Protección de datos Actualizado: abril 2025

Encargados de tratamiento: qué debe saber una pequeña asociación

Cuando una asociación encarga a un tercero tareas que implican el acceso o manejo de datos personales de sus socios, nace la figura del encargado de tratamiento. La formalización de esta relación mediante un contrato escrito es una obligación legal, no una opción.

Documento de contrato y poder notarial para representación legal

Qué es un encargado de tratamiento

El artículo 4.8 del RGPD define al encargado del tratamiento como "la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento". La clave está en la expresión "por cuenta de": el encargado actúa siguiendo las instrucciones del responsable y no puede usar los datos para fines propios.

La diferencia con un cesionario o destinatario es relevante: el destinatario recibe los datos y pasa a ser responsable de su propio tratamiento, mientras que el encargado solo los trata bajo el control del responsable.

Quién actúa como encargado en una asociación típica

Las asociaciones pequeñas suelen relacionarse con varios encargados sin ser plenamente conscientes de ello. Algunos ejemplos frecuentes:

Proveedor Datos a los que accede
Gestoría o asesoría contable Datos de socios para gestión de cuotas, datos de trabajadores para nóminas y seguros sociales
Empresa de alojamiento web (hosting) Datos que se almacenan en el servidor: formularios de contacto, bases de datos de la web
Proveedor de correo electrónico Contenido de los correos, incluidas comunicaciones con socios y ficheros adjuntos
Proveedor de software de gestión Base de datos de socios, registros de actividades, información de pagos
Empresa de destrucción de documentos Documentación en papel con datos personales pendiente de destrucción

El contrato de encargo de tratamiento

El artículo 28 del RGPD exige que la relación entre responsable y encargado se formalice mediante un contrato u otro acto jurídico vinculante. Este contrato puede ser:

  • Un documento específico de protección de datos firmado por ambas partes.
  • Una cláusula incorporada al contrato de prestación de servicios principal.
  • Un documento de adhesión a las condiciones de tratamiento del proveedor, siempre que esas condiciones cumplan los requisitos del artículo 28 del RGPD.

Contenido mínimo obligatorio

El contrato debe especificar como mínimo:

  • El objeto y la duración del tratamiento.
  • La naturaleza y la finalidad del tratamiento.
  • El tipo de datos personales y las categorías de interesados.
  • Las obligaciones y derechos del responsable.
  • Que el encargado solo tratará los datos siguiendo instrucciones documentadas del responsable.
  • Que el encargado garantizará que las personas autorizadas se han comprometido a respetar la confidencialidad.
  • Que el encargado asistirá al responsable en el cumplimiento de las obligaciones frente a los interesados.
  • Que el encargado suprimirá o devolverá todos los datos al finalizar el contrato.
  • Que el encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones.
Situación habitual: muchos proveedores de servicios en la nube (hosting, correo, software de gestión) incluyen en sus condiciones generales o en un apéndice específico un texto que actúa como contrato de encargo de tratamiento (en inglés, "Data Processing Agreement" o DPA). La asociación debe localizar ese documento, leerlo y conservar prueba de su aceptación.

Subencargados de tratamiento

El encargado puede necesitar a su vez contratar a terceros para realizar parte del tratamiento. Estos terceros son subencargados. El artículo 28.2 del RGPD exige que el encargado obtenga autorización del responsable antes de incorporar a un subencargado. En la práctica, los contratos suelen incluir una cláusula de autorización general o específica para subencargos.

Transferencias internacionales de datos

Cuando el encargado o subencargado está ubicado fuera del Espacio Económico Europeo, la transferencia debe contar con garantías adecuadas. Muchos proveedores de servicios tecnológicos radicados fuera de la UE utilizan las cláusulas contractuales tipo aprobadas por la Comisión Europea. La asociación debe verificar este extremo antes de contratar.

Responsabilidad en caso de incidente

El encargado es responsable directo frente a la autoridad de control cuando incumple sus obligaciones específicas bajo el RGPD o actúa fuera o en contra de las instrucciones del responsable. No obstante, el responsable (la asociación) también puede ser considerado responsable si eligió al encargado sin las garantías suficientes o no supervisó adecuadamente su actuación.

Referencias normativas

  • Artículos 4.8, 28 y 29, Reglamento (UE) 2016/679 (RGPD) — EUR-Lex
  • Cláusulas contractuales tipo para encargos de tratamiento, Comisión Europea — Comisión Europea
  • Guía sobre encargados del tratamiento, AEPD — aepd.es