Saltar al contenido
RGPD

Artículo 37

Designación del delegado de protección de datos

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

(a)

el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

(b)

las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

(c)

las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.

3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Preguntas habituales

Preguntas frecuentes

¿Cuándo está obligada una empresa a designar un delegado de protección de datos?

La designación es obligatoria en tres casos: cuando el tratamiento lo realiza una autoridad u organismo público (salvo los tribunales en su función judicial), cuando las actividades principales requieren una observación habitual y sistemática de personas a gran escala, y cuando las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales.

Fuera de esos casos la designación es voluntaria, salvo que la legislación de su país de la UE la exija de todos modos.

¿Pueden varias empresas compartir un mismo delegado de protección de datos?
Sí. Un grupo empresarial puede nombrar un único delegado, siempre que sea fácilmente accesible desde cada establecimiento. Las autoridades y organismos públicos también pueden compartir un delegado entre varias organizaciones, teniendo en cuenta su estructura y tamaño.
¿Qué cualificación necesita un delegado de protección de datos?
El delegado se designa atendiendo a sus cualidades profesionales, en particular a sus conocimientos especializados del Derecho y la práctica de la protección de datos, y a su capacidad para desempeñar las funciones del artículo 39. Puede ser un empleado o una persona externa que trabaje mediante un contrato de servicios.
¿Hay que publicar los datos de contacto del delegado?
Sí. Hay que publicar los datos de contacto del delegado de protección de datos y comunicarlos a la autoridad de control. La finalidad es que tanto las personas cuyos datos se tratan como la autoridad puedan contactar con el delegado de forma directa y sencilla.