Hace más de quince años, un grupo de profesionales de la privacidad encabezados por Carlos Saiz, abogado experto en privacidad y hoy vicepresidente de ISMS Forum y Nathaly Rey, Directora of Global Regulatory Affairs en Google Cloud y anterior Directora General de ISMS Forum, tuvieron la idea de crear una entidad que aglutinase las preocupaciones de los Delegados de Protección de Datos (DPO). Así nacía el Data Privacy Institute (DPI), que vertebró en 2010 el primer Foro de la Privacidad.

Este año celebrará su XVIII edición, centrada en el nuevo escenario normativo en protección de datos, ciberseguridad e identidad digital, en el décimo aniversario del RGPD. De esta entidad depende la DPO Community, que agrupa a más de 350 DPOs de grandes empresas. Actualmente, el DPI está en contacto con la AEPD y otras asociaciones en relación con la posible creación de un Estatuto Profesional para estos profesionales.

Nathaly Rey, Directora General de ISMS Forum en el periodo 2010-2013, reconoce que poner en marcha el DPI significó “situarnos en la vanguardia de una metamorfosis legislativa y tecnológica sin precedentes. Vivimos de primera mano el nacimiento del RGPD cuando apenas comenzaba a fraguarse en Bruselas con el fin de modernizar unas reglas de protección de datos que, hasta entonces, estaban pensadas para un mundo analógico. El RGPD introdujo conceptos y principios hoy esenciales, como la privacidad desde el diseño o la responsabilidad proactiva. Y hoy es el estándar de referencia en privacidad a nivel mundial”.

“En aquel momento, la privacidad solía percibirse como un freno burocrático; nuestro reto fue transformarla en un activo de confianza en la era digital, en la que Internet y la nube habían llegado para quedarse. Para lograrlo, impulsamos la figura del DPO a través de la certificación CDPP (Certified Data Privacy Professional), integrando el conocimiento técnico y jurídico en una posición clave, capaz de liderar la transición a la era digital en armonía con el respeto al derecho fundamental a la protección de datos”, comenta.

Sobre el papel de la comunidad que hay tras el DPI, indica que aglutinó en aquel entonces —y ahora a una escala mucho mayor— un talento de altísimo nivel cuya experiencia permitió aportar valor real a través de:

• Interlocución estratégica: actuamos como puente con la AEPD, trasladando la voz de los expertos a la redacción de las enmiendas en Bruselas.

• Buenas prácticas de referencia: ante la incertidumbre que generaba el salto a la nube, promovimos guías de Cloud Computing y protocolos de buenas prácticas para gestionar el impacto de las transferencias internacionales. “No nos limitamos a analizar el cambio; ayudamos a las organizaciones a adelantarse a él”.

“Así nos consolidamos como la rama especializada de ISMS Forum con un propósito claro: profesionalizar una disciplina que, hasta entonces, carecía de una estructura de referencia”, señala.

Carlos Saiz sigue al frente como director del DPI y vicepresidente de ISMS Forum, tareas que comparte con su actividad profesional como socio de Ecix Group, responsable del área de Risk, Governance & Compliance. El pasado 28 de enero participó en un evento organizado por la AEPD y la APDCAT, en el ICAB de Barcelona, con motivo del Día Internacional de Protección de Datos. En su mesa redonda se habló de la creación de un Estatuto Profesional del experto en privacidad.

“Es necesario contar con dicho Estatuto que fije nuestros derechos y obligaciones y nos dé la independencia que necesitamos para realizar nuestro cometido. Hoy contar con un DPO es un valor añadido porque ayuda a gestionar la protección de datos de una organización”, explica Saiz.

Origen y consolidación

Volviendo la vista atrás, nadie duda de que el Data Privacy Institute ha sido un elemento dinamizador de la protección de datos en nuestro país. Aquel primer evento donde se presentó el DPI, el 14 de julio de 2009 en el Colegio de Médicos de Madrid, contó con la asistencia de unos cien profesionales y con la intervención de Artemi Rallo, en aquel momento director de la AEPD, y de Antoni Bosch, primer director del DPI y profesor de la Universidad Autónoma de Barcelona, quien reconocía que “El DPI pretende asimismo ser una vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles y de otros países de habla hispana”.

