Responsable y Encargado del Tratamiento de Datos: Roles y Funciones
Respuesta rápida
El responsable del tratamiento es quien decide qué se hace con los datos personales y por cuenta de quién se tratan (por ejemplo, una empresa que contrata servicios), mientras que el encargado es quien materialmente opera y procesa esos datos siguiendo las instrucciones del responsable (por ejemplo, una gestoría o empresa de seguridad contratada).
Puntos clave
Responsable del tratamiento
Es quien decide la finalidad y los medios del tratamiento de datos; la entidad por cuenta de quien actúa el encargado.
Encargado del tratamiento
Es quien materialmente trata los datos (opera, almacena, procesa) siguiendo las instrucciones del responsable.
Ejemplo de gestoría
Si una empresa contrata una gestoría para nóminas, la empresa es responsable y la gestoría es encargada.
Ejemplo de videovigilancia
En videovigilancia subcontratada, el comercio es responsable y la empresa de seguridad es encargada del tratamiento.
Contrato obligatorio
La relación responsable-encargado debe formalizarse mediante un contrato de encargo de tratamiento.
Pueden coincidir
Una misma entidad puede ser responsable y encargado cuando no hay subcontratación de servicios.
Paso a paso
Identificar quién decide la finalidad y los medios del tratamiento de datos
Determinar quién realiza materialmente el tratamiento de los datos
Verificar la relación contractual entre ambas partes
Asignar las obligaciones correspondientes a cada rol
Ejemplos resueltos
Problema 1Una empresa de construcciones con 300 trabajadores contrata a una gestoría externa para gestionar las nóminas. La gestoría accede al DNI, nombre, dirección y email de los empleados. ¿Quién es el responsable y quién el encargado del tratamiento?
Una empresa de construcciones con 300 trabajadores contrata a una gestoría externa para gestionar las nóminas. La gestoría accede al DNI, nombre, dirección y email de los empleados. ¿Quién es el responsable y quién el encargado del tratamiento?
Solución:
- 1Identificar quién decide contratar el servicio y para qué finalidad: la empresa de construcciones decide que se gestionen las nóminas de sus empleados
- 2Identificar quién ejecuta materialmente el tratamiento: la gestoría es quien accede a los datos, los procesa y elabora las nóminas
- 3Determinar por cuenta de quién actúa la gestoría: la gestoría actúa por encargo y bajo las instrucciones de la empresa de construcciones
- 4Asignar los roles: el responsable es la empresa de construcciones; el encargado es la gestoría
El responsable del tratamiento es la empresa de construcciones y el encargado del tratamiento es la gestoría
Verificación: Verificar que la empresa de construcciones es quien decide la finalidad (gestión de nóminas) y que la gestoría solo actúa siguiendo sus instrucciones
Problema 2Un comercio contrata a una empresa de seguridad (tipo Prosegur o Securitas Direct) para instalar cámaras de videovigilancia que graban a trabajadores y clientes. ¿Quién es el responsable y quién el encargado del tratamiento de las imágenes?
Un comercio contrata a una empresa de seguridad (tipo Prosegur o Securitas Direct) para instalar cámaras de videovigilancia que graban a trabajadores y clientes. ¿Quién es el responsable y quién el encargado del tratamiento de las imágenes?
Solución:
- 1Identificar la finalidad del tratamiento: vigilancia y seguridad del comercio, decidida por el propietario del comercio
- 2Identificar quién capta y almacena las imágenes: la empresa de seguridad toma las imágenes, las almacena y las gestiona técnicamente
- 3Determinar la relación: la empresa de seguridad actúa por cuenta del comercio, que es quien ha contratado el servicio
- 4Asignar los roles según las funciones
El responsable del tratamiento es el comercio (empresa de construcciones en el ejemplo); el encargado del tratamiento es la empresa de seguridad contratada
Verificación: Confirmar que el comercio es quien decide instalar las cámaras y con qué finalidad, mientras que la empresa de seguridad solo ejecuta el tratamiento técnico
Responsable y Encargado del Tratamiento de Datos: Guía Completa
Introducción
En el marco de la protección de datos personales, resulta fundamental comprender quiénes son los actores que intervienen en el tratamiento de información personal. Esta distinción no es meramente teórica: tiene implicaciones legales directas sobre quién asume responsabilidades y obligaciones ante la normativa.
