Contrato de encargo del tratamiento (RGPD): requisitos, errores típicos y checklist para trabajar con proveedores cloud

por Juan Alcazar Santos | 16 Sep, 2025

El contrato de encargo del tratamiento RGPD (art. 28) es la pieza que autoriza a un proveedor a tratar datos personales por cuenta de tu empresa (responsable del tratamiento). Sin ese contrato —o con uno mal redactado— el tratamiento es ilícito, aunque el proveedor sea de primer nivel. Aquí tienes una guía práctica para firmar un acuerdo sólido, especialmente cuando trabajas con SaaS y servicios cloud.

Contenido del artículo

Qué es el contrato de encargo del tratamiento RGPD y cuándo es obligatorio

Responsable del tratamiento (tú): decide fines y medios.
Encargado: trata datos por cuenta del responsable (p. ej., tu ERP cloud, tu proveedor de soporte IT, tu gestoría).
Subencargado: proveedor del encargado (p. ej., IaaS donde se aloja el SaaS).

Es obligatorio firmar un contrato con cada encargado y documentar cualquier subencargado que participe. No confundas esta relación con corresponsabilidad o responsable–responsable; si el tercero decide finalidades propias, no es tu encargado.

Requisitos del artículo 28 RGPD: contenido mínimo del contrato (DPA)

Incluye como mínimo estas cláusulas, adaptadas a tu caso (evita plantillas genéricas):

Objeto, duración y naturaleza del tratamiento
Qué servicio prestan, durante cuánto tiempo y qué operaciones realizan (almacenamiento, consulta, borrado, etc.).
Finalidad, categorías de interesados y tipos de datos
Empleados, clientes, leads… Datos identificativos, financieros, salud (si aplica), etc.
Instrucciones documentadas del responsable
El encargado solo tratará datos siguiendo tus instrucciones. Prohíbe expresamente usos propios o analítica secundaria sin base legítima.
Confidencialidad
Personal sujeto a deber de secreto y políticas internas de seguridad.
Medidas técnicas y organizativas de seguridad
Anexa el detalle (cifrado, control de accesos, registros, segmentación, pruebas de restauración, hardening). Alinea con ENS o ISO/IEC 27001 cuando sea posible.
Subcontratación
Requiere autorización previa (específica o general) e impón “flow-down”: el subencargado asume las mismas obligaciones. Incluye lista actualizada y mecanismo de notificación de cambios (p. ej., 15 días para oponerte).
Asistencia al responsable
– Gestión de derechos (acceso, supresión, portabilidad…).
– Notificación de brechas al responsable sin dilación indebida (define un Service Level Agreement – SLA: 24h desde la detección).
– Evaluaciones de impacto (DPIA) y consultas previas si aplica.
Destino de los datos al finalizar el servicio
Devolución en formato interoperable y borrado certificable (con evidencia). Define plazos y coste.
Información y auditorías
Derecho a obtener evidencias y a auditar (in situ o mediante informes de terceros: SOC 2, ISO 27001, ENS). Evita barreras contractuales que lo hagan inviable.

Modelo de DPA para proveedores cloud con transferencias internacionales (SCC y TIA)

Proveedores cloud y transferencias internacionales: TIA, SCC y ubicación de datos

Ubicación de datos y backups: país/región, incluidas réplicas y contingencias.
Transferencias internacionales: detalla la base jurídica (p. ej., Cláusulas Contractuales Tipo y evaluación de impacto de transferencias, TIA).
Registro de subencargados: hyperscalers, CDN, email, analytics… con URL viva y notificación de cambios.
Seguridad operativa: cifrado en tránsito y reposo, MFA, gestión de parches, registros (logs) y retención.
Planes de continuidad: RTO/RPO, pruebas de restauración, responsabilidades en incidentes (y coordinación de notificación).
Plan de salida: exportación íntegra, formato, ayuda a migración y borrado verificable.

Cláusulas críticas que conviene personalizar

SLA de incidentes: define ventana de notificación (24h), contenido mínimo del parte (origen, alcance, medidas mitigadoras) y canal.
Límites de responsabilidad: evita exclusiones absolutas para violaciones de datos personales.
Pruebas de cumplimiento: periodicidad de auditorías o de entrega de informes de terceros.
Separación de datos: garantías de multi-tenant seguro y segregación lógica/física.
Privacidad desde el diseño: compromiso de no activar features que impliquen tratamientos nuevos sin tu aprobación documental.

Errores habituales en un contrato encargo del tratamiento RGPD (y cómo evitarlos)

Plantilla copiada sin adaptar: no refleja finalidades reales, ni tipos de datos, ni subencargados.
→ Solución: modela el flujo de datos primero; redacta después.
No listar subencargados ni prever el mecanismo de cambios.
→ Solución: anexo vivo y derecho de oposición razonable.
Brechas mal notificadas o fuera de plazo.
→ Solución: SLA contractual, canal dedicado y simulacros de incidente.
Sin plan de salida: al terminar, no puedes recuperar todo o no hay evidencia de borrado.
→ Solución: cláusula de exportación, formato estándar y certificado de destrucción.
Transferencias internacionales sin TIA
→ Solución: documenta riesgos del país de destino y medidas suplementarias (cifrado end-to-end, seudonimización, controles de acceso).
Confundir relaciones (encargado vs. corresponsable)
→ Solución: si el proveedor decide finalidades, no es encargado; firma acuerdo de corresponsabilidad.

