El Delegado de Protección de Datos: Funciones, Obligaciones y Diferencias con el Responsable y Encargado
Respuesta rápida
El Delegado de Protección de Datos (DPD) es una figura independiente que supervisa el cumplimiento de la normativa de protección de datos sin intervenir en el tratamiento. Actúa como intermediario entre la organización y la Agencia Española de Protección de Datos, siendo obligatorio en entidades públicas, empresas que tratan datos sensibles o a gran escala, y empresas dedicadas a servicios de protección de datos.
Puntos clave
El DPD no trata datos
A diferencia del responsable y encargado, el Delegado de Protección de Datos no interviene en ninguna operación con datos personales. Solo supervisa el cumplimiento normativo.
Intermediario con la AEPD
El DPD actúa como enlace entre la organización y la Agencia Española de Protección de Datos, informando de cualquier incumplimiento detectado.
Independencia funcional
El DPD no debe recibir instrucciones del responsable o encargado sobre cómo realizar su trabajo, garantizando un control efectivo.
Obligatoriedad específica
Es obligatorio en entidades públicas, tratamiento de datos sensibles, tratamiento a gran escala y empresas de protección de datos.
Nombramiento voluntario posible
Cualquier organización puede nombrar un DPD aunque no esté obligada, demostrando compromiso proactivo con la protección de datos.
Paso a paso
Identificar si tu organización está obligada a nombrar un DPD
Decidir si el DPD será interno o externo
Garantizar la independencia del DPD en sus funciones
Establecer los canales de comunicación con la AEPD
Ejemplos resueltos
Problema 1Una panadería pequeña quiere nombrar un Delegado de Protección de Datos aunque no está obligada. ¿Es posible?
Una panadería pequeña quiere nombrar un Delegado de Protección de Datos aunque no está obligada. ¿Es posible?
Solución:
- 1Verificar que la panadería no está en los supuestos de obligatoriedad (no es entidad pública, no trata datos sensibles ni a gran escala)
- 2Confirmar que cualquier organización puede nombrar un DPD voluntariamente
- 3Elegir entre formar a un empleado propio o contratar una empresa especializada en protección de datos
Sí, aunque la panadería no está obligada, puede nombrar voluntariamente un DPD. Puede ser un empleado con conocimientos adecuados o contratar una empresa externa de servicios de protección de datos.
Verificación: El DPD nombrado debe tener conocimientos especializados en protección de datos y la habilitación necesaria
Problema 2¿Una empresa que ofrece servicios de protección de datos a otras empresas necesita tener DPD?
¿Una empresa que ofrece servicios de protección de datos a otras empresas necesita tener DPD?
Solución:
- 1Identificar el tipo de actividad: empresa dedicada a protección de datos
- 2Verificar si trata datos a gran escala (típicamente sí, al gestionar datos de múltiples clientes)
- 3Aplicar el criterio de obligatoriedad del artículo 37 RGPD
Sí, las empresas dedicadas a servicios de protección de datos que tratan datos a gran escala están obligadas a nombrar un Delegado de Protección de Datos.
Verificación: El DPD debe ser independiente y no recibir instrucciones sobre cómo realizar sus funciones de supervisión
El Delegado de Protección de Datos: Funciones, Obligaciones y Diferencias con el Responsable y Encargado
Introducción: Una figura diferente en la protección de datos
Cuando hablamos de protección de datos personales, es habitual confundir las distintas figuras que intervienen en el proceso. El responsable del tratamiento, el encargado del tratamiento y el Delegado de Protección de Datos (DPD) tienen nombres similares, pero sus funciones son completamente diferentes.
Mientras que el responsable y el encargado intervienen directamente en las operaciones con datos personales, el Delegado de Protección de Datos tiene un rol de supervisión que no implica ningún tipo de tratamiento de información personal.
Diferenciación fundamental de roles
El responsable del tratamiento
El responsable del tratamiento es la entidad o persona que determina los fines y medios del tratamiento de datos personales. Es quien decide:
- Para qué se van a utilizar los datos
- Qué datos se van a recoger
- Cómo se van a tratar
- A quién se van a comunicar
El encargado del tratamiento
El encargado del tratamiento es quien ejecuta materialmente las operaciones con datos personales, siempre bajo la autoridad y las instrucciones del responsable. Es quien:
- Recaba los datos
- Los estructura y organiza
- Los almacena
- Los transmite cuando procede
El Delegado de Protección de Datos
El Delegado de Protección de Datos es una figura completamente distinta. El DPD:
- NO trata datos personales
- NO decide la finalidad del tratamiento
- NO recaba, estructura ni transmite información
- Solo supervisa que se cumpla la normativa de protección de datos
Esta distinción es fundamental para entender el papel del DPD en la organización.
