Protección de Datos

Responsable vs encargado del tratamiento: diferencias

Responsable vs encargado del tratamiento: cómo calificar cada rol, quién decide fines y medios, corresponsabilidad del art. 26 y quién responde ante la AEPD.

También disponible en:English

En una frase. El responsable decide los fines y los medios del tratamiento; el encargado solo trata datos por cuenta y según las instrucciones del responsable. Quien determina el “para qué” y el “cómo” es responsable, y es quien responde ante la AEPD.

Calificar bien cada rol no es teoría: determina quién firma el contrato del art. 28, quién notifica las brechas, quién atiende los derechos y a quién multa la autoridad. Un error de calificación arrastra todo el edificio de cumplimiento. El CEPD dedicó a esta cuestión sus Directrices 07/2020, que son hoy la referencia práctica.

Puntos clave

  • Responsable = decide fines y medios (el “por qué” y el “cómo esencial”). Encargado = trata por cuenta del responsable.
  • La calificación es funcional: depende de la realidad del tratamiento, no de lo que digan las partes en el contrato.
  • Un encargado que se extralimita y decide fines propios pasa a ser responsable de ese tratamiento (art. 28.10).
  • Cuando dos entidades deciden conjuntamente fines y medios, son corresponsables (art. 26) y deben firmar un acuerdo.
  • Toda relación de encargo exige un contrato del art. 28 por escrito; su ausencia es infracción autónoma.

El criterio: quién decide fines y medios

La distinción gira sobre una pregunta: ¿quién decide para qué se tratan los datos y cómo?

  • Si tu organización determina la finalidad (por qué) y los medios esenciales (qué datos, de quién, durante cuánto tiempo), eres responsable.
  • Si tratas datos siguiendo las instrucciones de otra entidad, sin decidir la finalidad, eres encargado.

El CEPD (Directrices 07/2020) admite que el encargado decida los medios no esenciales (qué software concreto, qué medida técnica) sin dejar de ser encargado. Lo que no puede es decidir la finalidad. En cuanto lo hace, cambia de rol.

Elemento Responsable Encargado
Decide la finalidad No
Decide los medios esenciales No
Trata por cuenta de otro No
Firma el contrato del art. 28 Como cliente Como proveedor
Notifica brechas a la AEPD No (avisa al responsable)
Atiende los derechos ARCO Asiste al responsable
Responde ante la AEPD Por su tratamiento Por sus propias obligaciones

Casos típicos en España

  • Gestoría o asesoría que lleva nóminas y contabilidad de una empresa: es encargada respecto de los datos de los empleados de su cliente. Lo desarrollo en la guía sobre RGPD para asesorías y gestorías.
  • Proveedor de hosting o SaaS: encargado respecto de los datos que aloja para sus clientes; responsable respecto de los datos de sus propios usuarios y facturación.
  • Agencia de marketing: encargada cuando ejecuta campañas con la base de datos del cliente; responsable de su propia base de contactos.
  • Empresa de seguridad que gestiona la videovigilancia: normalmente encargada del titular de las cámaras.

El error habitual es que el proveedor, en la práctica, empieza a usar los datos para fines propios (por ejemplo, enriquecer su base comercial). En ese momento se convierte en responsable de ese uso y responde directamente (art. 28.10).

Corresponsabilidad: el art. 26 RGPD

Cuando dos o más entidades determinan conjuntamente los fines y los medios, no hay responsable-encargado, sino corresponsables. El TJUE ha interpretado la corresponsabilidad de forma amplia (asuntos Wirtschaftsakademie, Fashion ID): basta influir conjuntamente en la definición de fines y medios, aunque una parte tenga más peso.

Los corresponsables deben suscribir un acuerdo de corresponsabilidad (art. 26.1) que reparta las obligaciones —en especial, quién informa y quién atiende los derechos— y poner lo esencial a disposición de los interesados. Casos frecuentes: joint ventures, plataformas con socios comerciales, grupos empresariales que comparten CRM.

