Encargado vs. responsable del tratamiento: diferencias clave

·

Cuando una empresa contrata una gestoría para gestionar nóminas, utiliza un software de RRHH en la nube o externaliza su servicio de atención al cliente, los datos personales de sus empleados y clientes salen de sus sistemas para ser tratados por un tercero. El Reglamento (UE) 2016/679 (RGPD) tiene un mecanismo específico para regular esa relación: el contrato de encargo del tratamiento previsto en el artículo 28. Pero antes de firmar ese contrato —o de exigírselo a un proveedor— es imprescindible tener claro quién es el responsable del tratamiento y quién es el encargado del tratamiento. La confusión entre ambas figuras es uno de los errores más frecuentes en la adecuación al RGPD y puede acarrear consecuencias en el marco sancionador del artículo 83.

En Summum Consultoría acompañamos a organizaciones de Castilla y León y Canarias en su adecuación al RGPD, incluida la identificación de encargados, la redacción de contratos del artículo 28 y la gestión de subencargados. Este artículo resume lo que necesitas saber sobre ambas figuras con rigor normativo.

¿Qué es el responsable del tratamiento?

El artículo 4.7 del RGPD define al responsable del tratamiento como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y los medios del tratamiento de datos personales». La clave está en la palabra determine: el responsable es quien decide para qué se tratan los datos (la finalidad) y cómo se tratan (los medios esenciales). No es necesario que procese los datos directamente; lo relevante es quién toma esas decisiones.

Ejemplos habituales de responsable del tratamiento:

El responsable es quien debe cumplir con los principios del artículo 5 del RGPD (licitud, lealtad, transparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación e integridad y confidencialidad), quien debe atender los derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación, oposición) y quien responde ante la Agencia Española de Protección de Datos (AEPD) en caso de incumplimiento.

¿Qué es el encargado del tratamiento?

El artículo 4.8 del RGPD define al encargado del tratamiento como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento». La diferencia esencial respecto al responsable es que el encargado no decide los fines ni los medios esenciales del tratamiento: actúa siguiendo las instrucciones del responsable.

Ejemplos habituales de encargado del tratamiento:

El encargado puede tomar decisiones sobre los medios técnicos u organizativos del tratamiento (qué servidor usar, qué sistema de cifrado aplicar), pero no puede alterar la finalidad ni los medios esenciales sin instrucción expresa del responsable. Si lo hace, pasa a ser considerado responsable del tratamiento a todos los efectos, con las consecuencias de responsabilidad que ello implica.

Diferencias clave entre responsable y encargado

La siguiente tabla resume las principales diferencias entre ambas figuras a efectos del RGPD:

Criterio Responsable del tratamiento Encargado del tratamiento
Definición (RGPD art. 4) Art. 4.7: determina los fines y medios del tratamiento Art. 4.8: trata datos por cuenta del responsable
Decisión sobre finalidad Sí, la determina No; sigue instrucciones del responsable
Base jurídica Debe identificarla y documentarla (art. 6 RGPD) No necesita base jurídica propia; actúa bajo mandato
Registro de actividades Obligatorio (art. 30.1 RGPD) Obligatorio (art. 30.2 RGPD), con contenido distinto
Contrato obligatorio Debe exigirlo al encargado (art. 28.3 RGPD) Debe firmarlo con el responsable y, si procede, con subencargados
Responsabilidad ante afectados Directa (art. 82.2 RGPD) Solidaria si incumple sus obligaciones (art. 82.2 RGPD)
Notificación de brechas Notifica a la AEPD en 72 h (art. 33 RGPD) Notifica al responsable sin dilación indebida (art. 33.2 RGPD)

El contrato de encargo del tratamiento: art. 28 del RGPD

El artículo 28 del RGPD establece que el responsable del tratamiento únicamente recurrirá a encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, y que el tratamiento por parte del encargado se regirá por un contrato u otro acto jurídico que vincule al encargado con el responsable.

Este contrato —conocido en la práctica como «DPA» por sus siglas en inglés (Data Processing Agreement) o como «contrato de encargo del tratamiento»— no es un simple anexo a un contrato mercantil: es un requisito autónomo de cumplimiento cuya ausencia constituye una infracción del RGPD. La AEPD comprueba la existencia y el contenido de estos contratos en sus actuaciones de inspección.

