Codigo Alpha

Entenda a lei com clareza

Codigo Alpha

Entenda a lei com clareza

Aviation Law

Subencargados de tratamiento: control, autorización y obligaciones

Código Alpha

Subencargados de tratamiento: cómo documentar autorización, supervisión y obligaciones clave para mantener la cadena de cumplimiento en protección de datos.

En muchos proyectos de externalización de datos personales, los proveedores recurren a terceros para ejecutar tareas especializadas y acaban incorporando subencargados casi de forma automática.

Cuando esta cadena de subcontratación no está bien autorizada ni documentada, aparecen brechas de información, dudas sobre quién responde frente al responsable y lagunas en la prueba de cumplimiento ante autoridades o clientes.

Este artículo explica cómo encajar la figura del subencargado en el contrato de encargo, qué controles previos y posteriores aplicar y qué obligaciones mínimas deben constar por escrito para que el tratamiento siga siendo trazable.

  • Verificar si el proveedor necesita subencargados y para qué operaciones concretas.
  • Definir un sistema claro de autorización previa y registro de cada subencargado.
  • Exigir contrato escrito que replique garantías y obligaciones del encargo principal.
  • Conectar subencargados con evaluaciones de impacto, análisis de seguridad y registros.
  • Establecer criterios para revisar y, si es necesario, sustituir o cesar subencargados.

Ver más en esta categoría: Derecho digital y protección de datos

En este artículo:

Última actualización: 11 de enero de 2026.

Definición rápida: se considera subencargado a toda entidad que trata datos personales por cuenta de un encargado inicial, en el marco del mismo encargo del responsable.

A quién aplica: responsables que externalizan tratamientos, proveedores que actúan como encargados y empresas de servicios en cadena (cloud, soporte, logística, marketing, analítica, centros de datos).

Tiempo, costo y documentos:

  • Inventario actualizado de subencargados por categoría de servicio y país.
  • Contratos o anexos firmados que detallen objeto, duración y medidas de seguridad.
  • Registros de evaluaciones previas y consultas internas antes de la autorización.
  • Notificaciones y comunicaciones a clientes o interesados cuando proceda.
  • Minutas de auditorías, controles de acceso y revisiones periódicas de desempeño.

Puntos que suelen decidir disputas:

  • Existencia de autorización previa del responsable para cada subencargado concreto.
  • Coherencia entre el contrato principal y los acuerdos firmados con subencargados.
  • Prueba de que se evaluaron garantías técnicas y organizativas antes de contratar.
  • Trazabilidad de accesos, transferencias internacionales y brechas de seguridad.
  • Capacidad real del responsable para exigir sustitución o cese del subencargado.

Guía rápida sobre subencargados de tratamiento de datos

  • Identificar qué operaciones requieren apoyo de terceros adicionales y en qué territorios actúan.
  • Definir si la autorización del responsable será específica o mediante lista general actualizable.
  • Verificar que las obligaciones impuestas al encargado se trasladan íntegramente al subencargado.
  • Registrar en un inventario central los subencargados activos, con su rol y categorías de datos.
  • Vincular la gestión de subencargados con el ciclo de vida de contratos y evaluaciones de impacto.
  • Establecer mecanismos claros para responder ante incidentes originados en un subencargado.

Entender subencargados de tratamiento en la práctica

En la práctica, el subencargado aparece cuando un proveedor de servicios necesita apoyo adicional para cumplir el encargo recibido del responsable y contrata a otro prestador para tareas concretas, como alojamiento, soporte o analítica.

El punto delicado no es solo la existencia de este tercero, sino el nivel de control que el responsable conserva sobre la cadena de servicios: quién puede ser contratado, con qué condiciones y cómo se garantiza que la protección de datos no se diluye a medida que se añaden eslabones.

Por ello, la relación responsable–encargado debe incluir desde el inicio una arquitectura clara de subcontratación, que detalle qué servicios pueden delegarse, qué requisitos mínimos debe cumplir cualquier subencargado y cómo se informará de altas, cambios y bajas.

  • Describir por escrito las categorías de servicios que pueden apoyarse en subencargados.
  • Establecer un procedimiento de due diligence documentado antes de aprobar a cada nuevo subencargado.
  • Garantizar que el contrato con el subencargado replica las cláusulas de protección de datos esenciales.
  • Conectar el registro de subencargados con la gestión de transferencias internacionales y brechas.
  • Definir un proceso de sustitución escalonado en caso de incumplimientos graves o recurrentes.

Ángulos legales y prácticos que cambian el resultado

En algunos marcos normativos, la autorización de subencargados exige consentimiento específico por servicio, mientras que en otros se permite una lista general siempre que el responsable pueda oponerse a cambios anunciados con antelación razonable.

