ChatGPT
Claude
Perplexity
Gemini
Grok¿Es obligatorio el DPD en una universidad privada española?
La pregunta sobre la obligatoriedad del Delegado de Protección de Datos (DPD) — denominación española del Data Protection Officer (DPO) — es una de las que más frecuentemente se pospone en los centros de educación superior privados. Sin embargo, esa postergación tiene consecuencias regulatorias concretas. El marco normativo que rige esta obligación en España combina dos instrumentos:
- El Reglamento General de Protección de Datos (RGPD — Reglamento UE 2016/679), específicamente su artículo 37
- La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), cuyo artículo 34 amplía el catálogo de entidades obligadas más allá de lo previsto en el RGPD europeo
El artículo 37 del RGPD establece la obligación de designar un DPD para tres categorías de responsables del tratamiento:
- Autoridades u organismos públicos (con independencia de los datos que traten)
- Responsables cuya actividad principal requiera el seguimiento habitual y sistemático de interesados a gran escala
- Responsables cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos
Las universidades privadas en España no son organismos públicos, pero la LOPDGDD añade una obligación adicional que sí las afecta directamente: el artículo 34.1.e) de la LOPDGDD exige la designación de DPD a los centros docentes que traten datos de alumnos y progenitores o tutores con la finalidad de proporcionar el servicio educativo. Esta disposición cubre a la práctica totalidad de las universidades privadas acreditadas por ANECA.
La AEPD ha publicado guías específicas sobre la designación del DPD que confirman esta interpretación. En la práctica, cualquier universidad privada que gestione expedientes académicos, datos de salud y necesidades especiales, información financiera de becas y matrícula, y datos de rendimiento académico de sus estudiantes debe considerar la designación de DPD como una obligación legal, no como una opción.
Conclusión práctica para la educación superior privada española: si su centro trata datos de estudiantes — incluyendo sus necesidades de adaptación curricular, financiación y rendimiento académico — la designación de un DPD es, en la mayoría de los casos, una obligación legal exigible. La única decisión estratégica es si ese DPD será interno o externalizado.
A quién obliga el artículo 37 del RGPD y el artículo 34 de la LOPDGDD
La obligación de designar DPD recae sobre las universidades privadas por una combinación de motivos que conviene detallar. Para una institución de educación superior privada española, los datos de categoría especial tratados de forma habitual incluyen:
- Datos de salud: adaptaciones curriculares por discapacidad, planes de apoyo a la salud mental, certificados médicos para evaluación diferida
- Datos financieros sensibles: evaluación de recursos económicos para becas propias, mediación con financiadores externos
- Rendimiento académico: calificaciones, progresión, datos de titulación y expediente académico
- Datos de admisión: solicitudes de ingreso, cartas de motivación, entrevistas de selección, referencias académicas
- Datos de candidatos potenciales: conversaciones con chatbots, formularios de interés, registros para Jornadas de Puertas Abiertas
Este último elemento — los datos de prospectos — tiende a subestimarse. Una universidad privada mediana puede recopilar datos identificativos de varios miles de candidatos potenciales al año a través de formularios web, chatbots de IA y eventos presenciales. Los chatbots de IA gestionan automáticamente el 72% de las preguntas de los prospectos estudiantiles, liberando al personal para los casos complejos (Fuente: análisis de clasificación automática de Skolbot, 12.000 conversaciones, 2025) — cada una de esas interacciones automatizadas genera datos personales que deben tratarse con base jurídica válida.
Para el marco completo de cumplimiento RGPD en su institución, consulte nuestra guía RGPD completa para datos estudiantiles.
