Contrato de encargado del tratamiento — artículo 28 RGPD, LOPDGDD, AEPD

Referencia de redacción del contrato de encargo del tratamiento en derecho español — artículo 28 RGPD, LOPDGDD art. 33, modelo AEPD, CCT 2021, EU-US Data Privacy Framework, subencargos, brechas.

El contrato de encargado del tratamiento es el instrumento contractual mediante el cual un responsable del tratamiento — en el sentido del artículo 4.7 del Reglamento (UE) 2016/679 General de Protección de Datos (en adelante RGPD) — impone a un encargado del tratamiento (artículo 4.8 RGPD) las obligaciones legales del artículo 28 del Reglamento, cuando este encargado trata datos personales por cuenta del responsable. Constituye una pieza cardinal del sistema RGPD: sin un contrato de encargo conforme, el responsable incurre en responsabilidad directa, el encargado carece de marco lícito para tratar los datos y la Agencia Española de Protección de Datos (AEPD), autoridad de control en el sentido del artículo 51 RGPD, dispone de potestades sancionadoras que alcanzan los 20 millones de euros o el 4 % del volumen de negocio mundial. Esta página constituye la referencia de redacción del contrato de encargo en derecho español, aplicable tanto a las relaciones responsable-encargado intracomunitarias como a las relaciones transfronterizas con encargados establecidos en países terceros. Se complementa con la política de privacidad (deber de información a los interesados), con la página sobre tratamiento de datos de salud cuando concurren categorías especiales sanitarias, y se enmarca en los principios generales expuestos en derecho de los contratos.

Función y calificación jurídica

El contrato de encargo documenta y vincula el tratamiento que efectúa el encargado por cuenta del responsable. Su función primaria es el traslado contractual de obligaciones estatutarias: el responsable, parte principalmente regulada por el RGPD frente a los interesados y a las autoridades, utiliza el contrato de encargo para imponer al encargado las medidas que le permitirán a él, responsable, cumplir sus propias obligaciones. Es además un instrumento probatorio — en caso de inspección de la AEPD, de investigación de una brecha o de una reclamación, el contrato de encargo y sus anexos constituyen la principal demostración de la diligencia debida del responsable en la selección y supervisión de su encargado.

Un contrato de encargo se presenta habitualmente como un anexo o adenda de un contrato marco (MSA, acuerdo de servicios) o de unas condiciones generales de un servicio SaaS. Es más breve que el contrato comercial subyacente pero concentra en él el grueso de la carga regulatoria; un contrato sin instrumento de encargo expone al responsable a responsabilidad directa y compromete la capacidad del encargado para prestar servicios que impliquen tratamiento de datos personales.

El artículo 28.10 RGPD prevé una requalificación de pleno derecho: todo encargado que, infringiendo las instrucciones del responsable, determine los fines y los medios del tratamiento será considerado responsable del tratamiento en relación con el tratamiento correspondiente. El contrato de encargo dibuja por tanto la frontera cuya inobservancia entraña la mutación del estatuto jurídico.

Base normativa española y europea

El marco español combina dos estratos. En el plano europeo, el RGPD es directamente aplicable desde el 25 de mayo de 2018: su artículo 28 fija de modo exhaustivo los elementos obligatorios del contrato responsable-encargado. En el plano interno, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) consagra el marco español. Su artículo 33 desarrolla específicamente el régimen del encargado del tratamiento, su artículo 5 mantiene el deber de confidencialidad como obligación estatutaria sustantiva, y los artículos 70 a 78 fijan el régimen sancionador. El artículo 28.7 RGPD habilita a la Comisión Europea para adoptar cláusulas tipo y el artículo 28.8 atribuye la misma facultad a la autoridad de control nacional, con la aprobación de la Comisión.

