AN: ¿Qué funciones impiden actuar con objetividad a un DPO?

La Audiencia Nacional en su sentencia 139/2026, de 18 de marzo, ECLI:ES:AN:2026:1355, desestima el recurso interpuesto contra una resolución sancionadora de la Agencia Española de Protección de Datos.

La resolución confirma que existe conflicto de intereses cuando la persona designada como delegado de protección de datos participa también en la adopción de decisiones sobre los fines y medios del tratamiento, lo que compromete la objetividad exigida por el apdo. 6 del artículo 38 del RGPD.

El litigio tenía por objeto la impugnación de una resolución de la AEPD de 6 de junio de 2023 que impuso tres sanciones: 

• 5.000 euros por infracción del apdo. 6 del artículo 38 del RGPD, al apreciar conflicto de intereses en la persona designada como delegado de protección de datos.
• 8.000 euros por infracción del artículo 13 del RGPD, por falta de información en los formularios de quejas y reclamaciones sobre los fines del tratamiento.
• 1.000 euros por infracción del apdo. 2 del artículo 22 de la LSSI, por utilizar cookies de terceros no exceptuadas sin consentimiento del usuario.

La parte recurrente sostenía, entre otros motivos, que no existía incompatibilidad entre las funciones estatutarias atribuidas a la persona designada y el cargo de delegado de protección de datos, cuestionaba la culpabilidad en la infracción informativa, discutía la infracción sobre cookies y alegaba vulneración del principio de proporcionalidad.

¿Qué funciones impiden actuar con objetividad a un DPO?

La Sala examina las funciones estatutarias atribuidas a la persona designada como delegado de protección de datos y destaca que, como secretario y miembro de órganos de gobierno, participaba en decisiones relativas a la incorporación y baja de colegiados, la administración de fondos, el ejercicio de la potestad disciplinaria, la organización de servicios y la llevanza de registros, certificaciones, listas y notificaciones.

Para la Audiencia Nacional, estas competencias tienen proyección sobre el tratamiento de datos y suponen participar en acuerdos o actuaciones relacionadas con la determinación de los fines y medios del tratamiento. Por ello, recuerda que el apdo. 6 del artículo 38 del RGPD permite al delegado de protección de datos desempeñar otras funciones, pero exige que no den lugar a conflicto de intereses.

La sentencia resume el criterio de forma clara: quien debe supervisar el cumplimiento de la normativa de protección de datos no puede participar al mismo tiempo en la toma de decisiones sobre ese tratamiento, porque ello dificulta que desempeñe con objetividad las funciones propias del cargo.

Además del conflicto de intereses, la Sala confirma la infracción del artículo 13 del RGPD por la falta de información en los formularios de quejas y reclamaciones. La resolución judicial considera que el incumplimiento era tan evidente, por la ausencia de aspectos relevantes sobre los fines del tratamiento, que la infracción puede imputarse a título de culpa.

También valida la sanción por infracción del apdo. 2 del artículo 22 de la LSSI. Según recoge la sentencia, en la web se instalaban, a través de un mapa interactivo de un tercero, no solo cookies técnicas necesarias para su operativa, sino también cookies analíticas, lo que exigía una información detallada y la obtención del consentimiento.

La Audiencia Nacional rechaza igualmente que un colegio profesional quede excluido de las multas por aplicación del apdo. 1 g) del artículo 77 de la LOPDGDD. Razona que ese régimen especial no impide sancionar con multa cuando las infracciones no afectan exclusivamente a tratamientos vinculados al ejercicio de potestades de derecho público, sino a actividades del colegio en sentido más amplio.

Finalmente, la Sala considera proporcionadas las sanciones, al haberse impuesto en grado mínimo y con cuantías moderadas, y desestima íntegramente el recurso, con imposición de costas.

Así, la sentencia refuerza la idea de que la designación del delegado de protección de datos exige una revisión real de sus funciones internas. No basta con el nombramiento formal: si la persona participa en decisiones sobre tratamientos de datos, puede apreciarse conflicto de intereses y confirmarse la sanción.