Qué hace un DPD externalizado: funciones y alcance
El artículo 39 del RGPD establece las funciones mínimas del DPD, que son idénticas tanto si el DPD es interno como si es externalizado:
Funciones obligatorias (artículo 39 RGPD)
- Informar y asesorar al responsable del tratamiento y a sus empleados sobre las obligaciones en materia de protección de datos
- Supervisar el cumplimiento del RGPD, la LOPDGDD y las normativas nacionales aplicables
- Asesorar sobre las Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) y supervisar su realización
- Actuar como punto de contacto con la AEPD
- Actuar como punto de contacto para los interesados en el ejercicio de sus derechos
Un DPD externalizado ejerce todas estas funciones en virtud de un contrato de prestación de servicios, no como empleado. En la práctica, para una universidad privada, esto se traduce en las siguientes prestaciones habituales:
| Actividad | Frecuencia habitual | Entregable |
|---|---|---|
| Revisión de cumplimiento general | Trimestral | Informe escrito de cumplimiento |
| Apoyo en EIPD (nuevos tratamientos) | A demanda | Documentación EIPD completa |
| Formación en protección de datos al personal | Mínimo anual | Registro de asistencia y contenidos |
| Gestión de comunicaciones con la AEPD | A demanda | Respuestas documentadas |
| Apoyo en ejercicio de derechos de interesados | Por solicitud | Registro de respuestas y plazos |
| Revisión de contratos DPA con proveedores | A demanda | Evaluación escrita con recomendaciones |
| Actualización del Registro de Actividades de Tratamiento (RAT) | Mínimo anual | RAT actualizado y validado |
| Asesoría en respuesta a incidentes y brechas | A demanda | Guía de notificación a AEPD |
| Revisión de políticas (privacidad, retención, cookies) | Mínimo anual | Documentos de política actualizados |
Es fundamental subrayar que el DPD externalizado no sustituye a la responsabilidad interna en materia de gobernanza de datos. La universidad sigue siendo la responsable del tratamiento. El DPD asesora; no decide. El artículo 38, apartado 3, del RGPD garantiza la independencia del DPD: no puede ser destituido ni sancionado por el ejercicio de sus funciones, y no puede recibir instrucciones en el ejercicio de las mismas.
Uno de los ámbitos en que el DPD externalizado aporta valor diferencial para las universidades privadas es el de las herramientas de inteligencia artificial. La proliferación de chatbots de admisiones, sistemas de análisis del aprendizaje y herramientas de selección asistida por IA multiplica la necesidad de EIPD. Las escuelas con chatbot de IA obtienen +62% de leads cualificados y -38% en el coste por lead (Fuente: resultados medianos de Skolbot en 18 escuelas, 2024–2025) — pero el trabajo de cumplimiento previo debe estar consolidado antes del despliegue. Un DPD externalizado con experiencia en educación superior conoce tanto la rentabilidad como las exigencias legales.
Para orientación práctica sobre la auditoría de cumplimiento, consulte nuestra checklist de auditoría RGPD para universidades.
Coste: rangos de precio del DPD externalizado en España
La tarifa de un DPD externalizado en el sector de la educación superior privada española varía en función del tamaño de la institución, el volumen de actividades de tratamiento y la profundidad del servicio contratado. Los siguientes rangos reflejan los precios de mercado en 2026:
| Tipo de institución | Rango mensual (retainer) | Prestaciones habituales incluidas |
|---|---|---|
| Centro de formación superior pequeño (<500 estudiantes) | 700 – 1.000 €/mes | Revisiones trimestrales, apoyo EIPD, contacto AEPD, formación básica |
| Universidad privada mediana (500–2.000 estudiantes) | 1.000 – 1.500 €/mes | Todo lo anterior + gestión del RAT, revisión de DPA de proveedores, respuesta a incidentes |
| Universidad privada grande o grupo (>2.000 estudiantes) | 1.500 – 2.000 €/mes | Servicio completo + formación a medida, readiness Reglamento IA, informes al Patronato |
Variables adicionales que inciden en el precio:
- Volumen de EIPD: las instituciones que despliegan nuevas herramientas de IA o sistemas de datos con frecuencia incurrirán en horas adicionales de asesoría EIPD
- Historial de incidentes: un proveedor que también gestiona procedimientos sancionadores activos ante la AEPD facturará ese trabajo de forma separada
- Operación en múltiples sedes: los grupos universitarios con varios campus suelen requerir un incremento sobre la tarifa base
- Adecuación al Esquema Nacional de Seguridad (ENS) o a la ISO 27001: algunos proveedores de DPD externalizado incluyen asesoría de seguridad; otros no
Trabajo puntual o por proyecto (por ejemplo, una EIPD única para un nuevo CRM o despliegue de chatbot) oscila habitualmente entre 1.500 y 4.000 € por proyecto. Es viable para una necesidad concreta, pero genera un vacío estructural: su institución carece de un DPD designado para el contacto cotidiano con la AEPD, la gestión de solicitudes de derechos y la respuesta a incidentes.
Alternativas al DPD externalizado
La externalización no es la única vía. Existen cuatro alternativas, cada una con sus propias ventajas e inconvenientes:
1. Designación de un DPD interno
Un empleado de la institución es designado formalmente como DPD. El artículo 37, apartado 5, del RGPD exige que el DPD sea designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos. La AEPD ha dejado claro que no se trata de un título honorífico asignable a quien ya ocupa otro cargo directivo. Un DPD interno genuino requiere inversión en formación continua y — fundamentalmente — independencia estructural: no puede ocupar simultáneamente funciones que generen un conflicto de intereses con la protección de datos (como director de TI, secretario general o director de marketing actuando como DPD al mismo tiempo).
