DPD i RSII: són compatibles?

1. Els criteris de l'AEPD com a punt de partida

En el marc de les funcions de supervisió i control exercides per l'Agència Espanyola de Protecció de Dades (AEPD), certes resolucions sancionadores proporcionen criteris de rellevància particular per a l'aplicació correcta del Reglament General de Protecció de Dades (RGPD) i la legislació nacional que el desenvolupa.

En aquest context, és d'interès particular analitzar la decisió de data 20 de desembre de 2025, relativa al cas EXP2023167291, que aborda qüestions clau relatives a l'adopció de mesures preventives destinades a garantir una estructura organitzativa adequada que preservi la independència de l'oficial de protecció de dades (OPD) quan aquest assumeix, dins de la mateixa organització, el paper de cap del sistema d'informació intern (RSII). En aquesta decisió, l'AEPD sanciona un organisme públic per no distingir adequadament les funcions de la mateixa persona que actua simultàniament com a DPD i com a RSII de l'organització.

Basant-se en aquest criteri interpretatiu, l'objectiu d'aquesta nota informativa és analitzar aquelles situacions en què podria ser possible exercir simultàniament les funcions assignades a ambdós càrrecs sense incórrer en un conflicte d'interessos, sempre que s'adoptin les garanties i les mesures de protecció que exigeixen les normatives aplicables.

2. Consideracions clau per avaluar la compatibilitat entre el DPD i el CISO

L'AEPD parteix de la premissa que el marc normatiu distingeix clarament entre les funcions del DPD i les del RSSI, la qual cosa generalment significa que ambdós càrrecs han de ser exercits per persones diferents dins de l'organització. Aquesta separació respon a la necessitat de preservar la independència de l'Oficina de Protecció de Dades (OPD) i evitar que assumeixi funcions que podrien comprometre el seu paper de supervisió, especialment quan aquestes funcions impliquen decisions operatives o la gestió directa del tractament de dades personals.

En aquest sentit, es pot inferir de la decisió que, en certs contextos organitzatius molt específics, es podria considerar la compatibilitat entre els rols de DPD i de CSO, sempre que aquesta assignació vagi precedida d'una anàlisi específica i degudament documentada. No obstant això, en qualsevol cas, la compatibilitat no es pot presumir i només es podria mantenir si s'acredita de manera efectiva l'absència de conflicte d'interessos i la plena garantia de la independència substancial del DPD.

Tenint en compte l'enfocament restrictiu de l'AEPD, l'avaluació de la compatibilitat s'ha de basar en certs factors clau que s'han d'analitzar conjuntament i en el seu context:

• Recursos disponibles i estructura organitzativa: La grandària de l'organització, el seu grau de complexitat interna i els recursos de què disposa poden influir en la distribució de funcions. En organitzacions petites o amb limitacions organitzatives, pot ser necessari concentrar certes responsabilitats, tot i que això no eximeix l'organització de garantir la independència funcional del DPO ni d'analitzar expressament els riscos d'incompatibilitat.
• Delimitació clara i eficaç de les funcions: És essencial definir amb precisió les funcions que es confien a cada càrrec. En aquest sentit, cal destacar que el RSII no està obligat a redactar ni a aprovar les polítiques, els procediments o les normes internes relatives al sistema. D'acord amb l'article 5 de la Llei 2/2023, la responsabilitat de la correcta implementació d'un Sistema d'Informació Interna (SII) —que inclou, entre altres coses, el disseny i l'aprovació d'una política, un procediment de gestió de comunicacions o protocols d'actuació— recau en l'òrgan administratiu o de govern de l'entitat. Aquesta distinció és especialment important, ja que la participació en el disseny o aprovació d'aquestes normes podria situar una persona que actuï simultàniament com a DPO i RSII de l'organització en una posició incompatible amb el seu paper de supervisió, tal com s'estableix a l'article 39 del RGPD. En aquest escenari, és essencial que el CISO no participi en la presa de decisions sobre el disseny, la implementació o la modificació del sistema d'informes interns (SII), limitant la seva participació a tasques que no comprometin la seva independència com a DPD, la qual cosa permet una autonomia suficient per exercir la seva funció consultiva i de supervisió en matèria de protecció de dades. Aquest enfocament es reforça amb la Sentència núm. 1355/2026 de 18 de març³ del Tribunal Superior Nacional, que interpreta estrictament la prohibició de conflictes d'interessos establerta a l'article 38.6 del RGPD. En aquesta sentència, el Tribunal Nacional conclou que existeix un conflicte quan la persona nomenada com a DPD participa, directament o indirectament, en la presa de decisions sobre les finalitats i els mitjans del tractament de dades personals, fins i tot quan aquesta participació deriva de les funcions inherents al seu càrrec i no d'un acte específic o intencionat. En aquest sentit, quan el càrrec que es preveu combinar amb el de DPD està definit en un estatut, en un reglament intern o en un document organitzatiu similar, és essencial revisar prèviament les funcions assignades a aquest càrrec, per tal de verificar que no atorguin poders de decisió que comprometin la independència i la objectivitat exigides al DPD. Altrament, la mera atribució legal d'aquestes funcions podria situar el DPD en una posició incompatible amb la seva funció de supervisió, independentment de com s'exerceixin en la pràctica.
• Gestió externalitzada de l'SII. Externalitzar la gestió de l'SII a un tercer especialitzat és un factor addicional que pot promoure el compliment normatiu, en separar les operacions diàries del canal de les funcions internes de supervisió i assessorament. Aquest model redueix significativament el risc que el DPO assumeixi funcions operatives o de presa de decisions pel que fa al tractament de dades associat a l'SII i està previst a l'article 6 de la Llei 2/2023.
• Establiment del RSII com a òrgan col·legiat. L'existència d'un gestor del sistema establert com a òrgan col·legiat facilita una millor segregació de funcions i redueix els riscos que la presa de decisions es concentri en una sola persona. En aquests casos, la distribució interna de responsabilitats ajuda a mitigar possibles conflictes i a aclarir el paper del DPD dins del sistema.

Cal analitzar la concurrència d'aquests factors de manera conjunta i cas per cas, la qual cosa permet a l'organització avaluar, amb un enfocament pràctic, si en un context organitzatiu específic és possible conciliar la compatibilitat de tots dos càrrecs sense comprometre la independència del DPD ni generar un conflicte d'interessos.

3. Conclusió

La sentència esmentada destaca la importància d'examinar la configuració de certes funcions dins de l'organització amb particular cautela, especialment quan aquestes afecten directament la independència del DPO. Tot i que la normativa estableix, com a regla general, la separació entre els càrrecs de DPO i CISO, aquest criteri no s'ha d'interpretar de manera automàtica o rígida, sinó a la llum de les circumstàncies específiques de cada organització. A aquest efecte, la compatibilitat de tots dos càrrecs només es pot considerar en circumstàncies excepcionals i després d'una anàlisi prèvia, específica i degudament documentada que permeti la identificació i mitigació de possibles conflictes d'interessos. Així, una delimitació clara de funcions, el reforç de les garanties organitzatives i, si s'escau, l'externalització o la configuració col·legial del sistema, són elements clau per garantir un model de compliment sòlid, alineat amb els requisits del RGPD i amb els criteris d'interpretació establerts per l'AEPD. En els casos en què una organització s'enfronta a aquest tipus de situació, és especialment aconsellable buscar l'assessorament de professionals especialitzats que puguin avaluar correctament els riscos i definir una solució a mida dels requisits normatius i de les circumstàncies específiques de l'organització.

Nota informativa dels departaments de Protecció de Dades i de Governança i Compliment Normatiu d'ECIJA Madrid.