Un contrato de encargado del tratamiento es el acuerdo que regula la relación entre quien decide para qué se usan unos datos personales (el responsable) y el proveedor que los trata por su cuenta siguiendo sus instrucciones (el encargado). Lo exige el artículo 28 del RGPD, y una pyme o un autónomo lo necesita con cada proveedor que accede a datos de sus clientes o empleados para prestarle un servicio.
No es un formalismo menor. La AEPD sanciona su ausencia aunque no haya habido ninguna fuga de datos: la infracción está en no tener el papel firmado, no en que algo salga mal. Esta guía explica qué es este contrato, con quién hace falta, qué debe incluir y qué enseña un caso reciente de la propia AEPD.
Qué es el contrato de encargado del tratamiento
Cuando contratas a un proveedor que va a manejar datos personales por ti (por ejemplo, la nómina de tus empleados o la base de clientes de tu tienda), el RGPD no te deja improvisar. El artículo 28 obliga a que esa relación se rija por un contrato u otro acto jurídico que fije, como mínimo, qué datos se tratan, para qué, durante cuánto tiempo y con qué garantías.
La lógica es sencilla: tú sigues siendo el responsable de esos datos aunque los tenga materialmente otro. El contrato es la herramienta que traslada tus obligaciones al proveedor y deja por escrito que solo puede usar los datos para lo que le encargas, no para sus propios fines.
Encargado vs responsable del tratamiento
Aquí está la idea que más confusión genera y la que la AEPD ha querido aclarar:
- Responsable del tratamiento: decide los fines y los medios. El para qué y el cómo. Es quien tiene el control de la operación.
- Encargado del tratamiento: trata los datos por cuenta del responsable y según sus instrucciones. No decide, ejecuta.
El punto clave, y verificado por el criterio de la AEPD, es que esta condición la fija la realidad material del tratamiento, no lo que diga (o calle) el contrato. Puedes llamar “encargado” a alguien en un papel, pero si en la práctica ese proveedor decide fines y medios por su cuenta, será responsable, con las obligaciones que eso conlleva. Y al revés.
Más aún: la cualidad de responsable o encargado puede variar finalidad por finalidad. Una misma empresa puede ser encargada para una operación (tratar datos según tus instrucciones) y responsable para otra (usar esos mismos datos para fines propios que ella decide). No es una etiqueta fija, se analiza operación por operación.
Con qué proveedores necesitas el contrato
La pregunta práctica para una pyme o un autónomo es: ¿con quién tengo que firmar esto? La respuesta corta: con cualquier proveedor que trate datos personales por tu cuenta para prestarte su servicio. En la mayoría de negocios, la lista incluye:
- Gestoría o asesoría que lleva nóminas, contabilidad o facturación.
- Software en la nube (SaaS): CRM, programa de facturación, herramienta de gestión, ERP.
- Plataformas de email marketing y envío de comunicaciones.
- Empresas de logística y reparto que reciben datos de tus clientes para entregar pedidos.
- Proveedor de hosting y mantenimiento informático que aloja o accede a tus sistemas.
Si acceden a datos de tus clientes o empleados para hacer su trabajo, lo normal es que sean encargados del tratamiento y que necesites el contrato del artículo 28. No lo necesitas, en cambio, con quien no toca ningún dato personal tuyo.
El caso CITIBOX y SEUR: la sanción llega por el papeleo
En junio de 2026 la AEPD publicó un criterio jurídico sobre la delimitación funcional entre responsable y encargado en ecosistemas logísticos y tecnológicos complejos, a raíz de dos resoluciones que ilustran muy bien el problema.
En ese ecosistema, SEUR determinaba los fines y los medios del tratamiento y CITIBOX actuaba según sus instrucciones. Es decir, había una relación material de responsable a encargado. El problema: faltaba el contrato de encargado del tratamiento que el artículo 28 exige.
Las cifras dejan claro que esto no es un tecnicismo sin consecuencias:
- CITIBOX SMART SERVICES, S.L. fue sancionada con 5.000 €, reducida a 4.000 € por pronto pago.
- SEUR GEOPOST, S.L. fue sancionada con 200.000 € por la infracción del artículo 28, más 5.000 € por el artículo 5.1.f (seguridad), lo que suma 205.000 €, reducidos a 164.000 € por pronto pago.
Lo relevante para cualquier negocio, grande o pequeño, es el mensaje de fondo: el grueso de la sanción (200.000 de los 205.000 €) no llegó por ninguna fuga masiva de datos, sino por no tener el contrato de encargado. En CITIBOX, de hecho, la multa fue exclusivamente por ese motivo. El “papeleo” que muchas empresas posponen es precisamente lo que la AEPD revisa y sanciona.
Cumplir cuesta menos que no cumplir
No hace falta convertir esto en una alarma. La conclusión es más tranquila y más útil: firmar los contratos de encargado con tus proveedores es una tarea acotada, barata y que se hace una vez (con revisiones cuando cambian los proveedores). No tenerlos es una exposición que no depende de tu suerte, sino de que nadie te pregunte por ellos.
Dicho de otro modo: el contrato del artículo 28 es de las medidas con mejor relación entre esfuerzo y riesgo evitado de todo el RGPD. Es papel, no infraestructura.
Qué debe incluir el contrato (artículo 28.3)
El RGPD no deja libertad total sobre el contenido. El artículo 28.3 fija un mínimo que el contrato debe recoger:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- Tipo de datos personales y categorías de interesados afectados.
- Obligación del encargado de tratar los datos solo según las instrucciones del responsable.
- Confidencialidad de las personas que tratan los datos.
- Medidas de seguridad adecuadas.
- Condiciones para subcontratar (otros encargados) con autorización.
- Asistencia al responsable en el ejercicio de derechos y en las obligaciones de seguridad.
- Devolución o supresión de los datos al terminar el servicio.
Un contrato que no cubra estos puntos, o una relación que directamente no tenga contrato, es lo que la AEPD considera incumplimiento del artículo 28.
Por dónde empezar
El orden lógico para una pyme o un autónomo es sencillo: primero saber qué proveedores tratan tus datos y con cuáles falta el contrato, y después firmarlos o revisarlos.
- Si necesitas poner al día toda tu operativa de datos, la adaptación de empresa al RGPD cubre inventario de tratamientos y contratos con proveedores.
- Si ya tienes contratos pero no sabes si cumplen el artículo 28, la revisión de contratos los analiza y corrige.
- Si prefieres un diagnóstico completo de tu situación, la auditoría RGPD te da el mapa de qué falta y en qué orden atacarlo.
Puedes ver el conjunto en nuestros servicios de protección de datos. Y si quieres una primera foto sin coste de tu punto de partida, solicita la auditoría gratuita y revisamos por dónde conviene empezar.