En este artículo vamos a tratar...

Contrato de Encargado del Tratamiento: qué es, cuándo firmarlo y qué debe incluir según el RGPD

Contrato de encargado del tratamiento RGPD explicado de forma visual con responsable, proveedor, seguridad y protección de datos.

Cuando una empresa recibe un Contrato de Encargado del Tratamiento, es habitual que surjan dudas: ¿por qué tengo que firmarlo?, ¿significa que estoy asumiendo una responsabilidad especial?, ¿me convierte en responsable de los datos del cliente?, ¿tengo que firmarlo aunque solo preste un servicio puntual?, ¿qué ocurre si uso un proveedor cloud, una herramienta de IA o subcontrato parte del servicio?

La respuesta corta es esta: el contrato de encargado del tratamiento no es un trámite accesorio ni un documento “por si acaso”. Es una pieza central del cumplimiento del Reglamento General de Protección de Datos cuando un proveedor trata datos personales por cuenta de otra empresa.

Si tu empresa contrata a una gestoría, una empresa informática, un proveedor de software, una agencia de marketing, un servicio cloud, una plataforma de facturación, un CRM, un proveedor de mantenimiento o un desarrollador que puede acceder a datos personales, es posible que necesites regular esa relación mediante un contrato conforme al artículo 28 del RGPD.

Y si eres tú quien presta el servicio, también te interesa entenderlo: firmar un contrato de encargado del tratamiento no significa que puedas hacer cualquier cosa con los datos del cliente. Significa justo lo contrario: solo puedes tratarlos dentro del encargo, siguiendo instrucciones y aplicando garantías suficientes.

En esta guía explicamos, de forma clara y práctica, qué es un encargado del tratamiento, cuándo hace falta firmar este contrato, qué cláusulas debe contener y por qué cada apartado es importante.

Resumen rápido

Un encargado del tratamiento es quien trata datos personales por cuenta de un responsable del tratamiento y siguiendo sus instrucciones.

El contrato es obligatorio cuando un proveedor necesita acceder o tratar datos personales para prestar un servicio al responsable.

No todos los proveedores son encargados. La clave no es el nombre del contrato, sino la realidad del servicio: quién decide la finalidad, quién decide los medios esenciales y si el proveedor usa o no los datos para fines propios.

El contrato debe regular, como mínimo, el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos, las categorías de interesados, las instrucciones, la confidencialidad, las medidas de seguridad, los subencargados, la asistencia en derechos, brechas, evaluaciones de impacto, auditorías y el destino de los datos al finalizar.

Si el proveedor utiliza herramientas cloud, inteligencia artificial, soporte remoto o subcontrata a terceros, el contrato debe revisarse con especial cuidado.

Qué es un encargado del tratamiento

Un encargado del tratamiento es una persona física o jurídica que trata datos personales por cuenta de otra entidad, llamada responsable del tratamiento.

La idea principal es sencilla:

  • el responsable decide para qué se tratan los datos;
  • el encargado los trata para prestar un servicio al responsable;
  • el encargado no puede usar los datos para fines propios;
  • el encargado debe seguir las instrucciones documentadas del responsable.

Por ejemplo, si una empresa contrata a una gestoría para elaborar nóminas, la empresa decide que los datos de sus empleados se traten para gestionar la relación laboral y cumplir sus obligaciones. La gestoría accede a esos datos para prestar el servicio. En ese caso, normalmente la gestoría actúa como encargada del tratamiento.

Lo mismo puede ocurrir con una empresa informática que accede a equipos o servidores, un proveedor de hosting, una plataforma de email marketing, una herramienta de facturación, un software de recursos humanos, un CRM, un desarrollador que configura una aplicación o un proveedor que automatiza procesos internos.

La clave no es la etiqueta comercial del proveedor. La clave es si trata datos personales por cuenta del responsable.

Qué es el responsable del tratamiento

El responsable del tratamiento es quien determina los fines y los medios esenciales del tratamiento de datos personales.

En términos prácticos, el responsable decide cuestiones como:

  • qué datos se recogen;
  • para qué se tratan;
  • durante cuánto tiempo se conservan;
  • quién puede acceder a ellos;
  • qué proveedores intervienen;
  • qué base jurídica legitima el tratamiento;
  • qué información se facilita a los interesados;
  • qué medidas organizativas deben aplicarse.

Una empresa que recoge datos de sus clientes para prestar un servicio, facturar, gestionar usuarios o enviar comunicaciones relacionadas con su actividad suele actuar como responsable respecto de esos tratamientos.

El encargado no sustituye al responsable. El responsable sigue siendo quien debe asegurarse de que el tratamiento está correctamente definido, informado, legitimado y protegido.

Responsable vs encargado: diferencia práctica

Pregunta Responsable del tratamiento Encargado del tratamiento
¿Quién decide la finalidad? El responsable No decide la finalidad
¿Quién decide los medios esenciales? El responsable Puede decidir medios técnicos u organizativos no esenciales
¿Para quién se tratan los datos? Para sus propias finalidades Por cuenta del responsable
¿Puede usar los datos para fines propios? Sí, si tiene base jurídica y cumple el RGPD No, salvo que actúe como responsable de otro tratamiento distinto
¿Debe informar a los interesados? Generalmente sí Normalmente no, salvo que se le encomiende la recogida o información
¿Debe firmar contrato del art. 28 RGPD? Lo exige al encargado Lo firma y lo cumple
¿Responde ante la autoridad? También responde por sus obligaciones propias
¿Puede subcontratar? Decide si autoriza o no Solo con autorización previa del responsable

La diferencia más importante es esta: el responsable decide; el encargado ejecuta por cuenta del responsable.

No todo proveedor es encargado del tratamiento

Este es uno de los errores más frecuentes.

Que una empresa sea proveedor no significa automáticamente que sea encargada del tratamiento. Un proveedor puede ser:

  • encargado del tratamiento;
  • responsable independiente;
  • corresponsable;
  • mero destinatario;
  • proveedor sin acceso a datos personales.

