Cuando contratas un software en la nube, un call center o una agencia que maneja tu base de datos, les estás entregando datos de tus clientes. Esa relación tiene reglas bajo la Ley 21.719. Entender la figura del encargado de tratamiento te evita responder por errores de un tercero.
Qué es el encargado de tratamiento en la Ley 21.719
La Ley 21.719 distingue dos roles en el manejo de datos. El responsable es quien decide para qué y cómo se tratan los datos (tu empresa). El encargado de tratamiento es quien los trata por cuenta del responsable, siguiendo sus instrucciones. No decide las finalidades: las ejecuta.
Ejemplos típicos de encargados: un proveedor de software como servicio (SaaS) que aloja tu base de clientes, un call center que gestiona tu atención, una agencia de marketing que envía tus campañas o una empresa de TI que administra tus servidores.
Responsable vs. encargado: la diferencia clave
| Aspecto | Responsable | Encargado |
|---|---|---|
| Quién es | Tu empresa | Tu proveedor |
| Qué decide | Para qué y cómo se tratan los datos | Solo ejecuta las instrucciones del responsable |
| Ejemplo | Una tienda que recolecta datos de clientes | El SaaS que aloja esa base de datos |
| Responsabilidad | Responde por el tratamiento | Responde por cumplir sus obligaciones y el contrato |
El contrato de encargo: obligatorio
Aquí está el punto que muchas empresas pasan por alto. La relación entre responsable y encargado debe estar regulada por un contrato de encargo (o DPA, por sus siglas en inglés) que cumpla los requisitos legales. Este contrato debe definir, entre otras cosas:
- El objeto y la duración del encargo.
- Las finalidades y el tipo de datos tratados.
- Las instrucciones que el encargado debe seguir.
- Las medidas de seguridad que el encargado debe aplicar.
- El deber de confidencialidad y qué pasa con los datos al terminar el contrato.
- Las reglas sobre subcontratación (si el encargado puede usar a su vez otros proveedores).
Por qué te conviene revisar a tus proveedores
La consecuencia práctica es importante: si tu proveedor (encargado) trata mal los datos, tu empresa (responsable) también puede responder ante la Agencia. No basta con confiar; debes:
- Elegir encargados que ofrezcan garantías suficientes de cumplimiento.
- Firmar el contrato de encargo antes de entregarles datos.
- Supervisar que cumplan lo pactado.
- Documentar la relación, porque la Agencia puede pedir estos contratos en una fiscalización.
Conclusión
El encargado de tratamiento es una pieza que tu empresa no puede ignorar: cada proveedor que toca tus datos debe estar regulado por un contrato de encargo, porque su error puede convertirse en tu responsabilidad. Revisar y formalizar esas relaciones es parte esencial del cumplimiento. Puedes revisar tus contratos con proveedores de datos acá.