El Delegado de Protección de Datos (DPD o DPO) no puede ser «juez y parte». Es decir, quien supervisa el cumplimiento del Reglamento General de Protección de Datos (RGPD) no puede al mismo tiempo decidir sobre los fines y medios de tratamiento porque perdería la objetividad exigida para este puesto.
Así lo ha declarado la Sala de lo Contencioso-Administrativo de la Audiencia Nacional (AN), que ha avalado la sanción impuesta por la Agencia Española de Protección de Datos al Colegio Oficial de Arquitectos de Granada por designar al secretario como DPD.
En su sentencia número 1355/2026, de 18 de marzo, fija un criterio especialmente relevante para corporaciones y entidades colegiales: el delegado de protección de datos no puede simultanear funciones directivas o de gobierno que impliquen decidir sobre el tratamiento de datos personales porque podría generar conflicto de intereses al perder la independencia.
Un Colegio de Arquitectos nombró al secretario general como DPD
Los hechos se remontan al expediente sancionador de la AEPD al Colegio Oficial de Arquitectos de Granada. En dicho documento, la Agencia impuso tres sanciones al Colegio, una de ellas era una multa de 5.000 euros por vulnerar el artículo 38.6 del RGPD, al existir conflicto de interés en el nombramiento del DPD.
Una sanción que no compartía el Colegio, por lo que llevó este expediente ante la Audiencia Nacional (AN) alegando, entre otras cuestiones, que no existía conflicto de intereses si el secretario era DPD también, además de que como corporación de derecho público no podía ser multado.
Sin embargo, la Sala de lo Contencioso-Administrativo, formada por Fernando Luis Piñeiro (presidente), Amalia Basanta Rodríguez, Nieves Buisan Gacía y Luis Helmuth Moya Meyer (ponente), rechaza todos los argumentos.
El DPD no puede supervisarse a sí mismo
Los magistrados concluyen que el secretario general del colegio participaba activamente en admisión y baja de colegiados, potestad disciplinaria, gestión económica, organización de servicios, entre otras gestionas.
Todas estas acciones implican intervenir en decisiones relativas al tratamiento de datos personales.
La Sala razona que quien supervisa el cumplimiento del RGPD no puede al mismo tiempo decidir sobre los fines y medios del tratamiento porque perdería la objetividad exigida al DPD. Por tanto, el DPD no puede supervisarse a sí mismo.
«Si quien debe supervisar el cumplimiento de las normas relativas a la protección de datos participa en la toma de decisiones sobre fines y medios de tratamiento de datos, difícilmente puede desempañar con objetividad las funciones propias del cargo, lo que debe llevar a afirmar que no se cumple con la obligación de designar un delegado de protección de datos que reúna los requisitos exigidos en el Reglamento», señala la sentencia.
Con esta interpretación, la Sala consolida una línea muy estricta sobre el artículo 38.6 RGPD: no basta con nombrar formalmente a un DPD, debe existir una intendencia funcional real. La resolución añade que ello impide considerar cumplida la obligación de designar un DPD que reúna las garantías exigidas por el Reglamento.
Los colegios profesionales sí pueden ser multadas
Respecto a la multa económica, el colegio defendía que el artículo 77 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) impide multar a corporaciones de derecho público.
La AN responde que esa exención solo opera cuando el tratamiento de datos esté vinculado estrictamente al ejercicio de potestades públicas.
Sin embargo, en este caso las infracciones afectaban a actividades ordinarias del colegio profesional y no exclusivamente al ejercicio de funciones públicas, por lo que la Sala considera plenamente válida la imposición de sanciones económicas.
Con esta resolución, la resolución deja claro que los colegios profesionales no quedan automáticamente blindados frente a sanciones pecuniarias de la AEPD.
