Reducción por reserva de capitalización
MARÍA ROLDÁN LLAMAS
María Roldán Llamas
Letrada Asociada Senior

¿Debe mi empresa nombrar un delegado de protección de datos (DPO)?

← Volver al blog
5/5 - (2 votos)
Devesa Abogados > Blog
MARÍA ROLDÁN LLAMAS
María Roldán Llamas
Letrada Asociada Senior

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, una de las cuestiones que más dudas ha generado en el ámbito empresarial es la obligación de nombrar un delegado de protección de datos (DPO).

No todas las empresas están obligadas a contar con esta figura, pero el propio RGPD utiliza conceptos jurídicos indeterminados —como gran escala o seguimiento regular y sistemático— que dificultan una interpretación clara y uniforme, incrementando la inseguridad jurídica para organizaciones privadas.

¿Cuándo es obligatorio nombrar un delegado de protección de datos?

El artículo 37 del RGPD, junto con su Considerando 97, establece que será obligatorio designar un delegado de protección de datos en los siguientes supuestos:

  • Cuando el tratamiento de datos lo lleve a cabo una autoridad u organismo público, con excepción de los tribunales en el ejercicio de su función judicial.
  • Cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos (art. 9 RGPD) o de datos relativos a condenas e infracciones penales (art. 10 RGPD).

¿En qué supuestos debe una empresa nombrar un delegado de protección de datos?

Debe partirse de dos premisas fundamentales:

  1. Cualquier empresa puede nombrar voluntariamente un delegado de protección de datos, quedando sujeta a todo el régimen jurídico aplicable.
  2. Las entidades públicas, con las excepciones legales, están obligadas a hacerlo.

La clave, por tanto, reside en interpretar correctamente los conceptos de:

  • Actividad principal
  • Gran escala
  • Seguimiento regular y sistemático

Qué se entiende por “actividad principal”

Se considera actividad principal aquella en la que el tratamiento de datos personales constituye una parte esencial e indisociable del negocio.

Ejemplos claros:

  • Hospitales: tratamiento de datos sanitarios de pacientes.
  • Empresas de seguridad privada: vigilancia sistemática mediante CCTV.

No se consideran actividades principales los tratamientos auxiliares o de soporte, como nóminas, contabilidad o sistemas internos.

Qué se considera tratamiento “a gran escala”

Conforme al Considerando 91 del RGPD y a los criterios del Grupo de Trabajo del Artículo 29, se trata de tratamientos que afectan a:

  • Un número elevado de interesados.
  • Grandes volúmenes de datos.
  • Tratamientos prolongados en el tiempo.
  • Amplio alcance geográfico.
  • Riesgo elevado para los derechos de los afectados.

No se considera gran escala, por ejemplo, el tratamiento de datos realizado por un médico o un abogado de forma individual.

Seguimiento regular y sistemático: alcance y ejemplos

El RGPD entiende por seguimiento regular y sistemático aquel que es:

  • Regular: continuo, periódico o recurrente.
  • Sistemático: organizado, planificado o integrado en una estrategia empresarial.

Ejemplos habituales:

  • Publicidad basada en el comportamiento.
  • Geolocalización mediante aplicaciones móviles.
  • Programas de fidelización.
  • Videovigilancia a gran escala.
  • Dispositivos conectados y análisis de datos de comportamiento.

Sectores obligados según la normativa española

La normativa nacional identifica expresamente sectores en los que, con carácter general, existe obligación de designar un delegado de protección de datos, entre otros:

  • Entidades financieras y aseguradoras.
  • Centros sanitarios.
  • Empresas de telecomunicaciones.
  • Prestadores de servicios de la sociedad de la información.
  • Empresas de seguridad privada.
  • Centros docentes.
  • Operadores de juego online.
  • Empresas de publicidad y prospección comercial.

Comunicación a la AEPD

Cuando exista obligación —o designación voluntaria— el nombramiento, cese o sustitución del delegado de protección de datos deberá comunicarse a la Agencia Española de Protección de Datos en un plazo máximo de diez días, quedando inscrito en un registro público accesible electrónicamente.

Conclusión

Mientras la interpretación del RGPD continúa consolidándose a través de criterios administrativos y resoluciones sancionadoras, la obligación de nombrar un delegado de protección de datos sigue generando incertidumbre en muchas empresas.

En escenarios dudosos, el principio de privacidad desde el diseño y por defecto, unido a un criterio de prudencia empresarial, aconseja valorar seriamente su designación o, al menos, consultar previamente al órgano de control para evitar contingencias futuras.

¿Necesita asesoramiento? Acceda a nuestra área relacionada con la protección de datos:

Protección de Datos

5/5 - (2 votos)

Artículos relacionados

Fiscal
libertad-de-amortización

Libertad de amortización en inversiones de energías renovables: Real Decreto-Ley 16/2025, de 23 de diciembre

Derecho societario, mercantil
seguridad-jurídica-para-los-pactos-de-socios

Sentencia del Tribunal Supremo 1713/2025, de 26 de noviembre de 2025: seguridad jurídica para los pactos de socios en el acuerdo de mayorías cualificadas

Derecho societario, mercantil
proteccion-de-datos-pymes

Protección de datos en la relación laboral: guía práctica para pymes

Derecho laboral
novedades-laborales-2026

¿Qué novedades laborales deben revisar las empresas en 2026?

Contacta / Contact us