Checklist DPO

No se tratan los datos con fines distintos que para los recogidos *

Se recaban únicamente los datos necesarios para la finalidad concreta *

Los datos personales se mantienen exactos y en caso contrario se actualizan *

Se conservan durante más tiempo del necesario *

Se tratan con fines estadísticos, históricos, de archivo en interés público o de investigación científica *

Se han implantado medidas de seguridad para proteger la integridad y confidencialidad de los datos *

Se han implantado medidas de seguridad contra el tratamiento no autorizado o ilícito de los datos *

Se han implantado medidas de seguridad para evitar su pérdida, destrucción o daño accidental *


Se puede demostrar que el afectado dio su consentimiento para el tratamiento *

Se solicita el consentimiento de forma clara, sencilla e independiente de los demás asuntos *

Se solicita el consentimiento de forma inteligible y de fácil acceso *

Se informa con carácter previo a recabar el consentimiento *

Se ofrecen medios de fácil acceso para retirar el consentimiento en cualquier momento *

Se suprimen los datos cuando no son necesarios en relación con los fines para los que fueron recogidos *

Se suprimen los datos cuando se retira el consentimiento en que se basa el tratamiento *

Se recaba el consentimiento de menores de 14 años al titular de la patria potestad o tutela sobre el niño

En caso afirmativo a la anterior pregunta, se verifica que el consentimiento fue dado por el titular de la patria potestad o tutela sobre el niño


Se obtiene y/o trata información adicional con vistas a identificar al interesado cuando los fines no requieren esa identificación.

Existe un procedimiento adecuado de pseudonimización

Se puede demostrar que los datos anonimizados no permiten identificar a los interesados

Se informa al interesado y se recaba su consentimiento cuando se llega a su identificación

Se cancelan los datos cuando se llega a identificar al interesado


Se toman medidas para facilitar al interesado toda la información relativa al tratamiento *

La información se facilita de forma concisa, transparente e inteligible, en lenguaje claro y sencillo *

Se facilita por escrito o por otros medios, incluidos los electrónicos *

Se facilita verbalmente, previa acreditación de su identidad *

Se facilitan la identidad y los datos de contacto del responsable y, en su caso, del representante cuando se solicitan los datos *

Se facilitan los datos de contacto del delegado de protección de datos *

Se facilitan los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento *

Se facilita información sobre la legitimación *

Se informa sobre las cesiones *

Se informa del plazo de conservación de los datos personales o los criterios utilizados para determinarlo *

Se informa sobre la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad *

Si el tratamiento se basa en el consentimiento se informa de la existencia del derecho a retirarlo en cualquier momento *

Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado *


¿Le han ejercitado alguno de los derechos especificados? *

Si ha respondido a la pregunta anterior afirmativamente, indique los derechos que le han solicitado

Se responde al interesado en el plazo de un mes desde la recepción de la solicitud

Se responde, ante el ejercicio de derechos complejos o ante numerosas solicitudes, en el plazo máximo de tres meses desde la recepción de la solicitud

Se informa por medios electrónicos cuando se recibe la solicitud por esos mismos medios, salvo que solicite que se realice por otro medio

De ser el caso, se informa de las razones por las que no se puede llevar a efecto el ejercicio del derecho solicitado y de la posibilidad de presentar una reclamación la Agencia Española de Protección de Datos u otra autoridad de control

Se facilita grautitamente el ejercicio de derechos *

Se solicita información para acreditar la identidad de la persona física que ejerce sus derechos


Se aplican medidas técnicas y organizativas apropiadas *

Las medidas se revisan y actualizan cuando es necesario *

Está actualizada la política de protección de datos

Tiene la cláusula de protección de datos en los formularios web

Se envía publicidad siempre con el consentimiento del interesado (responder únicamente si envía publicidad)

Se han determinado de modo transparente, y de mutuo acuerdo, las responsabilidades respectivas de los corresponsables en el cumplimiento de las obligaciones impuestas por el RGPD

El acuerdo de corresponsabilidad fija las respectivas obligaciones de suministro de información al interesado

El acuerdo entre corresponsables del tratamiento refleja las funciones y relaciones respectivas de ambos en relación con los interesados

Los aspectos esenciales del acuerdo están a disposición del interesado

Se elige el encargado que ofrecen garantías suficientes conforme con los requisitos del RGPD y garantizando la protección de los derechos del interesado *

El encargado del tratamiento no recurre a otro encargado sin la autorización previa por escrito del responsable *

El tratamiento por el encargado se rige por un contrato de encargado de tratamiento por escrito *

El contrato establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados así como las obligaciones y derechos del responsable y del encargado *


Existe un registro de las actividades de tratamiento *

El registro recoge el nombre y los datos de contacto del responsable y, en su caso del corresponsable. *

El registro recoge los fines del tratamiento *

Recoge una descripción de las categorías de datos personales *

Recoge las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales *

Recoge la posibilidad de transferencias de datos personales a un tercer país o una organización internacional. *

Incluye los plazos de conservación *


Se aplican las medidas técnicas y organizativas apropiadas para cada tratamiento *

Se han incluido medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento *

Medidas para asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en cado de incidente físico o técnico *

Se han tomado medidas para garantizar que las personas autorizadas a acceder a datos sólo los tratan siguiendo instrucciones *


Se ha establecido un procedimiento para identificar y gestionar las brechas de seguridad *

Existe un procedimiento para que los encargados del tratamiento notifiquen las brechas al responsable en el momento en que tengan conocimiento de ellas *

En caso de haber una brecha de seguridad, se notificn, como máximo, en el plazo de 72 horas *

Se documenta cualquier brecha de seguridad de los datos personales *

En la documentación se incluyen los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas

La comunicación al interesado se lleva a cabo en un lenguaje claro y sencillo, describiendo la naturaleza de la brecha


Se recaba asesoramiento del DPD

Se ha realizado EIPD antes del tratamiento correspondiente cuando así es exigido

La EIPD incluye una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, y cuando procede el interés legítimo perseguido

Incluye una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad

Se reexaminan las EIPD siempre que es necesario y cuando exista un cambio de los riesgos que representen las operaciones de tratamiento

Se consulta a la autoridad de control antes de proceder al tratamiento cuando una EIPD muestre que el mismo entrañaría un alto riesgo si no se toman medidas para mitigarlo


Se realizan transferencias a países, o sectores de los mismos, u organizaciones internacionales declarados de nivel de protección adecuado por la Comisión Europea *

Se realizan transferencias mediante garantías adecuadas que ofrezcan a los interesados derechos exigibles y posibilidad de acciones legales

Existe un código de conducta junto con compromisos vinculantes y exigibles en el tercer país que permita aplicar garantías adecuadas

Existe un mecanismo de certificación junto con compromisos vinculantes y exigibles en el tercer país que permita aplicar garantías adecuadas

Existen acuerdos administrativos entre autoridades y organismos públicos que incorporen disposiciones que incluyan derechos efectivos y exigibles para los interesados

Se dispone del consentimiento explícito del interesado y se le ha informado de los posibles riesgos