Saltar al contenido principal
Guía sobre el RGPD

Funciones del delegado de protección de datos según el RGPD: la guía operativa completa

Actualizado 2026-06-23
Puntos clave: Priverion es una plataforma GRC alojada en Suiza que ayuda a los DPD a gestionar las siete funciones del artículo 39 del RGPD en organizaciones multientidad.

Le han nombrado DPD, o está a punto de contratar a uno. En cualquier caso, el RGPD define funciones específicas del delegado de protección de datos que conllevan un riesgo real de sanción. Esta guía desglosa cada obligación, muestra cómo se traduce en la práctica un trabajo «bien hecho» y le ofrece una lista de verificación descargable para hacer un seguimiento de todo.

Descargue la lista de verificación gratuita de funciones del DPD

Con la confianza de más de 150 equipos de privacidad que gestionan el cumplimiento en múltiples jurisdicciones

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Las 7 funciones esenciales

Las 7 funciones esenciales de un delegado de protección de datos según el RGPD

El artículo 39 define las tareas del DPD en unos pocos párrafos concisos. La realidad operativa que hay detrás de cada una es de todo menos concisa, especialmente cuando se gestiona el cumplimiento en múltiples entidades y jurisdicciones.

Artículo 39(1)(a)

Informar y asesorar a la organización

El DPD debe formar de forma proactiva al responsable del tratamiento, al encargado del tratamiento y a todos los empleados que traten datos personales. No se trata de una presentación única de incorporación: implica una orientación continua y específica para cada función. Los equipos de marketing necesitan un asesoramiento distinto del de RR. HH. En las organizaciones multientidad, esto significa formación localizada por jurisdicción, por unidad de negocio, actualizada de forma continua a medida que evolucionan las normativas.

47 % menos de riesgo de brecha

Organizaciones con programas de formación en privacidad estructurados y periódicos, datos de referencia del sector

Artículo 39(1)(b)

Supervisar el cumplimiento del RGPD y de las políticas internas

Auditoría y supervisión activas, no una mera titularidad pasiva de las políticas. El DPD debe verificar que la organización hace realmente lo que sus políticas prometen. Esto incluye la exactitud del ROPA, las tasas de finalización de EIPD, la validez de los mecanismos de consentimiento y el cumplimiento de los proveedores. Para un grupo con 15 entidades, esto implica hacer un seguimiento de cientos de actividades de tratamiento, cada una con su propia base jurídica, plazo de conservación y mapa de flujos de datos.

100 % de recertificación del ROPA

Una aseguradora suiza logró una recertificación totalmente automatizada en todas las entidades con Priverion

Artículo 39(1)(c) + Artículo 35

Asesorar sobre las evaluaciones de impacto relativas a la protección de datos

El DPD no se limita a «revisar» las EIPD: debe asegurarse de que las EIPD se activen en primer lugar, de que las unidades de negocio sepan cuándo iniciarlas y de que se lleven a cabo evaluaciones de impacto de transferencias para los flujos de datos transfronterizos. La brecha entre «deberíamos haber hecho una EIPD» y «la hicimos» es donde comienzan las acciones de sanción.

Más de 200 horas ahorradas

Una empresa de tecnología médica ahorró más de 200 horas en la preparación de la ISO 27001, incluida la documentación de las EIPD

Artículo 39(1)(d)

Cooperar con la autoridad de control

El DPD es el punto de contacto designado para su autoridad de protección de datos. En configuraciones multijurisdiccionales, esto implica saber cuál es la autoridad de control principal, mantener la documentación lista para inspección en todo momento y poder elaborar paquetes de pruebas listos para auditoría bajo demanda, y no tras dos semanas rebuscando en unidades compartidas.

