Designar un delegado de protección de datos (DPD) no consiste únicamente en nombrar a una persona con conocimientos jurídicos o técnicos y comunicar su designación a la autoridad de control.
La organización debe garantizar, además, que pueda ejercer sus funciones con autonomía, objetividad y sin verse condicionada por otras responsabilidades internas. De lo contrario, quien está llamado a supervisar el cumplimiento de la normativa puede terminar controlando decisiones en cuya adopción él mismo ha participado.
Esta es precisamente la cuestión que analiza la Audiencia Nacional (AN) en su sentencia del pasado 18 de marzo de 2026. En ella, la Sala de lo Contencioso-Administrativo confirma la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a un colegio profesional que había designado como delegado de protección de datos a su propio secretario.
La sentencia permite delimitar cuándo la acumulación de funciones resulta compatible con el cargo de DPD y cuándo, por el contrario, compromete su independencia.
UN SECRETARIO CON FUNCIONES DECISORIAS DESIGNADO COMO DPD
El origen del procedimiento se encuentra en la designación del secretario del Colegio Oficial de Arquitectos de Granada como delegado de protección de datos. La AEPD consideró que la acumulación de ambos cargos generaba un conflicto de intereses contrario al artículo 38.6 del Reglamento General de Protección de Datos (RGPD).
Según los estatutos del Colegio, el secretario formaba parte, con voz y voto, de la Junta de Gobierno de la institución. Desde esta posición intervenía en decisiones relativas a la incorporación y baja de colegiados, la suspensión de servicios, la administración de fondos y el ejercicio de la potestad disciplinaria. También era miembro de la Comisión Permanente, con capacidad para organizar los servicios de las oficinas, ejecutar acuerdos y adoptar determinadas decisiones urgentes.
A estas atribuciones se sumaban la admisión provisional de nuevos colegiados, la expedición de certificaciones, la gestión del registro y las listas de colegiados, las notificaciones de altas y bajas y el seguimiento de los acuerdos adoptados.
En consecuencia, la AEPD entendió que esa capacidad decisoria resultaba incompatible con la función de supervisión propia del DPD. Por ello, impuso al Colegio una multa de 5.000 euros por vulneración del artículo 38.6 del RGPD. La resolución apreciaba, además, otras infracciones ajenas al objeto principal de este análisis.
¿QUÉ EXIGE EL ARTÍCULO 38.6 DEL RGPD?
El RGPD permite que el delegado de protección de datos desempeñe otras funciones y cometidos; no exige dedicación exclusiva ni impide que sea una persona integrada en la plantilla. Sin embargo, el responsable o el encargado del tratamiento debe garantizar que esas funciones adicionales no den lugar a un conflicto de intereses.
El DPD debe informar y asesorar sobre las obligaciones derivadas de la normativa, supervisar su cumplimiento, cooperar con la autoridad de control y actuar como punto de contacto. Para ejercer estas competencias con objetividad, no puede verse obligado a valorar sus propias decisiones.
El conflicto aparece, precisamente, cuando las funciones adicionales permiten al DPD determinar los fines o los medios del tratamiento; es decir, surge cuando la misma persona decide qué datos se recogen, para qué se utilizan, quién puede acceder a ellos o durante cuánto tiempo se conservan y, posteriormente, debe supervisar si esas decisiones cumplen la normativa aplicable.
No obstante, no toda acumulación de funciones genera automáticamente una incompatibilidad. La valoración debe atender a la estructura de la entidad y a las responsabilidades efectivamente asumidas: cuanto mayor sea la capacidad de decisión, más difícil será garantizar la independencia exigida.
Este criterio resulta coherente con el informe del Comité Europeo de Protección de Datos sobre la designación y posición de los delegados de protección de datos, adoptado en enero de 2024, que recuerda la necesidad de evitar que el DPD asuma funciones que puedan llevarle a determinar los fines y medios del tratamiento, así como de establecer garantías adecuadas para preservar su independencia.
LA AUDIENCIA NACIONAL CONFIRMA EL CONFLICTO
El Colegio recurrió la resolución sancionadora al considerar que las funciones estatutarias del secretario no implicaban necesariamente un conflicto con el cargo de DPD. Sin embargo, la Audiencia Nacional rechaza este argumento y confirma el criterio de la AEPD.
