El “Delegado de Protección del Algoritmo” (DPA, para que el acrónimo suene a vacuna) no es un capricho tecnocrático: es la próxima silla que toda organización sensata tendrá que poner en la mesa… y con respaldo alto. La razón es prosaica: si alimentas un modelo con documentación sesgada o entrenas con datos torcidos, la IA replicará el sesgo con precisión industrial. Da igual si tiras de RAG, documentos añadidos o de fine-tuning: el sesgo de origen pasa a producción como si fuera una “feature”. Los escándalos que suceden casi a diario ya lo dicen sin rubor: el sesgo algorítmico es un riesgo operativo real, ligado tanto a datos como a decisiones humanas a lo largo del ciclo de vida del modelo.
Los antecedentes están servidos. El RGPD obligó a crear el DPD en lo público y en lo privado cuando hay gestión sistemática de datos. Ese DPD debe nombrarse por cualificación y estar “fácilmente accesible” en el grupo, con funciones definidas en el art. 39. Traducción: gobernanza formal y accountability. En España, la LOPDGDD reforzó la independencia: el DPD puede inspeccionar, emitir recomendaciones y no puede ser cesado por cumplir con su trabajo; además tiene acceso a la información necesaria. Vamos, un rol de control con fuero propio.
Ahora súmele el ENS, que exige gestionar la seguridad “basada en riesgos”, con “existencia de líneas de defensa” y “diferenciación de responsabilidades”. No es poesía: es arquitectura de control. Esa estructura encaja como guante con el DPA: una segunda línea de defensa que mira al algoritmo entero —no solo a los datos personales— con foco en equidad, explicabilidad y trazabilidad. Y sí, coordinado con el DPD, pero sin solaparse.
¿Y la ola regulatoria de IA? El RIA (Reglamento europeo de IA) empieza a apretar: los proveedores de GPAI cargarán con model cards y resúmenes de entrenamiento; la transparencia del art. 50.4 y los deberes para alto riesgo llegan en 2026. Señales luminosas para que las casas pongan orden documental, métricas y cadenas de trazabilidad. El DPA es, básicamente, quien puede coordinar ese fregado sin que cada proyecto invente su liturgia.
¿Será “otro gorro” para el DPD o una figura aparte? Depende del tamaño y del apetito de riesgo. En organizaciones pequeñas o con automatizaciones modestas, el DPA puede ser una ampliación natural del DPD —misma independencia, más alcance técnico y potestad de exigir EIAs, métricas de equidad y observabilidad— siempre que no haya conflicto de intereses ni déficit de pericia. En las empresas o instituciones que viven (o mueren) por decisiones algorítmicas, el DPA debe ser independiente, con capacidad de parar un despliegue de alto riesgo hasta que se cierre la brecha. Esto no es postureo: es gobierno efectivo del modelo.
En resumen: se puede seguir confiando en el “lo ha dicho la IA” o se puede profesionalizar la rendición de cuentas. El DPD ya abrió la puerta; el ENS puso las barandillas; el RIA traerá el control de equipaje. Entre tanto, el DPA es la figura que falta para que los algoritmos rindan cuentas como adultos. Y si alguien te dice que es “excesivo”, pregúntale cuántos sesgos quiere en producción esta semana.