Contracte d’encàrrec del tractament (RGPD): requisits, errors típics i checklist per treballar amb proveïdors cloud

by Juan Alcazar Santos | 16 set., 2025

El contracte d’encàrrec del tractament RGPD (art. 28) és la peça que autoritza un proveïdor a tractar dades personals per compte de la teva empresa (responsable del tractament). Sense aquest contracte —o amb un de mal redactat— el tractament és il·lícit, encara que el proveïdor sigui de primer nivell. Aquí tens una guia pràctica per signar un acord sòlid, especialment quan treballes amb SaaS i serveis cloud.

Contenido del artículo

Què és el contracte d’encàrrec del tractament RGPD i quan és obligatori

Responsable del tractament (tu): decideix fins i mitjans.
Encarregat: tracta dades per compte del responsable (p. ex., el teu ERP cloud, el teu proveïdor de suport IT, la teva gestoria).
Subencarregat: proveïdor de l’encarregat (p. ex., IaaS on s’allotja el SaaS).

És obligatori signar un contracte amb cada encarregat i documentar qualsevol subencarregat que participi. No confonguis aquesta relació amb corresponsabilitat o responsable–responsable; si el tercer decideix finalitats pròpies, no és el teu encarregat.

Requisits de l’article 28 RGPD: contingut mínim del contracte (DPA)

Inclou com a mínim aquestes clàusules, adaptades al teu cas (evita plantilles genèriques):

Objecte, durada i naturalesa del tractament
Quin servei presten, durant quant de temps i quines operacions realitzen (emmagatzematge, consulta, esborrat, etc.).
Finalitat, categories d’interessats i tipus de dades
Empleats, clients, leads… Dades identificatives, financeres, salut (si aplica), etc.
Instruccions documentades del responsable
L’encarregat només tractarà dades seguint les teves instruccions. Prohibeix expressament usos propis o analítica secundària sense base legítima.
Confidencialitat
Personal subjecte a deure de secret i polítiques internes de seguretat.
Mesures tècniques i organitzatives de seguretat
Anexa el detall (xifrat, control d’accessos, registres, segmentació, proves de restauració, hardening). Alinia amb ENS o ISO/IEC 27001 quan sigui possible.
Subcontractació
Requereix autorització prèvia (específica o general) i imposa “flow-down”: el subencarregat assumeix les mateixes obligacions. Inclou llista actualitzada i mecanisme de notificació de canvis (p. ex., 15 dies per oposar-te).
Assistència al responsable
– Gestió de drets (accés, supressió, portabilitat…).
– Notificació de bretxes al responsable sense dilació indeguda (defineix un Service Level Agreement – SLA: 24h des de la detecció).
– Avaluacions d’impacte (DPIA) i consultes prèvies si aplica.
Destí de les dades en finalitzar el servei
Devolució en format interoperable i esborrat certificable (amb evidència). Defineix terminis i cost.
Informació i auditories
Dret a obtenir evidències i a auditar (in situ o mitjançant informes de tercers: SOC 2, ISO 27001, ENS). Evita barreres contractuals que ho facin inviable.

Model de DPA per a proveïdors cloud amb transferències internacionals (SCC i TIA)

Proveïdors cloud i transferències internacionals: TIA, SCC i ubicació de dades

Ubicació de dades i backups: país/regió, incloses rèpliques i contingències.
Transferències internacionals: detalla la base jurídica (p. ex., Clàusules Contractuals Tipus i avaluació d’impacte de transferències, TIA).
Registre de subencarregats: hyperscalers, CDN, email, analytics… amb URL viva i notificació de canvis.
Seguretat operativa: xifrat en trànsit i repòs, MFA, gestió de pegats, registres (logs) i retenció.
Plans de continuïtat: RTO/RPO, proves de restauració, responsabilitats en incidents (i coordinació de notificació).
Pla de sortida: exportació íntegra, format, ajuda a migració i esborrat verificable.

Clàusules crítiques que convé personalitzar

SLA d’incidents: defineix finestra de notificació (24h), contingut mínim del part (origen, abast, mesures mitigadores) i canal.
Límits de responsabilitat: evita exclusions absolutes per violacions de dades personals.
Proves de compliment: periodicitat d’auditories o d’entrega d’informes de tercers.
Separació de dades: garanties de multi-tenant segur i segregació lògica/física.
Privacitat des del disseny: compromís de no activar features que impliquin tractaments nous sense la teva aprovació documental.

Errors habituals en un contracte encàrrec del tractament RGPD (i com evitar-los)

Plantilla copiada sense adaptar: no reflecteix finalitats reals, ni tipus de dades, ni subencarregats.
→ Solució: modela el flux de dades primer; redacta després.
No llistar subencarregats ni preveure el mecanisme de canvis.
→ Solució: annex viu i dret d’oposició raonable.
Bretxes mal notificades o fora de termini.
→ Solució: SLA contractual, canal dedicat i simulacres d’incident.
Sense pla de sortida: en acabar, no pots recuperar tot o no hi ha evidència d’esborrat.
→ Solució: clàusula d’exportació, format estàndard i certificat de destrucció.
Transferències internacionals sense TIA
→ Solució: documenta riscos del país de destinació i mesures suplementàries (xifrat end-to-end, seudonimització, controls d’accés).
Confondre relacions (encarregat vs. corresponsable)
→ Solució: si el proveïdor decideix finalitats, no és encarregat; signa acord de corresponsabilitat.

Com negociar el DPA del proveïdor SaaS: auditories, SLA i “exit plan”

Molts SaaS ofereixen el seu DPA estàndard. És vàlid, però negocia:

Afegeix annex de seguretat amb els teus controls mínims (MFA obligatori, retenció de logs, alertes DLP).
Exigeix llista de subencarregats i mecanisme de canvis.
Ajusta SLA d’incidents, pla de sortida i auditories.
Verifica transferències i TIA.

Si el proveïdor no admet canvis, almenys documenta les teves instruccions i el risc residual.

Subencarregats: autorització i “flow-down”

Cada subencarregat ha de quedar autoritzat i sotmès a les mateixes obligacions (confidencialitat, seguretat, bretxes, retorn i esborrat). Demana proves de compliment (ISO 27001, ENS, SOC 2) i evita cadenes opaques on no sàpigues qui toca les teves dades.

Seguretat i compliment: alinear el contracte amb ENS i NIS2

EL DPA serveix com a evidència de govern de la cadena de subministrament en NIS2, i exigeix proves periòdiques (informes SOC 2/ISO/ENS).

ENS: si treballes amb sector públic, el DPA ha de alinear-se amb els controls del nivell exigit (bàsic/mitjà/alt). Inclou evidències (polítiques, informes, proves de restauració).
NIS2: reforça gestió de riscos, continuïtat i supervisió de la cadena de subministrament. Un DPA robust és prova de diligència en governança de proveïdors.

Contracte d'encàrrec del tractament RGPD amb clàusules DPA i subencarregats

Model orientatiu: estructura d’un bon contracte d’encàrrec del tractament RGPD

Parts i definicions.
Objecte, durada, naturalesa i finalitat del tractament.
Tipus de dades i categories d’interessats.
Instruccions del responsable.
Confidencialitat del personal.
Seguretat (annex tècnic).
Subencarregats i notificació de canvis.
Assistència en drets, EIPD i bretxes (SLA).
Auditories i evidències.
Transferències internacionals i TIA.
Final del servei: devolució i esborrat.
Responsabilitat i règim sancionador.
Vigència, modificacions i llei aplicable.

Important: aquest esquema és orientatiu; cada contracte requereix adaptació legal i tècnica a la teva realitat.

Checklist final per signar el teu contracte d’encàrrec del tractament RGPD

He identificat responsable, encarregat i subencarregats?
El contracte recull objecte, durada, finalitats, dades i interessats?
Existeix annex de seguretat amb mesures concretes (no genèriques)?
Hi ha SLA per a bretxes i un canal de notificació definit?
Conec on s’allotgen dades i quines transferències existeixen (amb la seva TIA)?
Puc auditar o rebre informes de tercers periòdics?
Tinc pla de sortida amb exportació i esborrat certificable?
El llistat de subencarregats és públic i hi ha mecanisme de canvis?
El contracte no limita abusivament la responsabilitat per incidents de dades?

Si no pots respondre “sí” a totes les preguntes de la checklist, el millor seria que contactis amb nosaltres per a una revisió especialitzada.

Com t’ajuda Edorteam: revisió i redacció de contractes RGPD

A Edorteam auditem els teus acords actuals, identifiquem riscos legals i tècnics, i redactem un DPA alineat amb RGPD, ENS i obligacions NIS2. També t’ajudem a negociar clàusules amb proveïdors cloud i a documentar transferències internacionals i plans de sortida.

Sol·licita una revisió inicial gratuïta i et diem, amb evidències, què canviar per dormir tranquil.

consultoría rgpd subencargados tratamiento

Sol·licita informació

Segueix-nos a xarxes

Categorías del blog

Altres publicacions relacionades

CISO i Delegat de Protecció de Dades: poden ser la mateixa persona en una empresa?

20 ag., 2025 | Protecció de dades i RGPD

Amb l'entrada en vigor de les normatives més recents en seguretat de la informació obligatòries per a les empreses, com serien la Directiva NIS2, l'Esquema Nacional de Seguretat o les noves regulacions en matèria d'intel·ligència artificial i privacitat, moltes...

Protecció de dades a les empreses: els errors més comuns que es continuen repetint el 2025

28 jul., 2025 | Protecció de dades i RGPD

Ja han passat més de cinc anys des de l'aplicació plena del Reglament General de Protecció de Dades (RGPD), en vigor des del 25 de maig de 2018, i gairebé el mateix des de l'entrada en vigor de la Llei Orgànica 3/2018 de Protecció de Dades Personals i garantia dels...

Fraus en protecció de dades: errors que et poden costar sancions i com evitar-los

17 juny, 2025 | Protecció de dades i RGPD

Dins el sector de la protecció de dades, la desinformació i la picaresca han donat lloc a múltiples fraus que posen en risc tant la legalitat com la reputació de les empreses. Moltes pimes creuen estar complint la llei per haver contractat un servei barat o haver...