Cómo demostrar el cumplimiento del artículo 38 del RGPD

El artículo 38 del RGPD explica el papel y las responsabilidades del Delegado de Protección de Datos (DPD), destacando su independencia, su implicación en asuntos de protección de datos y la accesibilidad a los interesados, garantizando al mismo tiempo la ausencia de conflictos de intereses y el cumplimiento de las normas del RGPD.

Solicite una demo
Autor
Max Edwards
Actualizado el 11 de marzo de 2025
LinkedIn Twitter Twitter

Requisitos clave del artículo 38 del RGPD: lo que las empresas deben saber

A continuación del artículo 37 que trata de la cita de un DPO, GDPR El artículo 38 describe la alcance de sus funciones, su posición en la organización y algunas tareas y deberes específicos.

RGPD Artículo 38 Texto Legal

Versión del RGPD de la UE

Cargo del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento se asegurarán de que el delegado de protección de datos participe, adecuada y oportunamente, en todas las cuestiones relacionadas con la protección de datos personales.
  2. El responsable y el encargado del tratamiento ayudarán al delegado de protección de datos en el desempeño de las tareas a que se refiere el artículo 39 proporcionándole los recursos necesarios para llevar a cabo dichas tareas y el acceso a los datos personales y a las operaciones de tratamiento, y para mantener sus conocimientos especializados.
  3. El responsable y el encargado del tratamiento se asegurarán de que el delegado de protección de datos no reciba instrucciones sobre el ejercicio de dichas funciones. No será despedido ni sancionado por el responsable o el encargado del tratamiento por el desempeño de sus funciones. El delegado de protección de datos dependerá directamente del nivel directivo más alto del responsable o del encargado.
  4. Los interesados ​​podrán ponerse en contacto con el delegado de protección de datos con respecto a todas las cuestiones relacionadas con el procesamiento de sus datos personales y con el ejercicio de sus derechos en virtud del presente Reglamento.
  5. El delegado de protección de datos estará obligado a guardar secreto o confidencialidad en relación con el desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
  6. El delegado de protección de datos podrá cumplir otras tareas y deberes. El responsable o el encargado del tratamiento se asegurarán de que dichas tareas y deberes no den lugar a un conflicto de intereses.

Versión del RGPD del Reino Unido

Cargo del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento se asegurarán de que el delegado de protección de datos participe, adecuada y oportunamente, en todas las cuestiones relacionadas con la protección de datos personales.
  2. El responsable y el encargado del tratamiento ayudarán al delegado de protección de datos en el desempeño de las tareas a que se refiere el artículo 39 proporcionándole los recursos necesarios para llevar a cabo dichas tareas y el acceso a los datos personales y a las operaciones de tratamiento, y para mantener sus conocimientos especializados.
  3. El responsable y el encargado del tratamiento se asegurarán de que el delegado de protección de datos no reciba instrucciones sobre el ejercicio de dichas funciones. No será despedido ni sancionado por el responsable o el encargado del tratamiento por el desempeño de sus funciones. El delegado de protección de datos dependerá directamente del nivel directivo más alto del responsable o del encargado.
  4. Los interesados ​​podrán ponerse en contacto con el delegado de protección de datos con respecto a todas las cuestiones relacionadas con el procesamiento de sus datos personales y con el ejercicio de sus derechos en virtud del presente Reglamento.
  5. El delegado de protección de datos estará obligado a guardar secreto o confidencialidad en el desempeño de sus funciones, de conformidad con la legislación interna.
  6. El delegado de protección de datos podrá cumplir otras tareas y deberes. El responsable o el encargado del tratamiento se asegurarán de que dichas tareas y deberes no den lugar a un conflicto de intereses.


Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


Comentario técnico

El artículo 38 del RGPD aborda tres áreas principales de operación que se refieren al alcance de las funciones del Delegado de Protección de Datos dentro de la organización:

  1. El específico papel del DPO dentro de la organización, y cómo intervienen en la protección de los datos de una persona.
  2. La importancia de mantener imparcialidad y confidencialidad, en el desempeño de sus funciones, libres de escrutinio indebido o interferencia por parte de la dirección de la organización.
  3. La necesidad de evitar cualquier conflictos de interés, si el RPD desempeña cualquier otra función dentro de la organización, relacionada o no con sus obligaciones como RPD.

