1. El riesgo del vacío jurídico en el tratamiento de datos
Una reciente resolución de la autoridad noruega, Datatilsynet, dictada el 16 de enero de 2026, ofrece una lectura esencial para el sector tecnológico y los proveedores SaaS. La decisión sugiere que, en el marco del RGPD, la falta de un interlocutor válido por parte del cliente no exime de proteger los derechos de los interesados. En este caso, la empresa que originariamente era encargada del tratamiento fue sancionada con 250.000 NOK (unos 21.500 euros en la fecha de publicación de este post) tras denegar el derecho de acceso a trabajadores tras la quiebra de su cliente, el responsable original.
2. La asunción de responsabilidad y el Artículo 28.10 del RGPD
El desplazamiento de la carga de responsabilidad encuentra su anclaje en el artículo 28.10 del RGPD. Según este precepto, si un encargado determina fines o medios por su propia cuenta, se le considerará responsable del tratamiento respecto de ese tratamiento concreto. Si bien es cierto que el artículo se refiere a los casos en los que el encargado «infringe» el RGPD, una interpretación funcional y por analogía conduce a la conclusión que en esta publicación expongo, no derivado de ningún acto irregular por parte del encargado sino a la fáctica necesidad de toma autónoma de decisiones sobre las actividades del tratamiento en origen encargadas.
La conexión causal es relevante en contextos de insolvencia: cuando el responsable original desaparece de facto o cesa en sus funciones, el encargado a menudo se ve obligado a tomar decisiones operativas sobre la conservación o el acceso a los datos. Es precisamente ese ejercicio de autonomía, motivado por la parálisis del responsable, lo que puede provocar la mutación legal de su rol.
3. Responsabilidad proactiva ante la ausencia de instrucciones
El principio de responsabilidad proactiva o accountability, recogido en el Artículo 5.2 del RGPD, adquiere una dimensión especial en estos escenarios. Aunque el encargado debe actuar bajo instrucciones, la normativa le obliga a ser diligente en la custodia.
Si el responsable queda incomunicado —ya sea por quiebra, extinción societaria o un ciberataque masivo—, el encargado no debería ampararse en el silencio administrativo para bloquear derechos fundamentales. En lugar de ello, debe evaluar si su posición de control efectivo sobre la infraestructura le exige atender las solicitudes de los interesados para cumplir con el espíritu del Reglamento.
4. El control funcional frente al etiquetado contractual
Tanto el Tribunal de Justicia de la Unión Europea en su sentencia C-210/16 como el Comité Europeo de Protección de Datos en sus Directrices 07/2020, subrayan que la responsabilidad es un concepto funcional.
El riesgo de ser calificado como responsable aumenta significativamente si el proveedor, ante la insolvencia del cliente:
- Decide de forma autónoma el periodo de conservación de la base de datos.
- Condiciona el acceso a la información a la resolución de disputas económicas previas.
- Gestiona sin supervisión externa las solicitudes de ejercicio de derechos del Artículo 15 del RGPD.
5. Conclusión: diligencia en la custodia
Este precedente nos recuerda que la retención de datos personales tras la caída de un cliente conlleva una carga prestacional. Si el proveedor ejerce un poder de decisión sobre el destino de los datos o el acceso a los mismos, puede verse desplazado hacia la figura de responsable con todas sus obligaciones inherentes. La jurisprudencia española, en casos análogos de la AEPD, como la Resolución 262/2021 (esta resolución de la AEPD sanciona la retención de datos sin base jurídica tras el cese de una actividad, confirmando que quien mantiene el control factual de la información asume las responsabilidades del tratamiento, incluso ante la inactividad o desaparición del responsable inicial), ya ha señalado la importancia de no dejar los derechos de los ciudadanos en un limbo jurídico por cuestiones puramente mercantiles.
Pablo Fdez. Burgueño 