Funciones del DPD externo — Lo que el RGPD realmente exige

El artículo 37(1) del RGPD establece la designación obligatoria de un DPD en tres casos: cuando el tratamiento lo lleva a cabo una autoridad u organismo público, cuando las actividades principales requieren una observación habitual y sistemática de interesados a gran escala, o cuando las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos (artículo 9) o datos relativos a condenas penales (artículo 10). Muchos Estados miembros de la UE han ampliado estos requisitos a través de la legislación nacional. Alemania, por ejemplo, exige un DPD a toda organización con 20 o más empleados que participen regularmente en el tratamiento automatizado de datos personales. Otros países tienen umbrales similares o requisitos sectoriales específicos. Las organizaciones pueden designar un DPD interno o externo. Un DPD externo opera bajo un contrato de servicios (artículo 37(6)) y puede atender a múltiples organizaciones — lo que lo convierte en un modelo de negocio viable para profesionales de la privacidad. El RGPD lo permite explícitamente, siempre que el DPD sea accesible para cada organización y pueda desempeñar sus funciones eficazmente. La tendencia hacia los DPDs externos se está acelerando. Las organizaciones pequeñas y medianas a menudo no pueden justificar un puesto de DPD interno a tiempo completo, y NIS2 ha incorporado a miles de empresas adicionales. Los DPDs externos que pueden atender eficientemente a 10-50 clientes están cubriendo una necesidad crítica del mercado.

El artículo 39 define las tareas mínimas de un DPD: informar y asesorar al responsable o encargado del tratamiento y a sus empleados sobre las obligaciones del RGPD, supervisar el cumplimiento del RGPD y de las políticas de protección de datos de la organización, asesorar sobre las Evaluaciones de Impacto en la Protección de Datos (EIPD) y supervisar su realización, cooperar con la autoridad de control y actuar como punto de contacto para la autoridad de control en cuestiones relativas al tratamiento. Es importante señalar de qué no es responsable el DPD: el DPD no garantiza el cumplimiento — eso lo hace el responsable. El DPD asesora, supervisa e informa, pero la responsabilidad última del cumplimiento de la protección de datos recae en la dirección de la organización. Esta distinción es jurídicamente significativa y debe documentarse claramente en cada contrato de servicios como DPD. Más allá de las tareas obligatorias, los DPDs externos normalmente también se encargan de: mantener el RAT (artículo 30), gestionar las solicitudes de derechos (artículos 15-22), revisar y hacer seguimiento de los contratos de encargado (artículo 28), realizar o supervisar auditorías, formar a los empleados y asesorar sobre protección de datos desde el diseño y por defecto (artículo 25). Estas tareas adicionales deben definirse explícitamente en el contrato de servicios con las correspondientes estructuras de honorarios.

El artículo 38(3) es claro: el DPD no recibirá ninguna instrucción en lo que respecta al desempeño de sus funciones. No puede ser destituido ni sancionado por el desempeño de sus funciones, y debe informar directamente al nivel más alto de dirección del responsable o encargado. Para los DPDs externos, la independencia es generalmente más fácil de mantener que para los DPDs internos — no está en la nómina del cliente y no tiene incentivos profesionales para suavizar su asesoramiento. Sin embargo, los conflictos de intereses pueden surgir: si una parte significativa de sus ingresos proviene de un solo cliente, puede inconscientemente dudar en comunicar hallazgos incómodos. La mejor práctica es diversificar su cartera de clientes de modo que ningún cliente individual represente más del 20-25% de sus ingresos. Documente todas las recomendaciones y las respuestas de la dirección por escrito. Si la dirección anula su asesoramiento, regístrelo claramente — le protege profesionalmente si surgen problemas más adelante. El artículo 38(6) establece que el DPD puede desempeñar otras funciones y tareas, siempre que no den lugar a un conflicto de intereses. Para los DPDs externos, esto significa que no debe actuar simultáneamente como DPD y como proveedor de seguridad TI para el mismo cliente, ni como DPD y analista de datos de marketing. Los roles de asesoramiento y operativo deben mantenerse separados.

La economía de una práctica como DPD externo depende de la eficiencia. La mayoría de los DPDs externos cobran entre EUR 500 y EUR 2.000 por cliente al mes, dependiendo del tamaño y complejidad del cliente. A estos precios, gestionar 15-20 clientes puede generar EUR 10.000-30.000 en ingresos mensuales — pero solo si la sobrecarga administrativa no consume todo su tiempo. Los mayores consumidores de tiempo para los DPDs externos son: mantener RATs en todos los clientes (resuelto con plantillas y herramientas estructuradas), hacer seguimiento de plazos de solicitudes de derechos (resuelto con recordatorios automáticos), producir informes de auditoría (resuelto con exportaciones con un clic) y cambiar de contexto entre clientes (resuelto con paneles multi-cliente). Los DPDs externos que utilizan herramientas dedicadas informan de un ahorro del 40-60% del tiempo en tareas administrativas en comparación con quienes usan Excel y correo electrónico. Eso se traduce en mayor rentabilidad con el mismo número de clientes, o la capacidad de aceptar clientes adicionales sin aumentar proporcionalmente la carga de trabajo. A medida que su práctica crece más allá de 20 clientes, considere estandarizar sus paquetes de servicios. Defina niveles claros (supervisión básica, estándar con formación, premium con soporte de auditoría) y utilice su herramienta de cumplimiento para ofrecer una calidad de servicio consistente en todos los clientes. Trustee.eu está diseñado específicamente para este flujo de trabajo — desde prácticas de un solo DPD hasta agencias que gestionan más de 50 mandatos.