Navega莽茫o
RGPD (GDPR) > Art铆culo聽37. Designaci贸n del delegado de protecci贸n de datos
Descarregar PDF

Art铆culo聽37 RGPD. Designaci贸n del delegado de protecci贸n de datos

1. El responsable y el encargado del tratamiento designar谩n un delegado de protecci贸n de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo p煤blico, excepto los tribunales que act煤en en ejercicio de su funci贸n judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en raz贸n de su naturaleza, alcance y/o fines, requieran una observaci贸n habitual y sistem谩tica de interesados a gran escala,聽o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categor铆as especiales de datos personales con arreglo al art铆culo聽9 y de datos relativos a condenas e infracciones penales a que se refiere el art铆culo聽10.

Textos ligados

2. Un grupo empresarial podr谩 nombrar un 煤nico delegado de protecci贸n de datos siempre que sea f谩cilmente accesible desde cada establecimiento.

Textos ligados

3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo p煤blico, se podr谩 designar un 煤nico delegado de protecci贸n de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tama帽o.

4. En casos distintos de los contemplados en el apartado聽1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categor铆as de responsables o encargados podr谩n designar un delegado de protecci贸n de datos o deber谩n designarlo si as铆 lo exige el Derecho de la Uni贸n o de los Estados miembros. El delegado de protecci贸n de datos podr谩 actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

5. El delegado de protecci贸n de datos ser谩 designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la pr谩ctica en materia de protecci贸n de datos y a su capacidad para desempe帽ar las funciones indicadas en el art铆culo聽39.

Textos ligados

6. El delegado de protecci贸n de datos podr谩 formar parte de la plantilla del responsable o del encargado del tratamiento o desempe帽ar sus funciones en el marco de un contrato de servicios.

7. El responsable o el encargado del tratamiento publicar谩n los datos de contacto del delegado de protecci贸n de datos y los comunicar谩n a la autoridad de control.

Coment谩rio de especialista ISO 27701 Considerandos Lei de Diretrizes & Case Deixe um coment谩rio
Coment谩rio de especialista

(EN) The article explains when and under what conditions a Data Protection Officer (DPO) should be appointed or hired. In most cases, at least one of the following conditions is sufficient for the company to be required to have a DPO:

  • if data processing is performed by state authorities (except for courts)

(EN) [鈥


to read the full text

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 37 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).

(EN) [鈥


to read the full text

Considerandos

(97) Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la pr谩ctica en materia de protecci贸n de datos si el tratamiento lo realiza una autoridad p煤blica, a excepci贸n de los tribunales u otras autoridades judiciales independientes en el ejercicio de su funci贸n judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistem谩tico de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categor铆as especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable est谩n relacionadas con sus actividades primarias y no est谩n relacionadas con el tratamiento de datos personales como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en funci贸n de las operaciones de tratamiento de datos que se lleven a cabo y de la protecci贸n exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protecci贸n de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempe帽ar sus funciones y cometidos de manera independiente.

Lei de Diretrizes & Case Deixe um coment谩rio
[js-disqus]