Si tu empresa trata datos personales por cuenta de otra organización — ya sea como proveedor de servicios cloud, consultoría, marketing, desarrollo web o cualquier servicio que implique acceso a datos personales de clientes — eres un encargado de tratamiento. Y el Artículo 28 del RGPD te impone obligaciones específicas y directas.
Responsable vs. Encargado
| Concepto | Responsable | Encargado | |----------|-------------|-----------| | Quién es | Decide el por qué y el cómo del tratamiento | Trata datos por cuenta del responsable | | Ejemplo | Empresa que contrata un CRM | Proveedor del CRM | | Obligaciones principales | Cumplir RGPD integralmente | Cumplir instrucciones del responsable + seguridad |
En muchos casos, una misma empresa es responsable para sus propios datos (empleados, clientes directos) y encargado para los datos de sus clientes.
Obligaciones del Artículo 28
1. Contrato de encargado de tratamiento
Es obligatorio un contrato o acto jurídico que vincule al encargado con el responsable. Debe contener como mínimo:
- Objeto y duración del tratamiento
- Naturaleza y finalidad del tratamiento
- Tipo de datos personales tratados
- Categorías de interesados
- Obligaciones y derechos del responsable
El contrato puede ser un documento independiente, un anexo al contrato de servicios, o las condiciones de servicio del proveedor (como los DPA de AWS, Google Cloud, etc.).
2. Instrucciones documentadas
El encargado solo debe tratar los datos conforme a las instrucciones documentadas del responsable. Si el encargado considera que una instrucción infringe el RGPD, debe informar inmediatamente al responsable.
3. Confidencialidad
Todas las personas autorizadas para tratar datos personales deben haberse comprometido a respetar la confidencialidad o estar sujetas a una obligación legal de confidencialidad.
4. Medidas de seguridad (Artículo 32)
El encargado debe implementar medidas técnicas y organizativas apropiadas:
- Seudonimización y cifrado de datos personales
- Capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia
- Capacidad de restaurar los datos en caso de incidente
- Proceso de verificación periódica de la eficacia de las medidas
5. Subencargados
El encargado no puede recurrir a otro encargado (subencargado) sin autorización previa del responsable. Hay dos modalidades:
- Autorización específica: para cada subencargado
- Autorización general: el encargado informa de cambios y el responsable puede oponerse
El subencargado debe estar vinculado por las mismas obligaciones que el encargado principal.
6. Asistencia al responsable
El encargado debe asistir al responsable en:
- Atender solicitudes de ejercicio de derechos de los interesados
- Cumplir las obligaciones de seguridad (Art. 32)
- Notificar violaciones de seguridad (Art. 33 y 34)
- Realizar evaluaciones de impacto (EIPD) cuando sea necesario
- Consulta previa a la autoridad de control si procede
7. Supresión o devolución de datos
Al finalizar la prestación del servicio, el encargado debe, a elección del responsable:
- Suprimir todos los datos personales y sus copias, o
- Devolver todos los datos personales al responsable
A menos que una obligación legal exija conservarlos.
8. Auditorías
El encargado debe poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento, y permitir y contribuir a la realización de auditorías e inspecciones.
Modelo de cláusulas esenciales
CONTRATO DE ENCARGADO DE TRATAMIENTO
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PRIMERA — OBJETO
El encargado tratará los datos personales por cuenta del
responsable exclusivamente para [finalidad].
SEGUNDA — DATOS TRATADOS
Categorías de datos: [lista]
Categorías de interesados: [lista]
Duración: mientras dure el contrato de servicios.
TERCERA — OBLIGACIONES DEL ENCARGADO
a) Tratar datos solo según instrucciones documentadas
b) Garantizar confidencialidad del personal autorizado
c) Implementar medidas técnicas y organizativas del Art. 32
d) No recurrir a subencargados sin autorización previa
e) Asistir al responsable en el ejercicio de derechos
f) Notificar violaciones de seguridad en 24h
g) Al término, suprimir o devolver todos los datos
h) Permitir auditorías
CUARTA — SUBENCARGADOS
[Autorización general / específica — lista de subencargados]
QUINTA — TRANSFERENCIAS INTERNACIONALES
[Mecanismo de transferencia si aplica]
SEXTA — MEDIDAS DE SEGURIDAD
[Anexo con detalle de medidas técnicas y organizativas]
Responsabilidad y sanciones
El RGPD establece responsabilidad directa del encargado en determinados supuestos:
- Si actúa fuera de las instrucciones del responsable → se convierte en responsable para ese tratamiento
- Si incumple las obligaciones específicas del encargado → sanciones directas
- Si no implementa medidas de seguridad adecuadas → corresponsabilidad
Las sanciones son las mismas que para el responsable: hasta 20 millones de euros o el 4% de la facturación anual mundial.
Casos frecuentes en empresas españolas
| Servicio | Rol típico | Contrato necesario | |----------|-----------|-------------------| | Asesoría fiscal/laboral | Encargado | Sí, con acceso a datos empleados y clientes | | Proveedor hosting/cloud | Encargado | Sí (DPA del proveedor suele servir) | | Agencia de marketing | Encargado | Sí, con detalle de campañas y datos tratados | | Empresa de limpieza | Generalmente NO encargado | No, salvo que acceda a documentos con datos | | Desarrollador web | Encargado si accede a BD con datos | Sí, si tiene acceso a datos personales |
Cómo WarDek te ayuda
WarDek verifica la seguridad técnica de tu infraestructura web, que es parte fundamental de las medidas del Artículo 32:
- Cifrado: verificación TLS/SSL, headers de seguridad
- Vulnerabilidades: escaneo OWASP de tu superficie de ataque
- Conformidad RGPD: puntuación de cumplimiento técnico
- Documentación: informes exportables para auditorías de responsables
Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.