Encargados del tratamiento: el contrato de encargo y cuándo es obligatorio un DPD
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
La diferencia entre responsable del tratamiento y encargado del tratamiento es fundamental en el RGPD. El encargado trata datos en nombre del responsable y solo puede hacerlo según sus instrucciones. Si un proveedor tuyo accede a datos de tus clientes o empleados (hosting, software de gestión, gestoría, etc.) probablemente actúa como encargado y necesitas un contrato específico.
Puntos clave
- 1El encargado del tratamiento actúa siempre bajo las instrucciones del responsable y no puede usar los datos para fines propios
- 2El contrato de encargo debe incluir los elementos del art. 28 RGPD: objeto, duración, naturaleza, finalidad, tipo de datos, obligaciones y derechos del responsable
- 3El encargado solo puede subcontratar con autorización expresa o general del responsable
- 4Algunos ejemplos de encargados: proveedor de hosting/cloud, software de RRHH, gestoría, empresa de destrucción de documentos, call center
- 5El DPD (Delegado de Protección de Datos) es obligatorio para AA.PP., empresas que realizan monitorización a gran escala, y las que tratan categorías especiales a gran escala
- 6En España, el DPD puede ser interno o externo y debe registrarse en la AEPD
Responsable vs encargado: cómo distinguirlos
El responsable del tratamiento es quien decide el 'para qué' y el 'cómo' se tratan los datos. El encargado solo ejecuta instrucciones del responsable. El mismo proveedor puede ser responsable de sus propios datos y encargado de los tuyos. Por ejemplo, una empresa de mensajería es responsable de sus propios sistemas, pero encargado cuando gestiona datos de tus clientes para entregas.
| Rol | Quién es | Quién decide finalidad y medios |
|---|---|---|
| Responsable | Tu empresa | Tú |
| Encargado | Tu proveedor con acceso a datos | Tú (el proveedor ejecuta) |
| Corresponsable | Cuando ambas partes deciden conjuntamente | Ambas partes conjuntamente |
Contenido mínimo del contrato de encargo (art. 28 RGPD)
El contrato debe formalizar la relación y contener como mínimo: objeto y duración del tratamiento, naturaleza y finalidad del tratamiento, tipo de datos y categorías de interesados, obligaciones y derechos del responsable. Debe incluir también las cláusulas sobre subcontratación, devolución o destrucción de datos al finalizar el contrato, y cooperación ante ejercicio de derechos o brechas.
¿Cuándo es obligatorio el DPD?
El art. 37 RGPD hace obligatorio el nombramiento de un Delegado de Protección de Datos en tres supuestos: (1) Autoridades u organismos públicos; (2) Organizaciones que realizan operaciones de tratamiento que requieren observación habitual y sistemática de interesados a gran escala; (3) Organizaciones que tratan a gran escala categorías especiales de datos (salud, biométricos, condenas penales, origen racial…). En los demás casos es voluntario pero recomendable.
Próximos pasos recomendados
- 1Identifica todos tus proveedores que acceden o podrían acceder a datos personales de clientes o empleados
- 2Verifica si tienes contrato de encargo firmado con cada uno; en las próximas renovaciones incorpora o actualiza las cláusulas del art. 28
- 3Evalúa si tu organización debe nombrar un DPD según el art. 37 RGPD
- 4Si nombras DPD, regístralo en el portal de la AEPD
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- Art. 28 RGPD (Encargado) — EUR-Lex — Texto oficial del art. 28 RGPD sobre encargados del tratamiento
- Art. 37 RGPD (DPD) — EUR-Lex — Texto oficial sobre la obligación de designar DPD
- AEPD — Guía sobre el DPD — Guía de la AEPD sobre el Delegado de Protección de Datos
- EDPB — Guidelines 07/2020 (DPO) — Directrices europeas sobre el Delegado de Protección de Datos
También en RGPD