El Reglamento General de Protección de Datos[1] (RGPD) ha consolidado una concepción profundamente proactiva de la responsabilidad del responsable del tratamiento. Ya no basta con cumplir formalmente las obligaciones en materia de protección de datos, sino que ahora debe demostrarse el cumplimiento efectivo, mediante evidencias documentales que acrediten la diligencia desplegada antes, durante y después del tratamiento de los datos personales. Este cambio de paradigma, conocido como el principio de responsabilidad proactiva, ha sido calificado como uno de los ejes vertebradores del modelo europeo de privacidad, desplazando el viejo sistema de notificación a la autoridad de control por un enfoque de cumplimiento verificable y preventivo^[2].

En este contexto, resulta especialmente relevante la responsabilidad del responsable del tratamiento frente a las deficiencias de sus encargados, incluso cuando la brecha o el fallo de seguridad se produce en los sistemas de estos últimos. De acuerdo con el artículo 24 del RGPD, el responsable debe aplicar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con el Reglamento; el artículo 28 refuerza este mandato al exigirle seleccionar sólo a encargados que ofrezcan garantías suficientes. Por ello, no resulta jurídicamente suficiente ni relevante que el encargado del tratamiento se limite a afirmar que “cumple el RGPD”, si el responsable del tratamiento no puede demostrar que ha comprobado de manera efectiva la veracidad de dicha afirmación.

El principio de responsabilidad proactiva impone al responsable la obligación de verificar, antes de iniciar cualquier tratamiento, que el encargado ofrece garantías reales y documentadas de cumplimiento normativo, tanto en el plano técnico como organizativo. Esto incluye la elección de encargados con garantías verificables y la existencia de registros que acrediten evaluaciones de impacto, contratos adecuados y mecanismos de control operativo. En consecuencia, la confianza ciega o la mera aceptación de una declaración genérica de cumplimiento carecen de valor, ya que el responsable debe poder acreditar, ante la autoridad de control o ante un eventual procedimiento, que ha evaluado, supervisado y documentado las medidas implementadas por el encargado para garantizar la protección adecuada de los datos personales. Sólo de este modo se entiende por cumplida su obligación de diligencia y se evita que la responsabilidad por posibles deficiencias recaiga también sobre él.

La Agencia Española de Protección de Datos (AEPD) ha reiterado esta doctrina en varias resoluciones recientes.

En la resolución de 3 de julio de 2025, recaída en el expediente EXP202416690, la AEPD sancionó al Instituto de Salud Carlos III (responsable) por una brecha que afectó a datos de salud, aun cuando el incidente se originó en los sistemas del encargado. La resolución fue tajante al afirmar que la responsabilidad recaía en el Instituto como responsable del tratamiento, ya que no verificó previamente la idoneidad de las medidas de seguridad del encargado. Este último carecía de medidas adecuadas en el momento de la brecha y solo las implantó de forma reactiva después del incidente. Lo mismo ocurrió en la resolución de 24 de febrero de 2025, recaída en el expediente EXP202416691, relativo a la Fundación Sociedad Científica de Oncología Médica, en el que el fallo de seguridad provenía también de los sistemas del encargado, pero la infracción del artículo 5.1.f) RGPD se imputó a la entidad responsable por no haber verificado ex ante las garantías de su colaborador.

Esta interpretación se alinea con la concepción doctrinal del principio de diligencia reforzada en materia de protección de datos. Como se señala, el responsable no solo debe cumplir los principios del tratamiento, sino también demostrar activamente su cumplimiento, lo que incluye la verificación previa de los mecanismos de seguridad y el control continuado del encargado^[3]. Esta obligación de “responsabilidad verificable” se proyecta tanto sobre la fase precontractual como sobre la ejecución y supervisión del contrato de encargo.

Adicionalmente, en la resolución de 25 de agosto de 2025, recaída en el expediente EXP202317228, la AEPD amplió aún más su análisis. El contrato de encargo, que se limitaba a reproducir literalmente el artículo 32 RGPD sin describir medidas concretas, fue considerado insuficiente para cumplir con el artículo 28.3 RGPD. Según la AEPD, un contrato genérico o meramente declarativo impide al responsable evaluar la adecuación de las medidas técnicas y organizativas al riesgo y, en consecuencia, vulnera el principio de trazabilidad y control que exige el RGPD. En línea con las Directrices 07/2020 del Comité Europeo de Protección de Datos sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» en el RGPD[4], la AEPD recordó que el contrato debe detallar las medidas específicas de seguridad, los procedimientos de asistencia al responsable, los mecanismos de supervisión y auditoría, así como los protocolos de notificación de brechas. La omisión de estos elementos constituye una infracción del artículo 28.3 RGPD y puede acarrear sanciones de hasta 10 millones de euros o el 2 % del volumen de negocio global.