Aunque ninguna autoridad española ha adoptado formalmente cláusulas tipo del artículo 28.8, la AEPD ha publicado en su portal aepd.es un modelo orientativo de contrato de encargo del tratamiento que sirve de referencia en el mercado. La Comisión Europea, por su parte, adoptó la Decisión de Ejecución (UE) 2021/915, de 4 de junio de 2021, por la que se establecen cláusulas contractuales tipo entre responsables y encargados del tratamiento dentro del EEE — un instrumento normativo facultativo que ofrece presunción de conformidad y que coexiste con las CCT 2021/914 destinadas a las transferencias internacionales. Las Directrices 07/2020 del Comité Europeo de Protección de Datos sobre los conceptos de responsable y encargado estructuran la doctrina europea sin fuerza vinculante estricta pero con autoridad considerable.

Contenido mínimo obligatorio del artículo 28.3 RGPD

El artículo 28.3 RGPD enumera con carácter exhaustivo los elementos que todo contrato de encargo debe contener. Se trata de un mínimo imperativo: un contrato que omitiera alguno de estos elementos sería disconforme y carecería de la eficacia jurídica de un contrato de encargo en el sentido del artículo 28.

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

El contrato deberá estipular que el encargado:

  • (a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado;
  • (b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad de naturaleza estatutaria;
  • (c) tomará todas las medidas necesarias de conformidad con el artículo 32 (seguridad del tratamiento);
  • (d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
  • (e) asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, en la atención de las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados;
  • (f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
  • (g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios, y suprimirá las copias existentes salvo que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
  • (h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Anexos típicos del contrato de encargo:

  • Anexo 1 — Descripción del tratamiento: objeto, duración, naturaleza, finalidad, categorías de interesados, tipos de datos. Se recomienda replicar el formato del Anexo I de las CCT 2021.
  • Anexo 2 — Medidas técnicas y organizativas (TOMs): tabla estructurada que cubre el artículo 32 RGPD (seudonimización, cifrado, confidencialidad/integridad/disponibilidad/resiliencia, capacidad de restaurar, prueba regular de eficacia).
  • Anexo 3 — Lista de subencargados autorizados: identidad, localización, prestación, certificaciones.

Instrucciones documentadas y posición del encargado

El artículo 28.3.a RGPD exige que el encargado trate los datos « únicamente siguiendo instrucciones documentadas del responsable ». Las instrucciones pueden constar en el propio contrato, en los parámetros de configuración de la plataforma, en los tickets del sistema de soporte, en correos electrónicos identificados. Es práctica de mercado que el contrato describa el canal de comunicación autorizado y que toda instrucción que se aparte del ámbito ordinario quede formalizada por escrito.

El encargado debe notificar inmediatamente al responsable cualquier instrucción que considere contraria al RGPD o a la LOPDGDD. Esta obligación de alerta, combinada con la cláusula de requalificación del artículo 28.10, sitúa al encargado en una posición de garante de la legalidad — sin convertirlo en un censor del responsable, pero exigiéndole la diligencia profesional propia de un operador que sabe que el cumplimiento descansa también sobre él.

Confidencialidad y deber de secreto

El artículo 28.3.b RGPD exige al encargado garantizar que las personas autorizadas a tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad de naturaleza estatutaria. El artículo 32.4 RGPD añade que tanto responsable como encargado deben tomar medidas para garantizar que las personas que actúan bajo su autoridad y que tengan acceso a datos personales solo los traten siguiendo instrucciones del responsable, salvo obligación legal.

El derecho español refuerza este deber mediante el artículo 5 de la LOPDGDD, que mantiene la obligación de confidencialidad como deber estatutario: « los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del RGPD ». La obligación subsiste tras la extinción de la relación con el responsable o con el encargado. Las habilitaciones internas de acceso deben quedar trazadas, las formaciones periódicas documentadas, y el incumplimiento es susceptible de sanción administrativa (LOPDGDD artículos 73-74).

Medidas técnicas y organizativas

El artículo 32 RGPD impone al responsable y al encargado la aplicación de medidas técnicas y organizativas « apropiadas para garantizar un nivel de seguridad adecuado al riesgo ». La lista no exhaustiva del artículo 32.1 menciona la seudonimización y el cifrado, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, la capacidad de restaurar la disponibilidad y el acceso en caso de incidente físico o técnico, y un procedimiento de verificación, evaluación y valoración regulares de la eficacia.

