¿Delegado de Protección de Datos interno o externo?

La normativa obligada a determinadas empresas a designar un Delegado de Protección de Datos (DPD). A la hora de realizar esta designación, las organizaciones pueden optar por contratar un DPD interno o externalizar dicha función en un prestador de servicios. Cada una de estas opciones conlleva consecuencias jurídicas de gran relevancia.

El Reglamento General de Protección de Datos (RGPD) ha supuesto una auténtica revolución en la legislación corporativa, trayendo consigo un marco jurídico muy exigente con las organizaciones que tratan datos personales. Dado que cualquier empresa maneja datos relativos a clientes, trabajadores, proveedores o todos ellos, el impacto del RGPD en todos los sectores de la economía ha resultado tremendamente importante.

En este blog, analizaremos la figura del Delegado de Protección de Datos. Un elemento introducido por el RGPD como obligación para muchísimas organizaciones, y que juega un papel fundamental en el sistema de protección de datos de cualquier entidad.

¿Qué es un DPD y cuándo es obligatoria su designación?

La normativa no define formalmente la figura de DPD, pero de las funciones que le asigna podemos concluir, en resumen, que se trata de un asesor especialista en protección de datos, cuya finalidad es la de asistir a la organización en el cumplimiento de sus obligaciones de privacidad.

El RGPD establece que deberán contar con un DPD:


  • Todas las autoridades públicas (salvo tribunales).

  • Todas las entidades que traten datos personales a gran escala y las entidades que traten datos de categoría especial (como datos sanitarios, genéticos o sobre infracciones penales).

 Asimismo, la ley española de protección de datos establece una lista de entidades que deben designar necesariamente un DPD, listado que incluye:


  • Centros sanitarios.

  • Entidades financieras.

  • Centros educativos.

  • Empresas de marketing, entre otros.

De cualquier modo, dicha lista no es exhaustiva, y puede haber situaciones en las que, a tenor de las actividades realizadas por la organización, la designación de un DPD será necesaria incluso cuando no esté explícitamente recogida en la ley.

¿Debería mi empresa contratar un DPD interno en plantilla o externalizar sus funciones?

La norma ofrece la posibilidad de nombrar un DPD interno, como un empleado más de la organización, o un DPD externo, como una asesoría jurídica ajena a la estructura de la empresa. Sin embargo, todo DPD debe cumplir una serie de requisitos que pueden dificultar su encaje en la plantilla de la entidad.

En primer lugar, si se opta por nombrar un DPD interno, éste siempre deberá ser una persona física concreta, sin perjuicio de que esa persona cuente con un departamento que le apoye en sus labores. Este punto es importante porque, de hecho, la normativa exige que la empresa dote a su DPD de todos los recursos humanos, materiales y financieros necesarios para desarrollar sus funciones.

En segundo lugar, el DPD debe contar con profundos conocimientos jurídicos sobre protección de datos en concreto, algo que el RGPD destaca expresamente. En este sentido, las autoridades de protección ya han sancionado a organizaciones por designar un DPD que, incluso contando con conocimientos de derecho o informática, carecía de una experiencia de al menos tres años en el campo de la privacidad.

En tercer término, y este es el punto más problemático, el DPD debe actuar con plena independencia en sus labores, sin intromisiones por parte de otros departamentos o de la dirección de la entidad que puedan condicionar sus decisiones. Esto implica, por un lado, que el puesto de DPD difícilmente podrá ser desarrollado por alguien que tiene otras responsabilidades dentro de la empresa; y, por otro, que el DPD debe quedar protegido ante posibles represalias que pueda tomar la empresa en caso de no estar conforme con su opinión. Así pues, el RGPD señala claramente que el DPD únicamente podrá ser destituido si incumple gravemente sus funciones o se muestra notoriamente incapaz de llevarlas a cabo. Es más, los tribunales españoles han llegado a declarar que el DPD interno tendrá las mismas garantías que los representantes de los trabajadores; es decir, que en caso de despido improcedente será él quien escoja entre ser indemnizado o ser readmitido, y tendrá derecho a salarios de tramitación.

Puedes consultar la sentencia del Tribunal Superior de Justicia de Madrid aquí.

Por el contrario, un DPD externalizado tendrá más facilidad para garantizar unos conocimientos y experiencia acorde a la naturaleza del encargo, y puede aportar sus propios recursos ejecutar las funciones asignadas. Dado que el puesto no sería ocupado por empleados de la empresa, no generarán problemas de compatibilidad o conflicto de intereses. Asimismo, y pese a que estará sujeto a los mismos requisitos de independencia frente a la organización, su vinculación con ésta dependerá exclusivamente del contrato suscrito entre ambas partes.

En definitiva, la empresa debe:


  • Analizar su situación y determinar si está expresamente obligada a contar con un DPD.

  • En caso negativo, determinar si sus actividades hacen recomendable contar con un DPD.

  • Determinar si para su situación particular es más conveniente designar un DPD interno o uno externo.

  • En caso de nombrar un DPD interno, asegurarse de que cuenta con el perfil adecuado y se le facilitan todos los recursos necesarios para realizar las tareas que le reserva la normativa.

  • Si en algún momento se desea sustituir al DPD interno, deberá comprobarse con sumo cuidado si se cumplen todas las condiciones legales para su destitución.

Desde Caberseg Contamos con un grupo de expertos que pueden llevar a cabo todas las funciones de Delegado de Protección de Datos de tu entidad, mediante un servicio de calidad que cubrirá con solvencia tus necesidades.

Contacta con Caberseg y te informamos de todo