Más allá de la formalidad contractual, la verdadera diligencia del responsable se mide por su capacidad de demostrar que ha evaluado, supervisado y documentado las garantías de su encargado. Esta exigencia responde al enfoque basado en el riesgo (risk-based approach) que el RGPD introduce como eje de cumplimiento. La aproximación basada en el riesgo obliga a adaptar las medidas de seguridad al tipo de tratamiento, sensibilidad de los datos objeto del mismo y al potencial impacto sobre los derechos de las personas interesadas. En consecuencia, el responsable debe realizar evaluaciones de impacto cuando el tratamiento pueda entrañar alto riesgo, incluso si la ejecución material corresponde al encargado^[5].

Por tanto, la diligencia exigida al responsable se concreta en una serie de obligaciones materiales que la AEPD ha venido desarrollando en su práctica sancionadora. En primer lugar, la verificación previa de las medidas técnicas y organizativas del encargado, antes de iniciar el tratamiento, evitando actuaciones meramente reactivas tras un incidente. En segundo término, la formalización de contratos de encargo específicos y operativos, que definan de forma clara las medidas de seguridad, la asistencia al responsable, los mecanismos de auditoría y las obligaciones de notificación. Y, en tercer lugar, la supervisión activa y documentada del cumplimiento, mediante auditorías periódicas, informes certificados, trazabilidad de incidentes y revisión continua de las garantías.

Desde el punto de vista técnico, la evaluación de la adecuación de las medidas de seguridad requiere que el responsable verifique el uso de mecanismos como el cifrado, la seudonimización, la autenticación reforzada, el control de accesos, la monitorización de registros de actividad y la existencia de planes de continuidad. Estas medidas, deben revisarse periódicamente en función del riesgo y contar con mecanismos de verificación regular de su eficacia^[6]. La adhesión a códigos de conducta o la certificación conforme al artículo 42 RGPD puede servir como evidencia adicional, pero no sustituye el deber de supervisión directa.

En el ámbito de la gestión de brechas, el artículo 33 RGPD y la doctrina de la AEPD exigen que el encargado comunique cualquier violación de seguridad sin dilación indebida al responsable, y que este último disponga de protocolos internos para cumplir con la notificación a la autoridad y, en su caso, a las y los interesados. La ausencia de estos procedimientos o su activación tardía revela una falta de previsión incompatible con el principio de responsabilidad proactiva. Como se ha venido estableciendo, la notificación tardía o incompleta no solo implica un riesgo reputacional, sino también una infracción autónoma sancionable por la autoridad de control^[7].

En suma, las resoluciones de la AEPD ponen de manifiesto que la responsabilidad del responsable del tratamiento es estructural y no delegable. La existencia de un contrato de encargo o de una relación con un proveedor no traslada la responsabilidad de cumplimiento. El responsable sigue siendo quien determina los fines y medios del tratamiento y, por tanto, quien responde jurídicamente ante los fallos de seguridad. En la práctica, esto implica que, si el encargado carece de medidas adecuadas y se produce una brecha, el responsable deberá acreditar que había verificado dichas medidas y documentado su idoneidad. En caso contrario, la imputación de responsabilidad resultará inevitable.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

^[2] Roig, A. (2016). Las obligaciones de los responsables y de los encargados del tratamiento. FUOC.

^[3] López, L. F. (2016). “La responsabilidad del responsable”. En J. L. Piñar (Dir.), Reglamento general de protección de datos. Hacia un nuevo modelo europeo de privacidad (pp. 282-285). Madrid: Reus.

[4] Disponible en el siguiente enlace.

^[5] Recio, M. (2016). “Aproximación basada en el riesgo, evaluación de impacto relativa a la protección de datos personales y consulta previa a la autoridad de control”. En J. L. Piñar (Dir.), Reglamento general de protección de datos (pp. 351-366). Madrid: Reus.

^[6]Carpio, M. (2016). “Seguridad del tratamiento de los datos personales y notificaciones de violaciones de seguridad”. En J. L. Piñar (Dir.), Reglamento general de protección de datos (pp. 335-349). Madrid: Reus.

^[7] Ibidem.