La Sala resume el problema con especial claridad: “Si quien debe supervisar el cumplimiento de las normas relativas a la protección de datos participa en la toma de decisiones sobre fines y medios de tratamiento de datos, difícilmente puede desempeñar con objetividad las funciones propias del cargo, lo que debe llevar a afirmar que no se cumple con la obligación de designar un delegado de protección de datos que reúna los requisitos exigidos en el Reglamento”.
La incompatibilidad no deriva, por tanto, del simple hecho de que el secretario tenga acceso a información personal o gestione documentación; lo esencial es que participe en la adopción de decisiones que configuran los tratamientos que posteriormente debe controlar.
En el caso analizado, su participación en la Junta de Gobierno y en la Comisión Permanente, unida a sus competencias sobre registros, altas, bajas, certificaciones, expedientes disciplinarios y organización de servicios, permitía concluir que no ocupaba una posición meramente ejecutiva. Formaba parte, tanto formal como materialmente, del proceso de toma de decisiones y, como delegado de protección de datos, debía supervisar después su adecuación a la normativa.
EL DPD ASESORA Y SUPERVISA, PERO NO DECIDE
La sentencia permite recordar una diferencia esencial en el ámbito de la protección de datos: el DPD no es el responsable último del cumplimiento de la normativa.
La responsabilidad por las decisiones relativas al tratamiento de datos personales corresponde al responsable del tratamiento, es decir, a quien determina los fines y medios del tratamiento, de conformidad con el artículo 4.7 del RGPD. Es, por tanto, la organización quien debe adoptar las decisiones y responder por su licitud, en cumplimiento del principio de responsabilidad proactiva (accountability).
El DPD, por su parte, desempeña una función de asesoramiento, supervisión y control. Debe informar y asesorar al responsable y al encargado del tratamiento sobre sus obligaciones, advertir de los riesgos, formular recomendaciones y supervisar el cumplimiento de la normativa, pero en ningún caso sustituir al responsable en la adopción de decisiones, ya que ello comprometería la independencia funcional que el RGPD exige para el adecuado desempeño de sus funciones.
Esta separación debe reflejarse tanto formalmente como en la práctica diaria de la organización. En este sentido, no resulta adecuado atribuir al DPD la aprobación definitiva de las políticas de privacidad, la elección de las bases jurídicas, la autorización de nuevos tratamientos o la determinación de los plazos de conservación. El DPD puede participar en estas cuestiones y emitir su criterio, pero la decisión debe corresponder a los órganos de dirección o a las áreas competentes.
La entidad puede apartarse del criterio del DPD, pero deberá asumir la responsabilidad de la decisión y estar en condiciones de justificarla adecuadamente.
CLAVES PARA PREVENIR EL CONFLICTO DE INTERESES
A la luz de este pronunciamiento, se refuerza la necesidad de que las organizaciones evalúen la posible existencia de conflictos antes de designar al DPD, sin esperar a que se produzca una reclamación o una actuación inspectora.
Este enfoque ha sido recogido por la AEPD en los últimos años. Así puede comprobarse en el Informe Jurídico 0038/2023 de la AEPD, que recuerda que las funciones adicionales del DPD deben respetar su carácter asesor y supervisor, sin implicar una intervención directa en la toma de decisiones sobre los fines y medios del tratamiento. La propia Agencia señala, además, la conveniencia de identificar los puestos que podrían resultar incompatibles, establecer normas internas y prever salvaguardias para evitar conflictos de intereses.
Esta valoración debe atender a la posición real que ocupa la persona dentro de la entidad y a su capacidad para intervenir en decisiones relacionadas con los tratamientos de datos personales.
Para ello, conviene:
- Analizar las funciones reales de la persona candidata, y no limitarse a la denominación formal de su puesto. Debe comprobarse si participa en la aprobación de políticas y procedimientos, la selección de herramientas tecnológicas, la gestión de personal, la contratación de proveedores, la organización de servicios o la toma de decisiones sobre datos de clientes, usuarios, trabajadores o asociados. Un cargo que, sobre el papel, no parece directivo puede disponer en la práctica de una capacidad de decisión relevante.