2. DPD compartido en un grupo universitario
Cuando un grupo de educación superior privado opera varios centros, puede designarse un único DPD para todas las entidades, siempre que sea «fácilmente accesible» desde cada establecimiento (artículo 37, apartado 2). Esta solución funciona bien en grupos con integración operativa estrecha; se vuelve problemática cuando las actividades de tratamiento divergen significativamente entre entidades.
3. Recurso jurídico o de cumplimiento interno
Algunas instituciones asignan la responsabilidad de protección de datos a un asesor jurídico interno o a un responsable de cumplimiento. Esto no constituye formalmente una designación de DPD a menos que el rol cumpla los criterios del artículo 37. Puede satisfacer los requisitos internos de gobernanza para centros pequeños con tratamientos de bajo riesgo, pero no constituye una designación de DPD conforme a los artículos 37 a 39 del RGPD.
4. No designar DPD y asumir el riesgo
Técnicamente, solo las entidades que cumplen los criterios de obligatoriedad del artículo 37 del RGPD o del artículo 34 de la LOPDGDD están obligadas a designar un DPD. Sin embargo, dado el perfil de tratamientos de datos de cualquier universidad privada acreditada por ANECA — y las expectativas explícitas de la AEPD sobre gobernanza de datos en el sector educativo — esta no es una estrategia que ningún centro de educación superior responsable debería adoptar.
Para el alcance completo de las obligaciones de protección de datos en admisiones, consulte nuestra guía sobre protección de datos de prospectos estudiantiles.
5 criterios para elegir su proveedor de DPD externalizado
La selección de un DPD externalizado no es una decisión de aprovisionamiento de bajo riesgo. Los siguientes cinco criterios distinguen a los proveedores de calidad de los consultores generalistas con experiencia limitada en el sector universitario:
1. Experiencia demostrable en educación superior en España
Un DPD que asesore a una universidad privada española debe conocer los flujos de datos específicos del sector: acceso a la EvAU/EBAU, envíos al SIIU del Ministerio, expedientes de bienestar estudiantil, tramitación de visados para estudiantes internacionales, y el contexto regulatorio de ANECA y las comunidades autónomas. Solicite referencias nominadas de centros universitarios y ejemplos concretos de EIPD que hayan elaborado para tratamientos propios del sector.
2. Independencia y gestión de conflictos de intereses
El artículo 38, apartado 6, del RGPD permite al DPD desempeñar otras funciones, siempre que no generen un conflicto de intereses. Un proveedor externalizado que también actúe como consultor tecnológico o proveedor de sistemas de datos de su institución tiene un conflicto estructural. Verifique que los demás clientes y servicios del proveedor no comprometan su independencia como DPD designado.
3. Experiencia real con la AEPD y el marco LOPDGDD
La LOPDGDD introduce obligaciones nacionales que van más allá del RGPD europeo: el artículo 37 de la LOPDGDD extiende los supuestos de designación obligatoria; el artículo 8 regula el tratamiento de datos de menores de 14 años; el artículo 89 establece el derecho a la desconexión digital. Su DPD debe tener experiencia directa con procedimientos de la AEPD, reclamaciones de interesados y el sistema de consultas previas de la Agencia. La experiencia genérica en «cumplimiento RGPD» sin conocimiento específico de la LOPDGDD es insuficiente.
4. Compromisos de nivel de servicio para derechos de interesados e incidentes
El RGPD exige responder a las solicitudes de derechos de los interesados en el plazo de un mes natural. Su DPD externalizado debe comprometerse contractualmente a apoyar ese plazo — en particular, a asesorar sobre solicitudes complejas en un plazo definido. Del mismo modo, el apoyo en respuesta a brechas debe estar disponible en menos de 24 horas: el plazo de 72 horas para la notificación a la AEPD establecido en el artículo 33 del RGPD no es negociable.
5. Preparación para el Reglamento de IA y tecnologías emergentes
El Reglamento de IA de la UE (Reglamento 2024/1689) ha comenzado a aplicarse de forma progresiva desde 2025, con las obligaciones para sistemas de IA de alto riesgo plenamente exigibles desde agosto de 2026. Los sistemas de apoyo a la admisión, los chatbots y las herramientas de análisis del aprendizaje desplegados en universidades privadas españolas entran en el ámbito de aplicación de este Reglamento. Un DPD externalizado sin conocimiento activo de la clasificación de riesgos, los requisitos de EIPD para sistemas de IA y la posición de la AEPD al respecto dejará a su institución expuesta a medida que amplíe su ecosistema tecnológico.