Contenido obligatorio del contrato (art. 28.3 RGPD)

El artículo 28.3 del RGPD enumera de forma detallada las cláusulas que debe incluir el contrato de encargo. Son obligatorias todas ellas; la omisión de alguna no convierte el contrato en inexistente, pero sí puede dar lugar a una infracción separable. El contrato debe estipular que el encargado:

  1. Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, incluso en lo que respecta a las transferencias internacionales (salvo que esté obligado a ello por el Derecho de la Unión o de los Estados miembros, en cuyo caso informará al responsable).
  2. Garantizará que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  3. Adoptará todas las medidas de seguridad requeridas por el artículo 32 del RGPD.
  4. Respetará las condiciones para recurrir a otro encargado del tratamiento (subencargados), de acuerdo con los apartados 2 y 4 del artículo 28.
  5. Asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para que el responsable pueda cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados.
  6. Ayudará al responsable a garantizar el cumplimiento de las obligaciones en materia de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas a la autoridad (arts. 32 a 36 RGPD).
  7. A elección del responsable, suprimirá o devolverá todos los datos personales una vez finalizada la prestación de los servicios de tratamiento, y suprimirá las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación.
  8. Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28, y permitirá y contribuirá a la realización de auditorías e inspecciones por parte del responsable o de un auditor autorizado.

Además del contenido mínimo del art. 28.3, el contrato debe describir el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales implicados y las categorías de interesados, así como las obligaciones y derechos del responsable. Sin estos elementos descriptivos, el contrato no cumple su función regulatoria ni es verificable por la AEPD.

Los subencargados: art. 28.2 y 28.4 del RGPD

En muchos supuestos, el encargado del tratamiento necesita a su vez subcontratar parte del tratamiento a un tercero. El RGPD lo permite, pero con condiciones estrictas reguladas en el artículo 28.2 y 28.4.

El encargado del tratamiento no puede recurrir a otro encargado (subencargado) sin autorización previa del responsable. Esa autorización puede ser:

Cuando el encargado recurre a un subencargado, debe imponerle las mismas obligaciones de protección de datos que las establecidas en el contrato con el responsable (art. 28.4 RGPD). Si el subencargado incumple sus obligaciones, el encargado original responde plenamente ante el responsable por ese incumplimiento. Esto significa que la cadena de responsabilidad se extiende hacia abajo: el encargado no puede eludir su responsabilidad alegando que fue el subencargado quien incumplió.

En la práctica, los grandes proveedores cloud (AWS, Google Cloud, Microsoft Azure) publican sus listas de subencargados y actualizan periódicamente el contrato DPA con sus clientes. Verificar que esas listas son accesibles y que existe un mecanismo real de oposición es parte del proceso de diligencia debida que Summum Consultoría realiza cuando acompaña a las organizaciones en su adecuación al RGPD.

Ejemplos prácticos: quién es encargado y qué exige el contrato

La gestoría laboral o fiscal

Una empresa contrata a una gestoría para que elabore las nóminas de sus empleados y presente las liquidaciones trimestrales de IRPF e IVA. La gestoría accede a datos personales de los trabajadores (nombre, número de Seguridad Social, salario, situación familiar) y de los clientes y proveedores. En este esquema:

El contrato de encargo debe detallar exactamente qué tratamientos realiza la gestoría, durante cuánto tiempo conservará los datos, qué medidas de seguridad aplica y qué hará con los datos cuando finalice la relación. Sin este contrato, tanto la empresa como la gestoría están incumpliendo el artículo 28 del RGPD.

El proveedor de hosting o infraestructura cloud

Una empresa que aloja su web, su CRM o su correo electrónico en servidores de un proveedor de hosting está cediendo el acceso técnico a datos personales de sus clientes y empleados. El proveedor de hosting es un encargado del tratamiento, aunque en la mayoría de los casos no accede activamente a los datos: basta con que técnicamente pueda hacerlo. La obligación de firmar un contrato de encargo existe con independencia de que el proveedor sea una empresa local o un gigante tecnológico.

Muchos proveedores de hosting ya incluyen en sus condiciones generales un apartado de DPA o lo ofrecen como documento separado. Es responsabilidad del responsable del tratamiento verificar que ese DPA cumple efectivamente con el artículo 28.3 del RGPD y no solo con los requisitos mínimos de su propia jurisdicción.

El software de RRHH, CRM o ERP en modalidad SaaS

El auge del software como servicio ha multiplicado el número de encargados del tratamiento con los que trabajan las empresas. Un software de gestión de recursos humanos que almacena datos de empleados, un CRM que guarda información de clientes o un ERP que integra datos contables y personales son, en todos los casos, encargados del tratamiento. La empresa que los contrata es el responsable.

