Blog · SoyLegal360

Contrato de encargado del tratamiento: qué es y por qué lo necesitas con cada proveedor

18 de julio de 2026 6 min de lectura Revisado por el equipo jurídico

Un contrato de encargado del tratamiento es el acuerdo que regula la relación entre quien decide para qué se usan unos datos personales (el responsable) y el proveedor que los trata por su cuenta siguiendo sus instrucciones (el encargado). Lo exige el artículo 28 del RGPD, y una pyme o un autónomo lo necesita con cada proveedor que accede a datos de sus clientes o empleados para prestarle un servicio.

No es un formalismo menor. La AEPD sanciona su ausencia aunque no haya habido ninguna fuga de datos: la infracción está en no tener el papel firmado, no en que algo salga mal. Esta guía explica qué es este contrato, con quién hace falta, qué debe incluir y qué enseña un caso reciente de la propia AEPD.

Qué es el contrato de encargado del tratamiento

Cuando contratas a un proveedor que va a manejar datos personales por ti (por ejemplo, la nómina de tus empleados o la base de clientes de tu tienda), el RGPD no te deja improvisar. El artículo 28 obliga a que esa relación se rija por un contrato u otro acto jurídico que fije, como mínimo, qué datos se tratan, para qué, durante cuánto tiempo y con qué garantías.

La lógica es sencilla: tú sigues siendo el responsable de esos datos aunque los tenga materialmente otro. El contrato es la herramienta que traslada tus obligaciones al proveedor y deja por escrito que solo puede usar los datos para lo que le encargas, no para sus propios fines.

Encargado vs responsable del tratamiento

Aquí está la idea que más confusión genera y la que la AEPD ha querido aclarar:

El punto clave, y verificado por el criterio de la AEPD, es que esta condición la fija la realidad material del tratamiento, no lo que diga (o calle) el contrato. Puedes llamar “encargado” a alguien en un papel, pero si en la práctica ese proveedor decide fines y medios por su cuenta, será responsable, con las obligaciones que eso conlleva. Y al revés.

Más aún: la cualidad de responsable o encargado puede variar finalidad por finalidad. Una misma empresa puede ser encargada para una operación (tratar datos según tus instrucciones) y responsable para otra (usar esos mismos datos para fines propios que ella decide). No es una etiqueta fija, se analiza operación por operación.

Con qué proveedores necesitas el contrato

La pregunta práctica para una pyme o un autónomo es: ¿con quién tengo que firmar esto? La respuesta corta: con cualquier proveedor que trate datos personales por tu cuenta para prestarte su servicio. En la mayoría de negocios, la lista incluye:

Si acceden a datos de tus clientes o empleados para hacer su trabajo, lo normal es que sean encargados del tratamiento y que necesites el contrato del artículo 28. No lo necesitas, en cambio, con quien no toca ningún dato personal tuyo.

El caso CITIBOX y SEUR: la sanción llega por el papeleo

En junio de 2026 la AEPD publicó un criterio jurídico sobre la delimitación funcional entre responsable y encargado en ecosistemas logísticos y tecnológicos complejos, a raíz de dos resoluciones que ilustran muy bien el problema.

En ese ecosistema, SEUR determinaba los fines y los medios del tratamiento y CITIBOX actuaba según sus instrucciones. Es decir, había una relación material de responsable a encargado. El problema: faltaba el contrato de encargado del tratamiento que el artículo 28 exige.

Las cifras dejan claro que esto no es un tecnicismo sin consecuencias:

Lo relevante para cualquier negocio, grande o pequeño, es el mensaje de fondo: el grueso de la sanción (200.000 de los 205.000 €) no llegó por ninguna fuga masiva de datos, sino por no tener el contrato de encargado. En CITIBOX, de hecho, la multa fue exclusivamente por ese motivo. El “papeleo” que muchas empresas posponen es precisamente lo que la AEPD revisa y sanciona.

Cumplir cuesta menos que no cumplir

No hace falta convertir esto en una alarma. La conclusión es más tranquila y más útil: firmar los contratos de encargado con tus proveedores es una tarea acotada, barata y que se hace una vez (con revisiones cuando cambian los proveedores). No tenerlos es una exposición que no depende de tu suerte, sino de que nadie te pregunte por ellos.

Dicho de otro modo: el contrato del artículo 28 es de las medidas con mejor relación entre esfuerzo y riesgo evitado de todo el RGPD. Es papel, no infraestructura.

Qué debe incluir el contrato (artículo 28.3)

El RGPD no deja libertad total sobre el contenido. El artículo 28.3 fija un mínimo que el contrato debe recoger:

Un contrato que no cubra estos puntos, o una relación que directamente no tenga contrato, es lo que la AEPD considera incumplimiento del artículo 28.

Por dónde empezar

El orden lógico para una pyme o un autónomo es sencillo: primero saber qué proveedores tratan tus datos y con cuáles falta el contrato, y después firmarlos o revisarlos.

Puedes ver el conjunto en nuestros servicios de protección de datos. Y si quieres una primera foto sin coste de tu punto de partida, solicita la auditoría gratuita y revisamos por dónde conviene empezar.

Preguntas frecuentes

¿Qué es un contrato de encargado del tratamiento?

Es el contrato (u otro acto jurídico) que regula la relación entre quien decide para qué se usan unos datos personales (responsable) y quien los trata siguiendo sus instrucciones (encargado). El artículo 28 del RGPD lo exige y fija su contenido mínimo: objeto, duración, finalidad, tipo de datos, obligaciones de seguridad, confidencialidad y qué pasa al terminar.

¿Quién es el encargado y quién el responsable del tratamiento?

El responsable decide los fines y los medios del tratamiento (para qué y cómo se tratan los datos). El encargado trata esos datos por cuenta del responsable y según sus instrucciones. La AEPD recuerda que esta condición la determina la realidad material del tratamiento, no lo que diga el contrato, y puede variar operación por operación.

¿Con qué proveedores hace falta este contrato?

Con cualquiera que trate datos personales por tu cuenta: gestoría, software de facturación o CRM en la nube, plataforma de email marketing, empresa de logística, proveedor de hosting o mantenimiento informático, entre otros. Si acceden a datos de tus clientes o empleados para prestarte el servicio, normalmente son encargados del tratamiento.

¿Qué pasa si no tengo el contrato de encargado?

No tener el contrato del artículo 28 es en sí mismo una infracción, aunque no haya habido ninguna brecha de datos. La AEPD ha sancionado la mera ausencia del contrato entre responsable y encargado, con independencia de que los datos estuvieran o no en riesgo.

¿Qué debe incluir según el artículo 28.3 del RGPD?

Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos y categorías de interesados, y las obligaciones del encargado: tratar solo según instrucciones, confidencialidad, medidas de seguridad, condiciones para subcontratar, asistencia al responsable, y devolución o supresión de los datos al finalizar.

¿Quieres saber tu punto de partida?

Nuestro equipo revisa tu web y te dice qué cumple, qué no y por dónde empezar. Sin coste y sin compromiso.

Solicitar auditoría gratuita

← Volver al blog