Para orientación práctica sobre la auditoría de su posición de cumplimiento completa, consulte nuestra checklist de auditoría RGPD para universidades y nuestra guía sobre consentimiento de cookies para centros educativos.
Preguntas frecuentes
¿Sanciona la AEPD la falta de DPD en universidades privadas?
Sí. La AEPD ha iniciado procedimientos sancionadores contra entidades educativas por incumplimiento de la obligación de designación de DPD y por ausencia de medidas de gobernanza de datos adecuadas. La ausencia de un DPD designado cuando la obligación es aplicable constituye una infracción del artículo 83, apartado 4, del RGPD, con multas de hasta 10 millones de euros o el 2% del volumen de negocio anual global. En los supuestos más graves (infracción de principios fundamentales, bases jurídicas), el artículo 83, apartado 5, eleva el umbral hasta 20 millones de euros o el 4% del volumen de negocio.
¿Puede una misma persona ser DPD de varias universidades privadas independientes?
Un DPD externalizado puede, en virtud de un contrato de prestación de servicios, ejercer las funciones de DPD para varios responsables del tratamiento simultáneamente. Esto es precisamente el modelo estándar de externalización. Lo que requiere el artículo 37, apartado 2, del RGPD es que el DPD sea «fácilmente accesible» desde cada establecimiento, lo que implica que los canales de comunicación y los tiempos de respuesta estén contractualmente definidos.
¿Qué ocurre si designamos un DPD voluntariamente y luego queremos suprimir el cargo?
Una vez designado un DPD voluntario, se aplican en su totalidad las protecciones de los artículos 38 y 39 del RGPD — incluida la prohibición de destitución o sanción por el ejercicio de sus funciones (artículo 38, apartado 3). Si su institución decide posteriormente que el DPD no es legalmente obligatorio y desea poner fin a la designación, debe asegurarse de que esa decisión no pueda interpretarse como una sanción al DPD por sus actividades de cumplimiento. Es aconsejable obtener asesoramiento jurídico antes de revocar cualquier designación de DPD.
¿Cómo interactúa el DPD externalizado con los equipos de admisiones y marketing?
En la práctica, el DPD externalizado interactúa con mayor frecuencia con el secretario académico, la dirección de admisiones y el equipo de marketing — estos son los servicios que generan el mayor volumen de nuevas actividades de tratamiento (datos de prospectos, despliegue de chatbots, campañas de email nurturing, registros para Jornadas de Puertas Abiertas). Un buen DPD externalizado participará en las reuniones de planificación de nuevas herramientas o campañas, no únicamente revisará proyectos ya ejecutados. Establezca un circuito de escalada claro: cualquier nueva actividad de tratamiento — incluido el despliegue de una nueva herramienta de IA — debe activar una consulta al DPD antes de la puesta en producción.
¿Debe el DPD ser abogado o tener una certificación específica?
No necesariamente. El artículo 37, apartado 5, del RGPD exige «conocimientos especializados del derecho y la práctica en materia de protección de datos». En España, las certificaciones más reconocidas son el Certificado de Delegado de Protección de Datos de la AEPD, el CIPP/E y el CIPM (IAPP), y los esquemas de certificación vinculados al Esquema Nacional de Evaluación. Lo que importa es un conocimiento demostrable y actualizado del RGPD, la LOPDGDD, la jurisprudencia de la AEPD y el marco regulatorio específico del sector educativo — no la titulación jurídica en sí. Dicho esto, los proveedores de DPD externalizado con asesores jurídicos internos pueden ofrecer una vía de escalada útil para cuestiones complejas (conflictos de derechos de interesados, procedimientos sancionadores, transferencias internacionales).
Designar un DPD competente y experimentado — ya sea externalizado o interno — no es un ejercicio de cumplimiento formal. Es la base estructural sobre la que reposa toda la actividad de protección de datos de su institución: las EIPD que requiere su chatbot de admisiones, las solicitudes de derechos que su equipo debe responder en treinta días, la arquitectura de consentimiento sobre la que se apoya su estrategia de marketing. Resolver correctamente la cuestión del DPD es el primer paso.
Solicite una demo personalizadaLea también: Checklist de auditoría RGPD para universidades · Proteger datos de prospectos estudiantiles · Consentimiento de cookies RGPD para universidades
