Responsable y Encargado del Tratamiento de Datos: Roles y Diferencias
Respuesta rápida
El responsable del tratamiento es quien decide la finalidad y medios del tratamiento de datos personales (por ejemplo, una empresa que contrata servicios), mientras que el encargado es quien materialmente trata los datos por cuenta del responsable (por ejemplo, una gestoría que elabora nóminas o una empresa de seguridad que graba imágenes).
Puntos clave
Responsable del tratamiento
Es quien decide la finalidad y medios del tratamiento de datos. En el ejemplo: la empresa de construcciones que contrata servicios.
Encargado del tratamiento
Es quien materialmente trata los datos por cuenta del responsable. En el ejemplo: la gestoría que elabora las nóminas.
Pueden coincidir
Es habitual que responsable y encargado sean la misma entidad cuando no se subcontratan servicios externos.
Videovigilancia externalizada
El comercio que contrata cámaras de seguridad sigue siendo responsable; la empresa de seguridad es el encargado.
Contrato obligatorio
La relación entre responsable y encargado debe formalizarse siempre por escrito según el RGPD.
Paso a paso
Identificar quién decide sobre la finalidad del tratamiento de datos
Determinar quién ejecuta materialmente el tratamiento de datos
Verificar si existe una relación contractual de prestación de servicios
Comprobar que el encargado actúa bajo instrucciones del responsable
Ejemplos resueltos
Problema 1Una empresa de construcciones con 300 trabajadores contrata una gestoría externa para elaborar las nóminas. La gestoría accede al DNI, nombre, dirección y email de los empleados. ¿Quién es el responsable y quién el encargado del tratamiento?
Una empresa de construcciones con 300 trabajadores contrata una gestoría externa para elaborar las nóminas. La gestoría accede al DNI, nombre, dirección y email de los empleados. ¿Quién es el responsable y quién el encargado del tratamiento?
Solución:
- 1Identificar quién decide sobre el tratamiento: la empresa de construcciones decide que necesita elaborar nóminas y contrata el servicio
- 2Identificar quién trata materialmente los datos: la gestoría es quien accede a los datos personales y los procesa
- 3Verificar la relación: la gestoría actúa por cuenta de la empresa de construcciones, siguiendo sus instrucciones
El responsable del tratamiento es la empresa de construcciones. El encargado del tratamiento es la gestoría.
Verificación: El responsable siempre es quien contrata el servicio y decide la finalidad (elaborar nóminas). El encargado es quien ejecuta materialmente el tratamiento por cuenta del responsable.
Problema 2Un comercio contrata a una empresa de seguridad (Prosegur, Securitas Direct, etc.) para instalar cámaras de videovigilancia que graban a trabajadores y clientes. ¿Quién es responsable y quién encargado?
Un comercio contrata a una empresa de seguridad (Prosegur, Securitas Direct, etc.) para instalar cámaras de videovigilancia que graban a trabajadores y clientes. ¿Quién es responsable y quién encargado?
Solución:
- 1El comercio decide instalar videovigilancia para proteger su negocio: es quien determina la finalidad
- 2La empresa de seguridad instala las cámaras, graba las imágenes y almacena los datos: trata materialmente los datos
- 3La empresa de seguridad actúa por encargo del comercio, no por iniciativa propia
El responsable del tratamiento es el comercio. El encargado del tratamiento es la empresa de seguridad.
Verificación: Aunque la empresa de seguridad es quien técnicamente graba y almacena, lo hace por cuenta del comercio, que es quien ha decidido implementar la videovigilancia.
Responsable y Encargado del Tratamiento de Datos: Guía Completa
Introducción
En el ámbito de la protección de datos personales, uno de los conceptos fundamentales que todo profesional debe dominar es la distinción entre el responsable del tratamiento y el encargado del tratamiento. Esta diferenciación no es meramente teórica: tiene implicaciones directas sobre las obligaciones legales, las responsabilidades ante posibles infracciones y la forma en que se estructuran las relaciones contractuales entre organizaciones.
Este artículo proporciona una explicación clara y práctica de ambas figuras, ilustrada con ejemplos reales que facilitan su comprensión y aplicación en contextos empresariales cotidianos.
Los Cuatro Actores Principales en Protección de Datos
Antes de profundizar en las figuras de responsable y encargado, es importante situar estas figuras dentro del marco completo de actores que intervienen en la protección de datos:
- Responsable del tratamiento: la entidad que decide sobre la finalidad y los medios del tratamiento de datos personales
- Encargado del tratamiento: quien ejecuta materialmente el tratamiento por cuenta del responsable
- Interesado: la persona física cuyos datos personales son objeto de tratamiento
- Delegado de Protección de Datos (DPD): la figura encargada de supervisar el cumplimiento normativo y actuar como enlace con la autoridad de control
El Responsable del Tratamiento
Definición
El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento de datos personales.
En términos sencillos: es quien decide qué datos se recogen, para qué se utilizan y cómo se procesan.
Características principales
- Poder de decisión: el responsable tiene la autoridad para decidir sobre todos los aspectos del tratamiento
- Determinación de finalidades: establece los objetivos que se persiguen con el tratamiento de datos
- Elección de medios: decide cómo se llevará a cabo el tratamiento (sistemas, procedimientos, tecnología)
- Responsabilidad última: responde ante los interesados y las autoridades de control por el cumplimiento de la normativa
Funciones principales
- Determinar los fines del tratamiento de datos
- Garantizar que el tratamiento cumple con la normativa vigente
- Implementar medidas técnicas y organizativas adecuadas
- Atender los derechos de los interesados
- Notificar brechas de seguridad cuando proceda
- Cooperar con la autoridad de control
El Encargado del Tratamiento
Definición
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
En términos sencillos: es quien materialmente accede, procesa o almacena los datos, pero siempre siguiendo las instrucciones del responsable.
Características principales
- Tratamiento material: el encargado es quien físicamente realiza las operaciones sobre los datos
- Actuación por cuenta ajena: siempre actúa en nombre y por encargo del responsable
- Sin capacidad de decisión autónoma: no puede decidir por su cuenta qué hacer con los datos
- Obligaciones contractuales: su actuación está regulada por un contrato con el responsable
Funciones y obligaciones
- Tratar los datos únicamente siguiendo las instrucciones documentadas del responsable
- Garantizar que las personas autorizadas para tratar datos se hayan comprometido a respetar la confidencialidad
- Implementar las medidas de seguridad acordadas
- No recurrir a otro encargado sin autorización del responsable
- Asistir al responsable en la atención de los derechos de los interesados
- Suprimir o devolver los datos al finalizar la prestación del servicio
Casos Prácticos: Cómo Identificar al Responsable y al Encargado
Caso 1: Empresa de construcciones y gestoría de nóminas
Situación: Una empresa de construcciones con 300 trabajadores contrata a una gestoría externa para elaborar las nóminas mensuales. La gestoría accede al DNI, nombre, dirección y email de los empleados.
Análisis:
- La empresa de construcciones decide que necesita elaborar nóminas y contrata el servicio → es el RESPONSABLE
- La gestoría ejecuta materialmente el tratamiento de datos por encargo de la empresa → es el ENCARGADO
Conclusión: El responsable del tratamiento es la empresa de construcciones. El encargado del tratamiento es la gestoría.
Caso 2: Comercio con videovigilancia contratada
Situación: Un comercio contrata a una empresa de seguridad (Prosegur, Securitas Direct, Eulen, etc.) para instalar y gestionar un sistema de cámaras de vigilancia que graba a trabajadores y clientes.
Análisis:
- El comercio decide instalar videovigilancia para proteger su negocio → es el RESPONSABLE
- La empresa de seguridad instala, graba y almacena las imágenes por encargo del comercio → es el ENCARGADO
Conclusión: Aunque la empresa de seguridad sea quien técnicamente opera el sistema, el comercio mantiene la condición de responsable porque es quien ha tomado la decisión de implementar la videovigilancia y determina su finalidad.
¿Pueden Coincidir Responsable y Encargado?
Sí, es perfectamente posible y, de hecho, es lo más habitual cuando una organización gestiona internamente todos sus procesos sin subcontratar servicios externos.
Por ejemplo, si la empresa de construcciones del caso anterior decidiera gestionar las nóminas con su propio departamento de recursos humanos, sería simultáneamente responsable y encargado del tratamiento.
La figura del encargado externo aparece cuando se subcontratan servicios a terceros que implican acceso a datos personales.
El Mercado de Encargados del Tratamiento
Existen miles de empresas especializadas que actúan como encargados profesionales del tratamiento, ofreciendo servicios como:
- Gestión de nóminas y recursos humanos
- Servicios de hosting y almacenamiento en la nube
- Marketing y comunicaciones
- Seguridad y videovigilancia
- Servicios informáticos y mantenimiento
- Destrucción de documentos
- Atención al cliente externalizada
Todas estas empresas, cuando acceden a datos personales de los clientes de sus clientes, actúan como encargados del tratamiento.
