Una correcta identificación de la figura (responsable, corresponsable o encargado) es clave para la validez jurídica del tratamiento de datos y la asignación de responsabilidades.

En la práctica diaria de nuestros clientes, especialmente en el sector del marketing digital, observamos con frecuencia confusión sobre las figuras jurídicas del responsable, corresponsable y encargado del tratamiento . 

Tener clara la clasificación de las figuras jurídicas es importante, ya que afecta a la licitud del tratamiento, la distribución de responsabilidades, la redacción de contratos, y sus cláusulas informativas y la eventual imputación de sanciones.

En esta píldora informativa, desglosamos cada figura con base legal, ejemplos sectoriales y un análisis técnico de sus diferencias y puntos de solapamiento.

¿Quién es quién en el tratamiento de datos personales?

1. Responsable del Tratamiento

Según el artículo 4.7 del RGPD, es la persona física o jurídica que determina los fines y medios del tratamiento de datos personales.

«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”.

En el artículo 28 de la LOPDGDD se regulan las obligaciones generales del responsable y encargado del tratamiento.

Ejemplo en marketing digital: Es responsable del tratamiento una empresa de comercio electrónico que recopila datos de usuarios para lanzar campañas de email marketing, siempre que decida qué datos recoger, con qué herramientas y para qué finalidades.

Obligaciones: Transparencia, legitimación, ejercicio de derechos, evaluación de riesgos, contratos con encargados, etc.

2. Corresponsables del Tratamiento

El artículo 26 del RGPD regula cuando dos o más responsables determinan conjuntamente los fines y medios del tratamiento.

Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.

El Considerando 79 del RGPD recoge que los corresponsables deben establecer un acuerdo interno claro de responsabilidades.

La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, también en lo que respeta a la supervisión por parte de las autoridades de control ya las adoptadas por ellas, requieren una atribución clara de las responsabilidades en virtud del presente Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable.

Ejemplo en marketing digital:Son corresponsables del tratamiento tanto una agencia creativa como su cliente, cuando deciden juntos la estrategia de tratamiento de leads obtenidos mediante formularios. Ambas partes determinan cómo se captan, almacenan y utilizan esos datos.

Requisitos:

• Acuerdo de corresponsabilidad. 
• Información a los interesados ​​sobre los elementos esenciales de dicho acuerdo.

3. Encargado del Tratamiento

El artículo 4.8 del RGPD y el art. 33 LOPDGDD lo definen como la persona física o jurídica que trata datos por cuenta del responsable, siguiendo sus instrucciones.

«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento.

Ejemplo en marketing digital:Una empresa contrata una plataforma de email marketing (como Mailchimp o Acumbamail) para enviar newsletters. La entidad propietaria de la herramienta actúa como encargada porque no decide ni el contenido, ni los destinatarios, ni el propósito.

Obligación clave:Firmar un contrato con el responsable con las garantías exigidas en el artículo 28 del RGPD.

El tratamiento por cuenta del responsable se regulará mediante un contrato u otro acto jurídico conforme al Derecho de la Unión o de los Estados miembros.

¿Qué significa “finalidad y medios del tratamiento”?

El RGPD habla de “fines y medios del tratamiento” para atribuir a una entidad la condición de responsable del tratamiento.

Fines hace referencia al “por qué” del tratamiento de los datos personales. Son los objetivos del tratamiento (por ejemplo, fidelización, segmentación, personalización, envío de campañas, etc.).

Medios hace referencia al “cómo” se realiza el tratamiento de los datos. Aquí se incluyen tanto las decisiones fundamentales (medios esenciales) como otros aspectos técnicos u operativos (medios no esenciales).

El responsable decide fines y medios esenciales. El encargado no toma decisiones autónomas sobre estos aspectos, sino que ejecuta instrucciones del responsable, ello sin perjuicio de que pueda adoptar las otras decisiones limitadas sobre el tratamiento, tales como, por ejemplo, el horario de envío/realización de las comunicaciones comerciales, el número diario de comunicaciones comerciales enviadas/realizadas en un día o la elección del software y/o hardware utilizado para realizar el tratamiento.

Análisis de límites: ¿Responsable o Encargado?

Determinar si una entidad es responsable o encargado exige evaluar su grado de autonomía sobre el tratamiento. No se trata de la etiqueta del contrato, sino de cómo actúan las partes en la práctica.

Es responsable si:

• Decide qué datos recoger, para qué fines y cómo se usarán.
• Determina el plazo de conservación.
• Defina los destinatarios o canales de comunicación.
• Establece los medios esenciales (estructura del tratamiento, finalidad publicitaria, etc.).

Está encargado si:

• Trata datos exclusivamente por cuenta del responsable.
• No reutilizar los datos para fines propios.
• Sigue instrucciones documentadas del responsable.
• Está vinculado mediante contrato de encargo (art. 28 RGPD).

Una entidad no puede ser considerada encargada si:

• Usa los datos con fines propios (por ejemplo, análisis global de sus clientes para IA).
• Defina por sí mismas las condiciones fundamentales del tratamiento.
• No acepto seguir las instrucciones del responsable

Obligaciones jurídicas según la figura

Ejemplos prácticos para el marketing digital

La correcta identificación de la figura (responsable, corresponsable o encargado) es clave para la validez jurídica del tratamiento de datos y la asignación de responsabilidades.

Un error en esta calificación puede derivar en:

• Nulidad de cláusulas contractuales.
• Sanciones de hasta 20 millones de euros.
• Daños reputacionales y pérdida de confianza por parte de los interesados.