Minutos, no semanas

Priverion genera bajo demanda paquetes de pruebas listos para auditoría destinados a las autoridades de control

Artículo 38(4)

Punto de contacto para los interesados

Los interesados pueden ponerse en contacto con el DPD en relación con cualquier cuestión relativa al tratamiento de sus datos personales o al ejercicio de sus derechos. En la práctica, esto implica gestionar la recepción de solicitudes de los interesados en todas las entidades, hacer un seguimiento del plazo de respuesta de 30 días de cada solicitud, garantizar una gestión coherente con independencia de la filial que la haya recibido y mantener una pista de auditoría clara de cada acción realizada.

Plazo de 30 días, siempre

Artículo 12(3) del RGPD, plazo de respuesta a las solicitudes de los interesados aplicable por solicitud y por entidad

Artículo 30

Mantener el registro de actividades de tratamiento

Aunque el artículo 30 impone la obligación legal al responsable del tratamiento, el DPD es responsable a nivel operativo de garantizar que los registros de tratamientos sean completos, exactos y actuales. Un registro de tratamientos no es una hoja de cálculo que se rellena una sola vez: es un inventario vivo que debe recertificarse con regularidad. Para las organizaciones con más de 500 actividades de tratamiento repartidas entre varias filiales, la gestión manual del ROPA es el mayor sumidero de tiempo de la semana del DPD.

60 % menos de tiempo administrativo

Un fabricante de aeronaves redujo el tiempo administrativo de cumplimiento un 60 % en los primeros 6 meses con Priverion

Artículos 33 + 34

Gestionar la notificación de brechas y la respuesta a incidentes

Cuando se produce una brecha de datos personales, el DPD desempeña un papel central en la evaluación de la gravedad, el asesoramiento sobre la obligación de notificación en un plazo de 72 horas a la autoridad de control y la determinación de si debe informarse a los interesados afectados. En un grupo multientidad, esto implica coordinar la respuesta a incidentes entre jurisdicciones, garantizar que la brecha de cada entidad se evalúe frente a los umbrales locales y mantener un registro defendible de cada decisión adoptada: por qué notificó, por qué no lo hizo y qué medidas correctoras se tomaron.

Ventana de notificación de 72 horas

Artículo 33(1) del RGPD, plazo de notificación de brechas a la autoridad de control desde el momento en que se tiene conocimiento

200+

Horas ahorradas en la gestión del ROPA

Una empresa de tecnología médica recuperó más de 200 horas durante la preparación de la ISO 27001 al automatizar los flujos de trabajo del ROPA, tiempo que antes se invertía en perseguir a las unidades de negocio entre entidades.

60%

Menor coste frente a las plataformas empresariales tradicionales

Basado en comparativas de precios publicadas para organizaciones del mercado medio con entre 5 y 50 entidades. Sin tarifas por usuario ni trampas de expansión por módulo: costes predecibles desde el primer día.

3 meses

De adelanto en la certificación ISO 27001

Una empresa de tecnología médica adelantó tres meses su calendario de ISO 27001 utilizando los paquetes de pruebas listos para auditoría y los flujos de documentación automatizada de Priverion.

Priverion frente a OneTrust

Gestión de la privacidad de nivel empresarial sin el dolor de cabeza empresarial

Las organizaciones del mercado medio con estructuras de grupo complejas necesitan una plataforma diseñada para su forma real de trabajar, no una versión reducida de una herramienta pensada para los ciclos de compra de las empresas del Fortune 500.

La experiencia con OneTrust

Precios por usuario y por módulo

Los costes se disparan a medida que incorpora filiales. Añadir cinco unidades de negocio implica renegociar su contrato, y su presupuesto.

Con sede y alojamiento en EE. UU.

En un panorama posterior a Schrems II, el alojamiento en EE. UU. genera un riesgo de transferencia, justo lo que se supone que debe gestionar su programa de privacidad.

Diseñado para compradores del Fortune 500

Cientos de funciones que nunca configurará. Plazos de implementación que se miden en trimestres, no en semanas. Necesita un consultor para usar la herramienta que compró para evitar necesitar consultores.

Más de 200 integraciones superficiales

Una larga lista de conectores que queda muy bien en una respuesta a un RFP, pero que genera una sobrecarga de mantenimiento sin una automatización de los flujos de trabajo realmente significativa.

