En mi trayectoria asesorando a clientes, me he topado con mucha confusión sobre los roles en protección de datos. Muchas empresas creen que, por subcontratar un servicio, se desentienden de la responsabilidad legal. Nada más lejos de la realidad. Si quieres evitar problemas con la normativa, debes tener claro a quién le toca bailar con cada parte.
Definiendo los roles: responsable y encargado de tratamiento
Lo primero es identificar quién es quién. Por un lado, tenemos al interesado, que eres tú o yo como persona física cuyos datos se tratan. Luego, el responsable de tratamiento es quien decide el cómo y el para qué. Es decir, si tú tienes una web y decides qué datos pides y qué haces con ellos, tú eres el responsable. No hay más vuelta de hoja.
Por otro lado, el encargado de tratamiento es la entidad o profesional que trata los datos por cuenta del responsable, siguiendo estrictamente sus instrucciones. He visto que muchos clientes se confunden con sus proveedores, como empresas de hosting o herramientas de email marketing. Estos proveedores suelen actuar como encargados de tratamiento porque procesan datos que tú, como responsable, les has encomendado.
 (1).jpg)
La importancia del contrato entre partes
Aquí es donde veo fallos habituales. La norma exige un contrato firmado entre el responsable y el encargado. No basta con un acuerdo de palabra; debe ser un documento que acredite que el encargado ofrece garantías suficientes. En mi experiencia, este contrato no es un mero trámite administrativo.
Debe recoger aspectos específicos:
- El objeto, duración y finalidad del tratamiento.
- El tipo de datos y categorías de interesados.
- La obligación del encargado de seguir las instrucciones documentadas del responsable.
- El compromiso de confidencialidad de quienes accedan a los datos.
- El deber de asistir al responsable en la gestión de los derechos de los interesados.
- La supresión o devolución de los datos al finalizar el servicio.
He visto que, ante una inspección, este documento es lo primero que piden. Si no puedes demostrar que tu proveedor (tu encargado) cumple con estas medidas técnicas y organizativas, el responsable es quien asume el riesgo principal. No dejes estos flecos sueltos en tu negocio, ya que las sanciones pueden ser muy elevadas.
Preguntas frecuentes
¿Es el hosting un encargado de tratamiento?
Sí, cuando aloja datos personales de tus clientes o usuarios siguiendo tus instrucciones, actúa como encargado de tratamiento.
¿Qué pasa si no tengo firmado el contrato con mi encargado?
Incumples el RGPD y te expones a sanciones graves, ya que el responsable debe garantizar por contrato que el encargado ofrece medidas de seguridad adecuadas.
¿Puedo desentenderme si mi encargado de tratamiento pierde los datos?
No, el responsable siempre debe asegurarse de que el encargado ofrezca garantías suficientes, por lo que la elección y supervisión del encargado es tu responsabilidad.