Contrato de Encargado de Tratamiento: cuándo es obligatorio, qué incluye y cómo firmarlo

por | Jun 2, 2026 | Blog especializado en Protección de Datos

Contrato de Encargado de Tratamiento

Tu empresa probablemente utiliza diversos servicios en la nube: el correo corporativo en Google Workspace o Microsoft 365, un software para las nóminas, un CRM de terceros o herramientas de videoconferencia. Todos esos proveedores externos acceden, de una forma u otra, a datos personales de tus empleados o clientes.

El RGPD exige que formalices esa relación por escrito para garantizar la seguridad de la información. El contrato de encargado de tratamiento (también llamado acuerdo de tratamiento de datos o DPA) es el documento legal que regula qué datos puede usar tu proveedor, para qué fin exacto y bajo qué garantías de seguridad.

Sin este contrato firmado, tu empresa asume legalmente las consecuencias de cualquier incidencia o fuga de datos que sufra el proveedor, aunque tú no hayas cometido ningún error directo. En este artículo te explicamos cómo poner en orden tus relaciones con terceros para cumplir con la AEPD.

Qué es un encargado del tratamiento y en qué se diferencia del responsable

Para entender la obligación, primero debes identificar el rol de cada parte. En la mayoría de los casos operativos de tu negocio, tu empresa decide el «qué» y el «para qué» de los datos, mientras que el proveedor simplemente ejecuta una función técnica.

Concepto Responsable del tratamiento Encargado del tratamiento
¿Quién es? Tu empresa El proveedor externo
Decisión Define la finalidad y el uso de los datos Ejecuta el tratamiento por cuenta ajena
Obligaciones Elegir proveedores que cumplan el RGPD Seguir las instrucciones del responsable
Ejemplos Pyme con base de datos de clientes Gestoría, hosting, SaaS de RRHH

El responsable del tratamiento es el titular de la relación con el cliente o empleado. El encargado del tratamiento es un colaborador necesario que necesita ver esos datos para prestarte el servicio contratado.

¿Cuándo es obligatorio firmar un contrato de encargado de tratamiento?

La norma es sencilla: siempre que un proveedor tenga acceso a datos personales de los que tu empresa es responsable, el contrato es obligatorio. No importa si el acceso es constante (como un CRM) o puntual (como un servicio técnico que repara tus equipos).

Existen obligaciones de empresas que usan AWS, Google o Microsoft muy específicas, ya que estos gigantes actúan siempre como encargados. Otros ejemplos cotidianos en una pyme son:

  • El software de gestión de nóminas o el portal del empleado.
  • La asesoría fiscal y contable que maneja los datos de facturación.
  • Las herramientas de email marketing con tus listas de suscriptores.
  • Las empresas de mantenimiento informático que acceden a tus servidores.
  • Los servicios de videovigilancia o seguridad física con acceso a imágenes.

Qué cláusulas debe incluir el contrato obligatoriamente

El artículo 28 del RGPD establece un contenido mínimo que no puede faltar en el acuerdo. Si el contrato que te ofrece tu proveedor no incluye estos puntos, no estarás cumpliendo con la normativa vigente.

Cláusula obligatoria Contenido técnico requerido
Objeto y duración Definir el servicio y el tiempo que durará el acceso
Instrucciones El encargado solo tratará datos bajo tus órdenes directas
Confidencialidad Compromiso de secreto de todo el personal del proveedor
Medidas de seguridad Aplicación de cifrado, contraseñas y backups según art. 32
Subcontratación Prohibición de subcontratar sin tu permiso previo
Derechos ARCO El proveedor debe ayudarte a responder a los interesados
Brechas de seguridad Obligación de avisarte de cualquier fuga de inmediato

Es vital que el contrato especifique que el encargado te ayudará en caso de una notificación de brecha de seguridad en 72 horas ante la autoridad de control. Para asegurar que todos tus contratos externos son correctos, es recomendable contar con una consultoría de protección de datos especializada.

¿Son válidas las condiciones generales que ofrece el proveedor?

Muchos proveedores internacionales, especialmente las grandes tecnológicas, ya incluyen sus propias condiciones de tratamiento de datos (DPA) dentro de sus términos de servicio que aceptas al registrarte.

Esto es válido siempre que dichas condiciones recojan todos los puntos del artículo 28 y las aceptes expresamente. Google Workspace, Microsoft 365 y AWS proporcionan acuerdos conformes que se firman digitalmente. Sin embargo, el problema surge con proveedores locales o pymes que no disponen de estos textos legales.

En esos casos, la responsabilidad de proponer y hacer firmar el documento recae sobre tu empresa. No puedes escudarte en que el proveedor no te lo dio; es tu obligación como responsable del tratamiento asegurarte de que la relación está blindada contractualmente.

Conclusiones

Trabajar con proveedores sin el correspondiente contrato de encargado de tratamiento es uno de los fallos de cumplimiento más comunes y peligrosos para una pyme. Ante una inspección de la AEPD, la ausencia de este documento te deja sin defensa legal frente a cualquier error cometido por un tercero.

Revisar tus contratos actuales y formalizar los acuerdos pendientes es una tarea de gestión necesaria que aporta tranquilidad a largo plazo. Hacer este ajuste preventivo hoy cuesta mucho menos que enfrentar un expediente sancionador mañana por una negligencia de un proveedor externo.

En Acoran revisamos tus contratos con proveedores y elaboramos los acuerdos de encargado de tratamiento que te exige el RGPD. Solicita tu consulta gratuita.

Preguntas frecuentes

¿Cuándo es obligatorio firmar un contrato de encargado de tratamiento?

Siempre que un externo acceda a tus datos personales para prestarte un servicio. Esto abarca desde tu gestoría o asesoría hasta los servicios de almacenamiento en la nube, CRM o soporte informático.

¿Son suficientes las condiciones generales de uso de Google o Microsoft?

Sí, siempre que incluyan los requisitos del art. 28 del RGPD. Estas empresas suelen tener un anexo específico de tratamiento de datos que aceptas al contratar el servicio, el cual es plenamente válido.

¿Qué ocurre si mi proveedor tiene una brecha de datos y no tenemos contrato?

La AEPD te considerará responsable por no haber supervisado la seguridad del tratamiento ni haber formalizado el contrato obligatorio. Serás tú quien deba responder por las posibles sanciones económicas y daños.

¿El contrato de encargado de tratamiento tiene que estar firmado físicamente?

No, el formato electrónico es perfectamente válido. Lo importante es que tu empresa guarde la prueba de la aceptación del acuerdo (firma digital, email o aceptación de términos en plataforma) para mostrarla en una auditoría.

Otros artículos de interés:

Auditoría de protección de datos: por qué es necesaria

Puedes escribirnos sin ningún tipo de compromiso:

📧 acoran@acoran.es
📱 915 30 21 31
📍 C. del Laurel, 10, Bajo A, 28005 Madrid

Empresa de Protección de Datos en Madrid | Acorán
Resumen de privacidad

Desde este panel podrá configurar las cookies que el sitio web puede instalar en su navegador, excepto las cookies técnicas o funcionales que son necesarias para la navegación y la utilización de las diferentes opciones o servicios que se ofrecen.

Las cookies seleccionadas indican que el usuario autoriza la instalación en su navegador y el tratamiento de datos bajo las condiciones reflejadas en la Política de cookies.

El usuario puede marcar o desmarcar el selector según se desee aceptar o rechazar la instalación de cookies.