¿Qué son los Encargados de Tratamiento en la Ley 21.719?

Creado el 30 de enero de 2026

Contexto

Si eres proveedor de servicios, por ejemplo, contables, tributarios y/o laborales, la Ley 21.719 te considera Encargado de Tratamiento cuando accedes, procesas o almacenas datos personales de trabajadores, clientes o proveedores de tus clientes.

La mayoría de los proveedores de servicios como los descritos:

  1. Trata datos personales a diario.
  2. Usa software en la nube y servicios de terceros.
  3. Envía información sensible por correo electrónico y otras plataformas.

El artículo 15 bis

Como Encargado de Tratamiento, el artículo 15 bis de la Ley establece que:

  1. Debes tratar datos personales solo para el objetivo acordado y según instrucciones del cliente.
  2. No puedes usar los datos para otra finalidad, ni compartirlos salvo autorización expresa.
  3. Si te sales del encargo, la ley te puede tratar como responsable, y en caso de infracción, deberás responder personal y solidariamente con el responsable de datos por los daños ocasionados.
  4. Debe existir un contrato entre responsable y encargado que deje claro: finalidad, duración, tipos de datos, obligaciones, entre otros.
  5. No puedes subcontratar (subencargados) sin autorización por escrito del cliente; y si lo haces, sigues respondiendo por ellos y no podrás eximirte de responsabilidad en caso de infracciones.
  6. Debes aplicar medidas de seguridad razonables, reportar incidentes al responsable y, al terminar el servicio, devolver o eliminar los datos.

Qué se espera de un Encargado de Tratamiento

Lo minimo que debe cumplir un encargado es:

  1. Saber qué datos trata y para qué (finalidad).
  2. Tratar datos solo bajo instrucciones del cliente y poder acreditarlo.
  3. Tener seguridad razonable (accesos, respaldos, MFA, etc.).
  4. Mantener registro de software/subencargados y si hay transferencia internacional.
  5. Poder demostrar diligencia y colaborar ante reclamos, incidentes o fiscalización.
  6. Dejar delimitado formalmente su rol y responsabilidades.
  7. Devolver/eliminar datos al terminar la relación contractual.

Conclusión

Hoy muchos encargados operan bien, pero sin respaldo documentado. Y jurídicamente, lo que no se puede demostrar, no existe.

En la práctica, cuando no hay medidas y evidencias mínimas, el encargado queda expuesto ante reclamos, fiscalizaciones o incidentes, incluso si actuó correctamente.

La buena noticia: con contrato claro, registro de terceros y medidas básicas de seguridad, el encargado puede reducir mucho su exposición y responder con evidencia.