El RGPD exige la designación de un DPD en tres casos concretos:
-
-
- cuando el tratamiento lo lleve a cabo una autoridad u organismo público (con independencia del tipo de datos que se traten)
- cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
- cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.
-
Téngase en cuenta que el Derecho de la Unión o de los Estados miembros podrá exigir el nombramiento de un DPD también en otras circunstancias. Finalmente, en algunos casos en los que el RGPD no requiere específicamente el nombramiento de un DPD, las organizaciones pueden considerar de utilidad designar un DPD de manera voluntaria. El Grupo de Trabajo sobre protección de datos del artículo 29 alienta estos esfuerzos voluntarios.