Consentimiento de cookies incluido

Paga por módulos como el consentimiento de cookies y ESG que no tienen nada que ver con la gestión del programa de privacidad, porque la plataforma se diseñó para servir a todo el mundo en todo.

Descarga gratuita

La lista de verificación de funciones del DPD

Todas las obligaciones de esta guía, condensadas en una lista de verificación práctica y accionable. Úsela para incorporar a un nuevo DPD, auditar su programa actual o prepararse para las inspecciones de las autoridades de control.

Qué incluye:

  • Las 7 funciones del DPD con referencias a los artículos del RGPD
  • Tareas operativas de cada función: cómo es realmente un trabajo «terminado»
  • Cadencias de recertificación para el ROPA, las EIPD y las evaluaciones de proveedores
  • Árbol de decisión de notificación de brechas con el plazo de 72 horas
  • Lista de verificación de coordinación multientidad para DPD de grupo
  • Cuadro de mando de preparación frente a las autoridades de control

Sin spam. Le enviaremos la lista de verificación y nada más, salvo que opte por suscribirse. Sus datos permanecen en Suiza.

De equipos de privacidad como el suyo

Cómo gestionan los DPD sus funciones a gran escala

No son testimonios sobre software. Son historias de DPD que recuperan su tiempo, reducen el riesgo y dirigen programas de privacidad que resisten el escrutinio.

«Pasamos de dedicar la mayor parte de nuestro tiempo administrativo de cumplimiento a perseguir a las unidades de negocio para actualizar el ROPA a una recertificación totalmente automatizada. La diferencia no es solo la eficiencia: es la confianza de que nuestros registros están siempre actualizados cuando llama a la puerta la autoridad de control.»

Equipo de privacidad

Fabricante de aeronaves, reducción del 60 % del tiempo administrativo de cumplimiento en los primeros 6 meses

«La preparación de la ISO 27001 solía suponer semanas reuniendo documentación de varios sistemas. Con Priverion, generamos paquetes de pruebas listos para auditoría en cuestión de minutos. Nos certificamos tres meses antes de lo previsto.»

Equipo de cumplimiento

Empresa de tecnología médica, más de 200 horas ahorradas, 3 meses de adelanto en el calendario de la ISO 27001

«Gestionar las evaluaciones de riesgo de proveedores en varios centros asistenciales era nuestro mayor punto ciego. Ahora tenemos una cobertura del 100 %: cada proveedor evaluado, cada contrato controlado, cada riesgo puntuado. Nuestro consejo por fin tiene la visibilidad que necesita.»

Equipo de protección de datos

Proveedor sanitario, cobertura del 100 % en la evaluación de riesgo de proveedores

«Como DPD de varias entidades, necesitaba visibilidad permanente del estado de cumplimiento de todo el grupo. Priverion me ofrece un único panel que muestra exactamente dónde estamos, y dónde tenemos que actuar, sin iniciar sesión en cinco sistemas diferentes.»

DPD

Deje de gestionar la privacidad en hojas de cálculo. Empiece a gestionarla como un programa.

Un fabricante de aeronaves redujo el tiempo administrativo de cumplimiento un 60 % en seis meses. Una aseguradora suiza logró una recertificación del ROPA 100 % automatizada. Una empresa de tecnología médica ahorró más de 200 horas en la preparación de la ISO 27001.

En 30 minutos, le mostraremos exactamente cómo funciona la gestión de la privacidad a escala de grupo cuando está diseñada para organizaciones multientidad: con IA que asiste sus decisiones, soberanía de datos suiza que puede verificar y un precio que no le penaliza por crecer.

Reserve una demostración guiada de 30 minutos

Sin argumentos de venta. Sin presiones. Solo una visión en vivo de la plataforma con su caso de uso.