Funciones del Delegado de Protección de Datos
Intermediario entre la organización y la AEPD
El DPD actúa como un "enviado" de la Agencia Española de Protección de Datos dentro de la organización. Su función principal es verificar que la entidad cumpla con todo lo establecido en:
- La Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
- El Reglamento General de Protección de Datos (RGPD)
Vigilancia del cumplimiento normativo
El DPD debe estar al tanto de todas las operaciones de tratamiento de datos que realiza la organización para verificar que se ajustan a la normativa vigente. Sus funciones incluyen:
- Informar y asesorar al responsable y al encargado del tratamiento sobre sus obligaciones legales
- Supervisar el cumplimiento de la normativa de protección de datos
- Cooperar con la autoridad de control (AEPD)
- Actuar como punto de contacto con la AEPD
Comunicación de incumplimientos
Cuando el DPD detecta que no se está cumpliendo la normativa de protección de datos, su función es informar a la Agencia Española de Protección de Datos para que esta tome las medidas oportunas.
Cuándo es obligatorio nombrar un DPD
La normativa establece supuestos específicos en los que es obligatorio designar un Delegado de Protección de Datos:
1. Autoridades y organismos públicos
Todas las entidades del sector público deben contar con un DPD, independientemente del tipo de datos que traten o del volumen de tratamiento.
2. Tratamiento de datos sensibles
Las organizaciones que traten categorías especiales de datos (los regulados en los artículos 9 y 10 del RGPD) están obligadas a nombrar un DPD. Estos datos incluyen:
- Datos relativos a la salud
- Datos genéticos y biométricos
- Datos sobre ideología, religión o creencias
- Datos sobre origen étnico o racial
- Datos sobre orientación sexual
- Datos relativos a condenas e infracciones penales
3. Tratamiento a gran escala
Cuando una organización realiza operaciones de tratamiento que afectan a un número considerable de interesados o implican grandes volúmenes de datos, debe designar un DPD.
4. Empresas dedicadas a protección de datos
Las empresas cuya actividad principal consiste en ofrecer servicios de protección de datos a otras organizaciones están obligadas a tener su propio DPD. Esto incluye empresas que ofrecen servicios como:
- Gestión del cumplimiento normativo en páginas web
- Adaptación de políticas de cookies
- Revisión de sistemas de videovigilancia
- Gestión de nóminas y datos de trabajadores en materia de protección de datos
- Auditorías de protección de datos
Características del DPD
Puede ser interno o externo
El Delegado de Protección de Datos puede ser:
- Un empleado de la propia organización que tenga los conocimientos especializados necesarios y la habilitación correspondiente
- Una persona o empresa externa contratada específicamente para desempeñar esta función
En ambos casos, lo fundamental es que el DPD cuente con conocimientos técnicos y jurídicos especializados en materia de protección de datos.
Principio de independencia
Una característica esencial del DPD es su independencia funcional. Esto implica que:
- No recibe instrucciones del responsable o encargado del tratamiento sobre cómo realizar su trabajo de supervisión
- Actúa de forma autónoma en el ejercicio de sus funciones
- Su lealtad es hacia el cumplimiento normativo, no hacia los intereses particulares de la organización
Esta independencia es lógica y necesaria: si el DPD recibiera instrucciones de quienes debe supervisar, no podría garantizar un control efectivo del cumplimiento de la normativa. Es, en cierto sentido, como un auditor interno cuya función es verificar que todo se hace correctamente.
Nombramiento voluntario del DPD
Es importante aclarar un punto que genera confusión: la obligatoriedad no implica prohibición.
Que determinadas entidades estén obligadas a nombrar un DPD no significa que las demás organizaciones no puedan hacerlo. Cualquier entidad puede nombrar voluntariamente un Delegado de Protección de Datos aunque no esté legalmente obligada.
