¿Cuándo somos responsables del tratamiento de datos y cuándo somos encargados?

En el ámbito de la protección de datos, uno de los aspectos que más dudas genera a empresas y profesionales es distinguir entre ser responsable del tratamiento o encargado del tratamiento. Esta diferencia no es meramente formal: implica obligaciones distintas y determina qué documentos debemos firmar con nuestros clientes o proveedores.

Responsable del tratamiento

El responsable es quien decide cómo y para qué se tratan los datos personales. En la práctica, cuando trabajamos directamente con personas físicas (clientes, empleados, proveedores particulares…), somos responsables de sus datos, ya que somos nosotros quienes fijamos la finalidad y medios del tratamiento.

En estos casos, se utiliza la hoja de encargo, un documento que regula la relación profesional y garantiza que el cliente entiende cómo se usarán sus datos, a qué terceros podrán comunicarse y cuáles son sus derechos.

Encargado del tratamiento

El encargado, por el contrario, actúa siguiendo las instrucciones del responsable. Su papel es tratar datos personales únicamente para prestar el servicio contratado, sin poder utilizarlos para fines propios.

Esto ocurre cuando gestionamos información de personas jurídicas (empresas, asociaciones u organizaciones) a través de servicios como por ejemplo asesoría fiscal, jurídica, contable o administrativa, entre otros muchos. En este escenario se firma un contrato de encargado del tratamiento, que detalla aspectos como la confidencialidad, las medidas de seguridad, la devolución o destrucción de los datos al finalizar la relación y la asistencia al responsable en caso de incidencias.

Dos situaciones, dos documentos: Aquí está la clave: identificar correctamente en qué papel actuamos para formalizar el documento adecuado.

Si tratamos datos de personas físicas en calidad de responsables, ejemplo: un despacho de abogados que atiende directamente a un particular, o una clínica dental que gestiona historiales de pacientes; en estos supuestos corresponde firmar una hoja de encargo o presupuesto, o directamente el contrato de prestación de servicios, que no sólo fija las condiciones del servicio, sino que informa al cliente de forma transparente sobre el uso de sus datos y los derechos que puede ejercer sobre los mismos (rectificación, cancelación, etc.).
Si tratamos datos por cuenta de otra empresa en calidad de encargados, ejemplo: una gestoría que lleva la contabilidad de una sociedad mercantil, o un proveedor informático que da soporte a una compañía y accede a las bases de datos de sus clientes; en estos casos debe firmarse un contrato de encargado del tratamiento, que sirve de salvaguarda legal para ambas partes y deja claro que los datos no se usarán nunca fuera del marco de instrucciones del responsable, de hecho, si esa gestoría va a ceder los datos a otra para que sea un tercero quien realice las nóminas, entonces deberá incluirse en dicho documento que dicha cesión tendrá lugar, y esto a su vez, obligará a firmar otro documento de encargo del tratamiento de datos de la gestoría contable con el asesor laboral.

¿Por qué es importante distinguirlo?

Porque de esta diferencia depende quién asume la responsabilidad principal ante la Agencia Española de Protección de Datos (AEPD) y qué obligaciones debe cumplir cada parte.

Tanto si eres una pyme, un despacho profesional o una gran empresa, entender si actúas como responsable o encargado es clave para cumplir con la ley, generar confianza y evitar sanciones.

No olvidemos que la AEPD tiene potestad para imponer multas que pueden superar fácilmente los cientos de miles de euros, incluso hasta 20 millones de euros o el 4 % de la facturación anual en los casos más graves, además del daño reputacional.

En un mundo donde los datos son el nuevo oro, distinguir correctamente entre ser responsable o encargado del tratamiento no es un mero trámite legal: es la frontera entre la confianza y el riesgo, entre la tranquilidad y una sanción que puede llegar a ser millonaria.