Alojado en Suiza

Soberanía de datos total

Semanas, no meses

Operativo rápidamente

Precios predecibles

Sin trampas por usuario

Acerca de esta página: referencias, definiciones y preguntas frecuentes

Puntos clave

Un delegado de protección de datos (DPD) según el RGPD tiene siete funciones definidas legalmente que abarcan tareas de asesoramiento, supervisión y enlace. En las organizaciones multientidad, estas tareas crecen en complejidad, ya que requieren una gestión centralizada del ROPA, flujos de trabajo de EIPD armonizados, una gestión coordinada de las solicitudes de los interesados y una respuesta unificada ante brechas en todas las filiales y jurisdicciones. La plataforma alojada en Suiza de Priverion está diseñada específicamente para operativizar las siete funciones del DPD a escala de grupo.

Definiciones

¿Qué es un delegado de protección de datos (DPD)?

El delegado de protección de datos (DPD) es una función designada formalmente y definida en los artículos 37 a 39 del RGPD. El DPD supervisa de forma independiente la estrategia de protección de datos y el cumplimiento de una organización, rinde cuentas directamente al máximo nivel directivo y actúa como principal punto de contacto para las autoridades de control y los interesados.

¿Qué es un registro de actividades de tratamiento (ROPA)?

Un registro de actividades de tratamiento (ROPA) es un registro obligatorio en virtud del artículo 30 del RGPD que documenta cada actividad de tratamiento, su base jurídica, las categorías de datos, los destinatarios, los plazos de conservación y los mecanismos de transferencia transfronteriza. El DPD es responsable a nivel operativo de garantizar que los registros de tratamientos se mantengan completos y actualizados.

¿Qué es una evaluación de impacto relativa a la protección de datos (EIPD)?

Una evaluación de impacto relativa a la protección de datos (EIPD) es una evaluación de riesgos exigida por el artículo 35 del RGPD antes de un tratamiento que pueda entrañar un alto riesgo para los derechos y libertades de las personas. El DPD asesora sobre si se necesita una EIPD, la metodología que debe seguirse y las garantías que deben aplicarse.

¿Qué es una evaluación de impacto de transferencias (TIA)?

Una evaluación de impacto de transferencias (TIA) evalúa si el marco jurídico de un tercer país ofrece una protección adecuada para los datos personales transferidos fuera del EEE. Las Recomendaciones 01/2020 del CEPD exigen las TIA como complemento de las cláusulas contractuales tipo tras la sentencia Schrems II.

Preguntas frecuentes

¿Cuáles son las funciones esenciales de un delegado de protección de datos según el RGPD?

El artículo 39 del RGPD define siete funciones esenciales del DPD: (1) informar y asesorar a la organización y a sus empleados, (2) supervisar el cumplimiento del RGPD y de las políticas internas, (3) asesorar sobre las evaluaciones de impacto relativas a la protección de datos en virtud del artículo 35, (4) cooperar con la autoridad de control, (5) actuar como punto de contacto para los interesados, (6) mantener el registro de actividades de tratamiento en virtud del artículo 30, y (7) gestionar la notificación de brechas y la respuesta a incidentes en virtud de los artículos 33 y 34.

¿Cuándo es obligatorio nombrar a un DPD según el RGPD?

En virtud del artículo 37 del RGPD, el nombramiento de un DPD es obligatorio cuando: (a) el tratamiento lo lleva a cabo una autoridad u organismo público, (b) las actividades principales requieren una observación habitual y sistemática de los interesados a gran escala, o (c) las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales. Las Directrices del CEPD sobre los DPD (WP 243 rev.01) ofrecen una interpretación más detallada de estos criterios.

¿Cuál es la diferencia entre un DPD y un responsable de privacidad?

Un DPD desempeña una función definida legalmente en los artículos 37 a 39 del RGPD con independencia estatutaria: no puede ser destituido ni sancionado por desempeñar sus tareas (artículo 38(3)). Un responsable de privacidad es una función operativa que carece de las mismas protecciones legales, obligaciones de rendición de cuentas o acceso directo al máximo nivel directivo que el RGPD exige para los DPD.

¿Cómo gestiona un DPD el cumplimiento en múltiples entidades?