Ejemplo práctico
Una pequeña panadería que esté especialmente preocupada por la protección de datos de sus clientes puede decidir nombrar un DPD. Para ello puede:
- Formar a un empleado propio que adquiera los conocimientos necesarios
- Contratar una empresa especializada que preste el servicio de DPD externo
En la práctica, las pequeñas empresas no suelen nombrarlo al no estar obligadas, pero la posibilidad legal existe y puede demostrar un compromiso proactivo con la protección de datos personales.
Diferencias clave resumidas
| Aspecto | Responsable | Encargado | DPD |
|---|---|---|---|
| ¿Trata datos? | Decide el tratamiento | Ejecuta el tratamiento | NO trata datos |
| ¿Decide finalidad? | Sí | No | No |
| ¿Interviene en operaciones? | Sí | Sí | No |
| Función principal | Determinar fines y medios | Ejecutar tratamiento | Supervisar cumplimiento |
| ¿Recibe instrucciones? | No aplica | Del responsable | De nadie (independencia) |
Conclusión
El Delegado de Protección de Datos es una figura de supervisión y control que garantiza el cumplimiento de la normativa de protección de datos sin intervenir directamente en el tratamiento de información personal.
Su papel como intermediario entre la organización y la AEPD es fundamental para asegurar que los derechos de los titulares de datos sean respetados. La independencia con la que debe operar garantiza que su labor de vigilancia sea efectiva.
Entender claramente la diferencia entre el responsable, el encargado y el DPD es esencial para cualquier profesional que trabaje con datos personales o prepare oposiciones relacionadas con la Administración Pública, donde esta figura es siempre obligatoria.
Errores comunes
Confundir al DPD con el responsable o encargado del tratamiento
Si crees que el DPD decide qué hacer con los datos o los trata directamente, estás confundiendo los roles
Recordar que el DPD NO trata datos ni decide su finalidad. Solo supervisa que se cumpla la normativa
Pensar que solo las entidades obligadas pueden tener DPD
Descartar la figura del DPD en pequeñas empresas por no estar obligadas
Cualquier organización puede nombrar voluntariamente un DPD si lo considera conveniente
Dar instrucciones al DPD sobre cómo realizar su trabajo
El responsable o encargado intenta dirigir las actuaciones de supervisión del DPD
El DPD debe operar con total independencia para garantizar un control efectivo del cumplimiento normativo
Creer que el DPD debe intervenir en el tratamiento de datos
Asignar al DPD tareas de recogida, estructuración o transmisión de datos
El DPD solo vigila que se cumpla la normativa, no participa en ninguna operación de tratamiento
Glosario
- Delegado de Protección de Datos (DPD)
- Figura independiente que supervisa el cumplimiento de la normativa de protección de datos en una organización, actuando como intermediario con la AEPD sin intervenir en el tratamiento de datos.
- Responsable del tratamiento
- Entidad que determina los fines y medios del tratamiento de datos personales, decidiendo qué se hace con los datos.
- Encargado del tratamiento
- Entidad que ejecuta materialmente el tratamiento de datos personales bajo la autoridad del responsable.
- Agencia Española de Protección de Datos (AEPD)
- Autoridad de control independiente encargada de velar por el cumplimiento de la normativa de protección de datos en España.
- Principio de independencia
- Regla que establece que el DPD no debe recibir instrucciones sobre cómo desempeñar sus funciones de supervisión.
- Datos sensibles
- Categorías especiales de datos que requieren mayor protección, como los relativos a salud, ideología, religión u orientación sexual (artículos 9 y 10 RGPD).
- Tratamiento a gran escala
- Operaciones de tratamiento que afectan a un número considerable de interesados o implican grandes volúmenes de datos.
- LOPDGDD
- Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, normativa española que complementa el RGPD.
Preguntas frecuentes
¿El Delegado de Protección de Datos trata datos personales?
No, el DPD no trata datos personales ni decide su finalidad. Su función es exclusivamente supervisar el cumplimiento normativo.
El DPD no interviene en ninguna operación de tratamiento: no recaba, estructura, transmite ni gestiona datos. Su rol es vigilar que la organización cumpla con la LOPDGDD y el RGPD, informando a la AEPD si detecta incumplimientos.
¿Cuál es la diferencia entre el DPD y el responsable del tratamiento?
El responsable decide qué se hace con los datos; el DPD supervisa que se cumpla la normativa sin intervenir en el tratamiento.
