Herramienta · Delegado de Protección de Datos

Test: ¿tu empresa necesita un DPO obligatorio?

Responde seis preguntas sobre tu organización, tu actividad principal y tu sector. Te decimos si el nombramiento de un delegado de protección de datos es obligatorio, recomendado o no exigible, con la letra exacta del artículo que lo funda.

Base legal RGPDArt. 37.1
Ampliación españolaArt. 34.1 LOPDGDD
Supuestos cerrados16 letras (a–o)

Qué hace: comprueba, a partir de tus respuestas, si tu organización cae en alguno de los tres supuestos obligatorios del artículo 37.1 del RGPD (autoridad pública, observación a gran escala, categorías especiales a gran escala) o en alguno de los dieciséis supuestos cerrados del artículo 34.1 de la LOPDGDD (colegios profesionales, centros docentes, aseguradoras, entidades de crédito, distribuidoras de energía, centros sanitarios, ISPs con perfiles a gran escala, entre otros).

Para quién: gerencia, dirección legal y responsables de cumplimiento que necesitan saber, con la letra del artículo en la mano, si nombrar un DPO es una obligación legal, una recomendación prudente o algo que hoy no aplica a su caso.

Esta herramienta es orientativa y no constituye asesoramiento profesional. No sustituye un análisis de tu registro de actividades de tratamiento ni de las excepciones concretas de tu caso (por ejemplo, si tu autoridad pública es un tribunal en función judicial, o los matices reales de "actividad principal"). Verifica tu situación con el servicio de DPO externo de Summum Consultoría o con un profesional antes de actuar.

Comprueba tu obligación

Cómo funciona el veredicto.

Metodología · dos normas, en cascada
01

Comprobamos el RGPD primero

Los tres supuestos del art. 37.1: autoridad pública, observación habitual y sistemática a gran escala, o tratamiento a gran escala de categorías especiales/datos penales. Cualquiera de los tres, por sí solo, obliga.

02

Comprobamos la lista española

El art. 34.1 LOPDGDD añade dieciséis supuestos cerrados (a–o) con independencia del RGPD: si tu sector está en esa lista, hay obligación aunque no encajes en ninguno de los tres supuestos anteriores.

03

Si hay dudas, no inventamos

Cuando respondes "no lo sé" en observación a gran escala, categorías especiales, o en los supuestos condicionados de telecomunicaciones/ISP, marcamos el caso como de análisis individual, con los factores exactos que usa el CEPD para valorarlo.

04

Sin obligación no es sin recomendación

Si ningún supuesto legal aplica pero el volumen de personas afectadas es muy alto, lo señalamos como recomendado: puedes designar un DPO voluntario (art. 34.2 LOPDGDD) con el mismo régimen de garantías.

Preguntas frecuentes sobre la obligación de DPO.

¿Cuáles son los tres supuestos del art. 37.1 RGPD que obligan a nombrar un DPO?

El artículo 37.1 del RGPD obliga a designar un delegado de protección de datos cuando: a) el tratamiento lo lleva a cabo una autoridad u organismo público (excepto los tribunales en el ejercicio de su función judicial); b) la actividad principal requiere una observación habitual y sistemática de interesados a gran escala; o c) la actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos (art. 9 RGPD) o de datos de condenas e infracciones penales (art. 10 RGPD).

¿Qué añade el art. 34.1 de la LOPDGDD a esos tres supuestos?

El artículo 34.1 de la LOPDGDD amplía la obligación, con independencia de que se cumplan o no los supuestos del RGPD, a una lista cerrada de dieciséis tipos de entidades: colegios profesionales, centros docentes y universidades, operadores de telecomunicaciones y prestadores de servicios de la sociedad de la información (estos dos últimos solo cuando actúan a gran escala), entidades de crédito, establecimientos financieros de crédito, aseguradoras y reaseguradoras, empresas de servicios de inversión, distribuidoras de energía eléctrica y gas natural, entidades de ficheros de solvencia o prevención del fraude (incluido PBC-FT), empresas de publicidad y prospección comercial que elaboran perfiles, centros sanitarios con historias clínicas, entidades de informes comerciales, operadores de juego electrónico, empresas de seguridad privada y federaciones deportivas que tratan datos de menores.

¿Qué significa "a gran escala" si el RGPD no da un número concreto?

Ni el RGPD ni la LOPDGDD fijan un umbral numérico. Las Directrices WP243 del antiguo Grupo de Trabajo del Artículo 29 (asumidas por el Comité Europeo de Protección de Datos) y la propia AEPD indican valorar conjuntamente el número de interesados afectados, el volumen de datos, la duración del tratamiento y su alcance geográfico. Por eso, cuando la respuesta no es clara, esta herramienta señala el caso como de análisis individual en lugar de inventar un número.

¿Puedo nombrar un DPO aunque no esté legalmente obligado?

Sí. El artículo 34.2 de la LOPDGDD permite la designación voluntaria de un delegado de protección de datos, que queda sometido al mismo régimen legal que el DPO obligatorio (RGPD y LOPDGDD). Es recomendable cuando el volumen de personas afectadas es muy alto aunque ningún supuesto legal lo exija todavía.

¿Qué pasa si mi caso no encaja claramente en ninguna de estas reglas?

La herramienta lo marca como "requiere análisis individual" en vez de forzar un veredicto. Esto ocurre sobre todo con la observación habitual y sistemática o el tratamiento de categorías especiales, porque su alcance depende de las Directrices WP243 y de las circunstancias reales de cada organización, algo que un formulario no puede sustituir.

¿Este test sustituye el asesoramiento de un profesional?

No. Es orientativo y no analiza tu registro de actividades de tratamiento ni tus flujos de datos reales ni excepciones sectoriales adicionales. Verifica tu situación con el servicio de DPO externo de Summum Consultoría o con un profesional antes de actuar.

¿Nombramos tu
DPO externo?

Delegado de Protección de Datos externo, especializado por sector y registrado en la AEPD.