In Spanien ist gesetzlich festgelegt, welche Arten von Organisationen einen Datenschutzbeauftragten bestellen müssen – unabhängig davon, ob sie als Verantwortlicher oder Auftragsverarbeiter fungieren:
a) Berufsverbände und ihre Generalräte
b) Bildungseinrichtungen, die Unterricht auf einer der in den Bildungsgesetzen festgelegten Niveaus anbieten, sowie öffentliche und private Universitäten
c) Organisationen, die Netze betreiben und elektronische Kommunikationsdienste im Sinne des Gesetzes erbringen, wenn sie routinemäßig und systematisch personenbezogene Daten in großem Umfang verarbeiten
d) Anbieter von Diensten der Informationsgesellschaft, die in großem Umfang Profile von Nutzern erstellen
e) Finanzinstitute, gem. Artikel 1 des Gesetzes 10/2014 vom 26. Juni
f) Kreditinstitute
g) Versicherungs- und Rückversicherungsunternehmen
h) Wertpapierdienstleistungsunternehmen, die der Finanzmarktgesetzgebung unterliegen
i) Energieversorger und Vermarkter von elektrischer Energie sowie Energieversorger und Vermarkter von Erdgas
j) Stellen, die gemeinsame Daten zur Beurteilung der Vermögenssituation oder Bonität oder zur Betrugsbekämpfung verarbeiten, einschließlich der Verantwortlichen, die Daten zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung aufgrund diesbezüglicher Rechtsvorschriften verarbeiten
k) Unternehmen, die Werbekampagnen durchführen oder Forschung im Bereich Handel, einschließlich Handels- und Marktforschung, durchführen, wenn sie Verarbeitungen durchführen, die auf den Präferenzen der betroffenen Parteien beruhen, oder Tätigkeiten ausüben, die die Erstellung ihrer Profile beinhalten
l) Gesundheitszentren, die gesetzlich verpflichtet sind, die Patientenakten zu führen. Ausgenommen sind Angehörige der Gesundheitsberufe, die zwar gesetzlich verpflichtet sind, die Patientenakten zu führen, ihre Tätigkeit aber als Einzelperson ausüben
m) Unternehmen, die die Veröffentlichung von Geschäftsberichten zum Unternehmensgegenstand haben, die sich auf natürliche Personen beziehen können
n) Glückspielbetreiber, die auf elektronischen, computergestützten, telematischen und interaktiven Kanälen tätig sind
m) private Sicherheitsunternehmen
o) Sportverbände, wenn diese Daten von Minderjährigen verarbeiten