- Valorar su participación en órganos colegiados. El conflicto puede existir aunque las decisiones no se adopten de manera individual. Una persona que forme parte de una junta, comisión o comité con voz y voto puede intervenir de forma directa en la determinación de los fines y medios del tratamiento, como ocurría precisamente en el supuesto analizado por la Audiencia Nacional.
- Documentar el análisis de compatibilidad. El principio de responsabilidad proactiva exige que la organización pueda acreditar por qué considera que el nombramiento resulta compatible con el RGPD. Una declaración genérica de ausencia de conflicto puede ser insuficiente si no refleja adecuadamente las funciones, responsabilidades y facultades efectivamente atribuidas al DPD.
- Definir claramente la posición del DPD, sus funciones, sus canales de comunicación y su acceso directo al más alto nivel jerárquico. También debe garantizarse que no reciba instrucciones en el desempeño de sus tareas y que la responsabilidad de adoptar las decisiones corresponda a los órganos competentes de la organización. Cuando ejerza otras funciones internas, pueden ser necesarias medidas como separar responsabilidades, limitar su participación en determinadas decisiones o establecer mecanismos de abstención.
- Revisar también los servicios externalizados. La contratación de un DPD externo no elimina automáticamente la necesidad de analizar posibles conflictos de intereses. El asesoramiento, la elaboración de documentación o el apoyo en la implantación de medidas no generan por sí solos una incompatibilidad; el riesgo aparece cuando el proveedor asume funciones decisorias propias del responsable o presta otros servicios que puedan comprometer su independencia y objetividad como DPD.
Por último, la compatibilidad no debe considerarse definitiva. Un nombramiento inicialmente adecuado puede dejar de serlo si el DPD asume nuevas responsabilidades, se incorpora a un órgano decisorio o comienza a dirigir proyectos que condicionan los fines o medios de los tratamientos. Por ello, resulta recomendable revisar periódicamente la ausencia de conflictos y, especialmente, cuando se produzcan cambios en la estructura o en las funciones de la persona designada.
CONCLUSIÓN: LA INDEPENDENCIA DEBE SER EFECTIVA
La sentencia de la Audiencia Nacional confirma que la independencia del delegado de protección de datos no puede quedar reducida a una previsión formal en el organigrama de la entidad. La organización debe garantizar que exista una separación efectiva entre quienes adoptan las decisiones relativas a los tratamientos y quien debe supervisar posteriormente su adecuación a la normativa.
El pronunciamiento no establece que determinados cargos sean siempre incompatibles con la función de DPD; un secretario, un trabajador interno o una persona que desempeñe otras responsabilidades puede asumir esta posición, siempre que sus funciones no le permitan determinar los fines o los medios de los tratamientos que después deberá controlar. La valoración debe realizarse caso por caso, atendiendo a las competencias reales, a la capacidad de decisión y a la posición que ocupa dentro de la estructura de la entidad.
Además, este análisis no puede limitarse al momento inicial del nombramiento. Las funciones pueden cambiar, las responsabilidades pueden ampliarse y una designación inicialmente adecuada puede dejar de serlo. Por ello, las organizaciones deben revisar periódicamente la compatibilidad del cargo y documentar las medidas adoptadas para prevenir posibles conflictos de intereses.
El nombramiento del DPD debe ir acompañado de una posición que le permita actuar con verdadera independencia: recursos suficientes, acceso directo al nivel jerárquico adecuado y capacidad para asesorar y supervisar sin recibir instrucciones.
Cuando quien debe controlar el cumplimiento participa también en las decisiones que después revisa, la independencia deja de ser una garantía real y el DPD queda situado en una posición incompatible con la esencia de su función: ser juez y parte.
La correcta designación del DPD exige analizar no solo sus conocimientos, sino también su posición dentro de la organización y las funciones que desempeña. Si quieres profundizar en la figura del delegado de protección de datos, puedes consultar otras entradas relacionadas en nuestro blog aquí.







