El Reglamento General de Protección de Datos (RGPD) establece una distinción clara entre Responsable y Encargado del tratamiento. Sin embargo, esta distinción no depende únicamente de lo que diga un contrato o un Data Processing Agreement (DPA), sino del comportamiento real de las partes.
Cuando un Encargado actúa fuera de los límites del DPA o asume control efectivo sobre el tratamiento, será tratado jurídicamente como responsable y sancionado como tal. El reciente caso Timegrip de la Autoridad de Protección de Datos de Noruega ilustra con precisión esta tendencia y ofrece lecciones relevantes para todos los proveedores que tratan datos personales por cuenta de terceros.
I. El caso Timegrip: cómo un encargado puede convertirse en responsable en la práctica.
La empresa Timegrip AS prestaba servicios de registro de horas de trabajo para una cadena minorista, actuando formalmente como encargado del tratamiento. Tras la quiebra del cliente —el responsable del tratamiento— los datos personales de aproximadamente ochenta empleados quedaron bajo control exclusivo del proveedor. Esa información era esencial para que los trabajadores pudieran reclamar salarios impagos ante el procedimiento concursal.
Ante las solicitudes de acceso formuladas por los propios interesados y por el administrador concursal, Timegrip negó reiteradamente la entrega de los datos. La empresa sostuvo que no podía actuar sin instrucciones del responsable del tratamiento y que, al haber desaparecido este, no existía base para facilitar la información.
La Autoridad noruega (Datatilsynet) subrayó que la quiebra del responsable no produce automáticamente una transferencia de roles, ni convierte al encargado en Responsable por sí misma. Sin embargo, el RGPD tampoco permite que el Encargado asuma un control autónomo sobre los datos, ni que actúe fuera de los límites del DPA.
El elemento decisivo del caso fue que Timegrip tomó decisiones propias sobre aspectos esenciales del tratamiento. La empresa decidió retener los datos, determinó quién podía acceder a ellos, condicionó su entrega y mantuvo el control exclusivo sobre la información una vez extinguida la relación contractual. Desde la perspectiva del RGPD, estas decisiones implicaron determinar los medios y los fines del tratamiento. En consecuencia, se aplicó el artículo 28.10 del RGPD, que establece que el Encargado que determine los fines y medios del tratamiento en infracción del Reglamento será considerado Responsable respecto de ese tratamiento.
Asimismo, se consideró que Timegrip había infringido el artículo 28 del RGPD al actuar más allá de las instrucciones del Responsable y al incumplir las obligaciones vinculadas a la finalización del tratamiento. En particular, el artículo 28.3(g) exige que, una vez terminada la prestación del servicio, el Encargado suprima o devuelva los datos personales, salvo obligación legal de conservación. La retención injustificada de la información y el control autónomo sobre su destino colocaron al proveedor fuera de su rol contractual.
La sanción de 250.000 coronas noruegas no fue consecuencia de la quiebra del cliente, sino de las decisiones adoptadas por el proveedor en relación con los datos a posteriori.
II. Más allá de Timegrip: sanciones a encargados por incumplimientos del DPA
Las autoridades europeas están sancionando cada vez con mayor frecuencia a Encargados del tratamiento por incumplir sus obligaciones bajo el RGPD y por actuar fuera del marco definido en el DPA.
En distintos Estados de la Unión Europea se han impuesto sanciones a proveedores que conservaron datos tras la finalización del contrato, trataron información para finalidades no autorizadas, implementaron medidas de seguridad insuficientes o ampliaron unilateralmente el alcance del tratamiento. En estos casos, el DPA es interpretado como el límite jurídico del poder del Encargado: su incumplimiento no es una mera cuestión contractual, sino una infracción directa del RGPD.
Un punto especialmente sensible es la fase de terminación del servicio. El artículo 28.3(g) establece obligaciones claras respecto de la devolución o supresión de los datos, pero en la práctica muchos conflictos surgen precisamente en ese momento: finalización abrupta de la relación comercial, insolvencia del cliente, disputas económicas o interrupción del servicio. Las autoridades han dejado claro que estos escenarios no justifican la retención de datos ni su utilización como herramienta de negociación.
III. Criterio del Tribunal de Justicia de la Unión Europea.
Esta interpretación ha sido además confirmada por el Tribunal de Justicia de la Unión Europea. En su sentencia de 5 de diciembre de 2023 (asunto C-683/21, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos y Valstybinė duomenų apsaugos inspekcija), el Tribunal estableció que la responsabilidad del Responsable del tratamiento por las actuaciones de un Encargado no puede extenderse a determinadas situaciones excepcionales. En particular, cuando el Encargado trata datos personales para fines propios, o cuando los trata de manera incompatible con el marco o las modalidades del tratamiento definidos por el Responsable, o en condiciones tales que no pueda considerarse razonablemente que el Responsable hubiera autorizado dicho tratamiento, el Encargado deja de actuar en calidad de Encargado. En tales supuestos, conforme al artículo 28.10 del RGPD, el proveedor debe ser considerado Responsable del tratamiento respecto de ese tratamiento ilícito, asumiendo directamente todas las obligaciones y responsabilidades derivadas de esa condición, incluida la eventual imposición de sanciones por parte de la autoridad de control competente.
IV. Qué deben hacer los encargados para reducir su exposición regulatoria.
Las decisiones recientes permiten extraer recomendaciones concretas para proveedores tecnológicos, consultoras y cualquier organización que actúe como Encargado del Tratamiento. En particular, resulta esencial adoptar medidas orientadas a reducir la exposición regulatoria, especialmente frente a desviaciones no intencionales que pueden surgir en la operativa diaria del tratamiento.
En la práctica, muchas infracciones no derivan de decisiones conscientes de incumplir el RGPD, sino de fallos de gobernanza, ausencia de controles internos, interpretaciones erróneas del alcance del DPA, automatismos técnicos mal configurados o situaciones excepcionales no previstas contractualmente. Por ello, los Encargados deben implementar mecanismos preventivos que permitan detectar tempranamente cualquier desviación respecto de las instrucciones del Responsable; establecer controles sobre el ciclo de vida de los datos; revisar periódicamente los tratamientos en curso; definir protocolos claros de actuación ante escenarios de incertidumbre e implementar estrategias claras de salida (procedimientos operativos para la devolución o supresión de los datos; plazos definidos de ejecución y responsabilidades internas asignadas).
La gestión del riesgo regulatorio exige un enfoque proactivo, basado en monitoreo continuo, trazabilidad de decisiones y supervisión efectiva del cumplimiento del DPA.
En conclusión, el rol del Encargado del Tratamiento no se define únicamente por el contrato, sino por su comportamiento efectivo y por su capacidad de mantenerse dentro de los límites del DPA. En el marco del RGPD, el control implica responsabilidad y solo un sistema estructurado de monitoreo y gobernanza del DPA permite al encargado demostrar que su actuación permanece dentro del rol que el Reglamento y el contrato le asignan y así reducir de forma efectiva su exposición a sanciones.