En este contexto, es frecuente que los proveedores SaaS utilicen a su vez múltiples subencargados (proveedores de infraestructura cloud, servicios de análisis, plataformas de soporte). El responsable debe verificar que el proveedor SaaS tiene mecanismos de control sobre sus subencargados y que el contrato DPA le permite ejercer ese control de forma real, no meramente formal.

¿Qué ocurre si no existe contrato de encargo del tratamiento?

La ausencia de contrato de encargo cuando este es obligatorio constituye una infracción del artículo 28 del RGPD. El régimen sancionador del artículo 83 del RGPD clasifica esta infracción en el grupo del apartado 83.4, que establece multas de hasta 10.000.000 EUR o el 2 % del volumen de negocio anual mundial, el importe que sea mayor. La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre) complementa este régimen en el ordenamiento español.

Además de la sanción económica, la ausencia de contrato puede generar responsabilidad civil frente a los interesados afectados. El artículo 82 del RGPD reconoce el derecho de los interesados a recibir indemnización por los daños y perjuicios sufridos como consecuencia de infracciones del reglamento. Si un encargado del tratamiento trata datos sin un contrato válido y se produce una brecha, el responsable y el encargado pueden responder solidariamente frente a los afectados.

Desde el punto de vista práctico, la ausencia de contrato de encargo dificulta también la acreditación del principio de responsabilidad proactiva (accountability) ante la AEPD. Cuando la AEPD realiza una inspección o investiga una brecha, uno de los primeros documentos que solicita es el inventario de encargados y los contratos del artículo 28 correspondientes. No disponer de ellos es una señal de falta de diligencia que puede agravar la valoración del incumplimiento principal.

Preguntas frecuentes

¿Puede un encargado del tratamiento convertirse en responsable?

Sí. El artículo 28.10 del RGPD establece expresamente que, si el encargado infringe el Reglamento al determinar los fines y los medios del tratamiento, será considerado responsable del tratamiento con respecto a ese tratamiento concreto. Esto ocurre cuando el encargado va más allá de las instrucciones recibidas y utiliza los datos para sus propios fines (por ejemplo, un proveedor de software que analiza los datos de los clientes del responsable para mejorar sus propios modelos sin autorización). La conversión en responsable implica asumir todas las obligaciones del artículo 5 en adelante, incluida la responsabilidad sancionadora directa.

¿Es suficiente con una cláusula en el contrato mercantil o hace falta un documento separado?

El RGPD habla de «contrato u otro acto jurídico» (art. 28.3), por lo que no exige formalmente un documento separado: el DPA puede ser una cláusula, un anexo o un apéndice del contrato mercantil principal. Sin embargo, en la práctica se recomienda que el contenido del artículo 28.3 quede en un documento claramente identificado como «contrato de encargo del tratamiento» o «data processing agreement», porque facilita la auditoría, la actualización cuando cambian los términos del tratamiento y la acreditación ante la AEPD. Lo que sí es imprescindible es que el contenido sea completo y firmado por ambas partes.

¿Qué ocurre con los encargados situados fuera de la Unión Europea?

Si el encargado del tratamiento está ubicado fuera del Espacio Económico Europeo (EEE), además del contrato del artículo 28 es necesario establecer una garantía adecuada para la transferencia internacional de datos conforme al Capítulo V del RGPD (arts. 44 a 49). Las garantías más habituales son las cláusulas contractuales tipo (CCT) adoptadas por la Comisión Europea o la existencia de una decisión de adecuación para el país de destino. Sin esa garantía, la transferencia de datos al encargado es ilícita con independencia de que exista contrato de encargo.

¿Con qué frecuencia hay que revisar el contrato de encargo del tratamiento?

El RGPD no fija un período de revisión obligatorio, pero el principio de accountability exige que el contrato refleje la realidad del tratamiento. Deben revisarse cuando cambian los servicios prestados por el encargado, cuando el encargado incorpora nuevos subencargados relevantes, cuando se producen modificaciones normativas que afectan al contenido obligatorio del contrato (por ejemplo, la adopción de nuevas cláusulas contractuales tipo por la Comisión Europea) o tras una brecha de seguridad que haya puesto de manifiesto insuficiencias en las medidas de seguridad pactadas. Como práctica recomendada, una revisión anual del inventario de encargados y de los contratos asociados permite mantener la adecuación al RGPD de forma sostenida.