes 09:00h - HORA CERO (conocimiento de la brecha)
  DPO: Recibe alerta del SOC, activa protocolo de respuesta
  DPO: Contacta perito informático forense urgente

Martes 11:00h - T+2h
  Perito: Inicia adquisición forense de servidores afectados
  DPO: Notifica a dirección general y asesoría jurídica
  DPO: Documenta primeras evidencias para registro interno

Martes 18:00h - T+9h
  Perito: Confirma acceso no autorizado vía SQLi
  Perito: Estima 45,000 registros comprometidos (nombre, email, teléfono, historial compras)
  DPO: Evalúa nivel de riesgo → ALTO (datos personales + volumen)

Miércoles 10:00h - T+25h
  Perito: Confirma exfiltración de 12 GB hacia IP externa
  Perito: Entrega informe preliminar con timeline y alcance
  DPO: Prepara notificación AEPD con datos técnicos del perito

Miércoles 14:00h - T+29h
  DPO: Envía notificación preliminar a AEPD (dentro plazo 72h)
  Contenido: naturaleza brecha, datos DPO, estimación afectados,
  medidas adoptadas, informe forense preliminar adjunto

Jueves 09:00h - T+48h
  DPO: Prepara comunicación a los 45,000 afectados
  Perito: Entrega informe complementario (vector ataque parcheado)

Viernes 12:00h - T+75h
  DPO: Envía notificación ampliada a AEPD con informe forense completo
  DPO: Comunica a afectados vía email (lenguaje claro, medidas protección)

Resultado

La AEPD valoró positivamente la notificación en plazo, la contratación inmediata de perito forense, y la comunicación proactiva a afectados. El expediente se resolvió sin sanción económica, con recomendaciones de mejora de seguridad.

Quién debe nombrar DPO en España

La LOPDGDD (artículo 34) amplía notablemente los supuestos del RGPD. En España están obligadas a designar DPO:

Entidades públicas:

  • Administraciones públicas (Estado, CCAA, local)
  • Organismos públicos y entidades de derecho público
  • Universidades públicas

Sector privado (listado artículo 34.1 LOPDGDD):

  • Colegios profesionales y consejos generales
  • Centros docentes y universidades privadas
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas
  • Prestadores de servicios de la sociedad de la información (cuando elaboren perfiles)
  • Entidades de ordenación, supervisión y solvencia financiera
  • Entidades aseguradoras y reaseguradoras
  • Empresas de servicios de inversión
  • Distribuidores y comercializadores de energía eléctrica y gas natural
  • Entidades de publicidad y prospección comercial
  • Centros sanitarios (obligados legalmente a mantener historiales clínicos)
  • Operadores de juego y apuestas
  • Empresas de seguridad privada
  • Federaciones deportivas cuando traten datos de menores
  • Entidades que realicen actividades de publicidad que impliquen perfilado
Criterio práctico

Aunque tu organización no aparezca en el listado del artículo 34 LOPDGDD, si trata datos personales a gran escala o categorías especiales (salud, biométricos), el RGPD puede obligarte igualmente. Ante la duda, la AEPD recomienda designar DPO voluntariamente: es un atenuante en caso de procedimiento sancionador.

Sanciones por no tener DPO

La AEPD ha impuesto sanciones relevantes relacionadas con la ausencia o el funcionamiento deficiente del DPO:

Casos destacados

Mercadona (2021) - €2,520,000: La AEPD sancionó a Mercadona por su sistema de reconocimiento facial en tiendas. Entre los incumplimientos, se señaló que la Evaluación de Impacto fue insuficiente y que el DPO no participó adecuadamente en el proceso de implantación del sistema, como exige el artículo 35.2 del RGPD.

Glovo (2022) - €550,000: La plataforma de reparto fue sancionada por, entre otros motivos, no facilitar los datos de contacto de su DPO a los interesados que ejercían derechos ARCO, incumpliendo el artículo 37.7 del RGPD que exige publicar los datos de contacto del DPO y comunicarlos a la autoridad de control.

CaixaBank (2021) - €6,000,000: Aunque la entidad contaba con DPO, la AEPD determinó que las medidas organizativas bajo su supervisión eran insuficientes para garantizar el tratamiento conforme al RGPD, resultando en comunicaciones comerciales a clientes que habían retirado su consentimiento.

Tipología de sanciones

Infracción relacionada con DPORango sanción
No designar DPO siendo obligatorio€50,000 - €300,000
DPO sin independencia (conflicto intereses)€100,000 - €500,000
No facilitar contacto DPO a interesados€40,000 - €100,000
DPO no participa en EIPD€100,000 - €400,000
No comunicar DPO a la AEPD€30,000 - €80,000

Nota: Los rangos indicados se basan en sanciones publicadas por la AEPD entre 2020 y 2025. Cada caso se evalúa individualmente considerando agravantes y atenuantes específicos.

FAQ

P: ¿El DPO puede ser el mismo perito informático forense de la empresa? R: Es desaconsejable. El artículo 38.6 del RGPD establece que el DPO puede desempeñar otras funciones siempre que no generen conflicto de intereses. Un perito forense que investiga brechas y simultáneamente supervisa el cumplimiento como DPO podría tener conflicto al evaluar su propia actuación. La AEPD recomienda separación de funciones.