Este artículo explica de forma clara y práctica la diferencia entre el responsable del tratamiento y el encargado del tratamiento, dos figuras clave que cualquier opositor al cuerpo de Auxiliar Administrativo del Estado debe dominar.
Los Cuatro Actores en la Protección de Datos
Antes de profundizar en responsables y encargados, conviene situar estas figuras dentro del ecosistema completo de la protección de datos:
-
Responsable del tratamiento: La persona física o jurídica que decide sobre los fines y medios del tratamiento de datos personales.
-
Encargado del tratamiento: La persona física o jurídica que trata datos personales por cuenta del responsable.
-
Interesado: La persona física cuyos datos personales son objeto de tratamiento. Es el titular de los datos.
-
Delegado de Protección de Datos (DPD): Figura que actúa como supervisor y asesor en materia de protección de datos dentro de las organizaciones.
En esta lección nos centramos específicamente en las dos primeras figuras, que son las más frecuentemente confundidas en la práctica.
El Responsable del Tratamiento: Quien Decide
Definición
El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento de datos personales.
Características principales
- Decide la finalidad: Determina para qué se van a utilizar los datos personales.
- Establece los medios: Define cómo se va a realizar el tratamiento.
- Asume la responsabilidad principal: Es el garante del cumplimiento de la normativa de protección de datos.
- Puede subcontratar: Tiene la facultad de contratar a terceros (encargados) para que realicen el tratamiento por su cuenta.
Funciones y obligaciones del responsable
- Garantizar que el tratamiento se realiza conforme a la normativa vigente.
- Determinar la base jurídica que legitima el tratamiento.
- Informar a los interesados sobre el tratamiento de sus datos.
- Atender el ejercicio de derechos de los interesados.
- Implementar medidas técnicas y organizativas apropiadas.
- Seleccionar encargados que ofrezcan garantías suficientes.
- Notificar brechas de seguridad cuando proceda.
El Encargado del Tratamiento: Quien Ejecuta
Definición
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
Características principales
- Trata materialmente los datos: Es quien opera los sistemas, almacena la información y ejecuta las operaciones de tratamiento.
- Actúa por cuenta del responsable: No tiene autonomía para decidir sobre la finalidad o los medios del tratamiento.
- Sigue instrucciones: Debe actuar únicamente según las directrices establecidas por el responsable.
- Tiene obligaciones propias: Aunque actúa por cuenta de otro, tiene responsabilidades legales específicas.
Funciones y obligaciones del encargado
- Tratar los datos únicamente siguiendo las instrucciones del responsable.
- Garantizar que las personas autorizadas para tratar datos se comprometan a la confidencialidad.
- Implementar las medidas de seguridad requeridas.
- No recurrir a otro encargado sin autorización del responsable.
- Asistir al responsable en el cumplimiento de sus obligaciones.
- Suprimir o devolver los datos una vez finalizado el servicio.
- Poner a disposición del responsable la información necesaria para demostrar el cumplimiento.
Ejemplos Prácticos: Cómo Identificar Cada Figura
Ejemplo 1: Empresa de Construcciones y Gestoría
Situación: Una empresa de construcciones con 300 trabajadores contrata a una gestoría externa para gestionar las nóminas de sus empleados.
Datos tratados por la gestoría:
- DNI de los trabajadores
- Nombre completo
- Dirección postal
- Correo electrónico
- Datos bancarios
Análisis:
| Pregunta clave | Respuesta | Conclusión |
|---|---|---|
| ¿Quién decide contratar el servicio? | La empresa de construcciones | Es el responsable |
| ¿Quién determina la finalidad (gestión de nóminas)? | La empresa de construcciones | Es el responsable |
| ¿Quién accede y procesa materialmente los datos? | La gestoría | Es el encargado |
| ¿Por cuenta de quién actúa la gestoría? | De la empresa de construcciones | La gestoría es encargado |
Resultado:
- Responsable: Empresa de construcciones
- Encargado: Gestoría
Ejemplo 2: Comercio y Empresa de Seguridad
Situación: Un comercio contrata a una empresa de seguridad (Prosegur, Securitas Direct, etc.) para instalar un sistema de videovigilancia que graba a trabajadores y clientes.