Por ejemplo, una empresa que presta un servicio de mantenimiento informático y accede a bases de datos, correos o equipos puede ser encargada.

Sin embargo, una empresa que recibe datos para decidir autónomamente cómo usarlos en sus propios procesos puede actuar como responsable independiente.

También puede existir corresponsabilidad cuando dos entidades deciden conjuntamente finalidades y medios esenciales de un mismo tratamiento.

El contrato no debe usarse para “forzar” una calificación jurídica. Si el proveedor usa los datos para fines propios, no basta con llamarlo encargado en el contrato. Habrá que analizar si existe comunicación de datos, corresponsabilidad o tratamientos independientes.

Error habitual Firmar un contrato de encargado no convierte automáticamente a un proveedor en encargado. La calificación depende de la realidad del tratamiento, no del título del documento.

Cuándo es obligatorio firmar un contrato de encargado del tratamiento

El contrato es necesario cuando concurren tres elementos:

  1. existe una prestación de servicios;
  2. el proveedor accede o trata datos personales;
  3. ese tratamiento se realiza por cuenta del responsable y siguiendo sus instrucciones.

Ejemplos habituales:

Servicio contratado ¿Puede requerir contrato de encargado? Motivo
Gestoría laboral Accede a datos de empleados para nóminas y seguros sociales
Hosting web Aloja bases de datos, formularios o usuarios
Soporte informático Puede acceder a equipos, credenciales, correos o sistemas
Software CRM Trata datos de clientes o contactos por cuenta del cliente
Plataforma de email marketing Gestiona envíos a bases de datos del responsable
Agencia de marketing Depende Puede actuar como encargada o responsable según el uso de los datos
Servicio de videovigilancia Depende Hay que distinguir instalación, mantenimiento, acceso a imágenes y gestión del sistema
Proveedor de IA Depende Hay que revisar si usa datos para el cliente o para fines propios, entrenamiento o mejora del modelo
Consultor externo sin acceso a datos No necesariamente Si no accede a datos personales, no hay encargo
Abogado que actúa con criterio profesional propio Normalmente no como encargado Puede actuar como responsable respecto de su propia actividad profesional

La pregunta correcta no es “¿es proveedor?”, sino:

¿Este proveedor necesita tratar datos personales por cuenta de mi empresa para prestar el servicio?

Si la respuesta es sí, lo normal será firmar un contrato de encargado del tratamiento.

Cuándo no hace falta firmar este contrato

No hace falta firmar un contrato de encargado del tratamiento cuando el proveedor no trata datos personales por cuenta del responsable.

Ejemplos:

  • proveedor que entrega material de oficina sin acceder a datos personales;
  • empresa que presta un servicio sin acceso a bases de datos, sistemas o información de personas;
  • profesional que actúa como responsable independiente;
  • tercero que recibe datos para sus propias finalidades con una base jurídica propia;
  • relación de corresponsabilidad que exige un acuerdo distinto.

También conviene evitar contratos “por si acaso” cuando no hay acceso a datos. Firmar documentos innecesarios puede generar confusión, obligaciones artificiales y una imagen incorrecta de la relación.

Qué dice el artículo 28 RGPD explicado de forma sencilla

El artículo 28 del RGPD establece la arquitectura básica de la relación entre responsable y encargado.

En términos prácticos, exige cuatro cosas:

Primero, que el responsable elija únicamente encargados que ofrezcan garantías suficientes. No vale contratar a cualquier proveedor sin revisar si protege adecuadamente los datos.

Segundo, que el tratamiento por cuenta del responsable quede regulado en un contrato u otro acto jurídico vinculante.

Tercero, que el contrato describa de forma clara el tratamiento: objeto, duración, naturaleza, finalidad, tipo de datos, categorías de interesados y obligaciones de las partes.

Cuarto, que el contrato imponga obligaciones concretas al encargado: seguir instrucciones, garantizar confidencialidad, aplicar seguridad, regular subencargados, asistir al responsable, colaborar en derechos y brechas, devolver o suprimir datos al finalizar y permitir verificar el cumplimiento.

En definitiva, el artículo 28 RGPD convierte el contrato en una herramienta de control, seguridad y responsabilidad.

No es solo una formalidad.

Qué debe contener un contrato de encargado del tratamiento

Un contrato completo de encargado del tratamiento debería cubrir, al menos, los siguientes bloques:

Bloque Qué regula
Identificación de las partes Quién actúa como responsable y quién como encargado
Objeto del encargo Qué servicio se presta y por qué implica tratamiento de datos
Datos personales afectados Qué categorías de datos puede tratar el encargado
Categorías de interesados Clientes, empleados, usuarios, proveedores, contactos, pacientes, alumnos, etc.
Finalidad Para qué puede usar los datos el encargado
Instrucciones Cómo debe tratar los datos y qué límites tiene
Duración Durante cuánto tiempo se mantiene el encargo
Accesos Cómo accede el encargado a los datos o sistemas
Registro de actividades Qué debe documentar el encargado cuando proceda
Confidencialidad Quién puede acceder y bajo qué compromiso
Formación Qué conocimiento mínimo debe tener el personal autorizado
Seguridad Medidas técnicas y organizativas aplicables
Subencargados Si puede subcontratar y en qué condiciones
Cesiones Prohibición de comunicar datos a terceros salvo autorización u obligación legal
Transferencias internacionales Si hay accesos o tratamientos fuera del EEE y cómo se legitiman
Derechos de los interesados Cómo ayuda el encargado al responsable
Brechas de seguridad Cómo y cuándo debe comunicar incidentes
Colaboración Auditorías, análisis de riesgos, EIPD y consultas previas
Destino de los datos Devolución, supresión o entrega a nuevo encargado
Obligaciones del responsable Supervisión, instrucciones y diligencia
DPO Datos de contacto cuando proceda
Garantías del encargado Evidencias de cumplimiento, medidas, auditorías o certificaciones

Un contrato demasiado genérico puede cumplir formalmente en apariencia, pero fallar en lo importante: describir el servicio real y los riesgos reales.

Guía cláusula por cláusula: cómo entender un contrato de encargado del tratamiento

A continuación explicamos los apartados que normalmente contiene un contrato bien diseñado de encargado del tratamiento.

La idea es que puedas leer el contrato y entender qué función cumple cada cláusula.

1. Identificación de las partes

El contrato debe identificar claramente quién actúa como responsable del tratamiento y quién como encargado del tratamiento.

Esto suele incluir:

  • denominación social o nombre completo;
  • NIF/CIF;
  • domicilio;
  • representante;
  • datos de contacto;
  • rol que asume cada parte.

Este apartado es importante porque fija la arquitectura de la relación. No es lo mismo firmar como responsable, como encargado, como corresponsable o como responsable independiente.

Consejo Auratech Antes de firmar, revisa que tu entidad aparece con el rol correcto. Si el proveedor decide finalidades propias o reutiliza datos para sí mismo, puede que no estemos ante un verdadero encargo.

2. Manifestaciones previas

Muchos contratos incluyen una sección inicial donde se explica qué actividad realiza cada parte y por qué existe una relación de prestación de servicios.

Aunque a veces parece una parte formal, es útil para contextualizar el encargo.

Por ejemplo:

  • el responsable se dedica a una determinada actividad;
  • el encargado presta un servicio concreto;
  • para prestar ese servicio necesita acceder a datos personales;
  • las partes acuerdan regular ese acceso conforme al RGPD.

Este apartado ayuda a demostrar que el contrato no se ha firmado en abstracto, sino vinculado a un servicio real.

3. Objeto del encargo

El objeto del contrato responde a la pregunta:

¿Qué servicio presta el encargado y qué tratamiento de datos necesita realizar para prestarlo?

No basta con decir “servicios profesionales” o “soporte”. Hay que concretar.

Ejemplos de objeto:

  • prestación de servicios de gestoría laboral;
  • alojamiento y mantenimiento de una plataforma web;
  • soporte informático con acceso remoto;
  • desarrollo e implantación de una aplicación;
  • automatización de facturas;
  • gestión de campañas de email marketing;
  • mantenimiento de cámaras o sistemas de videovigilancia;
  • atención telefónica a clientes.

Cuanto más claro sea el objeto, más fácil será saber si el proveedor está actuando dentro o fuera del encargo.

Error habitual Usar un contrato genérico que dice “el encargado tratará datos para prestar los servicios contratados” sin describir qué servicios son. Eso deja demasiado margen y dificulta demostrar cumplimiento.

4. Datos personales afectados

El contrato debe indicar qué tipos de datos personales puede tratar el encargado.

No siempre será necesario listar cada dato de forma individual, pero sí describir categorías de datos.

Ejemplos:

  • datos identificativos;
  • datos de contacto;
  • datos fiscales;
  • datos económicos;
  • datos profesionales;
  • datos de facturación;
  • datos de empleados;
  • datos de clientes;
  • datos de usuarios;
  • imágenes;
  • datos de acceso o credenciales;
  • metadatos de correos o documentos;
  • datos contenidos en facturas, contratos o expedientes.

Este apartado es clave para aplicar el principio de minimización: el encargado solo debe acceder a los datos necesarios para prestar el servicio.

Si el servicio es de mantenimiento informático, por ejemplo, puede haber acceso incidental a muchos datos, pero eso no significa que el proveedor pueda copiarlos, extraerlos o usarlos libremente.

5. Categorías de interesados

Además del tipo de datos, el contrato debe identificar las categorías de personas afectadas.

Por ejemplo:

  • clientes;
  • empleados;
  • candidatos;
  • proveedores;
  • contactos comerciales;
  • usuarios de una aplicación;
  • arrendadores o arrendatarios;
  • pacientes;
  • alumnos;
  • representantes legales;
  • autónomos;
  • visitantes captados por videovigilancia.

Este punto ayuda a valorar el riesgo. No es lo mismo tratar datos de contacto de usuarios profesionales que datos de salud, menores, colectivos vulnerables o información financiera sensible.

6. Finalidad del tratamiento

La finalidad marca el límite principal del encargo.

El encargado solo puede usar los datos para la finalidad definida por el responsable.

Ejemplos:

  • elaborar nóminas;
  • prestar soporte técnico;
  • alojar una web;
  • enviar comunicaciones por cuenta del responsable;
  • procesar facturas;
  • mantener una aplicación;
  • gestionar permisos de usuario;
  • resolver incidencias;
  • generar informes para el responsable.

La cláusula de finalidad debe dejar claro qué está permitido y qué está prohibido.

En contratos modernos, especialmente cuando intervienen herramientas tecnológicas o IA, conviene prohibir expresamente:

  • el uso de datos para fines propios;
  • la reutilización de datos;
  • la comunicación a terceros no autorizados;
  • la conservación no autorizada;
  • el uso para entrenar modelos propios;
  • el uso para mejorar sistemas ajenos al encargo;
  • la incorporación de datos del responsable a bases de datos del proveedor.

Esta precisión es especialmente importante cuando el servicio incluye automatización, IA, analítica, soporte remoto o herramientas cloud.

7. Instrucciones documentadas del responsable

El encargado debe tratar los datos siguiendo instrucciones documentadas del responsable.

Esto significa que no puede decidir libremente qué hacer con los datos.

Las instrucciones pueden referirse a:

  • qué datos tratar;
  • para qué finalidad;
  • desde dónde acceder;
  • qué sistemas utilizar;
  • quién puede acceder;
  • si puede o no copiar datos;
  • si puede o no subcontratar;
  • si puede o no transferir datos fuera del EEE;
  • cómo actuar ante una solicitud de derechos;
  • cómo comunicar una brecha;
  • qué hacer al finalizar el contrato.

Si el encargado considera que una instrucción infringe el RGPD u otra normativa de protección de datos, debe advertirlo al responsable.

Importante Las instrucciones no deberían ser solo una frase genérica. Cuanto más tecnológico sea el servicio, más importante es concretar cómo se accede, qué se puede hacer y qué queda prohibido.

8. Formas de acceso a los datos

Un contrato útil debe explicar cómo accederá el encargado a los datos.

No es lo mismo acceder:

  • presencialmente en las oficinas del responsable;
  • mediante VPN;
  • por escritorio remoto;
  • a través de una cuenta nominativa;
  • mediante una plataforma cloud;
  • con permisos temporales;
  • con acceso a un buzón de correo;
  • mediante API;
  • a través de carpetas compartidas;
  • con acceso a bases de datos;
  • mediante herramientas de soporte técnico.

Este apartado debe limitar el acceso a lo estrictamente necesario.

En servicios informáticos o tecnológicos conviene regular expresamente:

  • prohibición de extraer bases de datos sin instrucción;
  • prohibición de copiar datos en soportes externos;
  • prohibición de guardar contraseñas en documentos inseguros;
  • uso de cuentas nominativas;
  • registro de accesos;
  • acceso remoto seguro;
  • autenticación multifactor;
  • uso de entornos separados;
  • restricciones de permisos.

Una buena cláusula de acceso evita muchos riesgos prácticos.

9. Duración del contrato

El contrato debe indicar durante cuánto tiempo se mantiene el encargo.

Lo habitual es vincularlo a la duración de la prestación principal: mientras exista el contrato de servicios, existirá el contrato de encargado.

Cuando finaliza la relación principal, el encargo también debe finalizar, sin perjuicio de obligaciones que pueden sobrevivir, como:

  • confidencialidad;
  • devolución de datos;
  • supresión segura;
  • bloqueo cuando proceda;
  • conservación por responsabilidades;
  • secreto empresarial;
  • obligaciones de propiedad intelectual si se han pactado.

La duración no debe confundirse con la conservación de los datos. Que el contrato termine no significa que el encargado pueda conservar libremente copias, credenciales, logs o documentos.

10. Registro de actividades del encargado

El RGPD contempla que cada encargado lleve un registro de las categorías de actividades de tratamiento realizadas por cuenta de cada responsable, cuando sea exigible.

Este registro ayuda a demostrar:

  • para qué responsables actúa;
  • qué categorías de tratamientos realiza;
  • si existen transferencias internacionales;
  • qué medidas de seguridad aplica;
  • qué subencargados intervienen;
  • qué categorías de datos trata.

En contratos exigentes puede pactarse que el encargado mantenga este registro actualizado y lo ponga a disposición del responsable o de la autoridad de control cuando proceda.

Este punto es especialmente relevante para proveedores que tratan datos de muchos clientes, prestan servicios continuados o intervienen en sistemas críticos.

11. Cesiones o comunicaciones a terceros

El encargado no puede comunicar datos personales a terceros por su cuenta.

Si el proveedor recibe datos para prestar un servicio al responsable, no puede revelarlos, venderlos, reutilizarlos, compartirlos o cederlos a otras entidades salvo que exista:

  • instrucción documentada del responsable;
  • autorización en el contrato;
  • subencargo válido;
  • obligación legal aplicable.

Si una autoridad pública o judicial exige al encargado comunicar datos, el contrato puede prever que informe previamente al responsable, salvo que la ley lo prohíba por razones de interés público.

La comunicación no autorizada de datos puede transformar un encargo legítimo en un incumplimiento relevante.

12. Transferencias internacionales de datos

Una transferencia internacional de datos puede existir cuando los datos personales salen del Espacio Económico Europeo o quedan accesibles desde un tercer país u organización internacional.

No hay que pensar solo en envíos físicos o exportaciones manuales.

Puede haber transferencia si:

  • el proveedor aloja datos fuera del EEE;
  • el soporte técnico se presta desde fuera del EEE;
  • una filial extranjera accede a los sistemas;
  • se usan subencargados ubicados en terceros países;
  • una herramienta cloud replica datos fuera del EEE;
  • personal del proveedor accede remotamente desde un tercer país;
  • se utiliza una API o servicio externo situado fuera del EEE.

Por eso el contrato debe indicar si las transferencias están permitidas o prohibidas.

Si están permitidas, habrá que documentar el mecanismo aplicable:

  • decisión de adecuación;
  • cláusulas contractuales tipo de transferencia;
  • normas corporativas vinculantes;
  • garantías adecuadas;
  • excepción del art. 49 RGPD cuando proceda de forma excepcional.

Error frecuente Confundir el contrato de encargado del art. 28 RGPD con las garantías de transferencias internacionales del capítulo V RGPD. Un contrato de encargado no sustituye por sí solo a las cláusulas contractuales tipo de transferencia cuando existe una transferencia internacional.

También conviene no confundir las cláusulas tipo:

  • la Decisión 2021/915 se refiere a cláusulas contractuales tipo para contratos responsable-encargado del art. 28 RGPD;
  • la Decisión 2021/914 se refiere a cláusulas contractuales tipo para transferencias internacionales.

13. Subencargados

Un subencargado es un proveedor contratado por el encargado que también trata datos personales por cuenta del responsable.

Ejemplo:

  • una empresa de soporte subcontrata a otro técnico;
  • un software usa un proveedor cloud;
  • una plataforma de email marketing usa un proveedor de envío;
  • una empresa de IA usa infraestructura externa;
  • un proveedor de mantenimiento usa una herramienta de tickets con datos del cliente.

El encargado no puede recurrir a subencargados libremente. Necesita autorización previa del responsable, que puede ser específica o general.

Si la autorización es general, el encargado debe informar de los cambios para que el responsable pueda oponerse.

Además, el subencargado debe asumir obligaciones equivalentes a las del encargado inicial.

La responsabilidad frente al responsable sigue siendo del encargado inicial si el subencargado incumple sus obligaciones.

Consejo Auratech En proveedores tecnológicos, SaaS, cloud e IA, la lista de subencargados es tan importante como el contrato principal. Sin esa lista, es difícil saber quién trata realmente los datos.

14. Confidencialidad

El encargado y las personas autorizadas bajo su responsabilidad deben estar sujetos a deber de confidencialidad.

Esto incluye:

  • empleados;
  • técnicos;
  • colaboradores;
  • administradores de sistemas;
  • personal de soporte;
  • subcontratistas autorizados;
  • cualquier persona con acceso a datos o sistemas.

La confidencialidad debe mantenerse incluso después de finalizar la relación contractual.

En servicios tecnológicos, además de datos personales, puede haber acceso a información especialmente sensible de la empresa:

  • configuraciones de red;
  • contraseñas;
  • lógica de negocio;
  • bases de datos;
  • documentación técnica;
  • procesos internos;
  • información financiera;
  • know-how.

Por eso muchos contratos integran también cláusulas de secreto empresarial o confidencialidad reforzada.

15. Formación del personal autorizado

La protección de datos no depende solo del contrato. Depende también de las personas que acceden a la información.

Por eso el contrato puede exigir que el encargado garantice que su personal tiene formación o conocimientos adecuados en:

  • protección de datos;
  • confidencialidad;
  • seguridad de la información;
  • ciberseguridad;
  • gestión de credenciales;
  • uso seguro de herramientas;
  • respuesta ante incidentes;
  • procedimientos internos del cliente.

Esto es especialmente importante cuando el proveedor presta soporte informático, accede remotamente a sistemas o puede visualizar información sensible.

Una mala práctica de un técnico puede generar una brecha de seguridad aunque el contrato esté bien redactado.

16. Ejercicio de derechos de los interesados

Las personas interesadas pueden ejercer derechos como:

  • acceso;
  • rectificación;
  • supresión;
  • oposición;
  • limitación del tratamiento;
  • portabilidad;
  • derecho a no ser objeto de decisiones automatizadas cuando proceda.

El responsable es quien debe responder al interesado, pero el encargado debe ayudarle cuando sea necesario.

El contrato debe indicar qué ocurre si el encargado recibe directamente una solicitud.

Lo habitual es que:

  • el encargado no responda directamente salvo instrucción;
  • comunique la solicitud al responsable de forma inmediata;
  • remita la información por el canal pactado;
  • no realice actuaciones no autorizadas;
  • colabore técnicamente si el responsable necesita localizar, extraer, bloquear o suprimir datos.

Conviene fijar plazos internos cortos. El RGPD da al responsable un plazo general de un mes para responder al interesado, por lo que el encargado no debería demorar la comunicación.

17. Brechas de seguridad

Una brecha de seguridad de datos personales no es solo un ciberataque.

También puede ser:

  • pérdida de datos;
  • acceso no autorizado;
  • envío erróneo;
  • robo de credenciales;
  • ransomware;
  • alteración accidental;
  • destrucción no autorizada;
  • indisponibilidad de sistemas;
  • fuga de información;
  • copia no autorizada;
  • exposición pública de documentos.

El responsable debe valorar si la brecha debe notificarse a la autoridad de control y, en su caso, comunicarse a los afectados.

El encargado, por su parte, debe comunicar al responsable las brechas de las que tenga conocimiento sin dilación indebida.

El contrato puede fijar un plazo más concreto, por ejemplo 24, 36 o 48 horas desde que el encargado tenga conocimiento, para que el responsable tenga margen suficiente para evaluar el riesgo.

La comunicación debería incluir:

  • qué ha ocurrido;
  • cuándo se detectó;
  • qué datos pueden estar afectados;
  • cuántas personas pueden estar afectadas;
  • qué sistemas intervienen;
  • qué medidas se han adoptado;
  • qué consecuencias podrían producirse;
  • qué evidencias existen;
  • qué medidas adicionales se recomiendan.

Importante En una brecha, el encargado no debe destruir logs, evidencias o registros sin coordinación con el responsable. Contener el incidente es importante, pero preservar la trazabilidad también.

18. Colaboración con el responsable

El contrato debe prever cómo colaborará el encargado con el responsable para cumplir el RGPD.

Esta colaboración puede incluir:

  • análisis de riesgos;
  • medidas de seguridad;
  • evaluación de impacto relativa a protección de datos;
  • consulta previa ante la autoridad de control;
  • auditorías;
  • inspecciones;
  • respuesta a requerimientos;
  • documentación de tratamientos;
  • revisión de accesos;
  • revisión de subencargados;
  • trazabilidad técnica.

No todos los encargados tendrán el mismo nivel de intervención.

Un proveedor de hosting, una gestoría, un desarrollador, una empresa de soporte informático y una plataforma SaaS tienen roles técnicos muy distintos.

Por eso la colaboración debe adaptarse al servicio.

19. Destino de los datos al finalizar el contrato

Cuando termina el servicio, el encargado no puede conservar los datos sin más.

El contrato debe indicar qué debe hacer:

  • devolver los datos al responsable;
  • suprimirlos de forma segura;
  • entregarlos a un nuevo encargado;
  • destruir copias;
  • eliminar credenciales;
  • revocar accesos;
  • bloquear datos cuando proceda;
  • emitir certificado de destrucción o devolución;
  • conservar únicamente lo exigido por ley o por responsabilidades.

Este apartado suele ser crítico en servicios tecnológicos.

Al finalizar el contrato deben revisarse:

  • usuarios creados;
  • permisos concedidos;
  • tokens;
  • claves API;
  • contraseñas;
  • copias locales;
  • documentos descargados;
  • backups;
  • logs;
  • entornos de prueba;
  • integraciones con terceros.

Error habitual Terminar el contrato mercantil y olvidar revocar accesos, eliminar cuentas o recuperar credenciales. Desde el punto de vista de seguridad, eso puede ser más grave que no haber firmado bien una cláusula.

20. Medidas de seguridad

El contrato debe exigir medidas técnicas y organizativas adecuadas al riesgo.

No basta con decir “el encargado cumplirá el RGPD”. Hay que concretar, o al menos remitir a un anexo de medidas de seguridad.

Ejemplos de medidas:

  • control de accesos;
  • usuarios nominativos;
  • autenticación multifactor;
  • cifrado;
  • copias de seguridad;
  • registro de actividad;
  • gestión de vulnerabilidades;
  • actualización de sistemas;
  • segmentación de permisos;
  • confidencialidad del personal;
  • gestión segura de credenciales;
  • protocolos de soporte remoto;
  • bloqueo de dispositivos;
  • destrucción segura;
  • continuidad de negocio;
  • revisión periódica de medidas;
  • registro de incidencias.

En contratos de soporte informático o desarrollo, tiene sentido incluir medidas muy prácticas:

  • no almacenar contraseñas en texto plano;
  • evitar hojas Excel con credenciales;
  • usar MFA en accesos administrativos;
  • no utilizar usuarios genéricos compartidos;
  • registrar accesos relevantes;
  • no copiar datos a soportes externos;
  • no migrar datos a servidores propios salvo instrucción expresa.

La seguridad debe estar conectada con el servicio real.

Un contrato de encargado para una gestoría no necesita exactamente las mismas medidas que un contrato para un proveedor cloud o una empresa de IA.

21. Obligaciones del responsable

El responsable no desaparece cuando firma el contrato.

Debe:

  • definir correctamente el tratamiento;
  • elegir un encargado con garantías suficientes;
  • documentar instrucciones;
  • informar a los interesados cuando proceda;
  • disponer de base jurídica para el tratamiento;
  • evaluar riesgos;
  • valorar si procede evaluación de impacto;
  • supervisar el cumplimiento del encargado;
  • revisar subencargados;
  • revisar transferencias internacionales;
  • responder a derechos;
  • gestionar brechas;
  • mantener su propio registro de actividades cuando proceda.

Un error habitual es pensar que, al contratar un proveedor, “la protección de datos pasa a ser cosa del proveedor”.

No es así.

El responsable sigue siendo responsable de decidir bien, contratar bien y supervisar bien.

22. Delegado de Protección de Datos

Algunas entidades deben designar un Delegado de Protección de Datos.

Otras pueden hacerlo voluntariamente.

Cuando exista DPO, el contrato puede incluir sus datos de contacto para canalizar consultas, incidentes, derechos o cuestiones relacionadas con el tratamiento.

No todos los encargados tienen obligación de designar DPO. Dependerá de su actividad, del tipo de tratamientos, de la escala, de las categorías de datos y de los supuestos previstos en el RGPD y la LOPDGDD.

En cualquier caso, si el encargado tiene DPO, conviene que lo comunique al responsable.

23. Garantías suficientes del encargado

El responsable debe elegir encargados que ofrezcan garantías suficientes.

Esto no significa exigir siempre una certificación compleja, pero sí revisar de forma razonable si el proveedor está preparado para tratar datos personales de forma segura.

Pueden servir como evidencias:

  • documento de adecuación al RGPD;
  • política de seguridad;
  • listado de medidas técnicas y organizativas;
  • certificados ISO u otros estándares;
  • informe de auditoría;
  • adhesión a código de conducta;
  • formación del personal;
  • procedimiento de gestión de brechas;
  • política de subencargados;
  • acuerdos de confidencialidad;
  • documentación de transferencias internacionales;
  • cuestionario de seguridad.

La profundidad de la revisión dependerá del riesgo.

No se exige el mismo nivel a un proveedor que accede puntualmente a datos de contacto que a un proveedor cloud que aloja toda la base de clientes o a un desarrollador que accede a sistemas críticos.

24. Secreto empresarial y propiedad intelectual

Algunos contratos de encargado incluyen cláusulas adicionales sobre secreto empresarial, confidencialidad reforzada o propiedad intelectual.

Estas cláusulas no forman parte estricta del contenido mínimo del art. 28 RGPD, pero pueden ser muy útiles cuando el proveedor accede a:

  • documentación técnica;
  • procesos internos;
  • bases de datos;
  • información financiera;
  • código fuente;
  • scripts;
  • configuraciones;
  • lógica de negocio;
  • credenciales;
  • información estratégica.

En servicios de desarrollo, automatización, IA o soporte técnico, puede ser conveniente regular también a quién pertenecen los desarrollos, scripts, parametrizaciones o documentación generada durante el servicio.

Eso sí: estas cláusulas deben coordinarse con el contrato mercantil principal para evitar contradicciones.

Encargados del tratamiento e Inteligencia Artificial

La inteligencia artificial ha hecho que los contratos de encargado del tratamiento sean todavía más importantes.

Cada vez es más frecuente contratar proveedores que usan IA para:

  • extraer información de facturas;
  • clasificar documentos;
  • resumir correos;
  • automatizar atención al cliente;
  • analizar tickets;
  • generar informes;
  • enriquecer datos;
  • detectar patrones;
  • asistir en procesos administrativos;
  • integrar modelos en aplicaciones internas.

El problema no es usar IA. El problema es no saber qué ocurre con los datos.

Antes de permitir que un proveedor use IA con datos personales del responsable, hay que revisar:

  • qué herramienta se utiliza;
  • quién es el proveedor del modelo;
  • dónde se alojan los datos;
  • si se usan para entrenar o mejorar modelos;
  • si se conservan prompts, outputs o logs;
  • si hay subencargados;
  • si existe transferencia internacional;
  • si los datos se seudonimizan o anonimizan;
  • si el proveedor actúa como encargado o responsable;
  • si se tratan categorías especiales;
  • si hay decisiones automatizadas con efectos relevantes;
  • qué medidas de seguridad se aplican.

Una cláusula moderna debería prohibir expresamente que el encargado utilice los datos del responsable para entrenar modelos propios o sistemas ajenos al encargo, salvo autorización documentada y análisis jurídico previo.