En esa presentación ya se anunció la puesta en marcha de iniciativas muy concretas para ofrecer una formación de alto nivel dirigida a los futuros Data Privacy Officers, figura profesional que sin duda se asentaría y crecería en España en los años siguientes, fruto de la creciente necesidad de las empresas. Todo ello se concretaría en formación de postgrado, seminarios y jornadas sobre privacidad, así como en la futura creación de una certificación específica para el profesional de la privacidad, aún inexistente en nuestro país.

“Hemos ido cumpliendo estos hitos desde ISMS Forum y estamos orgullosos de la actividad del DPI hasta la fecha”, indica Saiz.

Hitos relevantes

A lo largo de la historia del DPI, su director define cuáles han sido los principales hitos de esta entidad, que el próximo 12 de febrero celebrará su XVIII Foro de la Privacidad en la capital de España, con la participación de expertos de referencia en materia de privacidad y protección de datos.

En primer lugar, destaca la generación de la primera certificación de profesionales en nuestro país, la CDPP(Certified Data Privacy Professional). Fue una de las primeras iniciativas del DPI en 2010, siendo pionera, ya que apareció antes del RGPD, de la certificación de la AEPD y de la existencia de iniciativas similares promovidas por otras asociaciones. Fue la primera certificación conocida en materia de privacidad y se certificaron más de 100 personas ese primer año.

En la actualidad hay más de 500 profesionales certificados que mantienen dicha certificación del DPI; algunos de ellos cuentan también con la certificación que posteriormente promovió la AEPD, entidad que impulsó un Esquema de Certificación para que las personas responsables puedan seleccionar a profesionales cuyas competencias como DPO hayan sido certificadas por entidades acreditadas por ENAC.

Junto a esta certificación se han desarrollado distintos programas formativos dirigidos a estos profesionales, como el Curso de Especialización en Protección de Datos, diseñado para certificar a Delegados de Protección de Datos (DPD) bajo el esquema de la AEPD e ISMS Forum. Su primera edición fue en 2012 y aborda la normativa (RGPD/LOPDGDD) desde perspectivas jurídicas y técnicas, incluyendo seguridad de la información. Está orientado a lograr la citada certificación DPD/CDPP, que se actualizó en 2016 tras la entrada en vigor del RGPD.

La actividad formativa de ISMS Forum se completa con cursos de especialización en ciberseguridad, conocimiento de la Directiva NIS2, gestión de IT en la cadena de suministro y programas de IA para profesionales de ciberseguridad y privacidad.

Otro elemento diferenciador de la evolución del DPI a lo largo de su historia han sido sus Foros Profesionales. El evento que tendrá lugar dentro de unos días en la capital de España en su XVIII edición, unas jornadas de carácter abierto a los profesionales del sector que habitualmente tienen dos itinerarios paralelos, uno sobre experiencias y buenas prácticas y otro sobre tendencias en protección de datos con expertos del más alto nivel. Junto con estos foros se ha credo la DPO Community, en el 2018  como foro exclusivo de DPO´s para intercambiar experiencias y el Observatorio de la Privacidad en el 2021.

Desde este Observatorio se viene realizando el Estudio sobre el nivel de madurez en la aplicación del RGPD, tiene como finalidad analizar y medir el grado de cumplimiento y madurez de las organizaciones en materia de protección de datos personales en España. A partir de una encuesta dirigida principalmente a Delegados de Protección de Daos, ofrece una visión detallada del estado actual de la gobernanza de la privacidad, los recursos disponibles, los procesos implantados y los principales retos a los que se enfrentan las organizaciones en la aplicación práctica del RGPD.

Asimismo, el estudio es una herramienta de bencharking permitiendo a las organizaciones comparar su nivel de madurez con el de otras entidades de distintos sectores y tamaños. De este modo,  facilita la identificación de buenas prácticas, áreas de mejora y tendencias relevantes ayudando tanto a profesionales de la privacidad como a la alta dirección a tomar decisiones informadas para fortalecer sus sistemas de gestión de protección de datos y prepararse ante futuros desafíos regulatorios, como el Reglamento Europeo de Inteligencia Artificial.

Libro Blanco del DPO

Como tercer elemento que define la actividad del Data Privacy Institute (DPI) se encuentra el Libro Blanco del DPO. En 2019 se presentó su primera edición en colaboración con ISMS Forum, del que ya existe una segunda edición desde 2025.

Aquella publicación nació hace seis años con la irrupción de la figura del DPO, delegado de protección de datos, fruto del trabajo de un grupo de profesionales relacionados con ISMS Forum. A lo largo de estos años, con la llegada del RGPD y ahora con la implementación del Reglamento de IA (RIA), este profesional se ha convertido en imprescindible en las organizaciones por la labor que realiza al reducir riesgos y garantizar algo tan relevante como la protección de datos en la organización.

La publicación se está actualizando tras la entrada en vigor de la normativa de la Unión Europea sobre Inteligencia Artificial (RIA), que ha introducido nuevos retos en la gestión del tratamiento de datos personales. “La regulación establece criterios específicos para garantizar la privacidad en el uso de la IA, exigiendo una mayor supervisión y medidas adicionales de cumplimiento, lo que refuerza aún más el papel del DPO en este ámbito”, apunta Carlos Saiz, director del DPI.

Desde esta perspectiva, para Saiz, “esta segunda edición del Libro Blanco del DPO no es simplemente una actualización de referencias normativas o un repaso de lo que ya conocíamos. Es una guía reflexiva y práctica sobre lo que hemos empezado a aprender en estos cinco años, los nuevos desafíos que han surgido y las mejores prácticas que pueden ayudar a los DPO a afrontar su labor con éxito. Y esto es solo el principio, porque tendremos que seguir la evolución de esta actividad en los próximos años”.

Para este jurista, “con el enfoque práctico que ha guiado la elaboración de esta guía, hemos integrado herramientas y metodologías que permiten optimizar la gestión del DPO. Destaca la inclusión de un apartado dedicado a las metodologías de reporte, donde se aborda la importancia de los indicadores clave de rendimiento (KPIs) como una estrategia eficaz para evaluar el grado de cumplimiento, supervisar la función y proporcionar a la alta dirección información clave para la toma de decisiones informadas”.

Como cuarto elemento, el director del DPI se refiere a las certificaciones que posicionan a ISMS Forum como entidad certificadora en el ámbito de la protección de datos. En la actualidad, la entidad actúa como certificadora oficial de procesos. Desde el pasado año, ha venido certificando a empresas que buscan profesionalizar su actividad como encargados del tratamiento, acreditando su cumplimiento efectivo de la normativa y su alineación con los estándares exigidos en la prestación de servicios a terceros. Esta certificación supone un valor añadido competitivo en el mercado. Actualmente, no existe ninguna otra institución que esté certificando este tipo de procesos.

A lo largo de estos años, la figura del DPO, gracias al trabajo de entidades como Data Privacy Institute e ISMS Forum, junto con otras organizaciones, ha adquirido un peso específico en el ámbito de la protección de datos. ISMS Forum forma parte del Consejo Consultivo de la AEPD desde 2025 y, a lo largo de estos años, los profesionales han mantenido relaciones con cuatro directores: Artemi Rallo (2007-2011), José Luis Rodríguez (2011-2015), Mar España (2015-2024) y, actualmente, Lorenzo Cotino. El actual presidente de la AEPD es habitual de los eventos del DPI y, en el próximo XVIII Foro de la Privacidad, será uno de los ponentes.

El DPI y la privacidad

En este contexto, el papel del DPI, en particular, e ISMS Forum, en general, en el ámbito de la privacidad ha sido relevante. Sus profesionales han sido testigos y, en algunos casos, actores de acontecimientos que han ido marcando la evolución de este sector, hoy estratégico en las empresas, así como del propio DPI y sus expertos en privacidad.

