CISO i Delegat de Protecció de Dades: poden ser la mateixa persona en una empresa?

by Juan Alcazar Santos | 20 ag., 2025

Amb l’entrada en vigor de les normatives més recents en seguretat de la informació obligatòries per a les empreses, com serien la Directiva NIS2, l’Esquema Nacional de Seguretat o les noves regulacions en matèria d’intel·ligència artificial i privacitat, moltes organitzacions es plantegen si poden unificar responsabilitats clau en una sola figura professional. Una de les preguntes més comunes és: pot un CISO (Chief Information Security Officer) o responsable de seguretat ser també el Delegat de Protecció de Dades (DPO)?

La resposta no és un sí o un no rotund: depèn de diversos factors legals, organitzatius i funcionals.

Contenido del artículo

Què diu el RGPD sobre la compatibilitat de funcions?

L’article 38.6 del Reglament General de Protecció de Dades (RGPD) estableix que:

“El delegat de protecció de dades podrà exercir altres funcions i comeses. El responsable o l’encarregat del tractament s’assegurarà que aquestes funcions i comeses no donin lloc a conflicte d’interessos.”

És a dir, el RGPD no prohibeix expressament que una mateixa persona sigui CISO i DPO, però exigeix que no hi hagi conflicte d’interessos entre les seves funcions.

CISO i Delegat de Protecció de Dades: funcions que poden xocar

Encara que ambdues figures comparteixen un objectiu comú (la protecció de la informació), els seus rols són diferents:

El DPO (Data Protection Officer) actua com a garant de la privacitat i el compliment del RGPD. Té una funció de supervisió, assessorament, i ha d’actuar amb independència davant la direcció.
El CISO és responsable d’implantar mesures de seguretat tècniques i organitzatives. Participa en la presa de decisions sobre sistemes, accessos, còpies de seguretat, DLP i altres controls. És, per tant, part activa en el “com” es protegeix la informació.

El conflicte sorgeix quan una mateixa persona dissenya els sistemes i també ha d’auditar-los de forma independent. Això vulnera el principi d’imparcialitat que exigeix el RGPD per al rol de DPO.

La postura de l’AEPD

L’Agència Espanyola de Protecció de Dades (AEPD) ha abordat aquesta qüestió en diverses guies i resolucions. En general, considera que:

No és recomanable que el DPO tingui responsabilitats operatives en el tractament de dades.
S’ha d’evitar que el DPO participi en decisions sobre finalitats i mitjans del tractament.
El CISO, pel seu rol tècnic, pot incórrer en conflicte si també actua com a DPO.

Això no implica una prohibició legal, però sí un criteri clar sobre els riscos d’aquesta doble funció.

Excepcions possibles

En organitzacions petites, on no hi ha recursos per separar funcions, pot justificar-se que una persona assumeixi ambdós papers. Però en aquest cas:

S’ha de deixar constància documental que no hi ha conflicte.
Es recomana que un tercer independent supervisi o auditi el compliment.
És aconsellable consultar-ho amb l’AEPD o un assessor legal especialitzat.

Bones pràctiques i recomanacions per al CISO i Delegat de Protecció de Dades d’una empresa

Separació estructural: L’ideal és que el DPO no depengui jeràrquicament del CISO ni de cap responsable d’àrea tècnica.
Transparència: Documentar com s’eviten conflictes d’interessos.
Supervisió externa: Comptar amb un tercer per auditar el compliment pot reforçar l’objectivitat.
Formació específica: Assegurar que ambdós perfils estiguin formats en les seves respectives matèries (ciberseguretat i protecció de dades).

En teoria, un CISO pot ser també DPO, però només si es garanteix que les seves funcions no entren en conflicte. En la pràctica, el més recomanable és separar ambdós rols per assegurar imparcialitat, compliment normatiu i una governança madura de la seguretat i la privacitat.

A Edorteam ajudem a definir estructures de compliment que funcionen, evitant errors que poden traduir-se en sancions o bretxes de seguretat. També pots designar-nos com a DPO extern per garantir la separació de funcions i, de passada, comptar amb un servei de consultoria expert en matèria de protecció de dades per a la teva empresa. Si tens dubtes sobre la compatibilitat de funcions a la teva empresa, podem ajudar-te a avaluar riscos i prendre la millor decisió.

Riesgos de que una misma persona ejerza como responsable de seguridad y delegado de protección de datos

Sol·licita informació

Segueix-nos a xarxes

Categorías del blog

Altres publicacions relacionades

Contracte d’encàrrec del tractament (RGPD): requisits, errors típics i checklist per treballar amb proveïdors cloud

16 set., 2025 | Protecció de dades i RGPD

El contracte d'encàrrec del tractament RGPD (art. 28) és la peça que autoritza un proveïdor a tractar dades personals per compte de la teva empresa (responsable del tractament). Sense aquest contracte —o amb un de mal redactat— el tractament és il·lícit, encara que el...

Protecció de dades a les empreses: els errors més comuns que es continuen repetint el 2025

28 jul., 2025 | Protecció de dades i RGPD

Ja han passat més de cinc anys des de l'aplicació plena del Reglament General de Protecció de Dades (RGPD), en vigor des del 25 de maig de 2018, i gairebé el mateix des de l'entrada en vigor de la Llei Orgànica 3/2018 de Protecció de Dades Personals i garantia dels...

Fraus en protecció de dades: errors que et poden costar sancions i com evitar-los

17 juny, 2025 | Protecció de dades i RGPD

Dins el sector de la protecció de dades, la desinformació i la picaresca han donat lloc a múltiples fraus que posen en risc tant la legalitat com la reputació de les empreses. Moltes pimes creuen estar complint la llei per haver contractat un servei barat o haver...