CISO y Delegado de Protección de Datos: ¿pueden ser la misma persona en una empresa?

por Juan Alcazar Santos | 20 Ago, 2025

Con la entrada en vigor de las normativas más recientes en seguridad de la información obligatorias para las empresas, como lo serían la Directiva NIS2, el Esquema Nacional de Seguridad o las nuevas regulaciones en materia de inteligencia artificial y privacidad, muchas organizaciones se plantean si pueden unificar responsabilidades clave en una sola figura profesional. Una de las preguntas más comunes es: ¿puede un CISO (Chief Information Security Officer) o responsable de seguridad ser también el Delegado de Protección de Datos (DPO)?

La respuesta no es un sí o un no rotundo: depende de varios factores legales, organizativos y funcionales.

Contenido del artículo

¿Qué dice el RGPD sobre la compatibilidad de funciones?

El artículo 38.6 del Reglamento General de Protección de Datos (RGPD) establece que:

«El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o el encargado del tratamiento se asegurará de que dichas funciones y cometidos no den lugar a conflicto de intereses.»

Es decir, el RGPD no prohíbe expresamente que una misma persona sea CISO y DPO, pero exige que no exista conflicto de intereses entre sus funciones.

CISO y Delegado de Protección de Datos: funciones que pueden chocar

Aunque ambas figuras comparten un objetivo común (la protección de la información), sus roles son diferentes:

El DPO (Data Protection Officer) actúa como garante de la privacidad y el cumplimiento del RGPD. Tiene una función de supervisión, asesoramiento, y debe actuar con independencia frente a la dirección.
El CISO es responsable de implantar medidas de seguridad técnicas y organizativas. Participa en la toma de decisiones sobre sistemas, accesos, backups, DLP y otros controles. Es, por tanto, parte activa en el «cómo» se protege la información.

El conflicto surge cuando una misma persona diseña los sistemas y también debe auditarlos de forma independiente. Esto vulnera el principio de imparcialidad que exige el RGPD para el rol de DPO.

La postura de la AEPD

La Agencia Española de Protección de Datos (AEPD) ha abordado esta cuestión en varias guías y resoluciones. En general, considera que:

No es recomendable que el DPO tenga responsabilidades operativas en el tratamiento de datos.
Debe evitarse que el DPO participe en decisiones sobre finalidades y medios del tratamiento.
El CISO, por su rol técnico, puede incurrir en conflicto si también actúa como DPO.

Esto no implica una prohibición legal, pero sí un criterio claro sobre los riesgos de esa doble función.

Excepciones posibles

En organizaciones pequeñas, donde no hay recursos para separar funciones, puede justificarse que una persona asuma ambos papeles. Pero en ese caso:

Debe dejarse constancia documental de que no hay conflicto.
Se recomienda que un tercero independiente supervise o audite el cumplimiento.
Es aconsejable consultarlo con la AEPD o un asesor legal especializado.

Buenas prácticas y recomendaciones para el CISO y Delegado de Protección de Datos de una empresa

Separación estructural: Lo ideal es que el DPO no dependa jerárquicamente del CISO ni de ningún responsable de área técnica.
Transparencia: Documentar cómo se evitan conflictos de intereses.
Supervisión externa: Contar con un tercero para auditar el cumplimiento puede reforzar la objetividad.
Formación específica: Asegurar que ambos perfiles estén formados en sus respectivas materias (ciberseguridad y protección de datos).

En teoría, un CISO puede ser también DPO, pero solo si se garantiza que sus funciones no entran en conflicto. En la práctica, lo más recomendable es separar ambos roles para asegurar imparcialidad, cumplimiento normativo y una gobernanza madura de la seguridad y la privacidad.

En Edorteam ayudamos a definir estructuras de cumplimiento que funcionan, evitando errores que pueden traducirse en sanciones o brechas de seguridad. También puedes designarnos como DPO externo para garantizar la separación de funciones y, de paso, contar con un servicio de consultoría experto en materia de protección de datos para tu empresa. Si tienes dudas sobre la compatibilidad de funciones en tu empresa, podemos ayudarte a evaluar riesgos y tomar la mejor decisión.

Riesgos de que una misma persona ejerza como responsable de seguridad y delegado de protección de datos

Solicita información

Síguenos en redes

Categorías del blog

Otras publicaciones relacionadas

Protección de datos en empresas: los errores más comunes que siguen repitiéndose en 2025

28 Jul, 2025 | Protección de datos y RGPD

Han pasado ya más de cinco años desde la plena aplicación del Reglamento General de Protección de Datos (RGPD), en vigor desde el 25 de mayo de 2018, y casi lo mismo desde la entrada en vigor de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de...

¿Ya hiciste tu auditoría RGPD? El error que muchas empresas cometen sin saberlo (y puede salir caro)

23 Jun, 2025 | Protección de datos y RGPD

Cumplir con el RGPD no consiste en firmar cuatro documentos y guardarlos en un cajón. Y sin embargo, muchas empresas creen que eso es suficiente. No es culpa tuya: durante años se ha vendido la protección de datos como una obligación burocrática, un papel más para...

Fraudes en protección de datos: errores que pueden costarte sanciones y cómo evitarlos

17 Jun, 2025 | Protección de datos y RGPD

En el sector de la protección de datos, la desinformación y la picaresca han dado lugar a múltiples fraudes que ponen en riesgo tanto la legalidad como la reputación de las empresas. Muchas pymes creen estar cumpliendo con la ley por haber contratado un servicio...