¿Contitular o encargado? Quién paga la multa del GDPR (y cómo no ser tú)
Índice de Contenidos
El lío de las responsabilidades: ¿quién responde ante el GDPR?
Imagina que organizas una cena con un amigo: tú pones la casa, él la comida. Si alguien se intoxica, ¿quién paga los daños? Depende de quién tuvo la culpa y de cómo se repartieron las tareas. En el GDPR pasa algo similar con los contitulares y los encargados del tratamiento. Pero aquí las multas pueden llegar al 4% de la facturación anual global. Nada de bromas.
Featured Snippet Bait: La diferencia clave está en quién decide el 'por qué' y el 'cómo' del tratamiento de datos. El contitular determina los fines y medios esenciales; el encargado solo ejecuta instrucciones. Pero ambos pueden ser multados si incumplen sus obligaciones específicas.
Contitulares: cuando dos (o más) son dueños del barco
Dos empresas que deciden conjuntamente cómo y para qué tratar datos personales son contitulares. Piensa en una app de fitness que comparte datos con una aseguradora para ofrecer descuentos: ambas deciden los fines. Si algo sale mal, responden solidariamente. Es decir, la autoridad puede reclamar el 100% de la multa a cualquiera de ellas, y luego que se arreglen entre sí.
Esto no es teoría: el caso Fashion ID (TJUE, C-40/17) dejó claro que quien incorpora un plugin de Facebook en su web es contitular con Facebook del tratamiento de datos de los visitantes. Así que si tienes un botón de 'Me gusta', ya eres copropietario del lío.
Encargados: no eres un simple mensajero
El encargado trata datos por cuenta del responsable. Pero ojo: no es un robot sin responsabilidad. El GDPR le exige garantías, notificar violaciones de seguridad, mantener un registro de actividades y, sobre todo, no subcontratar sin permiso. Si el encargado se sale del guion (por ejemplo, usa los datos para sus propios fines), se convierte en responsable y puede recibir una multa directa.
Ejemplo real: una empresa de cloud storage que no implementa medidas técnicas adecuadas y sufre una fuga de datos. La autoridad puede multar tanto al responsable (por elegir mal) como al encargado (por no proteger).
¿Y quién paga la sanción? La regla de oro
La autoridad de protección de datos impone la multa a quien incumple. Si el incumplimiento es del responsable, paga él. Si es del encargado, paga él. Si ambos tienen culpa, pueden ser multados individualmente o de forma solidaria si son contitulares. La clave está en el acuerdo de contitularidad o el contrato de encargado: ahí se reparten las responsabilidades y, sobre todo, quién asume los costes de una posible sanción.
Consejo práctico: si eres encargado, negocia una cláusula que limite tu responsabilidad a tus propias acciones, no a las del responsable. Y si eres contitular, define claramente quién responde de qué en el acuerdo. Porque, como en la cena, al final alguien tendrá que pagar la cuenta.
FAQ
¿Puede un encargado del tratamiento ser multado directamente por el GDPR?
Sí, si incumple sus obligaciones específicas (art. 28 GDPR) o si trata datos fuera de las instrucciones del responsable, convirtiéndose en responsable. Las multas pueden ser de hasta 10 millones de euros o el 2% de la facturación anual.
¿Qué diferencia hay entre contitular y encargado del tratamiento?
El contitular decide conjuntamente los fines y medios del tratamiento; el encargado solo sigue instrucciones. Los contitulares responden solidariamente; los encargados, solo por sus propios incumplimientos.
¿Cómo protegerme si soy encargado del tratamiento?
Firma un contrato detallado que especifique tus obligaciones, limita tu responsabilidad a tus propias acciones, y asegúrate de tener medidas técnicas y organizativas adecuadas. Además, notifica cualquier violación de seguridad al responsable sin demora.
⚖️ Comparativa rápida: Contitular vs Encargado
| Rol | Decide fines/medios | Responsabilidad | Multa máxima |
|---|---|---|---|
| Contitular | Sí, conjuntamente | Solidaria | 4% facturación |
| Encargado | No (sigue instrucciones) | Propia (si incumple) | 2% facturación |
💡 Tip: Si eres encargado, asegúrate de que el contrato limite tu responsabilidad a tus propios actos.

Comité Editorial de NakedPact
Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.
Fuentes y Referencias Normativas

¿Eres propietario de un sitio web?
¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.
Lecturas Recomendadas

AI Act: Se la scadenza slitta, ma i questionari no. Preparati o sarai fuorigioco

¿Puedo entrenar mi LLM con datos de clientes sin violar el GDPR?

¡Atención empresas en Filipinas! La DPA exige registrar DPO y sistemas (Fases 1 y 2) – ¿Estás listo?
🛡️ Protege tus derechos con un clic
No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.
No confíes, verifica.
Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.
Analiza tu Contrato Ahora