Formalización de la Relación: El Contrato de Encargado
El Reglamento General de Protección de Datos (RGPD) exige que la relación entre responsable y encargado se formalice mediante un contrato o acto jurídico vinculante que establezca:
- El objeto y duración del tratamiento
- La naturaleza y finalidad del tratamiento
- El tipo de datos personales y categorías de interesados
- Las obligaciones y derechos del responsable
- Las obligaciones específicas del encargado
Este contrato es un documento fundamental que delimita las responsabilidades de cada parte y constituye una garantía para los interesados cuyos datos son tratados.
Consecuencias del Incumplimiento
Para el responsable
- Responsabilidad directa ante los interesados
- Sanciones de la autoridad de control
- Obligación de indemnizar daños y perjuicios
Para el encargado
- Si actúa fuera de las instrucciones del responsable, pasa a ser considerado responsable de ese tratamiento
- Puede ser sancionado directamente por la autoridad de control
- Responsabilidad contractual frente al responsable
Resumen: Claves para Distinguir Responsable y Encargado
| Aspecto | Responsable | Encargado |
|---|---|---|
| Decisión | Decide la finalidad y medios | No decide, ejecuta |
| Actuación | Por cuenta propia | Por cuenta del responsable |
| Instrucciones | Las da | Las recibe y cumple |
| Responsabilidad | Última ante interesados | Contractual ante responsable |
| Autonomía | Total sobre el tratamiento | Ninguna sobre uso de datos |
Conclusión
La correcta identificación del responsable y el encargado del tratamiento es esencial para el cumplimiento de la normativa de protección de datos. El responsable es quien toma las decisiones sobre el tratamiento; el encargado es quien lo ejecuta materialmente siguiendo sus instrucciones.
En la práctica empresarial, esta distinción se traduce en relaciones contractuales claras que delimitan las obligaciones de cada parte y garantizan la protección de los datos personales de los interesados.
Recuerda siempre la regla fundamental: el encargado trata materialmente los datos; el responsable es por cuenta de quién lo hace y quien decide la finalidad del tratamiento.
Errores comunes
Pensar que el encargado del tratamiento es el responsable porque es quien maneja físicamente los datos
Preguntarse: ¿quién ha decidido que se traten estos datos y con qué finalidad?
El responsable siempre es quien toma la decisión sobre el tratamiento, no quien lo ejecuta materialmente
Creer que responsable y encargado no pueden ser la misma entidad
Cuando una empresa trata datos sin subcontratar a terceros
Es perfectamente posible que una misma entidad sea responsable y encargado a la vez si no subcontrata servicios externos
No formalizar la relación entre responsable y encargado por escrito
Cuando se subcontratan servicios que implican acceso a datos personales sin contrato específico
Siempre debe existir un contrato de encargado del tratamiento que establezca las obligaciones y límites
Glosario
- Responsable del tratamiento
- Persona física o jurídica que determina los fines y medios del tratamiento de datos personales. Es quien decide qué datos se recogen, para qué y cómo se utilizan.
- Encargado del tratamiento
- Persona física o jurídica que trata datos personales por cuenta del responsable. Ejecuta materialmente el tratamiento siguiendo las instrucciones del responsable.
- Interesado
- Persona física cuyos datos personales son objeto de tratamiento. Es el titular de los datos.
- Delegado de Protección de Datos (DPD)
- Figura encargada de supervisar el cumplimiento de la normativa de protección de datos en una organización y actuar como punto de contacto con la autoridad de control.
- Tratamiento de datos
- Cualquier operación realizada sobre datos personales: recogida, registro, organización, conservación, modificación, consulta, comunicación, supresión, etc.
- Finalidad del tratamiento
- Objetivo o propósito para el cual se recogen y procesan los datos personales. Debe ser determinado, explícito y legítimo.
- Subcontratación del tratamiento
- Cuando el encargado del tratamiento contrata a un tercero para realizar parte de las operaciones de tratamiento por cuenta del responsable.
Preguntas frecuentes
¿Cuál es la diferencia principal entre responsable y encargado del tratamiento?
El responsable decide sobre la finalidad y medios del tratamiento; el encargado ejecuta materialmente el tratamiento por cuenta del responsable.
El responsable del tratamiento es quien toma las decisiones sobre qué datos se recogen, para qué se utilizan y cómo se procesan. El encargado, en cambio, es quien materialmente realiza las operaciones de tratamiento (acceder, almacenar, modificar datos) pero siempre siguiendo las instrucciones del responsable y sin poder decidir por su cuenta sobre el uso de los datos.
¿Puede una empresa ser responsable y encargado a la vez?
Sí, es lo más normal cuando una empresa trata datos sin subcontratar servicios externos.
Cuando una empresa gestiona internamente todos sus procesos que implican tratamiento de datos (como las nóminas de sus empleados), actúa simultáneamente como responsable (porque decide el tratamiento) y como encargado (porque lo ejecuta materialmente). La figura del encargado externo aparece cuando se subcontratan servicios a terceros.