La solidez de la documentación también pesa: no es lo mismo una cláusula genérica que permite “subcontratar libremente” que un anexo detallado con obligaciones de confidencialidad, seguridad, cooperación y soporte ante derechos de los interesados.

Además, el lugar donde opera el subencargado puede transformar un acuerdo estándar en una transferencia internacional, sujeto a mecanismos adicionales como cláusulas tipo, normas corporativas vinculantes o análisis de leyes locales.

Caminos viables que las partes usan para resolver

Cuando surgen problemas con un subencargado, las organizaciones suelen empezar por ajustes contractuales y medidas correctivas, como planes de acción, refuerzo de controles de acceso o limitación de operaciones de tratamiento.

Si los incumplimientos se repiten o afectan a incidentes graves, entra en juego la sustitución del subencargado: el encargado propone alternativas y el responsable decide si acepta el nuevo proveedor o exige internalizar temporalmente las operaciones críticas.

Solo cuando la falta de cooperación es persistente o el daño reputacional y regulatorio es elevado, se recurre a la resolución del contrato principal, reclamaciones de responsabilidad y, en su caso, acciones coordinadas frente a la autoridad de control.

Aplicación práctica de subencargados en casos reales

En la operativa diaria, los subencargados suelen aparecer en cadenas de servicios tecnológicos donde un proveedor integra soluciones de almacenamiento, comunicaciones y soporte de terceros para ofrecer un servicio único al responsable.

La clave está en que cada incorporación, sustitución o cese de subencargado deje un rastro documental claro, que permita reconstruir quién accedió a qué datos, durante cuánto tiempo y bajo qué garantías concretas de seguridad y confidencialidad.

  1. Identificar tratamientos externalizados donde el encargado utiliza o puede utilizar terceros para tareas esenciales.
  2. Clasificar los subencargados por categoría de servicio, localización y tipo de datos personales tratados.
  3. Revisar que cada subencargado cuenta con autorización previa del responsable y contrato escrito adecuado.
  4. Vincular el inventario de subencargados con registros de actividades, evaluaciones de impacto y mapas de flujo de datos.
  5. Establecer un calendario de revisiones periódicas de garantías, certificados y resultados de auditorías de subencargados.
  6. Definir un procedimiento documentado para altas, bajas y sustituciones, incluyendo criterios de cese por incumplimiento.

Detalles técnicos y actualizaciones relevantes

Los marcos de protección de datos más recientes insisten en que el encargado no puede añadir subencargados sin autorización previa escrita, que puede ser específica o general, pero siempre documentada y demostrable.

Las autoridades de control también analizan si las obligaciones contractuales con subencargados son, como mínimo, las mismas que las aceptadas por el encargado frente al responsable, especialmente en materia de seguridad, confidencialidad y asistencia.

En entornos de nube, la actualización de listas de subencargados a través de portales en línea y avisos proactivos se ha convertido en práctica habitual, pero solo funciona si las organizaciones cuentan con procesos internos para revisar esos cambios y reaccionar a tiempo.

  • Determinar qué información mínima debe constar en el registro interno de subencargados.
  • Precisar el plazo de preaviso para nuevos subencargados y el mecanismo de oposición del responsable.
  • Establecer criterios para determinar cuándo una prestación implica acceso a datos personales y no solo soporte técnico.
  • Definir cómo se documentan las subidas y bajadas de subencargados en cadenas complejas de proveedores.
  • Conectar la revisión de subencargados con auditorías de seguridad y planes de continuidad de negocio.

Estadísticas y lectura de escenarios

En la práctica, los expedientes de cumplimiento muestran patrones recurrentes sobre dónde se concentran los problemas con subencargados y qué elementos marcan la diferencia entre una observación menor y un hallazgo grave.

Las cifras que siguen no son reglas rígidas, pero ayudan a orientar dónde conviene invertir más esfuerzo de documentación, revisión contractual y supervisión operativa.

Distribución típica de escenarios de subencargados

  • 35% – Cadena de proveedores bien documentada, sin incidencias relevantes.

  • 25% – Autorización general válida, pero inventario de subencargados desactualizado o incompleto.

  • 20% – Contratos con subencargados sin reflejar todas las obligaciones de protección de datos exigibles.

  • 15% – Uso de subencargados no comunicados al responsable, detectado en auditorías o incidentes.

  • 5% – Transferencias internacionales a subencargados sin garantías adecuadas ni evaluación previa.

Cambios antes y después de ordenar la cadena

  • Notificaciones tardías de nuevos subencargados: 40% → 15% tras implantar flujo formal de aprobación.
  • Contratos sin cláusulas de seguridad alineadas con el encargo: 35% → 10% después de revisar plantillas.
  • Incidentes vinculados a accesos innecesarios de subencargados: 25% → 8% al limitar funciones y privilegios.
  • Consultas internas sobre quién responde ante fallos de terceros: 50% → 20% con inventario actualizado y claro.