Consejo Auratech En proyectos de IA, no basta con revisar el contrato de encargado. Hay que revisar también términos del proveedor tecnológico, subencargados, localización de datos, conservación, entrenamiento, trazabilidad y transferencias internacionales.

Ejemplos prácticos

Ejemplo 1: gestoría laboral

Una empresa contrata una gestoría para preparar nóminas.

La gestoría trata datos de empleados por cuenta de la empresa: nombre, DNI, salario, número de afiliación, datos bancarios, bajas, retenciones, etc.

Normalmente habrá encargo del tratamiento y será necesario contrato conforme al art. 28 RGPD.

Ejemplo 2: empresa informática

Una empresa contrata a un proveedor para mantenimiento de equipos, acceso remoto, configuración de usuarios y resolución de incidencias.

Aunque el proveedor no tenga como finalidad principal tratar datos personales, puede acceder a correos, documentos, bases de datos, credenciales o sistemas.

Debe regularse el acceso, limitar permisos, exigir confidencialidad, establecer medidas de seguridad y prever comunicación de brechas.

Ejemplo 3: software cloud

Una empresa usa un CRM en la nube para gestionar clientes.

El proveedor cloud aloja y trata datos por cuenta de la empresa.

Habrá que revisar contrato de encargado, subencargados, ubicación de servidores, soporte remoto, transferencias internacionales, medidas de seguridad y destino de los datos al finalizar.

Ejemplo 4: agencia de marketing

Una agencia gestiona campañas de email marketing usando la base de datos del cliente.

Si actúa siguiendo instrucciones del cliente y no usa los datos para fines propios, puede actuar como encargada.

Si reutiliza contactos, crea audiencias propias, enriquece bases para otros clientes o decide finalidades independientes, podría actuar como responsable o corresponsable. Hay que analizarlo.

Ejemplo 5: proveedor de IA

Un proveedor desarrolla una automatización que extrae datos de facturas y los vuelca en una hoja para importarlos al sistema del cliente.

Si trata los datos solo para prestar ese servicio, siguiendo instrucciones y sin entrenar modelos propios, puede actuar como encargado.

El contrato debería regular expresamente acceso, finalidad, prohibición de reutilización, no entrenamiento, subencargados, seguridad, destino de datos y soporte.

Errores habituales en contratos de encargado del tratamiento

1. Llamar encargado a cualquier proveedor

Proveedor no es igual a encargado.

Hay que revisar si trata datos por cuenta del responsable o para fines propios.

2. Firmar un modelo genérico

Un contrato de tres páginas que no describe el servicio, los datos, los accesos ni las medidas puede quedarse corto.

3. No revisar subencargados

Muchos proveedores tecnológicos dependen de otros proveedores. Si no revisas la cadena, no sabes quién accede realmente a los datos.

4. Olvidar transferencias internacionales

Alojar datos en Europa no siempre basta si hay soporte, administración, subencargados o accesos desde terceros países.

5. Permitir usos propios del proveedor

El encargado no debe reutilizar datos para fines propios, analítica independiente, entrenamiento de modelos o enriquecimiento de bases sin análisis jurídico.

6. No concretar las medidas de seguridad

Decir “se aplicarán medidas adecuadas” puede ser insuficiente si el servicio tiene riesgos claros.

7. No prever brechas de seguridad

El contrato debe indicar cómo y cuándo debe avisar el encargado si detecta un incidente.

8. No regular el final del contrato

Hay que decidir si los datos se devuelven, se suprimen, se entregan a otro encargado o se bloquean cuando proceda.

9. No revisar la base jurídica del tratamiento principal

El contrato de encargado no legitima por sí solo el tratamiento. El responsable debe tener base jurídica para tratar los datos.

10. Creer que firmar el contrato elimina la responsabilidad

El responsable debe elegir, documentar y supervisar. El encargado debe cumplir sus obligaciones. Ambos pueden tener responsabilidad.

Qué pasa si no se firma el contrato de encargado

No formalizar correctamente la relación entre responsable y encargado puede suponer un incumplimiento del RGPD.

El riesgo no es solo sancionador. También puede generar:

  • falta de control sobre proveedores;
  • accesos no autorizados;
  • usos no permitidos;
  • dificultades para responder derechos;
  • problemas ante brechas;
  • exposición contractual;
  • conflictos entre cliente y proveedor;
  • problemas en auditorías;
  • pérdida de confianza.

En materia sancionadora, las infracciones relacionadas con las obligaciones del responsable y del encargado pueden llegar al tramo previsto en el art. 83.4 RGPD: hasta 10 millones de euros o el 2 % del volumen de negocio total anual global, optándose por la cuantía mayor, según las circunstancias del caso.

La multa concreta dependerá de factores como la gravedad, duración, intencionalidad, negligencia, medidas adoptadas, cooperación, categorías de datos afectadas y daños causados.

Checklist antes de firmar un contrato de encargado del tratamiento

Antes de firmar, revisa estas preguntas:

Pregunta Sí/No
¿Está claro quién es responsable y quién encargado?
¿El proveedor trata datos por cuenta del responsable?
¿Está descrito el servicio?
¿Se identifican los datos personales afectados?
¿Se identifican las categorías de interesados?
¿La finalidad está claramente delimitada?
¿El encargado tiene prohibido usar datos para fines propios?
¿Hay instrucciones documentadas?
¿Se regulan los accesos?
¿Se prevén medidas de seguridad concretas?
¿Se regula la confidencialidad del personal?
¿Se exige formación o conocimiento adecuado?
¿Se regulan subencargados?
¿Se revisan transferencias internacionales?
¿Se prevé asistencia en derechos?
¿Se regula la comunicación de brechas?
¿Se prevé colaboración en auditorías o EIPD?
¿Se define qué ocurre al finalizar el contrato?
¿Se documentan garantías suficientes del encargado?
¿El contrato encaja con el contrato mercantil principal?

Preguntas frecuentes sobre el contrato de encargado del tratamiento

¿Todos los proveedores tienen que firmar un contrato de encargado del tratamiento?

