Incompatibilidades del Delegado de Protección de Datos: conflicto de intereses y criterios recientes

    La figura del Delegado de Protección de Datos debe actuar con independencia, objetividad y ausencia de conflicto de intereses. Aunque el RGPD permite que el DPO desempeñe otras funciones dentro de la organización, esa compatibilidad tiene un límite claro: no puede participar en decisiones que afecten a los fines y medios del tratamiento de datos personales..

    Esta cuestión ha sido analizada recientemente por la Audiencia Nacional en una sentencia de 18 de marzo de 2026, relativa al nombramiento del secretario de un colegio profesional como Delegado de Protección de Datos. En el caso analizado, la AEPD había apreciado conflicto de intereses y sancionó con 5.000 euros por infracción del artículo 38.6 del RGPD

    ¿Qué dice el artículo 38.6 del RGPD?

    El artículo 38.6 del RGPD permite que el Delegado de Protección de Datos desempeñe otras funciones y cometidos dentro de la organización, pero exige que esas funciones no den lugar a un conflicto de intereses.

    Por tanto, el problema no está en que el DPO tenga otras responsabilidades, sino en que esas responsabilidades puedan afectar a su independencia.

    En términos prácticos, existe riesgo de incompatibilidad cuando la persona designada como DPO participa en decisiones sobre:

    • qué datos personales se tratan; 

    • con qué finalidad se tratan; 

    • qué medios se utilizan; 

    • cómo se gestionan derechos, expedientes o servicios; 

    • qué criterios internos se aplican al tratamiento de datos. 

    La sentencia de la Audiencia Nacional sobre incompatibilidad del DPO

    En la sentencia analizada, la Audiencia Nacional examina el caso de un secretario de un colegio profesional que había sido designado como Delegado de Protección de Datos.

    El tribunal destaca que dicho secretario tenía funciones estatutarias con impacto directo en el tratamiento de datos personales, entre ellas:

    • participación en la admisión de nuevos colegiados;
    • gestión de altas y bajas colegiales;
    • intervención en expedientes disciplinarios;
    • administración de fondos;
    • organización de servicios del colegio;
    • llevanza de libros y registros colegiales.

    La sentencia subraya que estas funciones implicaban participar en acuerdos sobre la determinación de los fines y medios del tratamiento de datos de colegiados y usuarios de los servicios del colegio profesional. 

    ¿Por qué existía conflicto de intereses?

    El criterio central de la Audiencia Nacional es claro: quien debe supervisar el cumplimiento de la normativa de protección de datos no puede, al mismo tiempo, participar en la toma de decisiones sobre los fines y medios del tratamiento.

    Si el DPO interviene en la decisión de cómo se tratan los datos personales, después no puede supervisar de forma plenamente objetiva esas mismas decisiones.

    Por eso, la sentencia concluye que, cuando la persona designada como DPO participa en la toma de decisiones relevantes sobre tratamientos de datos, no se cumple adecuadamente la obligación de designar un Delegado de Protección de Datos que reúna los requisitos exigidos por el Reglamento. 

    Cargos internos que pueden generar incompatibilidad

    No todos los cargos internos son automáticamente incompatibles con el cargo de DPO. Sin embargo, deben analizarse con especial cuidado aquellos puestos que intervienen en la dirección, gestión o decisión sobre tratamientos de datos.

    Algunos puestos laborales incompatibles podrían ser:

    Director general o ejecutivo (CEO): Este puesto de alto nivel podría generar conflictos de interés debido a su responsabilidad general sobre la empresa y su participación en la toma de decisiones estratégicas.

    Director de operaciones: (COO por sus siglas en inglés, Chief Operating Officer) es responsable de supervisar y gestionar las operaciones diarias de la empresa. Sus funciones incluyen garantizar la eficiencia operativa, la calidad del producto o servicio, la optimización de procesos, la gestión de la cadena de suministro y la mejora continua. Trabaja en estrecha colaboración con otros departamentos, como producción, logística, recursos humanos y tecnología de la información, para garantizar que todas las áreas operativas funcionen de manera coordinada y eficaz. Sus labores implican conflicto de interés en la toma de decisiones con respecto al tratamiento de datos.

    Director financiero: El director Financiero (CFO por sus siglas en inglés, Chief Financial Officer) es responsable de la gestión financiera de la empresa y de proporcionar liderazgo estratégico en asuntos financieros. Sus funciones incluyen la supervisión de la contabilidad, la planificación financiera, la gestión de riesgos, la elaboración de presupuestos, la gestión de inversiones y la presentación de informes financieros a la alta dirección y a los inversores. Es este caso también tiene conflicto de interés en la toma de decisiones.

