DPD y RSII: ¿es posible la compatibilidad?

1. El criterio de la AEPD como punto de partida

En el marco de las funciones de supervisión y control ejercidas por la Agencia Española de Protección de Datos (AEPD), determinadas resoluciones sancionadoras ofrecen criterios de especial relevancia para la correcta aplicación del Reglamento General de Protección de Datos (RGPD) y de la normativa nacional que lo desarrolla. 

En este contexto, resulta de particular interés analizar la resolución de fecha 20 de diciembre de 2025, correspondiente al Expediente EXP2023167291, en la que se abordan cuestiones clave relativas a la adopción de medidas preventivas dirigidas a garantizar una adecuada estructura organizativa que preserve la independencia del Delegado de Protección de Datos (DPD) cuando este asume, dentro de la misma organización, el rol de Responsable del Sistema Interno de Información (RSII). En dicha resolución, la AEPD sanciona a una entidad pública por no haber diferenciado de forma adecuada las funciones de una misma persona que actuaba simultáneamente como DPD y como RSII de la entidad.

Sobre la base de este criterio interpretativo, la presente nota informativa tiene por objeto analizar aquellas situaciones en las que podría resultar posible el desempeño conjunto de las funciones asignadas a ambas figuras sin incurrir en un conflicto de intereses, siempre que se adopten las garantías y salvaguardas exigidas por la normativa aplicable.  

2. Claves para valorar la compatibilidad entre DPD y RSII

La AEPD parte de la premisa de que el marco normativo distingue de forma clara entre las funciones del DPD y las del RSII, lo que conduce, con carácter general, a que ambos roles deban recaer en personas distintas dentro de la organización. Esta separación responde a la necesidad de preservar la independencia del DPD y evitar que asuma funciones que puedan comprometer su papel supervisor, especialmente cuando dichas funciones implican decisiones operativas o de gestión directa de tratamientos de datos personales. 

En este sentido, de la resolución puede desprenderse que, en determinados contextos organizativos muy concretos, podría llegar a plantearse la compatibilidad entre los roles de DPD y RSII siempre que dicha atribución venga precedida de un análisis específico y debidamente documentado. Ahora bien, en todo caso, la compatibilidad no se presumirá y únicamente podría sostenerse si se acredita de forma efectiva la ausencia de conflicto de intereses y la plena garantía de la independencia material del DPD. 

Teniendo en cuenta el criterio restrictivo de la AEPD, la valoración de la compatibilidad debe apoyarse en determinados factores clave que han de analizarse de forma conjunta y contextualizada:  

• Recursos disponibles y estructura organizativa: La dimensión de la organización, su grado de complejidad interna y los recursos que dispone pueden influir en la distribución de funciones. En estructuras reducidas o con limitaciones organizativas, puede resultar necesario concentrar determinadas responsabilidades, si bien ello no exime de garantizar la independencia funcional del DPD ni de analizar expresamente los riesgos de incompatibilidad. 
• Delimitación clara y efectiva de funciones: Resulta esencial definir con precisión las funciones encomendadas a cada figura. En este sentido, debe tenerse en cuenta que el RSII no tiene por qué elaborar ni aprobar las políticas, procedimientos o normas internas vinculadas al sistema. De acuerdo con el artículo 5 de la Ley 2/2023, la responsabilidad de implementar adecuadamente un Sistema interno de información (SII) —lo que incluye, entre otros, diseñar y aprobar una política, un  procedimiento de gestión de comunicaciones o protocolos de actuación— corresponde al órgano de administración u órgano de gobierno de la entidad. Esta delimitación es especialmente relevante, ya que la intervención en el diseño o aprobación de estas normas podría situar a la persona que simultáneamente actuase como DPD y RSII de la organización, en una posición incompatible con su función supervisora prevista en el artículo 39 del RGPD. En este escenario, resulta fundamental que el RSII no participe en la adopción de decisiones relativas al diseño, implementación o modificación del SII, limitando su intervención a tareas que no comprometan su independencia como DPD, permitiendo una autonomía adecuada para desarrollar su función de asesoramiento y supervisión en materia de protección de datos. Este criterio se ve reforzado por la Sentencia de la Audiencia Nacional núm. 1355/2026, de 18 de marzo3, que interpreta de forma estricta la prohibición de conflicto de intereses prevista en el artículo 38.6 del RGPD. En dicha resolución, la Audiencia Nacional concluye que existe conflicto cuando la persona designada como DPD participa, directa o indirectamente, en la adopción de decisiones relativas a los fines y medios de los tratamientos de datos personales, aun cuando dicha participación derive de las funciones inherentes a su cargo y no de una actuación concreta o intencional. En este sentido, cuando el puesto que se pretende compatibilizar con la función de DPD se encuentra definido en un estatuto, reglamento interno o documento organizativo similar, resulta imprescindible revisar previamente las funciones atribuidas a dicho cargo, a fin de verificar que no le confieren competencias decisorias que comprometan la independencia y objetividad exigidas al DPD. De lo contrario, la mera atribución estatutaria de dichas funciones podría situar al DPD en una posición incompatible con su función supervisora, con independencia de cómo se ejerzan en la práctica.   
• Gestión externalizada del SII. La externalización de la gestión del SII a un tercero especializado constituye un elemento adicional que puede favorecer la compatibilidad, al separar la operativa diaria del canal de las funciones internas de supervisión y asesoramiento. Este modelo reduce significativamente el riesgo de que el DPD asuma funciones operativas o decisorias sobre el tratamiento de datos asociado al SII y se encuentra previsto en el artículo 6 de la Ley 2/2023.
• Configuración del RSII como órgano colegiado. La existencia de un Responsable del Sistema configurado como órgano colegiado facilita una mejor segregación de funciones y reduce los riesgos de concentración de decisiones en una única persona. En estos supuestos, el reparto interno de responsabilidades permite mitigar potenciales conflictos y clarificar el papel del DPD dentro del sistema.

La concurrencia de estos factores deberá ser analizada de forma conjunta y casuística, permitiendo a la organización valorar, con un enfoque práctico, si en un contexto organizativo concreto resulta posible articular la compatibilidad entre ambas funciones sin comprometer la independencia del DPD ni incurrir en un conflicto de intereses. 

3. Conclusión

La resolución referida pone de manifiesto la relevancia de examinar con especial cautela la configuración de determinadas funciones dentro de la organización, en particular cuando estas inciden directamente en la independencia del DPD. Si bien la normativa establece, como regla general, la separación entre los roles de DPD y RSII, este criterio no debe interpretarse de forma automática ni rígida, sino atendiendo a las circunstancias concretas de cada entidad. A tal efecto, la compatibilidad entre ambos roles únicamente puede plantearse de manera excepcional y tras la realización de un análisis previo, específico y debidamente documentado que permita identificar y mitigar posibles conflictos de intereses. Así, una adecuada delimitación de funciones, el refuerzo de las garantías organizativas y, en su caso, la externalización o configuración colegiada del sistema, se configuran como elementos clave para asegurar un modelo de cumplimiento sólido, alineado con las exigencias del RGPD y con los criterios interpretativos establecidos por la AEPD. En aquellos casos en los que una entidad se enfrente a este tipo de situaciones, resulta especialmente aconsejable contar con el asesoramiento de profesionales especializados que permitan evaluar correctamente los riesgos y definir una solución ajustada a las exigencias normativas y a la realidad organizativa. 

Nota informativa del área de Protección de Datos y el área de Gobernanza y Compliance de ECIJA Madrid.