Blog
Contrato de encargado del tratamiento (art. 28 RGPD): cuándo y con quién firmarlo
Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto.
Respuesta directa: el contrato de encargado del tratamiento es obligatorio siempre que una empresa externa trate datos personales por cuenta de la tuya: tu hosting, tu gestoría, tu agencia de marketing o el software que usas para gestionar clientes, entre otros (art. 28 del Reglamento (UE) 2016/679, RGPD). Tienes que firmarlo antes de darle acceso a los datos, no después, y por escrito (puede ser electrónico). Esta guía explica cuándo hace falta, con quién y qué tiene que incluir como mínimo, con enlaces a las fuentes oficiales (actualizado a 16 de julio de 2026).
Sumario
- ¿Qué es el contrato de encargado del tratamiento?
- ¿Cuándo tienes que firmarlo?
- ¿Con quién lo firmas (y con quién no)?
- ¿Qué tiene que incluir el contrato como mínimo?
- ¿Qué pasa si tu proveedor subcontrata a otra empresa?
- ¿Qué pasa si no lo firmas?
- ¿Cómo lo firmas en la práctica?
- Preguntas frecuentes
- Fuentes oficiales
¿Qué es el contrato de encargado del tratamiento?
Encargado del tratamiento = una empresa externa que maneja datos por ti, siguiendo tus instrucciones, sin decidir para qué se usan. Tu gestoría, cuando hace tus nóminas, es un encargado. Tu hosting, cuando guarda tu web con los datos de tus clientes, también.
Cuando le das a esa empresa acceso a datos personales (de tus clientes, tus empleados o cualquier persona), la ley te obliga a formalizarlo en un contrato. No basta con un acuerdo verbal ni con una cláusula genérica perdida en las condiciones del proveedor: el contrato tiene un contenido mínimo tasado por la ley, y lo explicamos más abajo.
Este contrato no sustituye a la información que ya das a tus clientes o empleados sobre el tratamiento de sus datos (eso son las cláusulas informativas). Es un acuerdo distinto, entre tu empresa y el proveedor, que regula lo que el proveedor puede y no puede hacer con esos datos.
¿Cuándo tienes que firmarlo?
Tienes que tenerlo firmado antes de que el proveedor empiece a tratar los datos, no como trámite posterior. En la práctica, esto pasa en tres momentos:
- Al contratar un proveedor nuevo que va a manejar datos personales: hosting, software de gestión, agencia de marketing, imprenta que envía cartas con direcciones, empresa de mensajería con acceso a tu base de datos de clientes, etc.
- Al revisar contratos antiguos. Si firmaste con un proveedor antes de 2018 o con una cláusula genérica de confidencialidad que no cubre el contenido exigido, ese contrato no vale como está. La propia AEPD señala que los contratos anteriores al RGPD deben actualizarse: una simple remisión genérica a la normativa no es suficiente.
- Cuando cambian las condiciones del servicio. Si el proveedor empieza a tratar datos que antes no trataba, o cambia el país donde los aloja, necesitas un contrato nuevo o una adenda, no basta con el antiguo.
No hace falta firmarlo con todos tus proveedores: solo con los que tratan datos personales por tu cuenta. Un proveedor de papel de oficina no necesita este contrato; tu programa de facturación con acceso a los datos de tus clientes, sí.
¿Con quién lo firmas (y con quién no)?
Lo firmas con cualquier empresa que trate datos personales siguiendo tus instrucciones, sin decidir ella el motivo ni los medios del tratamiento. Ejemplos habituales en una pyme:
- Tu gestoría o asesoría, cuando lleva tus nóminas, tu contabilidad o tus altas y bajas de personal.
- Tu proveedor de hosting o de software (facturación, CRM, reservas, ERP) si ese software guarda datos de tus clientes o empleados.
- Tu agencia de marketing o email marketing, si le pasas listas de contactos.
- Tu informático o proveedor de soporte técnico, si tiene acceso remoto a tus sistemas con datos personales.