P: ¿Cuánto cobra un DPO externo en España? R: El coste varía según tamaño de organización y complejidad del tratamiento. Para pymes (50-200 empleados), un DPO externo cuesta entre 3,000 y 12,000 euros anuales. Para grandes empresas con tratamientos complejos, puede superar los 40,000 euros anuales. El coste de no tenerlo (sanción AEPD de 50,000 euros en adelante) hace que la inversión sea claramente rentable.

P: ¿Puede la AEPD contactar directamente con el DPO sin pasar por dirección? R: Sí. El artículo 39.1.e del RGPD establece que el DPO es punto de contacto directo con la autoridad de control. La organización no puede interferir en esa comunicación ni exigir que pase por dirección previamente. Esta independencia es fundamental para la eficacia del DPO.

P: ¿Qué formación necesita un DPO? R: El RGPD (artículo 37.5) exige “conocimientos especializados del Derecho y la práctica en materia de protección de datos”. No existe titulación obligatoria, pero el Esquema de Certificación de la AEPD (conforme a la norma UNE-EN ISO/IEC 17024) es la referencia en España. La certificación requiere experiencia profesional demostrable y superar un examen.

P: Si mi empresa sufre una brecha y no tenemos DPO, ¿la sanción es mayor? R: Sí. La ausencia de DPO siendo obligatorio es un incumplimiento independiente (artículo 37 RGPD) que se suma a la sanción por la brecha. Además, la AEPD lo considera agravante (artículo 83.2.k RGPD: grado de cooperación con la autoridad de control). En la práctica, empresas sin DPO reciben sanciones entre un 20% y un 40% superiores en procedimientos por brechas de datos, según el análisis de resoluciones publicadas por la AEPD.

Referencias y Fuentes

  1. RGPD. (2016). “Reglamento (UE) 2016/679 - Artículos 37 a 39 (Delegado de Protección de Datos)”. eur-lex.europa.eu

    • Artículo 37: Designación obligatoria del DPO
    • Artículo 38: Posición del DPO (independencia, recursos)
    • Artículo 39: Funciones del DPO

  2. LOPDGDD. (2018). “Ley Orgánica 3/2018, de 5 de diciembre - Artículos 34 a 37”. boe.es

    • Artículo 34: Designación obligatoria en España (lista extendida)
    • Artículo 37: Intervención del DPO ante reclamaciones AEPD

  3. AEPD. (2024). “Listado de Delegados de Protección de Datos comunicados a la AEPD”. aepd.es

    • Registro público de DPOs comunicados
    • Más de 75,000 DPOs registrados a diciembre 2025

  4. EDPB (European Data Protection Board). (2017). “Directrices sobre delegados de protección de datos (WP 243 rev.01)”. edpb.europa.eu

    • Criterios designación, posición, funciones
    • Interpretación “gran escala” y “observación sistemática”
    • Conflictos de intereses y cualificación

  5. AEPD. (2023). “Guía práctica para la designación de un DPO en el sector privado”. aepd.es

    • Criterios cualificación y certificación
    • Modelo contrato DPO externo
    • Supuestos obligatorios artículo 34 LOPDGDD

  6. INCIBE. (2025). “Estado de la ciberseguridad en la pyme española 2024-2025”. incibe.es

    • 43% entidades obligadas sin DPO designado
    • Análisis cumplimiento RGPD en sector privado español

  7. AEPD. (2024). “Memoria anual 2023 - Procedimientos sancionadores”. aepd.es

    • Sanciones relacionadas con DPO: importes y motivos
    • Estadísticas notificaciones de brechas de seguridad

  8. AEPD. (2021). “Resolución PS/00120/2021 - Mercadona S.A.”. aepd.es

    • Sanción €2,520,000 por reconocimiento facial
    • Participación insuficiente del DPO en EIPD

  9. AEPD. (2022). “Resolución PS/00047/2022 - Glovoapp23 S.L.”. aepd.es

    • Sanción €550,000 por incumplimientos varios
    • Falta de publicación datos contacto DPO

  10. Consejo General de la Abogacía Española. (2024). “Informe sobre la figura del DPO en España”. abogacia.es

    • 62% pymes optan por DPO externo
    • Coste medio DPO externo por segmentos empresariales

  11. Esquema de Certificación AEPD-DPD. (2023). “Certificación de Delegados de Protección de Datos”. aepd.es

    • Requisitos certificación conforme ISO/IEC 17024
    • Entidades de certificación acreditadas por ENAC

  12. RGPD. (2016). “Artículos 33-34 - Notificación de brechas de datos”. eur-lex.europa.eu

    • Notificación autoridad control en 72 horas
    • Comunicación a afectados sin dilación indebida

Última actualización: 10 Febrero 2026 Categoría: Legal (LEG-005) Nivel técnico: Medio Relevancia forense: ALTA (coordinación DPO-perito en brechas, investigaciones internas, procedimientos AEPD) Marco legal: RGPD artículos 37-39, LOPDGDD artículos 34-37

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp