← Volver al blog RGPD y LOPD

Encargado de tratamiento: contrato y obligaciones legales

Encargado de tratamiento: contrato y obligaciones legales

Cuando contratas un servicio de hosting, una gestoría externa o una plataforma de email marketing, estás cediendo datos personales a un tercero. Ese tercero es el encargado de tratamiento RGPD, y la ley exige que formalices esa relación con un contrato específico. Sin él, tanto tú como tu proveedor podéis enfrentaros a sanciones de la AEPD. En este artículo te explicamos qué implica esta figura, qué debe incluir el contrato y cómo cumplir correctamente.

Qué es el encargado de tratamiento según el RGPD

El artículo 28 del RGPD define al encargado de tratamiento como la persona física o jurídica que trata datos personales por cuenta del responsable. Es decir, no decide sobre los datos, pero accede a ellos para prestar un servicio.

Ejemplos habituales de encargados de tratamiento:

  • Asesorías y gestorías que manejan nóminas o contabilidad
  • Empresas de hosting y almacenamiento en la nube
  • Proveedores de email marketing o CRM
  • Servicios de destrucción de documentos
  • Empresas de mantenimiento informático con acceso a sistemas

La diferencia con el responsable es clara: el responsable decide el qué y el para qué del tratamiento; el encargado ejecuta siguiendo instrucciones.

El contrato de encargado de tratamiento: requisito obligatorio

El contrato encargado tratamiento (también conocido como DPA o Data Processing Agreement) es obligatorio siempre que exista acceso a datos personales por parte de un tercero. No basta con cláusulas genéricas en el contrato de servicios.

Contenido mínimo según el artículo 28 RGPD

El contrato debe incluir, como mínimo:

  1. Objeto y duración del tratamiento
  2. Naturaleza y finalidad del tratamiento
  3. Tipo de datos personales tratados
  4. Categorías de interesados afectados
  5. Obligaciones y derechos del responsable
  6. Instrucciones documentadas del responsable al encargado
  7. Medidas de seguridad técnicas y organizativas
  8. Régimen de subcontratación
  9. Procedimiento para atender los Derechos ARCO: guía completa para empresas y usuarios
  10. Destino de los datos al finalizar el servicio

¿Qué es un DPA RGPD?

El término DPA RGPD se usa especialmente con proveedores internacionales. Es el mismo contrato de encargo, pero adaptado a la terminología anglosajona. Si trabajas con herramientas como Google, Mailchimp o AWS, ya habrás aceptado su DPA estándar. Revisa que cumpla con los requisitos europeos.

Obligaciones del encargado de tratamiento

El encargado no es un mero ejecutor pasivo. El RGPD y la LOPDGDD le imponen obligaciones directas:

  • Tratar los datos solo según instrucciones documentadas del responsable
  • Garantizar la confidencialidad del personal con acceso
  • Aplicar medidas de seguridad adecuadas al riesgo
  • No subcontratar sin autorización previa
  • Asistir al responsable en el cumplimiento de sus obligaciones
  • Notificar brechas de seguridad sin dilación
  • Eliminar o devolver los datos al terminar el servicio
  • Permitir y colaborar en auditorías del responsable

El incumplimiento de estas obligaciones puede convertir al encargado en responsable a efectos sancionadores.

Consecuencias de no tener contrato de encargo

La ausencia de contrato constituye una infracción grave según la LOPDGDD. Las sanciones pueden alcanzar los 10 millones de euros o el 2% de la facturación anual global, la cifra que resulte mayor.

Además, sin contrato no existe base legal para la comunicación de datos, lo que podría considerarse una cesión ilícita. Esto afecta tanto al responsable que contrata como al proveedor que presta el servicio.

Preguntas frecuentes

¿El contrato de encargo puede ser verbal?

No. El RGPD exige que conste por escrito, incluido formato electrónico. Un acuerdo verbal no tiene validez legal.

¿Necesito contrato si mi proveedor está fuera de la UE?

Sí, y además debes verificar que existan garantías adecuadas para la transferencia internacional, como cláusulas contractuales tipo. Para cualquier cesión de datos es fundamental cumplir los requisitos sobre Consentimiento en protección de datos: cuándo es válido y cómo obtenerlo.

¿Quién debe redactar el contrato?

Puede proponerlo cualquiera de las partes, pero el responsable debe asegurarse de que cumple todos los requisitos legales antes de firmarlo.

Asegura tu cumplimiento con un contrato profesional

El contrato de encargo no es un trámite burocrático: es tu garantía legal ante la AEPD y tus clientes. Un documento mal redactado o incompleto te deja expuesto a sanciones y reclamaciones. Si trabajas con proveedores externos y no tienes formalizados estos contratos, es momento de actuar.

Te preparamos tu contrato de encargo adaptado a tu actividad y a tus proveedores reales, cumpliendo con el RGPD y la LOPDGDD.