Cabe recordar que en el periodo 2016-2018 se aprobó el Reglamento General de Protección de Datos (RGPD) y, con posterioridad, la LOPDGDD en España. La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales actualizó la normativa española, incluyendo la herencia digital. El RGPD entró en vigor en 2016 y fue aplicable en 2018. Supuso un cambio radical al introducir el consentimiento explícito, la evaluación de impacto (DPIA), la notificación de brechas en 72 horas y el derecho al olvido. Para Carlos Saiz fueron años de gran actividad, como puede apreciarse en el contenido de los eventos que el DPI organizó en ese periodo.

A raíz de la aprobación de esta normativa, ISMS Forum se convirtió en entidad de certificación en colaboración con ENAC, se impulsó la certificación de profesionales y se puso en marcha la DPO Community. En estos años se publicaron distintas guías y estudios para entender el RGPD y analizar cómo impactaría la normativa europea en el futuro. Este cambio normativo fue determinante para los profesionales de la privacidad y, en el caso del DPI, contribuyó a su consolidación como entidad especializada en esta materia. La privacidad se convirtió en un elemento vinculado a la estrategia de cualquier organización, como se ha confirmado en los últimos años.

Otro de los momentos clave en materia de privacidad fue la sentencia sobre el derecho al olvido. Nació con la sentencia del TJUE del 13 de mayo de 2014, conocida como el “caso Mario Costeja”, que estableció que la información obsoleta debe dejar de mostrarse en los buscadores. En su momento fue una sentencia mediática que evidenció los procedimientos abiertos contra grandes buscadores desde la AEPD y que, con el paso del tiempo, se ha normalizado. Fue un tema más vinculado al usuario que se estudió en los foros del DPI, pero que no afectó de forma notable a este colectivo de expertos en privacidad. “Realmente afectó a la labor de los DPO relacionados con buscadores, empresas tecnológicas y medios informativos”, señala Saiz.

Para el director del DPI ambas iniciativas aportan un valor diferencial importante como lugar de intercambio de debate y opiniones entre los profesionales de la privacidad. En la actualidad en la DPO Community hay más de 350 DPOs de medianas y grandes empresas que lo integran. Habitualmente tienen tres reuniones al año.

Transferencias internacionales y evolución jurisprudencial

Uno de los temas más controvertidos en estos años han sido las transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE), reguladas estrictamente por el RGPD para garantizar un nivel de protección equivalente.

Las sentencias Schrems I (2015) y Schrems II (2020) del TJUE invalidaron respectivamente Safe Harbor y Privacy Shield, obligando a reforzar las evaluaciones y garantías adicionales. Posteriormente, el Tribunal General de la Unión Europea confirmó en septiembre de 2025 (asunto T-553/23, Latombe/Comisión) la validez del nuevo Marco de Privacidad de Datos UE-EEUU (DPF), aportando mayor seguridad jurídica.

Desde el DPI se insiste en que, aunque el marco actual aporta estabilidad, sigue siendo recomendable combinar el DPF con cláusulas contractuales tipo actualizadas y medidas técnicas adicionales, como el cifrado.

Relación con la AEPD y presente del DPO

A lo largo de estos años, la figura del DPO ha adquirido un peso específico en el ámbito de la protección de datos, gracias al trabajo de entidades como el Data Privacy Institute e ISMS Forum, junto con otras organizaciones.

ISMS Forum forma parte del Consejo Consultivo de la AEPD desde 2025.La relación con el regulador es fluida y continuada. La AEPD ha puesto el foco en el papel preventivo del DPO y en la necesidad de dotar de mayor certidumbre jurídica a estos profesionales.

El presente y futuro inmediato viene marcado por la entrada en vigor del Reglamento Europeo de Inteligencia Artificial (RIA). Desde el DPI se considera que supone un reto de magnitud comparable al que representó en su momento la implementación del RGPD. La IA Act no regula una figura concreta para garantizar su cumplimiento dentro de las organizaciones, lo que abre un espacio de oportunidad para que los DPO asuman un papel relevante en el diseño de los modelos de cumplimiento.