Contrato de encargado de tratamiento (art. 28 RGPD): cuándo lo necesitas
Necesitas un contrato de encargado de tratamiento con cada proveedor que trate datos personales por cuenta de tu empresa: la gestoría que hace las nóminas, el hosting de tu web, la plataforma de email marketing, el software de RRHH o la empresa de mantenimiento informático. Lo exige el artículo 28 del RGPD y su ausencia es una de las faltas más fáciles de detectar en una inspección.
Quién es encargado de tratamiento (y quién no)
Encargado es quien trata datos personales siguiendo tus instrucciones y por cuenta de tu empresa. Tu empresa sigue siendo la responsable del tratamiento; el proveedor es su brazo ejecutor.
No es encargado quien decide sobre los datos por su cuenta: otra empresa a la que cedes datos (por ejemplo, una aseguradora) es un responsable distinto y eso ya no se resuelve con un contrato del art. 28, sino con una base legal para la cesión.
- • Encargados típicos de una pyme: gestoría/asesoría laboral y fiscal, hosting y mantenimiento web, plataformas de email (Mailchimp, Brevo…), software en la nube (CRM, RRHH, facturación), empresa de videovigilancia, servicio informático externo.
- • Con los gigantes (Google, Microsoft, Stripe…) no negocias: sus condiciones ya incluyen el anexo de tratamiento de datos (DPA). Tu tarea es localizarlo y guardarlo como evidencia.
Qué debe incluir el contrato
- • Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos y categorías de interesados.
- • Que el encargado solo trata datos siguiendo instrucciones documentadas del responsable.
- • Deber de confidencialidad del personal y medidas de seguridad (art. 32).
- • Régimen de subencargados: autorización previa y mismas obligaciones en cascada.
- • Ayuda al responsable con los derechos de los interesados y las violaciones de seguridad.
- • Devolución o supresión de los datos al terminar el servicio, y colaboración en auditorías.
Cómo ponerte al día sin volverte loco
Haz la lista de proveedores con acceso a datos (sale directa de tu registro de actividades de tratamiento), comprueba cuáles ya tienen DPA en sus condiciones y firma contrato con los que no lo tengan. La AEPD publica un modelo orientativo, y la mayoría de gestorías y proveedores serios tienen el suyo preparado.
Preguntas frecuentes
¿La gestoría necesita contrato de encargado de tratamiento?
Sí, siempre. La gestoría trata datos de tus empleados y clientes por cuenta de tu empresa (nóminas, contratos, impuestos), y es el ejemplo clásico de encargado del art. 28. Cualquier gestoría seria tiene el contrato preparado.
¿Y si el proveedor se niega a firmarlo?
Es una señal de alarma: sin contrato, la infracción es tuya además de suya. Con proveedores grandes basta con aceptar/descargar su DPA; con pequeños, proponles el modelo de la AEPD. Si aun así se niegan, busca alternativa.
¿Sirve un contrato verbal o un email?
El RGPD exige que conste por escrito, incluido el formato electrónico. Un DPA aceptado online vale; un acuerdo verbal, no.
¿Cumples el RGPD? Sal de dudas en 3 minutos
10 preguntas, veredicto inmediato y, si quieres, informe de adecuación con plan de acción.
Hacer el test gratuito →Sigue leyendo:
Contenido orientativo basado en el Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD. No constituye asesoramiento jurídico.