En la práctica española, el anexo de medidas se construye habitualmente sobre referencias técnicas reconocidas: la familia ISO 27000 (27001 para el sistema de gestión, 27017 para servicios en la nube, 27018 para protección de datos personales en la nube, 27701 para sistemas de gestión de privacidad), el Esquema Nacional de Seguridad (Real Decreto 311/2022) cuando el responsable es del sector público o presta servicios al sector público, y los esquemas de certificación del artículo 42 RGPD aprobados por la AEPD o por organismos acreditados. Las certificaciones ofrecen presunción de adecuación pero no eximen de la evaluación caso por caso prevista en el artículo 32.2.

Subencargos del tratamiento

El artículo 28.2 RGPD prohíbe al encargado recurrir a otro encargado del tratamiento (subencargado) sin la autorización previa por escrito, específica o general, del responsable. En caso de autorización general, el encargado debe informar al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a tales cambios. En la práctica de mercado, los encargados mantienen una lista pública de subencargados y notifican los cambios con preaviso de treinta días; ante una oposición motivada del responsable, el remedio habitual es la resolución sin penalidad de los servicios afectados.

El artículo 28.4 impone el flow-down: el subencargado debe estar vinculado por un contrato que imponga obligaciones al menos equivalentes a las del contrato principal — instrucciones documentadas, confidencialidad, seguridad, asistencia a derechos, notificación de brechas, supresión, auditoría. El encargado responde plenamente frente al responsable por el incumplimiento del subencargado: el responsable que contrata con un único prestador de primer nivel arrastra toda la cadena, y la cascada contractual se extiende a la totalidad de la cadena de suministro.

Asistencia al responsable y derechos de los interesados

El artículo 28.3.e RGPD obliga al encargado a asistir al responsable, mediante medidas técnicas y organizativas apropiadas, en la atención de las solicitudes de los interesados ejercitando los derechos del Capítulo III del Reglamento (artículos 15 a 22): acceso, rectificación, supresión, limitación, portabilidad, oposición, no someterse a decisiones automatizadas. Los plazos de respuesta están alineados con el plazo del artículo 12.3 RGPD (un mes prorrogable dos meses adicionales).

En la práctica, las solicitudes dirigidas directamente al encargado deben transmitirse de inmediato al responsable; el encargado se abstiene de responder al interesado salvo instrucción expresa. Las funcionalidades técnicas necesarias (exportación, supresión, anonimización) deben estar disponibles desde el inicio del contrato o, en su defecto, el encargado proporciona soporte específico para cada solicitud.

El artículo 28.3.f RGPD añade la asistencia en las obligaciones de seguridad (artículo 32), notificación de brechas (artículos 33 y 34), evaluación de impacto (artículo 35) y consulta previa (artículo 36). La fórmula « teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado » modula el esfuerzo proporcionalmente a los medios.

Notificación de brechas de seguridad

El artículo 33 RGPD impone al responsable la notificación a la AEPD de toda brecha de datos personales en las setenta y dos horas siguientes a su conocimiento, salvo que la brecha sea improbable que constituya un riesgo para los derechos y libertades de las personas. El encargado, por su parte, debe notificar la brecha al responsable « sin dilación indebida » (artículo 33.2). La práctica de mercado traduce esta obligación en plazos contractuales concretos — habitualmente veinticuatro a cuarenta y ocho horas — para que el responsable disponga de tiempo material para investigar, formular la notificación a la AEPD y, en su caso, comunicarla a los interesados (artículo 34).

El contenido mínimo de la notificación se fija en el artículo 33.3: naturaleza de la brecha, categorías y número aproximado de interesados y registros afectados, datos de contacto del DPO, posibles consecuencias, medidas adoptadas o propuestas. Cuando no sea posible facilitar toda la información en una sola notificación, esta puede realizarse por fases.

La sentencia del Tribunal de Justicia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite (C-340/21), precisa que el simple temor a un uso indebido de los datos tras un ciberataque puede constituir daño moral indemnizable al amparo del artículo 82 RGPD — recayendo la carga de la prueba de la adecuación de las medidas de seguridad sobre el responsable.

Devolución o supresión al término del contrato

El artículo 28.3.g RGPD impone al encargado, a elección del responsable, suprimir o devolver todos los datos personales una vez finalizada la prestación de los servicios, y suprimir las copias existentes salvo que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros. La elección entre devolución y supresión corresponde al responsable; el contrato detalla el formato de devolución (CSV, JSON, API de exportación, formatos sectoriales) y el procedimiento de supresión (alineado con NIST SP 800-88 o equivalente reconocido).

El plazo contractual habitual es de treinta días tras la extinción del contrato; las copias de seguridad pueden quedar sujetas a un plazo prolongado (noventa días) hasta agotar el ciclo de rotación. Toda conservación posterior debe responder a una obligación legal específica (contabilidad — Código de Comercio art. 30 fija seis años para libros contables; fiscalidad — Ley General Tributaria art. 70 fija cuatro años de prescripción; prevención del blanqueo — Ley 10/2010 fija diez años) e implica restricción de finalidad a esa exclusiva obligación.

Auditoría y verificación

El artículo 28.3.h impone al encargado poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento y permitir la realización de auditorías, incluidas inspecciones, por el responsable o por un auditor autorizado. En la práctica, auditorías completas in situ por cada cliente serían administrativamente inviables para los encargados SaaS de gran tamaño. El mercado se ha estandarizado en torno a:

  • Informes SOC 2 Tipo II (referencial AICPA SSAE-18, criterios Trust Services: seguridad, disponibilidad, integridad del tratamiento, confidencialidad, privacidad) — anuales, facilitados bajo demanda con NDA.
  • Certificaciones ISO 27001 (SGSI), ISO 27017 (seguridad cloud), ISO 27018 (cloud y datos personales), ISO 27701 (PIMS) — normas internacionales para la gestión de la seguridad y la privacidad.
  • Conformidad o certificación ENS (RD 311/2022) — exigida para los encargados que prestan servicios al sector público.
  • Resúmenes de tests de intrusión — anuales o trimestrales, resúmenes redactados; informes completos en caso de investigación.
  • Compromiso de cooperación de auditoría — el encargado se compromete a responder a cuestionarios escritos del responsable; auditoría in situ reservada a brechas documentadas o incumplimientos materiales, habitualmente una vez al año, a cargo del responsable salvo descubrimiento de incumplimientos significativos.

Las cláusulas estándar limitan los auditores competidores e imponen confidencialidad, preaviso razonable (treinta días) y restricciones operativas (horario laboral, acompañamiento por personal del encargado).

Transferencias internacionales de datos

El Capítulo V del RGPD (artículos 44 a 50) prohíbe en principio las transferencias de datos personales a un país tercero u organización internacional, salvo que se aplique una de las tres bases siguientes.

Decisiones de adecuación (artículo 45) — La Comisión Europea constata que un país tercero ofrece un nivel de protección « esencialmente equivalente » al de la UE. A 11 de mayo de 2026, los países beneficiarios de decisión de adecuación son: Andorra, Argentina, Canadá (sector comercial), Islas Feroe, Guernesey, Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, Reino Unido, Suiza, Uruguay, República de Corea. Los Estados Unidos disfrutan de adecuación condicional vía el EU-US Data Privacy Framework — Decisión de Ejecución (UE) 2023/1795, de 10 de julio de 2023 — limitada a las organizaciones autocertificadas ante el Departamento de Comercio estadounidense. Las empresas certificadas DPF mantienen una política de privacidad alineada con los principios DPF y aceptan la competencia de la FTC o del DOT. El DPF se encuentra actualmente impugnado (un Schrems III está pendiente); la práctica de mercado consiste en ejecutar las CCT complementariamente al DPF para preservar la continuidad de la transferencia en caso de anulación.

Garantías apropiadas (artículo 46) — En defecto de decisión de adecuación, responsable o encargado pueden articular garantías apropiadas: normas corporativas vinculantes (Binding Corporate Rules, BCR — artículo 47, aprobadas por la autoridad de control), CCT (artículo 46.2.c), código de conducta aprobado (artículo 40), mecanismo de certificación aprobado (artículo 42), cláusulas ad hoc sujetas a autorización de la autoridad de control.

Excepciones (artículo 49) — Cuando ni decisión de adecuación ni garantía apropiada son aplicables, son posibles excepciones específicas: consentimiento explícito e informado, necesidad para la ejecución del contrato con el interesado, motivos importantes de interés público, ejercicio de derechos ante tribunales, intereses vitales, registro público. Las excepciones son de interpretación estricta y no pueden fundamentar transferencias masivas o sistemáticas (Directrices EDPB 2/2018).

Transfer Impact Assessment (TIA) post-Schrems II — La sentencia del TJUE de 16 de julio de 2020 en el asunto Schrems II (C-311/18) invalidó el Privacy Shield y confirmó la validez de las CCT, pero impuso a responsables y encargados que se apoyan en CCT evaluar, caso por caso, si el Derecho del país destinatario (en particular sus normas de vigilancia) compromete la protección garantizada por las CCT. Cuando es así, deben implantarse medidas suplementarias — técnicas (cifrado con claves en poder del exportador, seudonimización), contractuales (compromisos de impugnar solicitudes de acceso gubernamental), organizativas — para situar la protección al nivel del RGPD. En su defecto, la transferencia debe suspenderse. Las Recomendaciones EDPB 01/2020 detallan la metodología de la TIA.

Cláusulas Contractuales Tipo — Decisiones 2021/914 y 2021/915

La Decisión de Ejecución (UE) 2021/914, de 4 de junio de 2021, refundó las cláusulas contractuales tipo (CCT) para las transferencias internacionales de datos personales. Las CCT 2021 sustituyeron a las antiguas CCT 2001/2004 (C2C) y 2010 (C2P) a partir del 27 de diciembre de 2022, tras un período transitorio.

Las CCT 2021 son modulares: cuatro módulos cubren las principales configuraciones.

  • Módulo 1 — Responsable a responsable (C2C): transferencia entre dos responsables, uno en la UE y otro en un país tercero.
  • Módulo 2 — Responsable a encargado (C2P): el escenario más frecuente; las CCT integran directamente las obligaciones del artículo 28.3 RGPD.
  • Módulo 3 — Encargado a encargado (P2P): transferencia de un encargado establecido en la UE a un subencargado en un país tercero.
  • Módulo 4 — Encargado a responsable (P2C): configuración inversa, más rara, en que un encargado establecido en la UE devuelve datos a un responsable establecido en un país tercero.

Cada módulo se utiliza marcando las opciones aplicables. Las CCT prevén cuatro anexos: Anexo I (partes, descripción de la transferencia, autoridad de control competente), Anexo II (medidas técnicas y organizativas, incluidas medidas suplementarias para transferencias a países sin nivel equivalente), Anexo III (lista de subencargados autorizados — para módulos 2 y 3). Las cláusulas 17 y 18 permiten elegir el Derecho aplicable y la jurisdicción de un Estado miembro.

El interés mayor de las CCT 2021 — y muy especialmente del módulo 2 — es que integran directamente las obligaciones del artículo 28.3 RGPD: para una transferencia UE-país tercero, la ejecución de las CCT por sí solas satisface a la vez la exigencia del artículo 28 y la del Capítulo V. En la práctica, un contrato de encargo global responsable-encargado puede incorporar las CCT 2021 por referencia para el componente de transferencia internacional, o anexarlas.

Adicionalmente, la Decisión de Ejecución (UE) 2021/915, también de 4 de junio de 2021, establece cláusulas tipo entre responsables y encargados dentro del EEE. A diferencia de las CCT 2021/914 (transferencias internacionales), la Decisión 2021/915 es un instrumento facultativo destinado a relaciones intra-europeas que crea presunción de conformidad con el artículo 28 RGPD. Su utilización en España es minoritaria — el mercado prefiere la redacción libre o el modelo orientativo de la AEPD — pero ofrece seguridad jurídica reforzada para operaciones complejas.

Responsabilidad y régimen sancionador

La arquitectura de responsabilidad de un contrato de encargo conserva habitualmente el límite de responsabilidad del contrato marco, con dos excepciones:

  • Incumplimiento de las obligaciones de confidencialidad y seguridad — habitualmente sin límite o sometido a un super-cap (por ejemplo de tres a diez veces los honorarios anuales) que refleja la exposición financiera asimétrica (gastos de notificación masiva, sanciones administrativas, reclamaciones de terceros).
  • Indemnidad por sanciones administrativas y reclamaciones de interesados — sin límite o super-limitada; asignación según la causa raíz de la infracción (instrucciones del responsable vs. medidas del encargado).

En derecho español, varios límites operan sobre cualquier cláusula limitativa de responsabilidad. El artículo 1102 del Código civil declara nula la renuncia anticipada a la acción de dolo; la jurisprudencia del Tribunal Supremo extiende la regla a la culpa grave, equiparable al dolo en la práctica probatoria (STS 18 octubre 2007, n.º 1052/2007). En contratación con condiciones generales B2C, los artículos 86 y siguientes del TRLGDCU declaran abusivas las cláusulas limitativas de responsabilidad del profesional. En contratación B2B, la nulidad por contravención del orden público (artículo 6.3 CC) o por contradicción de la causa esencial (artículo 1255 CC) opera como límite último.

El artículo 82.2 RGPD establece una responsabilidad solidaria frente al interesado: un deudor puede ser condenado por la totalidad, debiendo ejercer la acción de regreso frente al codeudor según la cuota de responsabilidad. El artículo 82.3 permite la exoneración si el responsable o el encargado demuestran que no son en modo alguno responsables del hecho que haya causado el daño.

Sanciones AEPD e ilustraciones

El artículo 83 RGPD prevé dos escalones de sanciones administrativas. El escalón inferior (artículo 83.4) — hasta 10 millones de euros o 2 % del volumen de negocio mundial anual — sanciona en particular los incumplimientos del artículo 28 (obligaciones del encargado), del artículo 25 (protección de datos desde el diseño y por defecto), del artículo 30 (registro de actividades) y del artículo 32 (seguridad). El escalón superior (artículo 83.5) — hasta 20 millones de euros o 4 % — sanciona los incumplimientos de los principios (artículo 5), bases jurídicas (artículo 6), condiciones del consentimiento (artículo 7), derechos de los interesados (artículos 12 a 22) y transferencias internacionales (artículos 44 a 49). Los artículos 70 a 78 LOPDGDD desarrollan el régimen sancionador español, distinguiendo entre infracciones muy graves, graves y leves, con prescripciones específicas (tres, dos y un año respectivamente).

La AEPD ha venido aplicando criterios reforzados al ecosistema de encargados, sancionando con frecuencia la falta de contratos del artículo 28, la insuficiencia de las medidas técnicas y organizativas del encargado, y la ausencia de notificación temporánea de brechas. Las resoluciones se publican en aepd.es y constituyen referencia obligada para la actualización de las prácticas contractuales del sector.

Articulación con la corresponsabilidad (artículo 26 RGPD)

Cuando dos o más entidades determinan conjuntamente los fines y medios del tratamiento, son corresponsables en el sentido del artículo 26 RGPD y deben celebrar un acuerdo transparente que reparta internamente sus obligaciones, especialmente en lo relativo al ejercicio de los derechos de los interesados y al deber de información. La esencia de este acuerdo se pone a disposición de los interesados. La responsabilidad sigue siendo solidaria frente a estos últimos — que pueden actuar contra cualquiera de los corresponsables.

La jurisprudencia del Tribunal de Justicia ha ampliado el ámbito de la corresponsabilidad en sentencias notables. En Wirtschaftsakademie Schleswig-Holstein (C-210/16, 5 de junio de 2018), el Tribunal calificó al administrador de una fanpage de Facebook como corresponsable con Facebook. En Fashion ID (C-40/17, 29 de julio de 2019), aplicó la misma calificación a un gestor de sitio web que incrustaba el botón « Me gusta » de Facebook, para las solas operaciones de recogida y transmisión hacia Facebook — sin que la responsabilidad se extendiera a los tratamientos ulteriores propios de Facebook.

