Encargado del tratamiento
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u organismo que presta un servicio que conlleva el tratamiento de datos personales por cuenta del responsable del tratamiento.
El responsable del tratamiento debe elegir, diligentemente, a un encargado del tratamiento que ofrezca garantías suficientes respecto de la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas y que garantice la protección de los derechos de las personas afectadas.
El contenido mínimo del contrato o acuerdo debe prever, entre otros, aspectos como:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- Tipo de datos personales y categorías de personas interesadas.
- Obligación del encargado de tratar los datos personales solo siguiendo instrucciones documentadas del responsable.
- El deber de confidencialidad.
- Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones.
- Las medidas de seguridad.
- Los derechos de las personas interesadas.
- El destino de los datos al finalizar la prestación del servicio.
Los encargados del tratamiento tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que les une al responsable. Así, por ejemplo:
- Deben mantener un registro de actividades de tratamiento
- Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
- Deben designar, en su caso, a un delegado de protección de datos.
Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.
El encargado del tratamiento debe cumplir las instrucciones que le da el responsable del tratamiento para la prestación del servicio, especialmente, en relación con el tratamiento de los datos personales a los que tiene acceso como consecuencia de la prestación de este servicio.
El encargado del tratamiento podrá adoptar cualquier decisión organizativa y operacional necesaria para prestar el servicio encomendado. En ningún caso puede variar las finalidades y usos de los datos, ya que esto recae en el responsable del tratamiento, ni puede utilizarlos para sus propios fines.
Si el encargado del tratamiento establece relaciones con las personas afectadas en su propio nombre y sin que conste que actúa por cuenta del responsable del tratamiento, se le considerará responsable del tratamiento, aunque se haya formalizado un contrato de encargo del tratamiento u otro acto jurídico.
Si el encargo del tratamiento se realiza en el marco de la legislación de contratos del sector público, el contratista tendrá la consideración de encargado del tratamiento en cualquier caso, y la administración adjudicataria tendrá la condición de responsable del tratamiento.
Si el encargado del tratamiento utiliza los datos para sus propios fines, también se le considerará responsable del tratamiento.
La comunicación de datos personales, en el marco de un acuerdo de encargado del tratamiento, a un país que no forme parte de la Unión se rige por la regulación establecida en el RGPD para las transmisiones internacionales.
La transmisión a un tercer país no puede suponer en ningún caso una reducción del nivel de protección de las personas que establece el Reglamento. Este principio también se aplica a las transmisiones posteriores de datos personales, desde el tercer país a otro tercer país o a una organización internacional.
Para la transferencia de datos a países que no garantizan un nivel de protección adecuado, el responsable debe acreditar que el encargado del tratamiento está en disposición de ofrecer garantías adecuadas. En todo caso, debe garantizar que las personas interesadas cuenten con derechos exigibles y acciones legales efectivas.
Última actualización: 19.12.2025