Datos tratados:
- Imágenes de personas que acceden al comercio
- Grabaciones almacenadas
Análisis:
| Pregunta clave | Respuesta | Conclusión |
|---|---|---|
| ¿Quién decide instalar las cámaras? | El comercio | Es el responsable |
| ¿Quién determina la finalidad (seguridad del local)? | El comercio | Es el responsable |
| ¿Quién capta, almacena y gestiona las imágenes? | La empresa de seguridad | Es el encargado |
| ¿Por cuenta de quién actúa la empresa de seguridad? | Del comercio | La empresa de seguridad es encargado |
Resultado:
- Responsable: El comercio
- Encargado: La empresa de seguridad
Situaciones Especiales
Cuando la misma entidad es responsable y encargado
Es perfectamente posible que una organización sea simultáneamente responsable y encargado del tratamiento. Esto ocurre cuando:
- La empresa trata datos de sus propios empleados internamente.
- No se subcontrata ningún servicio que implique tratamiento de datos.
- Todos los tratamientos se realizan con recursos propios.
En estos casos, la distinción entre ambas figuras pierde relevancia práctica, ya que todas las obligaciones recaen sobre la misma entidad.
La subcontratación como regla general
En la práctica empresarial actual, lo más habitual es que exista subcontratación de servicios que implican tratamiento de datos:
- Gestorías y asesorías: Contabilidad, nóminas, fiscalidad.
- Empresas de seguridad: Videovigilancia, control de accesos.
- Proveedores tecnológicos: Servicios cloud, hosting, software como servicio.
- Servicios de marketing: Email marketing, analítica web.
- Servicios de atención al cliente: Call centers externalizados.
En todos estos casos, existe una relación responsable-encargado que debe formalizarse mediante el correspondiente contrato.
El Contrato de Encargo de Tratamiento
La relación entre responsable y encargado debe documentarse mediante un contrato o acto jurídico que vincule al encargado respecto del responsable. Este contrato debe establecer:
- El objeto y duración del tratamiento.
- La naturaleza y finalidad del tratamiento.
- El tipo de datos personales tratados.
- Las categorías de interesados.
- Las obligaciones y derechos del responsable.
- Las instrucciones específicas del responsable.
- Las medidas de seguridad a implementar.
- El régimen de subcontratación.
- La asistencia al responsable.
- El destino de los datos tras finalizar el servicio.
Claves para el Examen de Oposiciones
Para las oposiciones de Auxiliar Administrativo del Estado, es fundamental recordar:
-
El responsable DECIDE: Determina la finalidad y los medios del tratamiento.
-
El encargado EJECUTA: Trata materialmente los datos por cuenta del responsable.
-
La clave es "por cuenta de quién": El encargado siempre actúa por cuenta del responsable, nunca de forma autónoma.
-
Ambos tienen obligaciones: Aunque el responsable tiene la responsabilidad principal, el encargado también tiene obligaciones legales propias.
-
La subcontratación crea la distinción: Solo hay dos figuras diferenciadas cuando existe una relación de subcontratación.
Conclusión
La correcta identificación del responsable y el encargado del tratamiento es esencial para determinar quién asume cada obligación en materia de protección de datos. La regla básica es sencilla: quien decide es el responsable; quien ejecuta por cuenta de otro es el encargado.
En el siguiente tema se abordará la figura del Delegado de Protección de Datos, que actúa como intermediario y supervisor clave en la gestión de la protección de datos dentro de las organizaciones.
Este contenido forma parte del Tema 12 de las oposiciones de Auxiliar Administrativo del Estado: La protección de datos personales y su régimen jurídico.
