Protección de datos

Artículo 28 RGPD: obligaciones del encargado del tratamiento

Guía práctica del Art. 28 RGPD: obligaciones del encargado del tratamiento, contrato DPA obligatorio, subencargados y sanciones de la AEPD.

TD
Dr. Thiébaut Devergranne
12 de abril de 20267 min read

El artículo 28 RGPD regula la relación entre el responsable del tratamiento y el encargado del tratamiento (también denominado procesador). Es una de las disposiciones con mayor impacto práctico del Reglamento General de Protección de Datos: se aplica cada vez que una organización da acceso a datos personales a un tercero que los trata por su cuenta. Un proveedor de SaaS, una empresa de soporte informático con acceso remoto, un proveedor de servicios de email marketing, una gestoría que procesa nóminas – todos ellos son encargados del tratamiento sujetos al artículo 28 RGPD. La AEPD impuso en 2024 sanciones por un total de 4,7 millones EUR por infracciones relacionadas con la relación responsable-encargado, incluyendo la ausencia de contrato de encargo y la autorización irregular de subencargados.

Puntos Clave

  • El Art. 28(1) RGPD obliga al responsable a utilizar únicamente encargados que ofrezcan garantías suficientes de cumplimiento.
  • El Art. 28(3) exige un contrato escrito (DPA) que especifique el objeto, duración, naturaleza, finalidad, tipo de datos y obligaciones del encargado.
  • El encargado no puede subcontratar sin autorización previa, específica o general, del responsable (Art. 28(2)).
  • El encargado debe eliminar o devolver todos los datos al finalizar la prestación del servicio (Art. 28(3)(g)).
  • Las infracciones del Art. 28 se sancionan con multas de hasta 10 millones EUR o el 2% del volumen de negocio anual global (Art. 83(4)).

Cuándo se aplica el artículo 28 RGPD

El artículo 28 RGPD se aplica siempre que un encargado del tratamiento trate datos personales por cuenta de un responsable del tratamiento. La distinción entre ambas figuras es fundamental:

  • El responsable (Art. 4(7)) determina los fines y medios del tratamiento.
  • El encargado (Art. 4(8)) trata los datos personales por cuenta del responsable.

En la práctica, estas son situaciones típicas de aplicación del artículo 28:

  1. Una empresa utiliza un CRM o software de RRHH en modo SaaS: el editor de la plataforma es encargado del tratamiento.
  2. Una empresa contrata soporte informático con acceso remoto a los equipos: la empresa de IT es encargada del tratamiento.
  3. Un proveedor de SaaS utiliza un subcontratista para el envío de SMS: el subcontratista es subencargado, y el Art. 28 se aplica también a la relación encargado-subencargado.

Para una comprensión detallada del concepto de encargado, consulte nuestra guía sobre qué es un encargado del tratamiento.

Obligaciones principales del artículo 28

Selección del encargado (Art. 28(1))

El responsable del tratamiento debe utilizar únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas. Esto implica una evaluación previa del nivel de cumplimiento del encargado. La AEPD ha sancionado a responsables que no verificaron las garantías de sus encargados antes de darles acceso a datos personales.

Los criterios de evaluación incluyen: la existencia de medidas de seguridad adecuadas (Art. 32), la certificación o adhesión a códigos de conducta (Art. 28(5)), la capacidad de cumplir con los plazos de notificación de brechas, la experiencia y fiabilidad del proveedor y la ubicación geográfica del tratamiento (implicaciones para transferencias internacionales).

Contrato de encargo obligatorio (Art. 28(3))

El Art. 28(3) RGPD exige un contrato escrito (o acto jurídico vinculante) entre el responsable y el encargado. Este contrato, conocido como DPA (Data Processing Agreement) o contrato de encargo del tratamiento, debe estipular como mínimo:

  • Objeto y duración del tratamiento.
  • Naturaleza y finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados.
  • Obligaciones del encargado, que incluyen:

(a) Tratar los datos únicamente conforme a las instrucciones documentadas del responsable.

(b) Garantizar que las personas autorizadas a tratar los datos se han comprometido a la confidencialidad.

© Adoptar todas las medidas de seguridad requeridas por el Art. 32 RGPD.

(d) Respetar las condiciones para recurrir a subencargados (Art. 28(2) y (4)).

(e) Asistir al responsable en la atención de solicitudes de ejercicio de derechos de los interesados.

(f) Asistir al responsable en el cumplimiento de las obligaciones de los artículos 32 a 36 (seguridad, brechas, evaluaciones de impacto).

(g) Eliminar o devolver todos los datos al finalizar la prestación del servicio.

(h) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento y permitir auditorías.

Subencargados (Art. 28(2) y (4))

El encargado no puede recurrir a otro encargado (subencargado) sin la autorización previa del responsable. Esta autorización puede ser específica (para cada subencargado) o general (con obligación de informar al responsable de cualquier cambio, dándole la oportunidad de oponerse).

El Art. 28(4) exige que las mismas obligaciones del contrato principal se impongan al subencargado. Si el subencargado incumple, el encargado inicial sigue siendo plenamente responsable ante el responsable del tratamiento.

Cómo cumplir con el artículo 28 en la práctica

Paso 1: Inventariar todos los encargados

Realice un inventario exhaustivo de todos los proveedores y terceros que acceden a datos personales de la organización. Esto incluye proveedores de cloud, herramientas SaaS, servicios de marketing, consultoras, empresas de soporte técnico y cualquier tercero con acceso a sistemas que contengan datos personales.

Paso 2: Evaluar las garantías de cada encargado

Evalúe el nivel de cumplimiento de cada encargado: medidas de seguridad, políticas de protección de datos, certificaciones, localización del tratamiento y cadena de subencargados. Clasifique los resultados en tres categorías: conformes, en proceso de adecuación, no conformes.

Paso 3: Formalizar los contratos de encargo

Para cada relación encargado-responsable, asegúrese de que existe un DPA conforme al Art. 28(3). Utilice las cláusulas contractuales tipo publicadas por las autoridades de control o las CCT de la Comisión Europea cuando proceda. El contrato debe adaptarse a la realidad del tratamiento, no limitarse a un modelo genérico.

Paso 4: Supervisar y auditar

El Art. 28(3)(h) da al responsable el derecho a auditar al encargado. Establezca un programa de revisión periódica que incluya la verificación del cumplimiento de las instrucciones, la revisión de medidas de seguridad y la comprobación de la cadena de subencargados.

Gestionar decenas de encargados del tratamiento con sus respectivos DPA, subencargados y auditorías requiere una plataforma centralizada. Legiscope automatiza el inventario de encargados, genera alertas de vencimiento de contratos y documenta las evaluaciones de garantías conforme al Art. 28.

Sanciones por incumplimiento del artículo 28

Marco sancionador

Las infracciones del artículo 28 se sancionan conforme al Art. 83(4) del RGPD, con multas de hasta 10 millones EUR o el 2% del volumen de negocio anual global, lo que sea mayor.

Sanciones de la AEPD

La AEPD ha impuesto múltiples sanciones por infracciones del Art. 28:

  • Expediente PS/00098/2020 (CaixaBank): 6 millones EUR por múltiples infracciones que incluían deficiencias en la gestión de encargados del tratamiento y ausencia de contratos de encargo actualizados.
  • Expediente PS/00211/2022: 150.000 EUR a una empresa por dar acceso a datos personales a un proveedor de IT sin contrato de encargo formalizado.
  • Expediente PS/00376/2023: 75.000 EUR por autorizar subencargados sin el procedimiento de autorización previa exigido por el Art. 28(2).

Jurisprudencia del TJUE

El TJUE confirmó en su sentencia Russmedia de diciembre de 2025 que un encargado que determina autónomamente los fines y medios del tratamiento se reclasifica automáticamente como responsable del tratamiento y asume responsabilidad directa bajo el RGPD. Esto refuerza la importancia de que el contrato de encargo defina claramente los límites de las instrucciones del responsable.

FAQ

¿Qué debe incluir un contrato de encargo del tratamiento según el Art. 28 RGPD?

El Art. 28(3) exige que el contrato especifique el objeto y duración del tratamiento, la naturaleza y finalidad, los tipos de datos personales tratados, las categorías de interesados y las obligaciones del encargado. Estas obligaciones incluyen tratar los datos solo conforme a instrucciones documentadas, garantizar la confidencialidad, adoptar medidas de seguridad (Art. 32), respetar las reglas sobre subencargados, asistir en el ejercicio de derechos y eliminar los datos al finalizar el servicio.

¿Es obligatorio tener un contrato de encargo con cada proveedor de SaaS?

Sí. El Art. 28(3) exige un contrato escrito para toda relación responsable-encargado sin excepción. Utilizar un servicio de cloud, una plataforma de email marketing o una herramienta de gestión de RRHH sin DPA constituye una infracción directa del Art. 28, independientemente del volumen de datos implicado. La AEPD ha sancionado esta ausencia en múltiples expedientes.

¿Puede un encargado utilizar subencargados sin comunicarlo al responsable?

No. El Art. 28(2) exige una autorización previa, específica o general, del responsable. En caso de autorización general, el encargado debe informar al responsable de cualquier adición o sustitución de subencargados, otorgándole la oportunidad de oponerse. Si no se sigue este procedimiento, la AEPD puede sancionar tanto al encargado como al responsable.

¿Cuáles son las sanciones por no cumplir con el artículo 28 RGPD?

El Art. 83(4) establece multas de hasta 10 millones EUR o el 2% del volumen de negocio anual global. La AEPD ha impuesto sanciones que van desde 75.000 EUR hasta 6 millones EUR por ausencia de contrato de encargo, deficiencias en la supervisión de encargados y autorización irregular de subencargados.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

Best GDPR Compliance Software for SMEs (2026)
Data Privacy

Best GDPR Compliance Software for SMEs (2026)

Consent Management Platforms Compared (2026)
Data Privacy

Consent Management Platforms Compared (2026)

Cookie Audit: How to Map Your Website's Cookies
Data Privacy

Cookie Audit: How to Map Your Website's Cookies

Cookie Banner Compliance: What Actually Meets the Law
Data Privacy

Cookie Banner Compliance: What Actually Meets the Law

Cookie Consent Under GDPR and ePrivacy: Complete Guide
Data Privacy

Cookie Consent Under GDPR and ePrivacy: Complete Guide