Si contrato una gestoría para las nóminas, ¿quién es el responsable del tratamiento?
La empresa que contrata a la gestoría sigue siendo el responsable del tratamiento.
Aunque la gestoría accede a los datos personales de los trabajadores (DNI, nombre, dirección, etc.) y los procesa materialmente, lo hace por cuenta de la empresa que la ha contratado. La empresa es quien ha decidido elaborar nóminas y para qué, por lo que mantiene la condición de responsable. La gestoría actúa como encargado del tratamiento.
¿Qué obligaciones tiene el encargado del tratamiento?
Debe tratar los datos solo según las instrucciones del responsable, garantizar la seguridad y no usarlos para fines propios.
El encargado del tratamiento tiene obligaciones específicas: actuar únicamente siguiendo las instrucciones documentadas del responsable, implementar medidas de seguridad adecuadas, no comunicar los datos a terceros sin autorización, colaborar con el responsable para atender los derechos de los interesados, y suprimir o devolver los datos al finalizar la prestación del servicio.
En el caso de cámaras de seguridad contratadas a una empresa externa, ¿quién responde ante una reclamación?
El responsable (el comercio o empresa que contrata) responde ante los interesados, aunque puede repercutir contra el encargado si este incumplió.
Aunque la empresa de seguridad sea quien técnicamente graba y almacena las imágenes, el comercio que contrató el servicio es el responsable del tratamiento y, por tanto, quien responde frente a los interesados y la autoridad de control. Si el encargado (empresa de seguridad) incumplió sus obligaciones contractuales, el responsable podría reclamarle posteriormente.
¿Qué pasa si el encargado usa los datos para fines distintos a los encargados?
El encargado pasa a ser considerado responsable de ese nuevo tratamiento y puede ser sancionado.
Si el encargado del tratamiento utiliza los datos personales para finalidades propias no autorizadas por el responsable, la normativa establece que será considerado responsable de dicho tratamiento ilícito. Esto implica que asume todas las obligaciones y responsabilidades del responsable, incluyendo las posibles sanciones por tratamiento no autorizado de datos personales.
¿Es obligatorio tener un contrato escrito entre responsable y encargado?
Sí, el RGPD exige que la relación se formalice mediante un contrato o acto jurídico vinculante.
El artículo 28 del RGPD establece que el tratamiento por el encargado debe regirse por un contrato u otro acto jurídico que vincule al encargado respecto del responsable. Este documento debe especificar el objeto y duración del tratamiento, su naturaleza y finalidad, el tipo de datos y categorías de interesados, y las obligaciones y derechos del responsable.
¿Quiénes son los cuatro actores principales en protección de datos?
Responsable del tratamiento, encargado del tratamiento, interesado y delegado de protección de datos.
En el marco de la protección de datos intervienen cuatro figuras principales: el responsable (quien decide sobre el tratamiento), el encargado (quien ejecuta materialmente el tratamiento), el interesado (la persona cuyos datos se tratan) y el delegado de protección de datos (quien supervisa el cumplimiento normativo en la organización).
Artículos relacionados
Criterios de clasificación y registro de accidentes de tráfico y víctimas
Guía completa sobre los criterios que definen un accidente de tráfico, clasificación de víctimas y requisitos de registro de datos para la Policía Municipal de Madrid.
Registro Nacional de Víctimas de Accidentes de Tráfico: Artículos 114 y 115
El Registro Nacional de Víctimas de Accidentes de Tráfico está regulado por el RDL 6/2015, artículos 114 (creación) y 115 (finalidad y protección de datos).
Organización y Gestión del Área de Trabajo en Gabinetes de Dietética
Competencias esenciales para organizar, planificar y gestionar un gabinete de dietética de forma eficiente, segura y conforme a la normativa vigente.
Tipos de Información Administrativa: General y Particular
Guía completa sobre los dos tipos de información administrativa: general (sin identificación) y particular (requiere identificación del interesado).
El Presupuesto del Estado en España: Definición, Normativa y Fechas Clave
Guía completa sobre el Presupuesto del Estado español: definición, marco normativo (art. 134 CE, Ley 47/2003), fechas clave y prórroga presupuestaria.
Derechos Retributivos de los Funcionarios Públicos: Estructura Completa
Guía completa sobre los derechos retributivos de los funcionarios públicos: retribuciones básicas (sueldo y trienios) y complementarias (destino, específico, productividad).
¿Quieres aprender más sobre este tema?
Este contenido es parte del curso Administrativo del Estado de Oposiciones Ucademy. Contacta con nosotros para más información o descarga este artículo en PDF.