AI·Colegio
Hablar con un asesor
Volver a recursos
Normativa

RGPD en el visado: responsable y encargado

Quién responde de los datos del expediente y cómo se reparten las obligaciones entre colegio y plataforma.

Daniel Gómez Masa
Daniel Gómez Masa
Fundador de AI·Colegio
24 feb 2026 6 min de lectura

Visar un proyecto implica tratar datos personales: el nombre y el número del colegiado, los datos del promotor, a veces información de terceros que aparece en la memoria o en los planos. El visado electrónico no cambia esa realidad, pero sí la hace más explícita, porque todo queda registrado, sellado y verificable. Por eso conviene tener claro quién responde de esos datos y cómo se reparten las obligaciones entre el colegio profesional y la plataforma que opera el servicio.

Este artículo explica el reparto de papeles bajo el Reglamento General de Protección de Datos. No es asesoramiento legal definitivo: cada colegio debe revisar su situación con su delegado de protección de datos y, si procede, con asesoría jurídica.

Responsable y encargado: dos papeles distintos

El RGPD distingue dos figuras que se confunden a menudo. El responsable del tratamiento es quien decide para qué y cómo se tratan los datos. El encargado del tratamiento es quien los trata por cuenta del responsable, siguiendo sus instrucciones.

En el visado, esa distinción es nítida. El colegio profesional es el responsable: es quien tiene la potestad de visar, quien define qué datos se piden, con qué finalidad y durante cuánto tiempo se conservan. AI-Visado actúa como encargado: presta la infraestructura tecnológica que permite recibir el proyecto, pre-revisarlo con IA, sellarlo, firmarlo y emitir el certificado, pero siempre por cuenta del colegio y según sus criterios.

El colegio decide; la plataforma ejecuta. Esa frase resume el reparto y también explica por qué la decisión de visar es siempre humana: aprobar, pedir corrección o rechazar lo decide el técnico o la junta, nunca el sistema.

El contrato de encargo de tratamiento

El artículo 28 del RGPD exige que la relación entre responsable y encargado se regule por contrato. No es un trámite formal: es el documento que fija qué puede y qué no puede hacer la plataforma con los datos.

Un contrato de encargo bien hecho recoge, como mínimo:

  • El objeto, la duración y la finalidad del tratamiento.
  • La obligación de tratar los datos solo siguiendo instrucciones del colegio.
  • El deber de confidencialidad de quien accede a la información.
  • Las medidas de seguridad aplicadas.
  • El régimen de subencargados y la asistencia al responsable para atender derechos y notificar brechas.
  • El destino de los datos al terminar el servicio: devolución o supresión.

El encargado no puede usar los datos para fines propios. Si lo hiciera, pasaría a ser responsable y asumiría toda la carga legal de esa decisión.

Minimización, acceso por rol y alojamiento en la UE

El RGPD no solo reparte responsabilidades: impone principios de diseño. AI-Visado los aplica de forma práctica en el flujo de visado.

Minimización. Se piden los datos necesarios para visar y verificar, no más. El proyecto se sube en PDF, la IA extrae el texto para pre-revisarlo, calcula el hash SHA-256 e identifica tipo de documento, autor y número de colegiado. Ese análisis sirve a la finalidad del visado y no se reutiliza para otra cosa.

Control de acceso por rol. No todo el mundo ve todo. El colegiado accede a sus expedientes; el técnico revisa los que le corresponden; el administrador gestiona el colegio. Cada acción queda en una auditoría íntegra, de modo que siempre se puede saber quién hizo qué y cuándo.

Alojamiento en la UE. Los datos se alojan íntegramente en la Unión Europea, con cifrado en tránsito y en reposo. Esto evita transferencias internacionales que exigirían garantías adicionales y simplifica la posición del colegio como responsable.

El marco encaja además con el Real Decreto 1000/2010 sobre visado colegial y con el Esquema Nacional de Seguridad, que el sector público y muchas corporaciones de derecho público toman como referencia.

Derechos, exportación y retención

Como responsable, el colegio debe poder atender los derechos de acceso, rectificación, supresión, portabilidad y oposición. El papel del encargado es facilitarlo.

En la práctica, eso significa que el colegio puede exportar la información de un expediente y borrar datos cuando ya no exista base que justifique conservarlos. La retención la decide el responsable: hay documentación de visado que debe conservarse durante años por su valor probatorio y por obligaciones profesionales, mientras que otros datos asociados pueden eliminarse antes. Cada documento sellado mantiene su código seguro de verificación y su QR, de modo que su autenticidad se comprueba en la página pública incluso a futuro, también por el hash del documento.

La regla de oro es que la conservación responde a un plazo justificado, no a la inercia de guardar todo indefinidamente.

Antes de fijar plazos de retención, conviene mapear qué exige la normativa profesional de cada colegio. La plataforma ejecuta el borrado o la exportación; el criterio lo marca siempre el responsable.

Qué llevarse a la práctica

El reparto RGPD del visado electrónico no es complejo si se nombran bien las figuras. El colegio manda y responde; la plataforma sirve y se limita a lo pactado. Lo demás (minimización, seguridad, derechos y retención) se deriva de tener clara esa relación y de plasmarla en un contrato de encargo sólido.

Para recordar

  • El colegio es responsable del tratamiento y AI-Visado el encargado: el colegio decide para qué y cómo, la plataforma ejecuta por su cuenta
  • El contrato de encargo del artículo 28 fija instrucciones, confidencialidad, seguridad, subencargados y destino de los datos al terminar
  • Minimización, acceso por rol, auditoría íntegra y alojamiento en la UE con cifrado son principios aplicados, no promesas
  • Los derechos se atienden con exportación y borrado; la retención la decide el colegio según un plazo justificado
  • La decisión de visar es siempre humana: la IA pre-revisa y propone, pero nunca visa sola
Daniel Gómez Masa
Daniel Gómez Masa
Fundador de AI·Colegio · Torvix AI

Construye AI·Colegio desde una convicción: que el trabajo colegial pueda ser ágil e intuitivo sin renunciar ni un ápice a su rigor ni a su validez jurídica. Conecta en LinkedIn →

Sigue leyendo

Artículos relacionados

Guía

Cómo digitalizar el visado de tu colegio en 30 días

Un recorrido práctico —desde la configuración de tarifas y terminología hasta la puesta en marcha del portal— para que tu colegio empiece a visar electrónicamente sin sobresaltos.

12 min de lectura Producto

Análisis con IA: qué mira y qué no decide

Explicamos en detalle cómo la IA puntúa un expediente y por qué la última palabra es siempre humana.

5 min de lectura Normativa

RD 1000/2010: qué exige al visado hoy

Un repaso claro a la norma del visado obligatorio y cómo se traduce en requisitos del documento sellado.

7 min de lectura
Empieza hoy

¿Hablamos del visado de tu colegio?

Te enseñamos el ecosistema AI·Colegio funcionando, con la terminología y las tarifas de tu colegio. Sin compromiso.

Hablar con un asesor Ver más recursos