Encargado del tratamiento (RGPD art. 28)
Persona física o jurídica que trata datos personales por cuenta del responsable. En SaaS, el proveedor es encargado y el cliente (Ayuntamiento) es responsable.
Definición completa
Definido en el artículo 28 del RGPD, el **encargado del tratamiento** es quien trata datos personales por cuenta del **responsable**. En una relación SaaS entre Pueblania y un Ayuntamiento:
- **Responsable:** el Ayuntamiento. Define qué datos se tratan, para qué finalidad y bajo qué base jurídica.
- **Encargado:** Pueblania (Zenifica, S.L.). Trata los datos exclusivamente conforme a las instrucciones del responsable.
La relación se formaliza con un **contrato de encargado del tratamiento (CET)**, también llamado DPA (Data Processing Agreement), que debe incluir:
- Objeto, duración, naturaleza y finalidades del tratamiento.
- Tipo de datos personales y categorías de interesados.
- Obligaciones y derechos del responsable.
- Medidas técnicas y organizativas de seguridad.
- Subencargados autorizados (Hetzner, Google Cloud, etc.).
- Régimen de notificación de brechas (72 h conforme al art. 33).
- Devolución o destrucción de datos al finalizar la relación.
Sin CET firmado, el tratamiento es ilícito.
Ejemplos prácticos
- Cuando un vecino escribe a la IA municipal, los datos los trata Pueblania por cuenta del Ayuntamiento — no por cuenta propia ni para finalidades distintas.
- Si Pueblania quisiera usar las conversaciones para entrenar otros modelos, el CET lo prohíbe expresamente.
Términos relacionados