Navegación
RGPD > Artículo 39. Funciones del delegado de protección de datos
Descargar PDF

Artículo 39 RGPD. Funciones del delegado de protección de datos

Article 39 GDPR. Tasks of the data protection officer

1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:

1. The data protection officer shall have at least the following tasks:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

Textos enlazados

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

ISO 27701
Textos enlazados

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;

Textos enlazados

d) cooperar con la autoridad de control;

(d) to cooperate with the supervisory authority;

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.

2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

Textos enlazados
Comentario de expertos ISO 27701 Ley de Directrices y caso Deja un comentario
Comentario de expertos

(RU) Статья 39 перечисляет список основных (но не всех) задач, которые входят в спектр обязанностей инспектора по защите данных (DPO). Среди них можно выделить три главных функции (хотя компетенции DPO не обязательно ограничиваются только ими): 

  1. Консультирование (39.1a, c),
  2. Контроль / мониторинг (39.1b),
  3. Связь с надзорным органом (39.1d, e).

1. Функция консультирование заключается в том, что DPO предоставляет информацию и пояснения о GDPR и его соблюдении контролеру и процессору, а также сотрудникам контролера и процессора, которые вовлечены в обработку персональных данных. В частности, роль DPO важна при проведении оценки воздействия на защиту персональных данных (DPIA), так как DPO консультирует и контролирует ее осуществление в соответствии со Статьей 35 GDPR. WP29 рекомендует контроллеру обращаться за консультацией к DPO, например, по следующим вопросам:

  • проводить или не проводить DPIA;
  • какой методологией следует руководствоваться при проведении DPIA;
  • проводить DPIA собственными силами или передавать его на внешний подряд;
  • какие гарантии (включая технические и организационные меры) следует применять для смягчения любых последствий;
  • риски для прав и интересов субъектов персональных данных;
  • была ли проведена оценка воздействия на защиту данных правильно и соответствуют ли ее выводы GDPR (следует ли продолжать обработку и какие меры предосторожности следует применять).

2. Что касается контролирующей (мониторинговой) функции DPO, то здесь имеется ввиду контроль соблюдения законодательства о защите данных и внутренних нормативных актов по защите персональных данных, а также повышение осведомленности по вопросам защиты данных, обучение персонала и проведение внутреннего аудита. В рамках этих обязанностей по контролю за соблюдением требований DPO могут, в частности, делать следующее:

  • собирать информацию для выявления  деятельности по обработке персональных данных;
  • анализировать и проверять соответствия этой деятельности;
  • информирование, консультирование и выдача рекомендаций контроллеру или процессору по конкретным процессам и обработкам и т.п.

Следует также уточнить, что наличие мониторинговой функции у DPO не означает, что именно DPO несет личную ответственность в случаях несоблюдения. В  GDPR четко указано, что именно контролер обязан «принимать надлежащие технические и организационные меры для обеспечения и демонстрации того, что обработка осуществляется в соответствии с настоящим регламентом» (Статья 24(1)). Соблюдение требований по защите данных является корпоративной ответственностью владельца данных, а не DPO. 

3. Кроме того, DPO также сотрудничает с надзорным органом и является первым контактным лицом для контролирующих органов и для лиц, чьи данные обрабатываются. Можно сказать, что у DPO роль координатора или фасилитатора, о чем надзорные органы говорят в некоторых своих руководствах (Guidelines). Например, DPO выступает в качестве контактного пункта, чтобы облегчить надзорному органу  доступ к документам и информации для выполнения задач, упомянутых в Статье 57, а также для осуществления своих следственных, корректирующих, разрешающих и консультационных полномочий, упомянутых в Статье 58. Как известно из Статьи 38, DPO обязан соблюдать профессиональную тайну при выполнении своих обязанностей. Однако обязанность соблюдать тайну/конфиденциальность не запрещает DPO связываться с надзорным органом и обращаться за советом к нему.


para acceder al texto completo

(EN) Author
(EN) Maria Arnst CIPM, TÜV
(EN) GDPR Consultant
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 39 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


para acceder al texto completo

Ley de Directrices y caso Deja un comentario