El Delegado de Protección de Datos (DPD o DPO) se encuentra en una encrucijada crítica. Si piensas que tu rol se limita a la supervisión pasiva y a firmar documentos, estás subestimando la complejidad que la inteligencia artificial, la normativa transfronteriza y la escasez de talento están inyectando en la privacidad empresarial.
Este no es un listado teórico, sino un espejo de las fricciones reales que hemos identificado en el día a día de las empresas. El objetivo es activar consciencia de problema: ¿cuántos de estos retos tiene tu organización realmente bajo control?
1. El desafío normativo de la Inteligencia Artificial (IA Act)
El Reglamento de Inteligencia Artificial de la Unión Europea (IA Act) no solo regulará los sistemas de IA, sino que impactará directamente en cómo las organizaciones tratan los datos personales utilizados para entrenar y operar estos sistemas. Lo que muchos no ven es que la IA Act exige una evaluación de conformidad estricta para los sistemas de alto riesgo.
El DPD debe entender y auditar el ‘ciclo de vida del dato’ dentro de la IA. ¿Estás seguro de que los datos de entrenamiento cumplen con el principio de minimización? ¿Se respetan los derechos ARSULIPO (Acceso, Rectificación, Supresión, Limitación, Portabilidad y Oposición) en entornos de IA? Este error lo hemos visto decenas de veces: se implementa una herramienta innovadora sin una Evaluación de Impacto en la Protección de Datos (EIPD) rigurosa, dejando un agujero de cumplimiento. Por eso, el apoyo de un servicio de proteccion de datos especializado en entornos de alta tecnología es esencial.
2. Gestión de transferencias internacionales: el post-Schrems III
Tras la anulación de sucesivos marcos de transferencia, la situación se ha estabilizado con el Data Privacy Framework entre la UE y EE. UU. (DPF). Puede que pienses que con eso basta para usar servicios cloud americanos. Lo que muchos no ven es que el DPF no es una carta blanca:
Solo es aplicable a las empresas estadounidenses certificadas en el marco.
El DPD debe seguir realizando las Evaluaciones de Riesgo de Transferencia (TRA) para asegurar que el nivel de protección de facto en el país tercero es adecuado.
El riesgo real de inacción es seguir transfiriendo datos a proveedores no certificados o sin haber documentado la necesidad, exponiendo a la empresa a un riesgo de inobservancia y potenciales sanciones de las Agencias de Protección de Datos.
3. La ciberseguridad ya es un asunto de privacidad
Con el aumento de los ciberataques, la línea entre la seguridad de la información y la protección de datos se ha difuminado. El DPD ya no puede delegar completamente la gestión de incidentes en el equipo IT.
Riesgo de inacción: No clasificar correctamente una brecha de seguridad como una «violación de la seguridad de los datos personales» (Art. 33 RGPD).
Coste oculto: La mayoría cree que cumple con tener un antivirus, pero el DPD es el responsable de garantizar que el protocolo de notificación a la AEPD (en 72 horas) y a los afectados se ejecute de forma impecable y documentada.
4. Retención de datos y el principio de limitación del plazo
Es quizás uno de los dolores y errores invisibles más extendidos. ¿Están tus políticas de retención de datos actualizadas y siendo aplicadas de forma automatizada?
Puede que pienses que archivar los correos antiguos o los CVs de candidatos descartados no es un problema. Sin embargo, la acumulación injustificada de datos más allá del fin para el que fueron recogidos es una violación directa del RGPD.
El DPD tiene el reto de implantar sistemas de borrado automático o de pseudonimización activa, especialmente en grandes bases de datos de marketing o recursos humanos, para evitar que la información innecesaria se convierta en un pasivo en caso de inspección.
5. El reto de la ética y la transparencia en el uso de datos
La confianza del cliente es el activo más valioso. En 2025, no basta con ser legal; hay que ser ético. El DPD debe liderar la implementación de políticas de transparencia que vayan más allá de la simple cláusula legal.
Confusión o falsa sensación de cumplimiento: ¿Son tus avisos de privacidad realmente legibles y comprensibles? ¿La información sobre la toma de decisiones automatizada es clara para el afectado?
El DPD debe actuar como garante de la confianza, asegurando que los tratamientos no generen discriminación o sesgos, un tema que se volverá crítico con la masificación de la IA.
6. Integración del RGPD en la cadena de suministro (encargados)
La responsabilidad de los datos no termina en el perímetro de tu empresa. Este error lo hemos visto decenas de veces: se confía ciegamente en el Encargado del Tratamiento (proveedores cloud, plataformas de email marketing, etc.).
El DPD debe auditar rigurosamente los Contratos de Encargo de Tratamiento (CET), asegurando que estos incluyan todas las cláusulas requeridas por el Art. 28 del RGPD y que el proveedor demuestre medidas de seguridad adecuadas. Una infracción cometida por tu encargado es, a menudo, responsabilidad de tu empresa como Responsable del Tratamiento. La delegación de la supervisión de estos contratos en un servicio de proteccion de datos externo reduce drásticamente el riesgo.
7. La resistencia cultural y la escasez de talento DPO
El reto final es humano. El DPD a menudo se encuentra en medio de la dirección (que busca innovación rápida) y los empleados (que ven el cumplimiento como un obstáculo).
Para 2025, el DPD debe ser un socio de negocio, no un obstaculizador. Sin embargo, la demanda de DPDs con un perfil técnico, legal y de gestión del riesgo es superior a la oferta. La solución pasa por la externalización o el apoyo consultivo continuo.
La necesidad de un socio con autoridad experta
Si tu DPD o tu equipo legal se siente abrumado por estos 7 retos, es una señal clara de que la carga operativa y la complejidad normativa han superado los recursos internos. La inacción en cualquiera de estos puntos se traducirá en sanciones, litigios o pérdidas de reputación incalculables.
En Audidat, entendemos que la proteccion de datos no es un mero trámite, sino una función estratégica y crítica para la continuidad del negocio. Te acompañamos para evaluar el impacto de las nuevas normativas como la IA Act y para asegurar que la gestión de riesgos en transferencias o incidentes cibernéticos se realice con la máxima garantía legal. Habla con un consultor para evaluar tu caso de forma personalizada.
Preguntas frecuentes
¿El DPD debe ser un abogado?
No necesariamente. El RGPD exige que el DPD tenga conocimientos especializados del derecho y la práctica en materia de protección de datos. El perfil ideal es una combinación de experiencia legal, técnica (ciberseguridad) y de gestión del riesgo.
¿Qué implica el post-Schrems III para las empresas?
Implica que la empresa debe asegurarse de que sus proveedores de datos personales en Estados Unidos estén certificados bajo el Data Privacy Framework (DPF). Si no lo están, el DPD debe recurrir a Cláusulas Contractuales Tipo (CCT) y realizar la Evaluación de Riesgo de Transferencia (TRA) para cada caso.
¿Cuál es la multa por no notificar una brecha de datos a tiempo?
Las sanciones por no notificar una violación de seguridad de datos personales a la AEPD en el plazo máximo de 72 horas pueden ser muy elevadas. La multa puede alcanzar hasta el $2\%$ de la facturación global anual o $10$ millones de euros, optándose por la cuantía superior.