ISO 27701 Cláusula 6.3.1.1 (Roles y responsabilidades de seguridad de la información) y Artículo 38 del RGPD de la UE

En este apartado hablamos de los artículos 38(1), 38(2), 38(3), 38(4), 38(5), 38(6) del RGPD.

Las organizaciones deben definir roles y responsabilidades que sean específicas de las funciones individuales contenidas en su política de protección de la privacidad, tanto su política general como sus políticas temáticas específicas.

Las personas con responsabilidades específicas deben tener las habilidades suficientes para llevar a cabo tareas relacionadas con la privacidad y se les debe ofrecer apoyo continuo que mantenga un nivel aceptable de competencia.

Las áreas de responsabilidad deben incluir:

  • La protección de la PII y cualquier activo relacionado con la privacidad.
  • Ejecutar procedimientos de protección de la privacidad.
  • Actividades de gestión de riesgos relacionados con la PII, incluidas acciones correctivas.
  • Cualquiera que utilice la información y los datos de la organización, incluido el uso de activos TIC.
  • Personas con responsabilidad de alto nivel en materia de protección de la privacidad que delegan tareas a otros.

ISO reconoce que cada organización es única en la forma en que procesa la información. Las áreas de responsabilidad anteriores deben ir acompañadas de pautas específicas del sitio y de la instalación que tengan en cuenta los factores del mundo real que afectan la operación de procesamiento de PII de una organización.

Todas las responsabilidades y áreas de seguridad anteriores deben documentarse claramente y ponerse a disposición de todos los miembros del personal relevantes.

Las organizaciones deben designar a una persona que los clientes (y las autoridades externas) puedan utilizar como punto de contacto exclusivo para todos los asuntos relacionados con la PII (consulte la cláusula 27701 de la norma ISO 7.3.2).

Además, las organizaciones deben delegar la responsabilidad a una o más personas para crear un programa de gobernanza de la privacidad organizacional que refuerce el cumplimiento de las leyes y regulaciones de PII localizadas y nacionales.

Respaldo de cláusulas ISO 27701

  • ISO 27701 7.3.2


El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 6.10.2.4 (Acuerdos de confidencialidad o no divulgación) y Artículo 38 (5) del RGPD UE

Al redactar, implementar y mantener NDA, las organizaciones deben:

  • Ofrecer una definición de la información que se desea proteger.
  • Describa claramente la duración prevista del acuerdo.
  • Indique claramente las acciones requeridas una vez que se haya rescindido el acuerdo.
  • Cualquier responsabilidad que acuerden los firmantes confirmados.
  • Propiedad de la información (incluida la propiedad intelectual y los secretos comerciales).
  • Cómo se permite a los firmantes utilizar la información.
  • Describa claramente el derecho de la organización a monitorear la información confidencial.
  • Cualesquiera repercusiones que se deriven del incumplimiento.
  • Revisa periódicamente sus necesidades de confidencialidad y ajusta cualquier acuerdo futuro en consecuencia.

Las leyes de confidencialidad varían de una jurisdicción a otra, y las organizaciones deben considerar sus propias obligaciones legales y regulatorias al redactar NDA y acuerdos de confidencialidad (consulte ISO 27002 controles 5.31, 5.32, 5.33 y 5.34).

Compatible con controles ISO 27002

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

Índice de artículos vinculados del RGPD de la UE, cláusulas ISO 27701 y controles ISO 27002

Artículo del RGPDCláusula ISO 27701Controles ISO 27002
Artículos 38 (1) a 38 (6) del RGPD UE ISO 27701 6.3.1.1
ISO 27701 7.3.2		Nona
Artículo 38 (5) del RGPD UE ISO 27701 6.10.2.4 ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34

Cómo ayuda ISMS.online

Cumplimiento del RGPD con SGSI.online

Nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar' en la plataforma ISMS.online facilita la demostración de su enfoque de cumplimiento del RGPD. Además, se beneficiará de potentes funciones que le permitirán ahorrar tiempo.

En caso de que suceda lo peor, estará preparado. Al documentar y aprender de cada incidente, le facilitamos la planificación y comunicación de su flujo de trabajo contra violaciones.

Descubre más por reservar una demostración.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!