Son figuras completamente distintas. El responsable determina los fines y medios del tratamiento, el encargado ejecuta materialmente ese tratamiento, y el DPD únicamente vigila el cumplimiento legal sin participar en ninguna operación con datos.
¿Cuándo es obligatorio nombrar un Delegado de Protección de Datos?
Es obligatorio en entidades públicas, cuando se tratan datos sensibles, datos a gran escala, o en empresas dedicadas a protección de datos.
La normativa establece la obligatoriedad para: autoridades y organismos públicos, organizaciones que traten datos sensibles (artículos 9 y 10 RGPD), empresas que realicen tratamientos a gran escala, y empresas cuya actividad principal sea ofrecer servicios de protección de datos.
¿Puede una pequeña empresa nombrar un DPD aunque no esté obligada?
Sí, cualquier organización puede nombrar voluntariamente un DPD aunque no tenga obligación legal.
La obligatoriedad no implica prohibición. Una panadería pequeña, por ejemplo, puede nombrar un DPD si está especialmente preocupada por la protección de datos. Puede ser un empleado propio con conocimientos adecuados o contratar una empresa especializada.
¿El DPD puede ser un empleado de la empresa o debe ser externo?
Puede ser tanto un empleado interno con conocimientos especializados como una persona o empresa externa contratada.
La normativa permite ambas opciones. Lo importante es que tenga los conocimientos y habilitación necesarios en protección de datos, y que pueda ejercer sus funciones con independencia.
¿Qué significa que el DPD actúa con independencia?
Significa que no debe recibir instrucciones del responsable o encargado sobre cómo desempeñar sus funciones de supervisión.
El principio de independencia garantiza que el DPD pueda realizar un control efectivo del cumplimiento normativo. Al ser un 'enviado' de la AEPD dentro de la organización, no puede estar condicionado por las instrucciones de quienes supervisa.
¿Qué hace el DPD si detecta un incumplimiento?
Informa a la Agencia Española de Protección de Datos sobre el incumplimiento detectado.
El DPD actúa como intermediario entre la organización y la AEPD. Su función es vigilar el cumplimiento y, cuando detecta irregularidades, dar parte a la autoridad de control para que tome las medidas oportunas.
¿Por qué el nombre 'delegado de protección de datos' puede generar confusión?
Porque el término 'delegado' sugiere intervención en el tratamiento, cuando en realidad solo supervisa el cumplimiento normativo.
La similitud terminológica con 'responsable del tratamiento' y 'encargado del tratamiento' puede hacer pensar que el DPD también participa en operaciones con datos. Sin embargo, su función es completamente diferente: solo vigila que se cumpla la ley.
Artículos relacionados
Impuesto sobre Sociedades: Pagos fraccionados, contribuyentes y valoración patrimonial
Guía práctica sobre los aspectos más preguntados del Impuesto sobre Sociedades en oposiciones: pagos fraccionados, contribuyentes y valoración de elementos patrimoniales.
Preguntas de examen sobre recursos y reclamaciones tributarias
Resolución de preguntas tipo test sobre procedimientos de revisión tributaria: recurso de reposición, nulidad de pleno derecho y legitimación en embargos.
Procedimiento de apremio y embargo en la recaudación tributaria
Guía sobre el procedimiento de apremio: desde la providencia de apremio hasta el embargo y enajenación de bienes para cobrar deudas tributarias.
Extinción de la Deuda Tributaria: Prescripción, Compensación y Otras Causas
Análisis de los métodos legales de extinción de la deuda tributaria distintos al pago: prescripción, compensación, deducción sobre transferencias y condonación.
Pruebas de detección de alcohol y drogas en la conducción: Real Decreto Legislativo 6/2015
Marco legal y procedimiento de las pruebas de detección de alcohol y drogas en conductores según el Real Decreto Legislativo 6/2015, artículo 14.
Procedimientos declarativos en la Ley de Enjuiciamiento Civil: tipología y finalidades
Clasificación y finalidades de los procedimientos declarativos en la LEC: declarativos puros, sentencias constitutivas y de condena.
¿Quieres aprender más sobre este tema?
Este contenido es parte del curso Auxiliar Administrativo del Estado de Oposiciones Ucademy. Contacta con nosotros para más información o descarga este artículo en PDF.