El Reglamento General de Protección de Datos (RGPD) establece que ciertos responsables y encargados del tratamiento deben designar obligatoriamente un delegado de protección de datos (DPD).
Sector público: Cuando «el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial».
Observación sistemática a gran escala: si «las actividades principales [...] requieren una observación habitual y sistemática de interesados a gran escala» (por ejemplo, monitorización masiva de comportamientos o perfiles en Internet).
Datos sensibles a gran escala: si «las actividades principales [...] consisten en el tratamiento a gran escala de categorías especiales de datos personales […] y de datos relativos a condenas e infracciones penales».
Además, la LOPDPGDD impone la designación obligatoriamente en ciertos sectores, como centros educativos, entidades financieras o aseguradoras, centros sanitarios o empresas de servicios de comunicaciones electrónicas.
Una vez designado el DPD su nombramiento debe notificarse a la autoridad de control en un plazo de 10 días y publicarse su contacto.
El DPD actúa como garante interno del cumplimiento normativo, asesorando, supervisando y sirviendo de enlace con la autoridad de control.