RGPDCheck

Guías RGPD

Contrato de encargado de tratamiento (art. 28 RGPD): cuándo lo necesitas

Necesitas un contrato de encargado de tratamiento con cada proveedor que trate datos personales por cuenta de tu empresa: la gestoría que hace las nóminas, el hosting de tu web, la plataforma de email marketing, el software de RRHH o la empresa de mantenimiento informático. Lo exige el artículo 28 del RGPD y su ausencia es una de las faltas más fáciles de detectar en una inspección.

Quién es encargado de tratamiento (y quién no)

Encargado es quien trata datos personales siguiendo tus instrucciones y por cuenta de tu empresa. Tu empresa sigue siendo la responsable del tratamiento; el proveedor es su brazo ejecutor.

No es encargado quien decide sobre los datos por su cuenta: otra empresa a la que cedes datos (por ejemplo, una aseguradora) es un responsable distinto y eso ya no se resuelve con un contrato del art. 28, sino con una base legal para la cesión.

  • Encargados típicos de una pyme: gestoría/asesoría laboral y fiscal, hosting y mantenimiento web, plataformas de email (Mailchimp, Brevo…), software en la nube (CRM, RRHH, facturación), empresa de videovigilancia, servicio informático externo.
  • Con los gigantes (Google, Microsoft, Stripe…) no negocias: sus condiciones ya incluyen el anexo de tratamiento de datos (DPA). Tu tarea es localizarlo y guardarlo como evidencia.

Qué debe incluir el contrato

  • Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos y categorías de interesados.
  • Que el encargado solo trata datos siguiendo instrucciones documentadas del responsable.
  • Deber de confidencialidad del personal y medidas de seguridad (art. 32).
  • Régimen de subencargados: autorización previa y mismas obligaciones en cascada.
  • Ayuda al responsable con los derechos de los interesados y las violaciones de seguridad.
  • Devolución o supresión de los datos al terminar el servicio, y colaboración en auditorías.

Cómo ponerte al día sin volverte loco

Haz la lista de proveedores con acceso a datos (sale directa de tu registro de actividades de tratamiento), comprueba cuáles ya tienen DPA en sus condiciones y firma contrato con los que no lo tengan. La AEPD publica un modelo orientativo, y la mayoría de gestorías y proveedores serios tienen el suyo preparado.

Preguntas frecuentes

¿La gestoría necesita contrato de encargado de tratamiento?

Sí, siempre. La gestoría trata datos de tus empleados y clientes por cuenta de tu empresa (nóminas, contratos, impuestos), y es el ejemplo clásico de encargado del art. 28. Cualquier gestoría seria tiene el contrato preparado.

¿Y si el proveedor se niega a firmarlo?

Es una señal de alarma: sin contrato, la infracción es tuya además de suya. Con proveedores grandes basta con aceptar/descargar su DPA; con pequeños, proponles el modelo de la AEPD. Si aun así se niegan, busca alternativa.

¿Sirve un contrato verbal o un email?

El RGPD exige que conste por escrito, incluido el formato electrónico. Un DPA aceptado online vale; un acuerdo verbal, no.

¿Cumples el RGPD? Sal de dudas en 3 minutos

10 preguntas, veredicto inmediato y, si quieres, informe de adecuación con plan de acción.

Hacer el test gratuito →

Contenido orientativo basado en el Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD. No constituye asesoramiento jurídico.