Puntos monitorizables en la gestión de subencargados

  • Días promedio entre la decisión de contratar un subencargado y la obtención de autorización formal.
  • Porcentaje de subencargados con auditorías o certificaciones de seguridad revisadas en los últimos 12 meses.
  • Número de subencargados por tratamiento crítico y por país de operación.
  • Porcentaje de incidentes de seguridad en los que interviene al menos un subencargado.
  • Días necesarios para sustituir a un subencargado que ha incumplido obligaciones esenciales.

Ejemplos prácticos de subencargados en protección de datos

Una empresa de software contrata a un proveedor cloud europeo para alojar la plataforma y, a su vez, este utiliza un subencargado para servicios de monitorización. El contrato de encargo lista expresamente a ambos y prevé autorización previa para nuevos subencargados.

Antes de la incorporación, el responsable recibe información sobre certificaciones, medidas técnicas y localización de centros de datos. Se actualiza el inventario interno y se registra la fecha de alta. Años después, una auditoría constata que la cadena de subcontratación sigue documentada y que no hubo accesos fuera del alcance pactado.

En otro escenario, un proveedor de marketing digital subcontrata a una agencia externa para gestionar campañas segmentadas con datos de clientes sin informar al responsable ni revisar el contrato estándar utilizado con la agencia.

Tras una investigación por envíos no autorizados, la autoridad de control detecta que no existía autorización previa ni cláusulas adecuadas con el subencargado. El responsable y el encargado deben ajustar contratos, cesar a la agencia y asumir medidas correctoras y sanciones derivadas del uso indebido de datos.

Errores comunes en la gestión de subencargados

Autorizaciones implícitas: confiar en menciones genéricas a “terceros” sin un sistema claro de aprobación previa para subencargados concretos.

Inventario desactualizado: mantener documentos internos que no reflejan altas, bajas ni cambios relevantes en la cadena de proveedores.

Contratos incompletos: replicar acuerdos comerciales sin trasladar las obligaciones de seguridad, confidencialidad y cooperación en materia de datos personales.

Falta de supervisión: asumir que las certificaciones iniciales del subencargado son suficientes y no programar revisiones periódicas ni pruebas de eficacia.

Transferencias opacas: permitir que subencargados repliquen datos en otros países sin conectar esa operativa con los mecanismos formales de transferencias internacionales.

FAQ sobre subencargados de tratamiento de datos

¿Cuándo se considera que un proveedor actúa como subencargado y no como simple proveedor de soporte?

Se considera subencargado cuando el proveedor accede a datos personales tratados por el encargado para el responsable y realiza operaciones incluidas en el mismo encargo, aunque su función principal sea técnica.

Para diferenciarlo de un soporte sin acceso real a datos, suele revisarse el contrato, los registros de actividades y los perfiles de acceso configurados en los sistemas implicados.

¿Es válida una autorización general de subencargados sin indicar nombres concretos?

La autorización general puede aceptarse si el contrato describe categorías de servicios y prevé un mecanismo claro para informar de nuevas incorporaciones y permitir la oposición del responsable dentro de un plazo razonable.

En estos casos, se vuelve esencial mantener una lista actualizada de subencargados accesible al responsable y conectada con el registro de actividades de tratamiento.

¿Qué obligaciones mínimas debe incluir el contrato con un subencargado?

El contrato debe recoger, como mínimo, la misma descripción de objeto, duración, categorías de datos, medidas de seguridad, reglas de confidencialidad y deber de cooperación que asume el encargado frente al responsable.

También es recomendable incorporar obligaciones de asistencia ante ejercicios de derechos, gestión de brechas y devolución o eliminación de datos al término del servicio.

¿Cómo documentar la evaluación previa de un nuevo subencargado de tratamiento?

La evaluación previa suele documentarse mediante cuestionarios de seguridad, revisión de certificaciones, análisis de localización de datos y, en su caso, referencias o informes de auditoría independientes.

El resultado debe quedar reflejado en una ficha interna vinculada al inventario de subencargados y a las evaluaciones de impacto o análisis de riesgos relevantes.

¿Qué sucede si el encargado contrata un subencargado sin autorización del responsable?

En ese caso, el encargado suele estar incumpliendo el contrato y la normativa aplicable, lo que puede derivar en obligaciones de cesar el servicio, sustituir al subencargado e incluso en reclamaciones de responsabilidad contractual.

La autoridad de control puede considerar que el tratamiento se ha realizado sin base suficiente, especialmente si el subencargado ha participado en incidentes o tratamientos no compatibles con el encargo original.

¿Cómo gestionar subencargados que operan fuera del Espacio Económico Europeo?

Cuando el subencargado se sitúa en un país tercero, la relación ya no es solo contractual, sino que implica mecanismos de transferencias internacionales, como cláusulas tipo o normas corporativas vinculantes.

También suele requerirse una evaluación de las leyes locales que puedan afectar a la capacidad del subencargado para cumplir las obligaciones de confidencialidad y acceso limitado a los datos.

¿Qué nivel de supervisión se espera sobre los subencargados ya autorizados?

Se espera que el encargado supervise de forma proporcionada el cumplimiento de obligaciones por parte de los subencargados, mediante informes periódicos, revisión de certificaciones y, cuando proceda, auditorías.

Los resultados de esa supervisión deberían quedar documentados y estar disponibles para el responsable en caso de revisión interna o requerimiento de una autoridad de control.

¿Puede un subencargado utilizar a su vez otros subencargados para el mismo tratamiento?

En cadenas complejas, un subencargado puede necesitar apoyo adicional, pero esta subcontratación en cascada solo es aceptable si el contrato lo permite expresamente y se mantiene la trazabilidad hasta el responsable.

En la práctica, se exige que todas las entidades de la cadena asuman obligaciones equivalentes y que el encargado siga siendo el punto de contacto principal para el responsable.

¿Cómo reflejar a los subencargados en los registros de actividades de tratamiento?

Los registros suelen indicar las categorías de destinatarios y proveedores implicados, y pueden incluir referencia a subencargados clave o a tipos de servicios que se apoyan en terceros específicos.

Es útil vincular el registro con el inventario de subencargados para facilitar respuestas coherentes en auditorías internas y solicitudes de información de autoridades.

¿Qué documentación se revisa cuando un incidente afecta a un subencargado?

En investigaciones de incidentes, suele revisarse el contrato con el subencargado, los acuerdos de seguridad, los registros de acceso y los informes internos de gestión de brechas.

También se analizan comunicaciones entre responsable, encargado y subencargado para verificar plazos de notificación, medidas adoptadas y grado de cooperación entre las partes.


Referencias y próximos pasos

  • Revisar contratos de encargo vigentes e identificar cláusulas sobre subencargados y subcontratación en cascada.
  • Crear o actualizar un inventario centralizado de subencargados por tratamiento, servicio y país de operación.
  • Diseñar un procedimiento de evaluación previa, autorización y sustitución de subencargados documentado y reproducible.
  • Conectar la gestión de subencargados con auditorías de seguridad, evaluaciones de impacto y planes de continuidad.

Lectura relacionada:

  • Responsable vs encargado: roles y responsabilidades en la práctica.
  • Contrato de encargo: cláusulas esenciales en protección de datos.
  • Transferencias internacionales: cuándo existen y cómo controlarlas.
  • Evaluación de impacto (DPIA): cuándo es obligatoria y cómo integrarla con proveedores.

Base normativa y jurisprudencial

La figura del subencargado se apoya en disposiciones que regulan la relación responsable–encargado y exigen que cualquier tratamiento por cuenta de otro se realice bajo contrato o acto jurídico vinculante con cláusulas específicas.

Las resoluciones de autoridades de control suelen centrarse en la capacidad del responsable para demostrar que seleccionó a encargados y subencargados con garantías suficientes, que las obligaciones se trasladaron correctamente y que la supervisión fue proporcionada al nivel de exposición.

La redacción concreta de contratos, anexos de seguridad y mecanismos de transferencia internacional resulta decisiva, ya que establece el reparto de funciones y las vías de reacción ante incidentes o incumplimientos de la cadena de proveedores.

Consideraciones finales

La gestión de subencargados no se limita a una lista en un anexo, sino que exige decisiones conscientes sobre quién entra en la cadena de tratamiento, con qué responsabilidades y bajo qué condiciones de supervisión continua.

Un enfoque estructurado permite que responsables y encargados mantengan el control práctico sobre los datos personales, reduzcan impactos ante incidentes y ofrezcan respuestas coherentes a autoridades y clientes sobre la forma en que se comparte la información.

Visibilidad completa: mantener un mapa actualizado de todos los subencargados y sus servicios asociados.

Contratos alineados: asegurarse de que cada eslabón asume obligaciones equivalentes de protección de datos.

Supervisión constante: vincular revisiones y auditorías con decisiones sobre continuidad o sustitución.

  • Establecer un responsable interno claro para la gestión de subencargados y su documentación.
  • Centralizar contratos, evaluaciones y evidencias de supervisión en un repositorio accesible y ordenado.
  • Revisar anualmente la cadena de proveedores para detectar brechas de información o cambios no documentados.

Este contenido es solo informativo y no sustituye el análisis individualizado de un abogado habilitado o profesional calificado.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *