A nova Lei Orgânica 3/2018, de 5 de Dezembro, sobre a Protecção de Dados Pessoais e garantia dos direitos digitais, no seu artigo 34º, clarificou que os responsáveis pelo tratamento e os processadores de dados devem nomear um Responsável pela Protecção de Dados (RPD):
a) As associações profissionais e os seus conselhos gerais.
b) Centros de ensino que oferecem educação a qualquer dos níveis estabelecidos na legislação que regulamenta o direito à educação, bem como universidades públicas e privadas.
c) Entidades que operam redes de comunicações electrónicas e prestam serviços de comunicações electrónicas em conformidade com as disposições da sua legislação específica, quando processam de forma rotineira e sistemática dados pessoais em larga escala.
d) Prestadores de serviços da sociedade da informação quando efectuam perfis de utilizadores de serviços em larga escala.
e) Instituições incluídas no artigo 1º da Lei 10/2014 de 26 de Junho de 2014 sobre a regulamentação, supervisão e solvabilidade das instituições de crédito.
f) Instituições de crédito financeiras.
g) Instituições de seguros e resseguros.
h) Empresas de serviços de investimento, reguladas pela legislação do Mercado de Valores Mobiliários.
i) Distribuidores e comercializadores de energia eléctrica e distribuidores e comercializadores de gás natural.
j) Entidades responsáveis por processos comuns para a avaliação da solvabilidade e da solvabilidade ou processos comuns para a gestão e prevenção da fraude, incluindo os responsáveis pelos processos regulados pela legislação sobre a prevenção do branqueamento de capitais e o financiamento do terrorismo.
k) Entidades que realizam actividades de publicidade e prospecção comercial, incluindo actividades comerciais e de prospecção de mercado, quando realizam tratamentos baseados nas preferências das pessoas em causa ou realizam actividades que envolvam a definição do seu perfil.
l) Centros de saúde que são legalmente obrigados a manter registos clínicos dos doentes.
As excepções são os profissionais de saúde que, embora legalmente obrigados a manter registos de doentes, realizam a sua actividade numa base individual.
m) Entidades que têm como um dos seus objectos a emissão de relatórios comerciais que podem referir-se a pessoas singulares.
n) Operadores que exercem a sua actividade de jogo através de canais electrónicos, informatizados, telemáticos e interactivos, de acordo com os regulamentos que regem o jogo.
ñ) Empresas de segurança privada.
o) As federações desportivas quando processam dados sobre menores.
Os responsáveis ou processadores não obrigados podem nomear voluntariamente um responsável pela protecção de dados, que ficará sujeito ao regime estabelecido no Regulamento (UE) 2016/679 e na referida lei orgânica.
Os responsáveis pelo tratamento e os processadores de dados devem notificar a Agência Espanhola de Protecção de Dados ou, se for caso disso, as autoridades regionais de protecção de dados, no prazo de dez dias, das designações, nomeações e demissões dos responsáveis pela protecção de dados, tanto nos casos em que sejam obrigados a nomeá-los como nos casos em que a sua nomeação seja voluntária.
A Agência Espanhola de Protecção de Dados e as autoridades autónomas de protecção de dados manterão, no âmbito das suas respectivas competências, uma lista actualizada dos responsáveis pela protecção de dados, acessível por via electrónica.
No desempenho das suas funções, os responsáveis pelo tratamento e os processadores de dados podem estabelecer a dedicação total ou parcial do responsável pela protecção de dados, entre outros critérios, em função do volume de tratamento, da categoria especial de dados tratados ou dos riscos para os direitos ou liberdades das pessoas em causa.