    Director médico: El director Médico es el profesional encargado de liderar el departamento médico en una institución de salud o empresa relacionada con la salud. Sus responsabilidades incluyen supervisar la calidad de la atención médica, establecer políticas y procedimientos clínicos, coordinar la formación del personal médico, garantizar el cumplimiento de las normativas sanitarias y promover la investigación médica. Ello conlleva toma de decisiones con respecto a los datos.

    Responsable de tecnologías de la información (TI): Si este puesto tiene una influencia significativa sobre las decisiones relacionadas con el tratamiento de datos personales, podría generar conflictos de interés con las funciones del DPD.

    Responsable de recursos humanos: Dado que el DPD puede tener que supervisar y asesorar en cuestiones relacionadas con el tratamiento de datos de empleados, la persona a cargo de recursos humanos podría tener conflictos de interés al ocupar ambos roles.

     Responsable de marketing: Si este puesto está involucrado en la toma de decisiones relacionadas con el uso de datos personales para actividades de marketing, podría generar conflictos con las responsabilidades del DPD en materia de protección de datos.

    CISO: El DPO y el CISO son incompatibles cuando el CISO tiene poder de decisión, ejecución o responsabilidad sobre las medidas de seguridad, sistemas o medios de tratamiento que el DPO debe supervisar. Solo serían compatibles si el CISO tiene un papel meramente consultivo o técnico, sin capacidad decisoria sobre fines y medios del tratamiento, sin responsabilidad directa sobre las medidas que luego debe controlar como DPO, y siempre documentando el análisis de ausencia de conflicto de intereses.

    El Grupo de Trabajo del Artículo 29 (GT29), que es el antiguo órgano consultivo europeo en materia de protección de datos ahora estas competencias las tienes asumidas el Comité Europeo de Protección de Datos (CEPD), indica que el DPD debe ser designado en función de sus cualificaciones profesionales y, en particular, su conocimiento especializado en derecho de protección de datos y su capacidad para cumplir con las responsabilidades establecidas en el RGPD.

    Consecuencias de nombrar un DPO incompatible

    Designar un Delegado de Protección de Datos en situación de conflicto de intereses puede tener consecuencias relevantes para la organización.

    En el caso analizado, la AEPD impuso una sanción de 5.000 euros por infracción del artículo 38.6 RGPD al apreciar conflicto de intereses en la persona designada como DPO. Además, la Audiencia Nacional desestimó el recurso interpuesto frente a la resolución sancionadora.

    Esto demuestra que el nombramiento del DPO no puede tratarse como una simple formalidad. La organización debe valorar si la persona elegida puede ejercer sus funciones con verdadera independencia.

    Cómo evitar conflictos de intereses en el nombramiento del DPO

    Antes de designar un Delegado de Protección de Datos, conviene realizar una revisión interna del puesto y de las funciones que desempeñará la persona designada.

    Algunas recomendaciones prácticas son:

    • analizar si participa en decisiones sobre fines y medios del tratamiento;
    • revisar si forma parte de órganos de dirección o gobierno;
    • comprobar si interviene en procedimientos disciplinarios o de gestión de personas;
    • evitar que supervise decisiones en las que haya participado;
    • documentar el análisis de ausencia de conflicto de intereses;
    • valorar la designación de un DPO externo cuando no pueda garantizarse independencia interna.
    • En muchas organizaciones, la opción más segura es contar con un Delegado de Protección de Datos externo, especialmente cuando los perfiles internos tienen responsabilidades directivas o decisorias.

    DPO interno o externo: una decisión estratégica

    La sentencia refuerza una idea importante: el DPO debe poder actuar con independencia real. Por eso, aunque el RGPD permite designar un DPO interno, esa opción debe valorarse con cautela.

    El DPO externo puede aportar varias ventajas:

    • mayor independencia funcional;
    • especialización técnica;
    • ausencia de participación en decisiones internas;
    • visión objetiva del cumplimiento;
    • reducción del riesgo de conflicto de intereses.
    • Para empresas, colegios profesionales, asociaciones y entidades con órganos de gobierno activos, esta opción puede ser especialmente recomendable.

    Conclusión sobre el nombramiento del delegado de protección de datos

    Las incompatibilidades del Delegado de Protección de Datos deben analizarse en función de las funciones reales que desempeña la persona designada, no solo por el cargo formal que ocupa.

    La reciente sentencia de la Audiencia Nacional confirma que existe conflicto de intereses cuando quien debe supervisar el cumplimiento en protección de datos participa también en decisiones sobre los fines y medios del tratamiento.

    Por ello, antes de nombrar un DPO interno, es imprescindible valorar su independencia, documentar la ausencia de conflicto de intereses y, cuando exista duda razonable, considerar la designación de un DPO externo.