Errores comunes
Creer que quien toca o procesa materialmente los datos es automáticamente el responsable
Cuando se identifica al encargado (gestoría, empresa de seguridad) como responsable solo porque es quien opera los sistemas
Recordar que el responsable es quien decide la finalidad y los medios del tratamiento, no quien lo ejecuta materialmente
Pensar que el encargado del tratamiento puede decidir qué hacer con los datos
Cuando se asume que la gestoría o empresa subcontratada tiene autonomía sobre el uso de los datos
El encargado siempre actúa bajo las instrucciones del responsable y por cuenta de este
Confundir responsable y encargado cuando es la misma entidad
Cuando una empresa trata directamente los datos sin subcontratar a terceros
En estos casos, la misma empresa puede ser responsable y encargado simultáneamente; solo hay dos figuras diferenciadas cuando se subcontrata
No formalizar la relación entre responsable y encargado
Contratar servicios que implican tratamiento de datos sin establecer un contrato de encargo de tratamiento
Siempre debe existir un contrato que regule la relación y las obligaciones del encargado
Glosario
- Responsable del tratamiento
- Persona física o jurídica que determina los fines y medios del tratamiento de datos personales; es quien decide qué se hace con los datos y por cuenta de quién se tratan.
- Encargado del tratamiento
- Persona física o jurídica que trata datos personales por cuenta del responsable; es quien materialmente opera, procesa o almacena los datos siguiendo las instrucciones del responsable.
- Tratamiento de datos
- Cualquier operación realizada sobre datos personales, como recogida, registro, organización, almacenamiento, modificación, consulta, comunicación o supresión.
- Interesado
- Persona física cuyos datos personales son objeto de tratamiento; es el titular de los datos.
- Delegado de Protección de Datos (DPD)
- Figura que actúa como intermediario y supervisor en la gestión de la protección de datos dentro de una organización.
- Finalidad del tratamiento
- Objetivo o propósito para el cual se recogen y procesan los datos personales, que debe ser determinado por el responsable.
- Subcontratación en protección de datos
- Situación en la que el responsable contrata a un tercero (encargado) para que realice operaciones de tratamiento de datos por su cuenta.
Preguntas frecuentes
¿Cuál es la diferencia principal entre responsable y encargado del tratamiento?
El responsable decide qué se hace con los datos y su finalidad; el encargado es quien materialmente los procesa siguiendo las instrucciones del responsable.
El responsable del tratamiento es la entidad que determina los fines y medios del tratamiento, es decir, decide por qué y cómo se van a tratar los datos. El encargado, en cambio, es quien ejecuta materialmente ese tratamiento (opera sistemas, almacena datos, etc.) pero siempre por cuenta y bajo las instrucciones del responsable. Por ejemplo, si una empresa contrata una gestoría para las nóminas, la empresa es responsable y la gestoría es encargada.
¿Puede una misma empresa ser responsable y encargado a la vez?
Sí, cuando la empresa trata directamente los datos sin subcontratar a terceros, asume ambos roles.
Cuando no hay subcontratación y la empresa gestiona internamente todos los tratamientos de datos (por ejemplo, su propio departamento de RRHH gestiona las nóminas), esa empresa es simultáneamente responsable y encargado. La distinción entre ambas figuras solo es relevante cuando existe una relación de subcontratación con un tercero.
Si contrato una empresa de seguridad para videovigilancia, ¿quién es el responsable de las imágenes grabadas?
El responsable es quien contrata el servicio (el comercio o empresa), no la empresa de seguridad que instala y opera las cámaras.
Aunque la empresa de seguridad (Prosegur, Securitas, etc.) es quien materialmente capta, almacena y gestiona las imágenes, actúa como encargado del tratamiento. El responsable sigue siendo el comercio o empresa que contrató el servicio, ya que es quien decide la finalidad (vigilancia de su local) y por cuenta de quién se realiza el tratamiento.
¿Qué datos trata típicamente una gestoría como encargado del tratamiento?
DNI, nombre, dirección, email y otros datos identificativos de los trabajadores necesarios para gestionar nóminas.
Cuando una empresa contrata una gestoría para la gestión de nóminas, esta accede a datos personales de los empleados como el DNI, nombre completo, dirección postal, correo electrónico, datos bancarios para el pago, y cualquier otra información necesaria para elaborar las nóminas y cumplir con las obligaciones laborales y fiscales.
¿Quién tiene más responsabilidad legal, el responsable o el encargado?
El responsable tiene la responsabilidad principal, aunque el encargado también tiene obligaciones específicas que debe cumplir.
El responsable del tratamiento es quien asume la responsabilidad principal sobre el cumplimiento de la normativa de protección de datos, ya que es quien decide la finalidad y los medios del tratamiento. Sin embargo, el encargado también tiene obligaciones legales propias, como implementar medidas de seguridad adecuadas y actuar solo según las instrucciones del responsable. Ambos pueden ser sancionados si incumplen sus respectivas obligaciones.
¿Necesito un contrato específico con el encargado del tratamiento?
Sí, es obligatorio formalizar la relación mediante un contrato de encargo de tratamiento.
La normativa de protección de datos exige que la relación entre responsable y encargado se formalice mediante un contrato o acto jurídico que establezca el objeto y duración del tratamiento, la naturaleza y finalidad, el tipo de datos y categorías de interesados, y las obligaciones y derechos del responsable. Este contrato es fundamental para delimitar responsabilidades.
¿Qué ocurre si el encargado usa los datos para fines distintos a los acordados?
El encargado pasaría a ser considerado responsable de ese tratamiento no autorizado y asumiría las responsabilidades legales correspondientes.
Si el encargado del tratamiento utiliza los datos personales para finalidades propias no autorizadas por el responsable, la normativa establece que será considerado responsable de ese tratamiento. Esto implica que asumirá todas las obligaciones y responsabilidades legales, incluyendo posibles sanciones por incumplimiento de la normativa de protección de datos.
¿Los interesados deben dirigirse al responsable o al encargado para ejercer sus derechos?
Los interesados deben dirigirse al responsable del tratamiento, que es quien debe atender sus solicitudes de derechos.
Aunque el encargado sea quien materialmente trata los datos, los interesados (las personas cuyos datos se tratan) deben ejercer sus derechos (acceso, rectificación, supresión, etc.) ante el responsable del tratamiento. El responsable es quien tiene la obligación de atender estas solicitudes, aunque puede requerir la colaboración del encargado para ejecutarlas técnicamente.
Artículos relacionados
Impuesto sobre Sociedades: Pagos fraccionados, contribuyentes y valoración patrimonial
Guía práctica sobre los aspectos más preguntados del Impuesto sobre Sociedades en oposiciones: pagos fraccionados, contribuyentes y valoración de elementos patrimoniales.
Preguntas de examen sobre recursos y reclamaciones tributarias
Resolución de preguntas tipo test sobre procedimientos de revisión tributaria: recurso de reposición, nulidad de pleno derecho y legitimación en embargos.
Procedimiento de apremio y embargo en la recaudación tributaria
Guía sobre el procedimiento de apremio: desde la providencia de apremio hasta el embargo y enajenación de bienes para cobrar deudas tributarias.
Criterios de clasificación y registro de accidentes de tráfico y víctimas
Guía completa sobre los criterios que definen un accidente de tráfico, clasificación de víctimas y requisitos de registro de datos para la Policía Municipal de Madrid.
Registro Nacional de Víctimas de Accidentes de Tráfico: Artículos 114 y 115
El Registro Nacional de Víctimas de Accidentes de Tráfico está regulado por el RDL 6/2015, artículos 114 (creación) y 115 (finalidad y protección de datos).
Extinción de la Deuda Tributaria: Prescripción, Compensación y Otras Causas
Análisis de los métodos legales de extinción de la deuda tributaria distintos al pago: prescripción, compensación, deducción sobre transferencias y condonación.
¿Quieres aprender más sobre este tema?
Este contenido es parte del curso Auxiliar Administrativo del Estado de Oposiciones Ucademy. Contacta con nosotros para más información o descarga este artículo en PDF.