La sentencia Nacionalinis visuomenės sveikatos centras (C-683/21, 5 de diciembre de 2023) precisa que la condición de responsable no exige el acceso efectivo a los datos — basta la determinación de fines y medios.

La frontera entre el encargo y la corresponsabilidad es por tanto fina y debe trazarse contractualmente con cuidado: la determinación unilateral de fines por el responsable y la mera ejecución técnica por el encargado configuran el encargo; la decisión conjunta sobre cualquier elemento sustancial — finalidad, categorías de datos, base jurídica, destinatarios — desliza la relación hacia la corresponsabilidad.

Esqueleto de contrato de encargo — cláusula a cláusula

  1. Definiciones. Datos personales, Tratamiento, Responsable, Encargado, Subencargado, Interesado, Brecha, Categorías especiales, Autoridad de control, Transferencia restringida; alineación con la terminología RGPD.
  2. Ámbito y descripción del tratamiento (Anexo 1). Objeto, duración, naturaleza, finalidad, tipos de datos, categorías de interesados (formato Anexo I CCT 2021).
  3. Instrucciones documentadas. El encargado trata únicamente siguiendo instrucciones documentadas del responsable; obligación de notificar al responsable toda instrucción contraria al RGPD o a la LOPDGDD; facultad de rehusar su ejecución.
  4. Confidencialidad. Personal autorizado sujeto a obligaciones de confidencialidad (NDA, cláusulas en contratos de trabajo, formación); aplicación del artículo 5 LOPDGDD.
  5. Seguridad — TOMs (Anexo 2). Tabla estructurada cubriendo el artículo 32 RGPD; certificaciones mantenidas (SOC 2, ISO 27001/27017/27018, ENS).
  6. Subencargados (Anexo 3). Autorización general con notificación de cambios; derecho de oposición del responsable; contrato back-to-back; responsabilidad del encargado por el subencargado.
  7. Asistencia a los derechos de los interesados. Medidas técnicas y organizativas apropiadas; plazos alineados al artículo 12.3 (un mes).
  8. Notificación de brechas. Plazo « sin dilación indebida » concretado en 24-48 horas; contenido mínimo cubriendo el artículo 33.3; cooperación en la investigación.
  9. Asistencia EIPD / consulta previa. Cooperación a los artículos 35 y 36 RGPD.
  10. Transferencias internacionales. CCT 2021 Módulo 2 incorporadas por referencia; confirmación de certificación DPF si aplica; TIA y medidas suplementarias en anexo.
  11. Auditoría e información. Informes SOC 2 Tipo II / ISO 27001 / ENS bajo demanda; cooperación razonable a cuestionarios; auditoría in situ con preaviso, una vez al año máximo, a cargo del responsable salvo incumplimiento material.
  12. Supresión o devolución. Elección del responsable; certificado de destrucción (NIST SP 800-88 o equivalente); excepción para conservaciones impuestas legalmente.
  13. DPO y comunicación. Identificación del DPO del encargado (si procede); canal de comunicación con el DPO del responsable.
  14. Responsabilidad. Super-cap o exclusión del límite para confidencialidad, seguridad, indemnidad; preservación del límite del contrato marco para el resto; aplicación del art. 1102 CC.
  15. Duración y resolución. Coextensiva al contrato subyacente; supervivencia de las obligaciones de confidencialidad, seguridad, supresión, indemnidad.
  16. Ley aplicable y jurisdicción. Derecho español (o el del contrato subyacente); CCT 2021 regidas por el Derecho de un Estado miembro (Cláusula 17); sumisión a juzgados y tribunales españoles o, en su caso, arbitraje (Ley 60/2003).
  17. Cláusulas finales. Remisión al contrato marco para las estipulaciones no específicas del encargo (fuerza mayor, notificaciones, firma electrónica eIDAS, integración).

Referencias cruzadas

Bibliografía

Aviso legal: El contenido de este manual es informativo y no constituye asesoramiento jurídico. Última verificación: 12 de mayo de 2026. Consulte a un abogado colegiado en España para decisiones vinculantes.