La Audiencia Nacional ha reiterado que el Delegado de Protección de Datos (DPD/DPO) no puede asumir funciones que lo conviertan en “juez y parte”. El órgano encargado de vigilar el cumplimiento de la normativa sobre protección de datos no puede, al mismo tiempo, participar en decisiones sobre cómo se tratan los datos personales, ya que ello comprometería la objetividad e independencia que exige el Reglamento.
La sentencia, número 139/2026, respalda la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) al Colegio Oficial de Arquitectos de Granada, que había designado como DPD a su secretario general.
El caso se originó tras un expediente sancionador en el que la AEPD impuso tres multas al Colegio, entre ellas una de 5.000 euros por vulnerar el artículo 38.6 del RGPD debido al conflicto de intereses derivado del nombramiento del secretario como delegado.
El Colegio recurrió ante la Audiencia Nacional alegando que no existía tal conflicto y que, además, como corporación de derecho público no podía ser sancionado económicamente. La Sala de lo Contencioso-Administrativo rechazó todos los argumentos.
Los magistrados constataron que el secretario general participaba en tareas como la admisión y baja de colegiados, la potestad disciplinaria, la gestión económica y la organización de servicios. Todas estas funciones implican intervenir en decisiones que afectan directamente al tratamiento de datos personales.
Por ello, concluye la Sala, quien debe supervisar el cumplimiento de la normativa de privacidad no puede simultáneamente decidir sobre los fines y medios del tratamiento. En palabras de la sentencia, si el DPD participa en esas decisiones, “difícilmente puede desempeñar con objetividad las funciones propias del cargo”.
La resolución refuerza una interpretación estricta del artículo 38.6 del RGPD: no basta con nombrar un DPD, sino que debe garantizarse una independencia funcional real.
En cuanto a la multa, el Colegio alegó que el artículo 77 de la LOPDyGDD impide sancionar económicamente a las corporaciones de derecho público. La Audiencia Nacional aclara que esta protección solo se aplica cuando el tratamiento de datos está directamente vinculado al ejercicio de potestades públicas.
Como las infracciones detectadas afectaban a actividades ordinarias del Colegio y no exclusivamente a funciones públicas, la Sala considera plenamente legítima la imposición de sanciones económicas.
La sentencia deja claro que los colegios profesionales no están automáticamente blindados frente a multas de la AEPD.