Cómo negociar el DPA del proveedor SaaS: auditorías, SLA e “exit plan”

Muchos SaaS ofrecen su DPA estándar. Es válido, pero negocia:

Añade anexo de seguridad con tus controles mínimos (MFA obligatorio, retención de logs, alertas DLP).
Exige lista de subencargados y mecanismo de cambios.
Ajusta SLA de incidentes, plan de salida y auditorías.
Verifica transferencias y TIA.

Si el proveedor no admite cambios, al menos documenta tus instrucciones y el riesgo residual.

Subencargados: autorización y “flow-down”

Cada subencargado debe quedar autorizado y sometido a las mismas obligaciones (confidencialidad, seguridad, brechas, retorno y borrado). Pide pruebas de cumplimiento (ISO 27001, ENS, SOC 2) y evita cadenas opacas donde no sepas quién toca tus datos.

Seguridad y cumplimiento: alinear el contrato con ENS y NIS2

EL DPA sirve como evidencia de gobierno de la cadena de suministro en NIS2, y exige pruebas periódicas (informes SOC 2/ISO/ENS).

ENS: si trabajas con sector público, el DPA debe alinearse con los controles del nivel exigido (básico/medio/alto). Incluye evidencias (políticas, informes, pruebas de restauración).
NIS2: refuerza gestión de riesgos, continuidad y supervisión de la cadena de suministro. Un DPA robusto es prueba de diligencia en gobernanza de proveedores.

Contrato de encargo del tratamiento RGPD con cláusulas DPA y subencargados

Modelo orientativo: estructura de un buen contrato de encargo del tratamiento RGPD

Partes y definiciones.
Objeto, duración, naturaleza y finalidad del tratamiento.
Tipos de datos y categorías de interesados.
Instrucciones del responsable.
Confidencialidad del personal.
Seguridad (anexo técnico).
Subencargados y notificación de cambios.
Asistencia en derechos, DPIA y brechas (SLA).
Auditorías y evidencias.
Transferencias internacionales y TIA.
Fin del servicio: devolución y borrado.
Responsabilidad y régimen sancionador.
Vigencia, modificaciones y ley aplicable.

Importante: este esquema es orientativo; cada contrato requiere adaptación legal y técnica a tu realidad.

Checklist final para firmar tu contrato de encargo del tratamiento RGPD

¿He identificado responsable, encargado y subencargados?
¿El contrato recoge objeto, duración, finalidades, datos e interesados?
¿Existe anexo de seguridad con medidas concretas (no genéricas)?
¿Hay SLA para brechas y un canal de notificación definido?
¿Conozco dónde se alojan datos y qué transferencias existen (con su TIA)?
¿Puedo auditar o recibir informes de terceros periódicos?
¿Tengo plan de salida con exportación y borrado certificable?
¿El listado de subencargados es público y hay mecanismo de cambios?
¿El contrato no limita abusivamente la responsabilidad por incidentes de datos?

Si no puedes responder «sí» a todas las preguntas de la checklist, lo mejor sería que contactes con nosotros para una revisión especializada.

Cómo te ayuda Edorteam: revisión y redacción de contratos RGPD

En Edorteam auditamos tus acuerdos actuales, identificamos riesgos legales y técnicos, y redactamos un DPA alineado con RGPD, ENS y obligaciones NIS2. También te ayudamos a negociar cláusulas con proveedores cloud y a documentar transferencias internacionales y planes de salida.

Solicita una revisión inicial gratuita y te decimos, con evidencias, qué cambiar para dormir tranquilo.

consultoría rgpd subencargados tratamiento

Solicita información

Síguenos en redes

Categorías del blog

Otras publicaciones relacionadas

CISO y Delegado de Protección de Datos: ¿pueden ser la misma persona en una empresa?

20 Ago, 2025 | Protección de datos y RGPD

Con la entrada en vigor de las normativas más recientes en seguridad de la información obligatorias para las empresas, como lo serían la Directiva NIS2, el Esquema Nacional de Seguridad o las nuevas regulaciones en materia de inteligencia artificial y privacidad,...

Protección de datos en empresas: los errores más comunes que siguen repitiéndose en 2025

28 Jul, 2025 | Protección de datos y RGPD

Han pasado ya más de cinco años desde la plena aplicación del Reglamento General de Protección de Datos (RGPD), en vigor desde el 25 de mayo de 2018, y casi lo mismo desde la entrada en vigor de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de...

¿Ya hiciste tu auditoría RGPD? El error que muchas empresas cometen sin saberlo (y puede salir caro)

23 Jun, 2025 | Protección de datos y RGPD

Cumplir con el RGPD no consiste en firmar cuatro documentos y guardarlos en un cajón. Y sin embargo, muchas empresas creen que eso es suficiente. No es culpa tuya: durante años se ha vendido la protección de datos como una obligación burocrática, un papel más para...