No. Solo aquellos proveedores que traten datos personales por cuenta del responsable para prestar un servicio. Si el proveedor no accede a datos personales o actúa como responsable independiente, puede no proceder un contrato de encargado.

¿Un autónomo puede ser encargado del tratamiento?

Sí. Un autónomo puede actuar como encargado del tratamiento si trata datos personales por cuenta de un responsable y siguiendo sus instrucciones.

¿Una empresa informática es siempre encargada?

No siempre, pero muchas veces sí. Si accede a equipos, servidores, correos, bases de datos, credenciales o sistemas del cliente para prestar soporte o mantenimiento, normalmente habrá que regular el acceso mediante contrato de encargado.

¿Una gestoría es encargada del tratamiento?

En muchos casos sí, especialmente cuando trata datos de empleados, clientes o proveedores por cuenta de la empresa para prestar servicios laborales, fiscales o contables. Habrá que analizar el servicio concreto.

¿Un proveedor de software cloud es encargado?

Normalmente sí cuando aloja o procesa datos personales por cuenta del cliente. Pero hay que revisar sus condiciones, subencargados, ubicación de datos, soporte, transferencias internacionales y posibles usos propios.

¿El contrato de encargado sustituye a la política de privacidad?

No. Son documentos distintos. La política de privacidad informa a los interesados. El contrato de encargado regula la relación entre responsable y proveedor.

¿El contrato de encargado legitima el tratamiento de datos?

No por sí solo. El responsable debe tener una base jurídica válida para tratar los datos. El contrato de encargado regula cómo un proveedor trata esos datos por cuenta del responsable.

¿Puedo negarme a firmar un contrato de encargado?

Puedes plantear observaciones si el contrato no refleja correctamente el servicio o impone obligaciones desproporcionadas. Pero si realmente tratas datos por cuenta de un responsable, la relación debe regularse conforme al art. 28 RGPD.

¿Qué ocurre si el proveedor usa los datos para fines propios?

Si el proveedor usa los datos para fines propios, puede dejar de actuar como encargado respecto de ese uso y pasar a ser responsable del tratamiento, con sus propias obligaciones y responsabilidades.

¿Puede el encargado subcontratar?

Solo si cuenta con autorización previa del responsable, específica o general. Además, el subencargado debe asumir obligaciones equivalentes y el encargado inicial sigue respondiendo frente al responsable.

¿Puede el encargado usar herramientas de IA?

Depende. Debe estar previsto o autorizado, debe respetar las instrucciones del responsable y no debe reutilizar datos para entrenar modelos propios o fines ajenos salvo análisis y autorización. También hay que revisar subencargados, localización de datos, conservación y transferencias internacionales.

¿Qué pasa si el encargado sufre una brecha de seguridad?

Debe comunicarla al responsable sin dilación indebida y aportar la información necesaria para valorar el riesgo, documentar el incidente y decidir si procede notificar a la autoridad o comunicar a los afectados.

¿Cada cuánto hay que actualizar el contrato?

No hay un plazo único. Debe actualizarse cuando cambie el servicio, los datos tratados, las finalidades, los sistemas, los subencargados, las transferencias internacionales, las medidas de seguridad o la normativa aplicable.

¿Se puede firmar electrónicamente?

Sí. El contrato puede constar por escrito, incluso en formato electrónico, siempre que permita acreditar su celebración y contenido.

¿Qué diferencia hay entre encargado y corresponsable?

El encargado trata datos por cuenta del responsable y siguiendo sus instrucciones. Hay corresponsabilidad cuando dos o más entidades determinan conjuntamente los fines y medios esenciales del tratamiento.

¿Qué diferencia hay entre encargado y cesionario?

El encargado accede a datos para prestar un servicio por cuenta del responsable. El cesionario o destinatario recibe datos para sus propias finalidades, como responsable independiente.

¿Hay que informar a los interesados de que existe un encargado?

El RGPD no exige informar siempre de cada encargado concreto, aunque sí debe informarse de destinatarios o categorías de destinatarios cuando proceda. En algunos casos puede ser recomendable explicar categorías de proveedores que intervienen en el tratamiento.

¿Qué debe hacer el encargado cuando termina el contrato?

Debe devolver, suprimir o entregar los datos según instrucciones del responsable, salvo que exista una obligación legal de conservación o proceda conservarlos bloqueados por responsabilidades. También debe revocar accesos y eliminar copias, credenciales o documentación no autorizada.

Contrato de encargado adaptado al servicio real

Un buen contrato no se limita a copiar el artículo 28 RGPD: identifica accesos, subencargados, medidas de seguridad, brechas, IA, transferencias internacionales y destino de los datos al finalizar.

Solicitar asesoramiento

Conclusión

El contrato de encargado del tratamiento no es un simple documento administrativo.

Es la herramienta que permite regular cómo un proveedor accede, usa y protege datos personales cuando presta un servicio por cuenta de otra empresa.

Un contrato bien redactado debe responder a preguntas muy concretas:

  • qué servicio se presta;
  • qué datos se tratan;
  • para qué se usan;
  • quién puede acceder;
  • qué medidas de seguridad se aplican;
  • si hay subencargados;
  • si existen transferencias internacionales;
  • cómo se gestionan derechos y brechas;
  • qué ocurre al finalizar el servicio;
  • qué garantías ofrece el proveedor.

En Auratech Legal Solutions ayudamos a empresas y profesionales a revisar, redactar y actualizar contratos de encargado del tratamiento adaptados al RGPD, a la LOPDGDD y a la realidad tecnológica de cada servicio.

Si has recibido un contrato de encargado y no sabes si debes firmarlo, o si necesitas preparar tus propios contratos para proveedores, podemos ayudarte a revisar la relación jurídica, identificar el rol correcto de cada parte y adaptar el documento a tu caso.

¿Necesitas revisar o preparar un contrato de encargado del tratamiento? Contacta con Auratech Legal Solutions y te ayudamos a dejarlo correctamente documentado.

Fuentes oficiales

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *