“Protección de Datos: Aclarando conceptos” Entrada 2 — Responsable, encargado y corresponsable: quién decide qué, quién ejecuta qué y quién responde de qué


 

“Protección de Datos: Aclarando conceptos”

Entrada 2 — Responsable, encargado y corresponsable: quién decide qué, quién ejecuta qué y quién responde de qué

1. Por qué este concepto necesita aclararse

Pocas áreas generan tanta confusión como la distinción entre:

  • Responsable del tratamiento,
  • Encargado del tratamiento,
  • Corresponsables.

Las empresas mezclan estos roles constantemente. Y cuando se mezclan, se producen errores graves:

  • contratos mal redactados,
  • obligaciones mal asignadas,
  • brechas mal gestionadas,
  • y responsabilidades que nadie sabe quién debe asumir.

Este concepto es crítico porque define quién toma decisiones, quién ejecuta, quién responde y quién debe documentar qué. Sin esta claridad, el cumplimiento se vuelve frágil.

2. Responsable del tratamiento: quien decide la finalidad y los medios esenciales

El responsable es quien responde a estas dos preguntas:

1.    ¿Para qué se tratan los datos? (finalidad)

2.    ¿Qué medios esenciales se utilizan? (tipo de datos, categorías, destinatarios, plazos)

Si una organización decide esto, es responsable. Ejemplos claros:

  • una empresa que gestiona datos de clientes,
  • un hospital que trata datos de pacientes,
  • una universidad que gestiona expedientes académicos.

Errores comunes:

  • pensar que el proveedor “es el responsable porque tiene los datos”,
  • creer que el responsable es quien “tiene la tecnología”,
  • delegar decisiones esenciales en terceros sin documentarlo.

3. Encargado del tratamiento: quien presta un servicio siguiendo instrucciones

El encargado:

  • no decide la finalidad,
  • no decide los medios esenciales,
  • no puede usar los datos para fines propios,
  • y solo actúa siguiendo instrucciones documentadas del responsable.

Ejemplos típicos:

  • servicios de hosting,
  • proveedores de software en la nube,
  • empresas de mantenimiento informático,
  • call centers que gestionan atención al cliente.

Señal inequívoca: Si el proveedor no puede usar los datos para nada que no sea prestar el servicio, es encargado.

Errores comunes:

  • firmar contratos de encargo con proveedores que realmente actúan como responsables,
  • permitir que el encargado use datos para analítica propia,
  • no revisar subencargados.

4. Corresponsables: cuando dos o más deciden conjuntamente

La corresponsabilidad aparece cuando dos entidades deciden juntas:

  • la finalidad,
  • o los medios esenciales.

No es necesario que decidan todo conjuntamente: basta con que compartan decisiones clave.

Ejemplos típicos:

  • campañas de marketing conjuntas,
  • proyectos de investigación compartidos,
  • plataformas digitales con gobernanza compartida.

Obligación crítica: Debe existir un acuerdo de corresponsabilidad que:

  • reparta obligaciones,
  • explique quién informa al interesado,
  • y determine quién gestiona derechos y brechas.

Errores comunes:

  • creer que corresponsabilidad = responsabilidad solidaria,
  • no documentar el reparto de funciones,
  • usar contratos de encargo cuando hay decisiones compartidas.

5. Cómo distinguir correctamente cada figura (modelo práctico)

Paso 1 — Pregunta clave

¿Quién decide la finalidad del tratamiento? → Ese es el responsable.

Paso 2 — Segunda pregunta

¿Quién decide los medios esenciales? → Si es el mismo, sigue siendo responsable. → Si es otro, puede haber corresponsabilidad.

Paso 3 — Tercera pregunta

¿El proveedor solo ejecuta instrucciones sin decidir nada esencial? → Es encargado.

Paso 4 — Cuarta pregunta

¿Ambas partes deciden conjuntamente aspectos esenciales? → Son corresponsables.

6. Señales de que una empresa está clasificando mal los roles

  • Contratos de encargo con proveedores que usan datos para fines propios.
  • Proyectos conjuntos sin acuerdos de corresponsabilidad.
  • Encargados que deciden medios esenciales sin autorización.
  • Responsables que delegan decisiones sin documentarlas.
  • Políticas internas que mezclan roles sin criterio.

7. Cierre: hacia la Entrada 3

Comprender quién es responsable, quién es encargado y quién es corresponsable es esencial para asignar obligaciones, gestionar riesgos y documentar correctamente el cumplimiento.

La Entrada 3 abordará otro concepto que genera confusión constante:

Qué es un dato especialmente protegido y por qué cambia todo en términos de garantías, riesgos y obligaciones.

Comentarios

Publicar un comentario