La gestión del DPD en entornos multientidad requiere un seguimiento centralizado del ROPA, flujos de trabajo de EIPD armonizados por jurisdicción, una gestión coordinada de las solicitudes de los interesados con plazos de 30 días por entidad (artículo 12(3)) y procedimientos unificados de notificación de brechas. En virtud del artículo 37(2), un grupo empresarial puede designar a un único DPD siempre que sea fácilmente accesible desde cada establecimiento.

¿Cuál es la obligación de notificación de brechas de 72 horas para un DPD?

En virtud del artículo 33(1) del RGPD, el responsable del tratamiento debe notificar a la autoridad de control competente en un plazo de 72 horas desde que tenga conocimiento de una brecha de datos personales, a menos que sea improbable que la brecha entrañe un riesgo para los derechos y libertades de las personas. El DPD asesora sobre la evaluación de la gravedad, coordina la notificación y garantiza que se mantenga un registro defendible de cada decisión.

¿Puede el DPD ser un consultor externo?

Sí. El artículo 37(6) del RGPD permite expresamente que la función del DPD la desempeñe un proveedor de servicios externo sobre la base de un contrato de servicios. El DPD externo debe cumplir los mismos requisitos de cualificación profesional e independencia que un DPD interno.

¿Qué cualificaciones necesita un DPD según el RGPD?

El artículo 37(5) del RGPD exige que el DPD se designe atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. Las Directrices del CEPD sobre los DPD aclaran que el nivel de conocimientos especializados debe ser proporcional a la sensibilidad, la complejidad y el volumen de los datos que trata la organización.

¿Qué ocurre si una organización no nombra a un DPD obligatorio?

No nombrar a un DPD cuando es obligatorio constituye una infracción del artículo 37 del RGPD y puede dar lugar a multas administrativas de hasta 10 millones de euros o el 2 % del volumen de negocios anual global en virtud del artículo 83(4)(a). Varias autoridades de control de todo el EEE han impuesto multas específicamente por no nombrar a un DPD.

Estadísticas y datos del sector

Según el Informe Anual de Gobernanza de la Privacidad de IAPP-EY (2023), el 73 % de las organizaciones encuestadas ha nombrado a un DPD, y el DPD medio supervisa el cumplimiento en 4,9 entidades jurídicas. El mismo informe constató que el 62 % de los DPD citan la gestión del ROPA como su tarea más absorbente en tiempo. El Informe Anual 2023 del CEPD registró más de 2.100 casos transfronterizos tramitados a través del mecanismo de ventanilla única, lo que pone de relieve la complejidad multijurisdiccional a la que se enfrentan los DPD. Según los datos del GDPR Enforcement Tracker, las multas acumuladas del RGPD superaron los 4.500 millones de euros a finales de 2024, y los incumplimientos de la responsabilidad proactiva de la organización (incluidas las obligaciones relacionadas con el DPD) representan una parte significativa de las acciones de sanción.

Comparativa de funciones del DPD: DPD interno frente a externo

CriterioDPD internoDPD externo
Base jurídicaArt. 37(6) del RGPD: empleado del responsable/encargado del tratamientoArt. 37(6) del RGPD: contrato de servicios
IndependenciaArt. 38(3): no puede ser destituido por desempeñar las tareas del DPDSe requiere una cláusula contractual de independencia
Conocimiento de la organizaciónProfundo conocimiento institucional; integrado en las operaciones diariasMayor experiencia intersectorial; puede atender a varios clientes
Riesgo de conflicto de interesesMayor: no debe ocupar funciones que determinen los fines/medios del tratamientoMenor: sin función operativa en la organización
Estructura de costesSalario fijo + prestaciones; escala con la antigüedadTarifa variable; a menudo más rentable para las organizaciones del mercado medio
DisponibilidadA tiempo completo o parcial; dedicado a una organizaciónCompartido entre clientes; tiempos de respuesta regidos por un SLA
Idoneidad para entornos multientidadEl art. 37(2) permite un único DPD para un grupo empresarialSe aplica la misma disposición; el DPD externo debe ser accesible desde cada establecimiento