- Empresas de destrucción de documentación, mensajería con acceso a datos, centros de llamadas, gestores de nóminas externos.
No lo firmas con quien decide por su cuenta para qué usa los datos: eso ya no es un encargado, es otro responsable del tratamiento (por ejemplo, un organismo público al que envías datos por obligación legal, o un socio con quien compartes clientes en igualdad de condiciones). Tampoco hace falta con proveedores que no tocan datos personales en ningún momento.
Un caso que se pasa por alto: tu propia gestoría, cuando gestiona tus nóminas o tu contabilidad, es un encargado del tratamiento respecto a tus datos de empleados. El art. 28 no hace excepciones por tipo de proveedor: se aplica igual a una gestoría que a una empresa de hosting.
¿Qué tiene que incluir el contrato como mínimo?
El art. 28.3 del RGPD fija un contenido mínimo obligatorio. No es una lista orientativa: si falta alguno de estos puntos, el contrato no cumple. Tiene que recoger:
- El objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos y las categorías de personas afectadas.
- Que el proveedor solo trata los datos siguiendo tus instrucciones por escrito — nunca por iniciativa propia (art. 28.3.a).
- Que todo el personal del proveedor que vea los datos se compromete a confidencialidad (art. 28.3.b y art. 5 de la LOPDGDD, que además hace que ese compromiso se mantenga aunque la persona deje de trabajar allí).
- Que el proveedor aplica medidas de seguridad adecuadas (art. 28.3.c y art. 32 RGPD).
- Las condiciones para que el proveedor pueda subcontratar a otra empresa (subencargados) — lo vemos en el siguiente apartado.
- Que el proveedor te ayuda cuando alguien te pide ver, corregir o borrar sus datos (art. 28.3.e).
- Que el proveedor te avisa si detecta un fallo de seguridad, para que puedas cumplir el plazo de 72 horas ante la AEPD (art. 28.3.f y art. 33 RGPD).
- Qué pasa con los datos al terminar el contrato: el proveedor los borra o te los devuelve, tú eliges (art. 28.3.g).
- Que el proveedor te facilita la información necesaria para demostrar que cumple, y permite auditorías (art. 28.3.h).
- Que el contrato consta por escrito, incluido el formato electrónico (art. 28.9).
Es un contrato por proveedor, no uno genérico para todos: cada empresa trata datos distintos, con finalidades distintas. La AEPD publica un modelo de cláusulas orientativo que puedes usar como referencia de partida (ver fuentes).
¿Qué pasa si tu proveedor subcontrata a otra empresa?
Es habitual: tu hosting usa a su vez un centro de datos de otra empresa, o tu gestoría subcontrata el envío de nóminas a una gestoría de nóminas especializada. El RGPD lo permite, pero con una condición clara: el proveedor necesita tu autorización previa por escrito, general o específica, antes de subcontratar (art. 28.2 RGPD).
- Autorización general: aceptas que el proveedor pueda usar subencargados con ciertas condiciones, y él te avisa de los cambios para que puedas oponerte.
- Autorización específica: apruebas cada subencargado uno por uno, antes de que empiece a tratar datos.
En cualquier caso, el proveedor sigue siendo el responsable frente a ti de que ese subencargado cumpla las mismas obligaciones que él. Si tu proveedor subcontrata sin decírtelo o sin tu autorización, está incumpliendo el contrato.
¿Qué pasa si no lo firmas?
La AEPD (Agencia Española de Protección de Datos) es quien vigila esto en España. Puede pedir explicaciones, ordenar cambios o, en los casos más graves, imponer una sanción. El RGPD fija los máximos posibles en dos niveles: hasta 10 millones de euros o el 2 % de la facturación mundial anual, y hasta 20 millones o el 4 %, según la infracción (art. 83 RGPD); se aplica la cifra más alta de las dos.