Cómo determinar el rol en la práctica

Cuando la relación no es evidente, el CEPD propone contestar a una batería de preguntas. Si respondes “sí” a las primeras, eres responsable; si a las segundas, encargado:

  • ¿Decidiste recoger los datos y con qué finalidad? ¿Elegiste qué datos recoger? ¿Decides cuánto tiempo conservarlos? → Responsable.
  • ¿Actúas siguiendo instrucciones detalladas de un cliente sobre qué hacer con los datos? ¿Podrías dejar de tratarlos si el cliente te lo ordena sin más consecuencia que la contractual? → Encargado.

Hay una zona gris frecuente: los proveedores que ofrecen un servicio estandarizado y “de paso” tratan datos. Un despacho de abogados o un auditor de cuentas, por ejemplo, no son encargados de su cliente: aplican su propio criterio profesional y deciden cómo tratar los datos conforme a su normativa, por lo que actúan como responsables independientes. Lo mismo ocurre con una entidad bancaria respecto de los datos de una transferencia. Confundir estos supuestos con un encargo lleva a firmar contratos del art. 28 que no correspondían y a repartir mal las responsabilidades de notificación y derechos.

Consecuencias prácticas de una mala calificación

Calificar mal el rol tiene efectos en cadena:

  1. Contrato equivocado o inexistente. Si crees que eres corresponsable pero eres responsable-encargado, firmas el acuerdo del art. 26 en vez del contrato del art. 28, y viceversa. Usa el modelo de contrato de encargado del tratamiento para la relación de encargo.
  2. Notificación de brechas mal dirigida. El encargado que sufre una brecha de seguridad debe avisar al responsable sin dilación; es el responsable quien notifica a la AEPD (art. 33).
  3. Derechos mal atendidos. El encargado no resuelve solicitudes de derechos: las traslada al responsable y le asiste.
  4. Responsabilidad ante la AEPD. Cada uno responde de sus obligaciones (arts. 82-83). El encargado responde si actúa al margen de las instrucciones o incumple las obligaciones que el RGPD le impone directamente.

Todas las obligaciones concretas del proveedor están en la guía del artículo 28 RGPD y las obligaciones del encargado, y conviene reflejar cada relación en el registro de actividades de tratamiento, que tiene un apartado propio para responsables (art. 30.1) y otro para encargados (art. 30.2).

Mantener el mapa de quién es responsable, encargado o corresponsable en cada flujo de datos —y con qué contrato— es de las cosas que más se descontrolan al crecer. Plataformas como Legiscope permiten trazar cada proveedor con su rol y su contrato asociado.

Véase también: cláusulas contractuales tipo.

FAQ

¿Un encargado del tratamiento puede tener sus propios encargados?

Sí, son subencargados. El art. 28.2 y 28.4 exige que el encargado obtenga autorización del responsable (general o específica) antes de subcontratar y que traslade al subencargado las mismas obligaciones de protección de datos mediante contrato.

¿Qué pasa si el contrato dice “encargado” pero en realidad decide los fines?

Prevalece la realidad funcional. Aunque el contrato lo llame encargado, si decide las finalidades es responsable a efectos del RGPD (art. 28.10) y responde como tal. La etiqueta contractual no cambia la calificación jurídica.

¿Cuándo hay corresponsabilidad en vez de encargo?

Cuando dos entidades deciden conjuntamente por qué y cómo se tratan los datos. Si una solo ejecuta instrucciones de la otra, es encargo. Si ambas influyen en la definición de fines y medios, son corresponsables y firman un acuerdo del art. 26.

¿A quién sanciona la AEPD, al responsable o al encargado?

A quien haya incumplido. El responsable responde de su tratamiento; el encargado responde de las obligaciones que el RGPD le impone directamente (seguridad, subcontratación, asistencia) y si se aparta de las instrucciones. Ambos pueden ser sancionados por hechos distintos derivados de la misma relación.


Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), arts. 26 y 28, Directrices 07/2020 del CEPD sobre responsable y encargado y Agencia Española de Protección de Datos.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →