Logotipo de destrucción de documentos
Consulta On-line
CONTACTE CON NOSOTROS

Relaciones entre responsable y encargado en el tratamiento de datos

El RGPD recoge las directrices para un correcto tratamiento de los datos


El responsable y el encargado de datos son dos cargos que están relacionados entre sí de forma jerárquica, recogidos y debidamente explicados en el nuevo RGPD para un correcto tratamiento de la información confidencial desde su inicio hasta, llegado el caso, la destrucción de documentos.

El responsable de tratamiento es una persona física o jurídica que recoge en el tipo de fichero que corresponde, los datos con información confidencial, las medidas y el nivel de seguridad oportunos  y que debe saber si debe ser cedida o transferida a otros países de la UE o de fuera del marco económico europeo.

El encargado de tratamiento es una persona física o jurídica, u otro organismo que presta el servicio de tratamiento de datos al responsable por cuenta de este.

La responsabilidad final siempre es del responsable, quién determina la finalidad que persigue el tratamiento de datos.

Obligaciones de los encargados de tratamiento de datos


Los encargados tienen obligaciones propias que vienen enmarcadas en el mismo RGPD, que son supervisadas por las autoridades de protección de datos:

  • Mantener un registro de actividades.
  • Establecer medidas de seguridad sobre los datos que se tratan.
  • Designar el Delegado de Protección de Datos tal y como marca el Reglamento General de Protección de Datos.


El responsable de tratamiento de datos es quien elige al encargado, cuya preparación debe ser óptima para el cargo, capaces de aplicar medidas técnicas y organizar el trabajo según lo señalado en el RGPD.

Cláusulas del contrato entre responsable y encargado


La vinculación entre ambos debe reflejarse en un contrato escrito o acto jurídico, en el que se tendrán en cuenta aspectos como:
  • Objeto, duración, naturaleza y fin del tratamiento de datos.
  • Qué tipo de datos personales se van a considerar y clases de interesados.
  • Obligación por parte del encargado de seguir las instrucciones de responsable a lo largo de todo el tratamiento de datos.
  • Necesidad de que el responsable dé siempre el consentimiento específicamente si hubiera que hacer subcontrataciones.
  • Asistir al responsable cuando lo precise, sobre todo en los derechos de los interesados.

Caso de que existan contratos antes de mayo de 2018 en los que no se contemplen estas medidas, deberán reformarse y adaptarse al nuevo RGPD.

La Agencia Española de Protección de Datos y las autoridades autonómicas dedicadas a este fin han creado directrices para regular la relación entre responsables y encargados de protección de datos durante el periodo transitorio hasta la aplicación del Reglamento General de Protección de Datos en España.

Posteriormente se elaborarán cláusulas modelo que deberán ser aprobadas por el Comité Europeo de Protección de Datos. También la Comisión Europea podrá formalizar cláusulas contractuales, no ulvidemos que el reglamento es de aplicación en la UE.

Especificaciones del contrato


El encargado de tratamiento de datos debe saber y conocer el tipo de servicio que debe realizar y para ello, es preciso que las instrucciones sean claras y concretas con respecto al tratamiento de datos. También hay que determinar por parte del responsable las personas a quien el encargado debe hacer las comunicaciones pertinentes en su caso.

Instrucciones del responsable de tratamiento


El encargado deberá informar al responsable en el caso de que haya que hacer comunicaciones a otros países sobre los datos tratados, en caso de que el Derecho de la Unión Europea indique que esas comunicaciones son necesarias.

Pero si alguna de las instrucciones recibidas por el encargado infringe el RGPD u otra disposición que afecte a Protección de Datos dentro de la UE, este deberá ponerlo en comunicación del responsable de tratamiento de datos.

Confidencialidad entre responsable y encargado


Existe un deber de confidencialidad por parte del encargado de tratamiento de datos y las personas autorizadas a tratar datos de carácter personal y de todo ello debe quedar constancia por escrito, a disposición del responsable.

Medidas de seguridad para preservar los datos personales


El contrato o acto jurídico debe contener unas medidas de seguridad expresas, según se establece en el art. 32 del RGPD.

El responsable debe evaluar los riesgos del servicio para tomar las medidas oportunas para garantizar la seguridad y derechos de las personas. Es preciso analizar los riesgos de acuerdo con los medios utilizados en el tratamiento y también según la forma de trabajo del encargado.

Verificado todo lo anterior, comparando los riesgos, probabilidades de problemas graves que afecten a los derechos y libertades de las personas, tanto el responsable como el encargado de tratamiento, deberán tomar medidas organizativas para que la seguridad de los datos sea la más adecuada.

  • Cifrado de datos
  • Garantizar la confidencialidad y disponibilidad de la información cuando sea preciso.
  • En caso de incidencia, restaurar lo más pronto posible la accesibilidad a los datos.
  • Evaluar periódicamente la seguridad para comprobar su eficacia y así, constatar que sigue siendo la adecuada para el tratamiento.


Lo ideal es que la seguridad esté certificada, de esta forma se demuestra que se cumplen los más altos requisitos o estándares.

Todas las personas que tengan acceso a los datos personales deberán seguir escrupulosamente las medidas de seguridad y las instrucciones del responsable, salvo en lo que disponga el Derecho Comunitario o las legislaciones de los Estados Miembros.

Subencargado de tratamiento de datos


Cabe también la subcontratación de servicios en el tratamiento de datos. Para que esto se pueda producir se exige la autorización expresa del responsable por escrito.

Se puede dar una autorización para contratar los servicios de una entidad específica o bien una con carácter general, en la cual no se concreta nada.

Siempre el responsable tiene la última palabra en la contratación de subencargados por parte del encargado, sea la autorización específica o general, por lo que podrá aceptar o no los candidatos propuestos por el encargado.

El o los subencargados estarán sujetos a las mismas medidas y en la misma forma que el encargado, por tanto son de aplicación las mismas normas y en caso de incumplimiento, el encargado rendirá cuentas ante el responsable.

Derechos de confidencialidad


Sobre los derechos de las personas o interesados el RGPD dice que el encargado debe asistir el responsable en lo establecido en el capítulo III:
  • Acceder a sus datos personales.
  • Rectificación de ellos
  • Suprimir lo necesario (esto es lo que se ha llamado derecho al ulvido)
  • Limitar el tratamiento
  • Portabilidad de los datos
  • Oposición a cierto tratamiento
  • No querer prestar los datos para algunos automatismos, como crear perfiles, etc.

En el acto jurídico suscrito entre responsable y encargado se debe determinar si el encargado puede tramitar las sulicitudes de los derechos descritos o sulo informar al responsable que ha sido ejercido un derecho.

Si se establece el primer supuesto, se debe incluir en el contrato forma y plazos para atender o dar respuesta al derecho sulicitado. En el segundo, se indica la forma y plazo de la sulicitud y la información del ejercicio del derecho se comunica al responsable.

Culaboración entre Responsable y Encargado de datos


Es necesario que figure en el contrato cómo ayudará el encargado al responsable en el cumplimiento de las obligaciones necesarias para llevar a cabo unas medidas de seguridad adecuadas, notificaciones de viulaciones de datos a las autoridades, a interesados, evaluaciones sobre protección de datos, etc.

Algunas funciones pueden ser delegadas por el responsable en el encargado.

Los datos personales al finalizar el trabajo


Al finalizar la prestación del servicio, los datos personales pueden ser suprimidos de la base o devueltos por el encargado al responsable.

Es necesario establecer todo esto en el acto jurídico así como la fórmula en la que se especificará cómo se llevará a cabo.

El encargado puede quedarse con una copia de los datos mientras puedan deducirse responsabilidades del servicio prestado.

Al finalizar el tratamiento de datos


Por último el encargado debe poner a disposición del responsable toda la información que se precise para cumplir con las obligaciones de tratamiento de datos, incluidas inspecciones y auditorías y consultorías realizadas por el mismo responsable o personas autorizadas.

INFORMACIÓN Y PRESUPUESTO ON-LINE