Sector público

DPO para administraciones públicas y ayuntamientos

El artículo 37.1.a) del RGPD no deja margen de interpretación: toda autoridad u organismo público debe designar un Delegado de Protección de Datos, exista o no un volumen de tratamiento que por sí solo lo justificaría en una empresa privada. La obligación afecta igual al ayuntamiento de una capital de provincia que al de un municipio de doscientos habitantes, a las diputaciones, a los organismos autónomos locales y a las mancomunidades de servicios. Summum Consultoría acompaña a administraciones públicas de Castilla y León y Canarias en la designación, el registro ante la AEPD y el ejercicio continuo de esta figura, incluida la fórmula del DPO compartido entre varios entes cuando el tamaño de la plantilla no justifica un delegado en exclusiva.

Norma aplicableRGPD art. 37.1.a) (obligación sin excepción) · LOPDGDD art. 34
Autoridad supervisoraAEPD — Agencia Española de Protección de Datos
ÁmbitoAyuntamientos, mancomunidades, diputaciones y organismos públicos de Castilla y León y Canarias

En el sector privado, la obligación de designar DPO depende de la actividad: tratamiento a gran escala de categorías especiales de datos, observación sistemática de interesados o alguno de los supuestos que enumera el artículo 34 de la LOPDGDD para colegios profesionales, centros educativos, entidades financieras o aseguradoras, entre otros. En el sector público no hay ese filtro. El artículo 37.1.a) del RGPD impone la designación a cualquier autoridad u organismo público por el simple hecho de serlo, con la única excepción de los tribunales en ejercicio de su función jurisdiccional. Un ayuntamiento de doscientos habitantes que gestiona el padrón municipal, expide certificados y tramita ayudas sociales está tan obligado como un ministerio. En la práctica, un número considerable de municipios pequeños y mancomunidades de Castilla y León resuelve esta obligación de forma incompleta: delegan de palabra en un funcionario que no tiene la cualificación que exige el artículo 37.5 del RGPD, dan por hecho que la diputación ya lo cubre sin que exista una designación formal, o simplemente no llegan a comunicar el nombramiento a la AEPD conforme exige el artículo 37.7.

El propio RGPD ofrece la salida para las entidades que no pueden asumir un delegado a tiempo completo. El artículo 37.3 permite expresamente que una autoridad u organismo público designe un único DPO para varias entidades, «teniendo en cuenta su estructura organizativa y tamaño». Esta previsión europea es directamente aplicable en España y permite que ayuntamientos, mancomunidades y consorcios compartan un solo delegado en lugar de duplicar el coste en cada entidad; la designación de cada ente se comunica a la AEPD en el plazo de diez días que fija el artículo 34.3 de la LOPDGDD. Es la fórmula que tiene más sentido para la mayoría de los municipios de menos de cinco mil habitantes de la región: un DPO externo único cubre al ayuntamiento, al organismo autónomo de deportes o cultura si existe, y a la mancomunidad de la que forme parte, con una sola designación coordinada y un único punto de contacto ante la Agencia.

Summum Consultoría, activa desde 2007, trabaja con el sector público local de Castilla y León y Canarias en materias que comparten al mismo interlocutor —el secretario o secretaria-interventor, el técnico de contratación, el equipo de alcaldía— que en la ley de transparencia y en las licitaciones públicas. Esa cercanía con el funcionamiento real de un ayuntamiento pequeño es lo que falta en la mayoría de las ofertas de DPO externo pensadas para empresa privada: no es lo mismo redactar el registro de actividades de una clínica que el de un consistorio que trata datos de padrón, policía local, videovigilancia de vía pública, ayudas sociales, contratación administrativa y perfiles institucionales en redes sociales al mismo tiempo. El servicio se contrata, además, como cualquier otro suministro o servicio de una entidad local: mediante contrato menor o procedimiento abierto simplificado según su cuantía, dentro del mismo marco de la Ley 9/2017 de Contratos del Sector Público que ya aplicamos en las licitaciones que gestionamos para pymes.

El proceso de DPO para administraciones públicas y ayuntamientos.

El proceso · cuatro tiempos
01

Diagnóstico del ente y de sus tratamientos

Revisamos los tratamientos propios de la actividad municipal o del organismo: padrón de habitantes, registro de entrada y salida, policía local, videovigilancia de vía pública, ayudas y prestaciones sociales, contratación administrativa, subvenciones y redes sociales institucionales. Comprobamos si existe ya una designación previa (propia o delegada en la diputación) y en qué condiciones.

02

Designación y comunicación formal a la AEPD

Formalizamos el nombramiento por acuerdo del órgano competente (alcaldía, junta de gobierno o pleno, según el caso) y lo comunicamos a la Agencia Española de Protección de Datos conforme al artículo 37.7 del RGPD. Si el ente forma parte de una mancomunidad o quiere compartir delegado con municipios vecinos, coordinamos la designación conjunta que habilita el artículo 37.3 del RGPD. Puedes consultar el detalle del trámite en nuestra <a href="https://summumconsultoria.es/blog/2026-07-10-nombrar-dpo-aepd">guía para nombrar un DPO ante la AEPD</a>.

03

Registro de actividades y operación continua

Mantenemos el registro de actividades del artículo 30 del RGPD adaptado a los tratamientos propios de la Administración local, atendemos las solicitudes de derechos de la ciudadanía en los plazos del artículo 12 y ofrecemos un canal de brecha con respuesta en menos de 24 horas, con notificación a la AEPD dentro del plazo de 72 horas del artículo 33 cuando el análisis de riesgo lo exija.

04

Formación anual y memoria para el pleno

Impartimos formación anual al personal municipal —de especial peso en policía local, servicios sociales y registro— y elaboramos una memoria de actividad del delegado que la secretaría puede presentar ante el pleno o la junta de gobierno, dejando constancia documental del cumplimiento ante cualquier requerimiento de la AEPD.

Qué incluye

Qué incluye DPO para administraciones públicas y ayuntamientos.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Designación y comunicación a la AEPD

    Alta formal como DPO ante la Agencia Española de Protección de Datos y comunicación de sus datos de contacto conforme al artículo 37.7 del RGPD, con el acuerdo del órgano municipal competente ya redactado.

  • DPO compartido entre varias entidades

    Designación de un único delegado para el ayuntamiento, sus organismos autónomos y la mancomunidad a la que pertenezca, conforme al artículo 37.3 del RGPD, con comunicación a la AEPD en el plazo de diez días del artículo 34.3 de la LOPDGDD, sin duplicar coste por cada entidad.

  • Registro de actividades adaptado al sector público

    Documento del artículo 30 del RGPD con los tratamientos propios de la actividad municipal: padrón, policía local, videovigilancia, ayudas sociales, contratación y redes sociales institucionales.

  • Canal de brecha y notificación en 72 horas

    Atención de incidentes en menos de 24 horas y, cuando el riesgo lo exija, notificación a la AEPD dentro del plazo del artículo 33 del RGPD, con el expediente ya preparado para el pleno.

  • Asesoramiento en evaluaciones de impacto

    Apoyo en las evaluaciones de impacto relativas a la protección de datos (EIPD) del artículo 35 del RGPD, frecuentes en proyectos de videovigilancia urbana, control de accesos o nuevos sistemas de gestión de expedientes.

  • Coordinación con transparencia y contratación pública

    El DPO trabaja de la mano con el servicio de <a href="./ley-transparencia.html">ley de transparencia</a> para que la publicidad activa no vulnere el RGPD, y con <a href="./licitaciones-publicas.html">licitaciones públicas</a> cuando la propia contratación del servicio se tramita por procedimiento público.

Preguntas frecuentes sobre DPO para administraciones públicas y ayuntamientos.

¿Es obligatorio que un ayuntamiento pequeño tenga DPO?

Sí, sin excepción de tamaño. El artículo 37.1.a) del RGPD obliga a designar DPO a toda autoridad u organismo público, con independencia del número de habitantes o del volumen de tratamientos. La única excepción del RGPD son los tribunales en ejercicio de su función jurisdiccional. Un municipio de pocos cientos de habitantes está tan obligado como una diputación provincial.

¿Puede un municipio compartir el DPO con otros ayuntamientos o con la mancomunidad?

Sí. El artículo 37.3 del RGPD permite expresamente que varias autoridades u organismos públicos designen un único delegado de protección de datos, atendiendo a su estructura organizativa y tamaño. Cada entidad comunica su propia designación a la AEPD en el plazo de diez días que fija el artículo 34.3 de la LOPDGDD. Es la fórmula más habitual y más económica para ayuntamientos pequeños y mancomunidades de servicios, y la que aplicamos con más frecuencia en Castilla y León.

¿El DPO tiene que ser un empleado público o puede ser una empresa externa?

Puede ser cualquiera de las dos cosas. El artículo 37.6 del RGPD permite que el delegado sea personal propio de la organización o que desempeñe sus funciones sobre la base de un contrato de servicios, es decir, de forma externalizada. Muchos ayuntamientos pequeños optan por la externalización precisamente porque no cuentan con personal que reúna la cualificación y los conocimientos especializados que exige el artículo 37.5 del RGPD, ni volumen de trabajo suficiente para justificar una dedicación interna a tiempo completo.

¿Cómo se comunica la designación del DPO a la AEPD?

La comunicación se realiza en la sede electrónica de la Agencia Española de Protección de Datos, con los datos de contacto del delegado, conforme exige el artículo 37.7 del RGPD, y debe hacerse en el plazo de diez días desde el nombramiento, según el artículo 34.3 de la LOPDGDD. El nombramiento debe ir respaldado por un acuerdo del órgano municipal competente. Puedes ver el procedimiento paso a paso en nuestra guía para nombrar un DPO ante la AEPD.

¿Qué funciones tiene el DPO dentro de un ayuntamiento?

Las mismas que fija el artículo 39 del RGPD para cualquier organización: informar y asesorar al ayuntamiento y a su personal sobre sus obligaciones, supervisar el cumplimiento de la normativa, asesorar sobre las evaluaciones de impacto cuando procedan y cooperar con la AEPD actuando como punto de contacto. En el detalle de cada función entramos en nuestro artículo sobre las funciones del DPO.

¿Qué ocurre si una administración pública no designa DPO?

El régimen sancionador es distinto al de la empresa privada. Cuando el infractor es una Administración Pública, la LOPDGDD prevé en su artículo 77 un régimen específico: en lugar de las multas del artículo 83 del RGPD —expresamente excluidas tras la reforma de la Ley 11/2023—, la AEPD dicta una resolución que declara la infracción y fija las medidas para corregirla, puede proponer la incoación de actuaciones disciplinarias frente a las personas responsables del incumplimiento y publica la resolución en su web identificando a la entidad infractora. No haber designado DPO expone también al ayuntamiento a requerimientos formales y a una posición débil ante cualquier reclamación ciudadana.

¿Se puede contratar el DPO externo por procedimiento de licitación pública?

Sí, y es la vía habitual: al tratarse de un servicio a una entidad del sector público, la contratación del DPO externo se somete a la Ley 9/2017 de Contratos del Sector Público, normalmente mediante contrato menor si el importe lo permite o mediante procedimiento abierto simplificado si lo supera. Acompañamos a la propia administración en esa tramitación, del mismo modo que hacemos en nuestro servicio de licitaciones públicas para empresas que licitan con la Administración.

¿Cuánto cuesta un DPO externo para un ayuntamiento o una mancomunidad?

No publicamos una tarifa fija porque depende del número de entidades que compartan delegado, del volumen de tratamientos y de si hay servicios de riesgo como videovigilancia o policía local. Lo concretamos en el diagnóstico inicial. Las variables que mueven el precio en cualquier organización, pública o privada, están explicadas en nuestro artículo sobre el precio del DPO externo.