Contrato de encargado del tratamiento
Contratos RGPD 12 abril 2026 · 9 min de lectura

Encargado del tratamiento: cuándo necesitas un contrato y por qué no firmarlo puede salir caro

Cada vez que compartes datos personales con un proveedor externo —tu gestoría, tu empresa de informática, tu proveedor de hosting— estás cediendo información protegida por el RGPD. Sin un contrato de encargado del tratamiento, esa cesión es ilegal. Y las sanciones por no tenerlo son más frecuentes de lo que imaginas.

¿Qué es un encargado del tratamiento?

El artículo 28 del Reglamento General de Protección de Datos (RGPD) define al encargado del tratamiento como toda persona física o jurídica, autoridad pública, servicio u organismo que trate datos personales por cuenta del responsable del tratamiento. En otras palabras: es cualquier tercero que accede a datos personales de tu empresa para prestarte un servicio.

El responsable del tratamiento eres tú, la empresa o autónomo que decide por qué y cómo se tratan los datos. El encargado es quien ejecuta ese tratamiento siguiendo tus instrucciones. Esta distinción es fundamental porque el RGPD exige que la relación entre ambos esté regulada mediante un contrato específico.

Si un tercero accede a datos personales de tus clientes, empleados o proveedores para prestarte un servicio, es un encargado del tratamiento y necesitas un contrato con él. Sin excepciones.

Ejemplos comunes de encargados del tratamiento

Muchas empresas no son conscientes de la cantidad de proveedores que actúan como encargados del tratamiento en su día a día. Estos son los casos más habituales:

  • Gestoría o asesoría fiscal: accede a datos de empleados, nóminas, contratos y datos fiscales de clientes.
  • Empresa de informática o mantenimiento IT: puede acceder a toda la información almacenada en tus equipos y servidores.
  • Proveedor de hosting o almacenamiento en la nube: aloja bases de datos, correos electrónicos y documentos con datos personales.
  • Plataforma de email marketing: gestiona listas de suscriptores con nombres, correos y en ocasiones datos de comportamiento.
  • Empresa de nóminas o recursos humanos: trata datos especialmente sensibles de los trabajadores.
  • Empresa de limpieza con acceso a las instalaciones: si tiene acceso a zonas donde hay documentación con datos personales, también es encargado.
  • Empresa de videovigilancia: instala, mantiene o accede a grabaciones que contienen datos personales (imágenes).

Ojo: No importa si el proveedor es una gran multinacional o un autónomo. Si accede a datos personales por cuenta tuya, necesitas contrato de encargado del tratamiento con él.

¿Qué debe incluir el contrato de encargado del tratamiento?

El artículo 28.3 del RGPD establece un contenido mínimo obligatorio. Un contrato de encargado del tratamiento que no incluya todos estos elementos puede considerarse insuficiente y, por tanto, equivalente a no tenerlo:

  • Objeto y duración del tratamiento
  • Naturaleza y finalidad del tratamiento
  • Tipo de datos personales tratados y categorías de interesados
  • Obligaciones y derechos del responsable
  • Obligación del encargado de tratar los datos solo según instrucciones documentadas del responsable
  • Garantía de confidencialidad de las personas autorizadas para tratar datos
  • Implementación de medidas de seguridad técnicas y organizativas adecuadas
  • Condiciones para la subcontratación (autorización previa del responsable)
  • Asistencia al responsable para atender los derechos de los interesados
  • Colaboración en la notificación de brechas de seguridad
  • Destino de los datos al finalizar la prestación del servicio (devolución o supresión)
  • Puesta a disposición del responsable de toda la información necesaria para demostrar el cumplimiento

Responsable vs. encargado: diferencias clave

Entender bien la diferencia entre responsable y encargado es esencial para saber qué obligaciones tiene cada uno:

El responsable decide la finalidad y los medios del tratamiento. Es quien recoge los datos, informa a los interesados y garantiza sus derechos. El encargado solo actúa por cuenta del responsable y dentro de los límites que este establece en el contrato.

Sin embargo, si el encargado trata los datos para fines propios o fuera de las instrucciones del responsable, pasa a ser considerado responsable de ese tratamiento, con todas las obligaciones y responsabilidades que eso implica.

Un error frecuente: pensar que, al externalizar un servicio, también externalizas la responsabilidad sobre los datos. El responsable siempre responde ante la AEPD, incluso si el incumplimiento lo comete el encargado.

Sanciones reales de la AEPD por no tener contrato

La Agencia Española de Protección de Datos (AEPD) ha sido especialmente activa en sancionar la ausencia de contratos de encargado del tratamiento. No se trata de un requisito teórico: es una de las infracciones más recurrentes en los procedimientos sancionadores.

Algunos ejemplos reales de sanciones impuestas:

  • Sanción de 50.000 euros a una empresa por no formalizar contrato de encargado del tratamiento con su proveedor de servicios informáticos.
  • Sanción de 25.000 euros a una clínica dental por ceder datos de pacientes a un laboratorio protésico sin contrato.
  • Sanción de 10.000 euros a una PYME por no disponer de contrato con su gestoría, que accedía a datos de empleados y clientes.
  • Apercibimientos a administraciones públicas por no regularizar contratos con proveedores tecnológicos.

Importante: La infracción por no disponer de contrato de encargado del tratamiento está tipificada como grave en el artículo 73 de la LOPD-GDD, con multas de hasta 10 millones de euros o el 2% de la facturación global anual.

Consejos prácticos para gestionar los contratos con proveedores

Tener los contratos en regla no tiene por qué ser complicado. Estos son los pasos que recomendamos a nuestros clientes:

1. Haz un inventario de proveedores

Identifica todos los terceros que acceden a datos personales de tu empresa. Revisa proveedores de IT, gestoría, marketing, limpieza, seguridad, recursos humanos y cualquier otro servicio externalizado.

2. Evalúa si son encargados del tratamiento

No todo proveedor es encargado. Solo lo es si accede a datos personales para prestarte el servicio. Un proveedor que te vende material de oficina y no accede a ningún dato personal no necesita contrato.

3. Redacta contratos específicos para cada caso

Evita usar plantillas genéricas que no reflejen la realidad del tratamiento. Cada contrato debe adaptarse al servicio concreto, los datos tratados y las medidas de seguridad aplicables.

4. Revisa y actualiza periódicamente

Los contratos deben revisarse cuando cambian las condiciones del servicio, se amplía el alcance del tratamiento o se producen cambios normativos relevantes.

5. Documenta todo

Guarda copias firmadas de todos los contratos y mantén un registro actualizado de encargados del tratamiento como parte de tu documentación RGPD.

  • Inventario completo de proveedores con acceso a datos
  • Contrato firmado con cada encargado del tratamiento
  • Revisión anual de contratos vigentes
  • Verificación de medidas de seguridad del encargado
  • Control de subcontrataciones autorizadas
  • Protocolo de devolución o supresión de datos al finalizar el servicio

Conclusión

El contrato de encargado del tratamiento no es un trámite burocrático más: es una obligación legal que protege a tu empresa, a tus clientes y a tus empleados. No tenerlo es una infracción grave que la AEPD sanciona activamente, y regularizarlo está al alcance de cualquier negocio con el asesoramiento adecuado.

En ConfidencialyDat auditamos todos tus proveedores, identificamos quiénes son encargados del tratamiento y redactamos los contratos adaptados a tu actividad. Solicita tu diagnóstico gratuito y asegúrate de que todos tus contratos están en regla.

RGPD Encargado del tratamiento Contratos Proveedores AEPD
Artículo anterior Volver al blog