En la práctica esas cifras son el techo legal, no lo habitual: la sanción se gradúa según la gravedad, el tamaño del negocio y si has colaborado. Lo más frecuente, si te ausenta este contrato, no es la multa en sí, sino que te descubra en medio de otra revisión (por ejemplo, tras una reclamación de un cliente o una brecha de seguridad) y tengas que regularizar deprisa y sin margen. Por eso conviene tenerlo hecho con calma, no cuando ya hay un problema encima.
¿Cómo lo firmas en la práctica?
- Haz una lista de tus proveedores que tratan datos personales: hosting, software, gestoría, marketing, soporte técnico, mensajería con acceso a datos.
- Para cada uno, redacta o usa una plantilla que recoja los 10 puntos del apartado anterior, adaptada a lo que hace exactamente ese proveedor con tus datos.
- Envíaselo para que lo firme. Muchos proveedores grandes (hosting, software) ya tienen su propio modelo: revisa que cubra los puntos mínimos antes de firmarlo tal cual.
- Guarda la copia firmada por las dos partes en la carpeta de ese proveedor, mientras dure la relación y unos años más, por si tienes que demostrar que cumplías la ley.
- Si cambias de proveedor o cambian las condiciones del servicio, haz un contrato nuevo: el antiguo se archiva como prueba de lo que estaba en vigor en su momento.
Tranquilia genera este contrato automáticamente para cada proveedor que das de alta en tu dossier, con las 8 cláusulas obligatorias del art. 28.3 ya incluidas y listo para enviar a firmar por email. Puedes probarlo con hasta 2 empresas, con todas las funciones activas, sin tarjeta y sin límite de tiempo — es el plan gratuito, no una demo recortada.
Preguntas frecuentes
¿Necesito un contrato distinto para cada proveedor? Sí. Cada proveedor trata datos distintos, con una finalidad y una duración distintas. Un contrato genérico para todos no cumple el art. 28.3, que exige detallar el objeto y la naturaleza del tratamiento en cada caso.
¿Vale un contrato firmado antes de 2018? No, si solo hace una remisión genérica a la normativa de protección de datos. La AEPD señala que esos contratos deben adaptarse al contenido exigido por el art. 28 RGPD; una cláusula antigua de confidencialidad no basta.
¿Mi propia gestoría tiene que firmarlo conmigo? Sí, si trata datos de tus empleados o clientes por tu cuenta (nóminas, contabilidad, altas y bajas). El art. 28 no exime a las gestorías: son un encargado del tratamiento como cualquier otro proveedor.
¿Puede el proveedor firmar y luego subcontratar sin avisarme? No. Necesita tu autorización previa por escrito, general o específica, antes de subcontratar a otra empresa (art. 28.2 RGPD). Si lo hace sin avisar, incumple el contrato.
¿Dónde tengo que guardar el contrato firmado? En la carpeta de ese proveedor, mientras dure la relación comercial y unos años más, para poder demostrar que cumplías la ley si te lo piden.
Fuentes oficiales
- Reglamento (UE) 2016/679 (RGPD), artículo 28 (y art. 83, sanciones) — texto consolidado en EUR-Lex.
- AEPD — «Responsable y encargado del tratamiento», preguntas frecuentes.
- AEPD — «¿Cuál sería el contenido del contrato de encargo de tratamiento?»
- AEPD — Modelo de cláusulas para contratos entre responsables y encargados del tratamiento (PDF).
- BOE — Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), artículo 5 (deber de confidencialidad).
Informe de contenido elaborado con fuentes oficiales verificadas — no constituye una certificación oficial ni un dictamen jurídico. Si tienes dudas sobre un caso concreto, consulta con tu gestoría o con un profesional del derecho.
¿Quieres ver cómo se genera este contrato automáticamente para cada uno de tus proveedores? Consulta el caso de uso para asesorías y gestorías o revisa el plan gratuito.
Pon a tus clientes en regla con el RGPD en 15 minutos.
Sin tarjeta. Sin comerciales. Dos empresas gratis, sin límite de tiempo.