Cumplimiento

Modelo de contrato de encargado del tratamiento 2026 (art. 28 RGPD) + plantilla

Modelo de contrato de encargado del tratamiento art. 28 RGPD 2026: cláusulas obligatorias, plantilla completa lista para adaptar y errores que sanciona la AEPD.

También disponible en:Svenska·da·no·Português·Nederlands·fi·et

En una frase. El contrato de encargado del tratamiento del artículo 28 RGPD debe constar por escrito y fijar objeto, duración, finalidad, tipos de datos y obligaciones del encargado; abajo tienes una plantilla completa lista para adaptar, con las cláusulas que la AEPD revisa sistemáticamente.

Puntos clave

  • El art. 28.3 RGPD exige un contrato escrito por cada relación de encargo; su ausencia es infracción autónoma.
  • Ocho contenidos mínimos: objeto, duración, naturaleza y finalidad, tipo de datos, categorías de interesados, obligaciones y derechos del responsable, y las garantías del encargado.
  • La subcontratación exige autorización previa (general o específica) y traslado de las mismas obligaciones al subencargado.
  • Al terminar el encargo, el encargado devuelve o suprime los datos, a elección del responsable.
  • Un contrato genérico sin adaptar los anexos de datos es una observación recurrente de la AEPD.

1. Cuándo se necesita un contrato de encargado

Siempre que un tercero trate datos personales por cuenta del responsable: proveedor de software en la nube, gestoría, agencia de marketing, empresa de mantenimiento informático, call center, plataforma de email, servicio de destrucción documental. El artículo 28 RGPD impone un contrato u otro acto jurídico que vincule al encargado con el responsable. No basta con las condiciones generales del proveedor: deben contener, específicamente, los contenidos que exige la norma.

Este modelo desarrolla en forma de plantilla lo que la guía de obligaciones del artículo 28 explica en detalle, y se integra con el resto de documentación: registro de actividades, política de privacidad y procedimiento de brechas de seguridad.

2. Contenidos mínimos exigidos por el art. 28.3

Bloque Contenido Base
Objeto Descripción del encargo art. 28.3
Duración Vigencia del tratamiento art. 28.3
Naturaleza y finalidad Para qué se tratan los datos art. 28.3
Tipo de datos Categorías de datos personales art. 28.3
Categorías de interesados A quién pertenecen los datos art. 28.3
Instrucciones Tratar solo bajo instrucción documentada art. 28.3.a
Confidencialidad Compromiso del personal art. 28.3.b
Seguridad Medidas del art. 32 art. 28.3.c
Subencargados Autorización y contrato en cadena art. 28.2 y 28.3.d
Asistencia Derechos de los interesados art. 28.3.e
Brechas y EIPD Asistencia al responsable art. 28.3.f
Devolución/supresión Al fin del encargo art. 28.3.g
Auditoría Información y auditorías art. 28.3.h

3. Plantilla de contrato de encargado del tratamiento

Adapta los campos entre corchetes. Sustituye los anexos por los datos reales del encargo. Este modelo es un punto de partida, no un documento final: revísalo con criterio jurídico antes de firmarlo.

CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS PERSONALES

En [lugar], a [fecha].

REUNIDOS

De una parte, [RESPONSABLE], con NIF [·] y domicilio en [·] (en adelante, el «Responsable»).

De otra parte, [ENCARGADO], con NIF [·] y domicilio en [·] (en adelante, el «Encargado»).

Ambas partes se reconocen capacidad para contratar y acuerdan las siguientes

CLÁUSULAS

Primera. Objeto. El Encargado tratará los datos personales necesarios para prestar el servicio de [·] al Responsable, conforme a lo previsto en el art. 28 del Reglamento (UE) 2016/679 (RGPD) y en la Ley Orgánica 3/2018 (LOPDGDD).

Segunda. Descripción del tratamiento. La naturaleza, finalidad, tipo de datos personales y categorías de interesados se detallan en el Anexo I.

Tercera. Duración. El presente contrato estará vigente mientras dure la prestación del servicio principal. A su finalización, el Encargado procederá conforme a la cláusula Décima.

Cuarta. Obligaciones del Encargado. El Encargado se obliga a:

a) Tratar los datos únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las transferencias internacionales; si una norma le obliga a tratar de otro modo, informará al Responsable salvo prohibición legal.

b) Garantizar que las personas autorizadas a tratar los datos se comprometen a respetar la confidencialidad.

c) Aplicar las medidas técnicas y organizativas apropiadas del art. 32 RGPD.

d) No subcontratar sin autorización previa del Responsable; el subencargado quedará sujeto a las mismas obligaciones mediante contrato.

e) Asistir al Responsable en la respuesta a las solicitudes de ejercicio de derechos de los interesados.

f) Asistir al Responsable en el cumplimiento de las obligaciones de seguridad, notificación de brechas y evaluación de impacto (arts. 32 a 36 RGPD).

g) Notificar al Responsable, sin dilación indebida, cualquier violación de la seguridad de los datos de la que tenga conocimiento.

h) Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías.

Quinta. Confidencialidad. El deber de confidencialidad subsiste tras la finalización del contrato.

Sexta. Seguridad. Las medidas de seguridad aplicadas se describen en el Anexo II.

Séptima. Subencargados. El Responsable [autoriza / no autoriza] con carácter general la subcontratación. El Encargado informará de altas y bajas de subencargados con antelación suficiente para permitir la oposición del Responsable.

Octava. Transferencias internacionales. Cualquier transferencia fuera del EEE requerirá garantías del art. 46 RGPD e instrucción documentada del Responsable.

Novena. Asistencia y notificación. El Encargado notificará las brechas en un plazo máximo de [·] horas desde que tenga conocimiento, con la información del art. 33.3 en la medida en que disponga de ella.

Décima. Fin del encargo. A elección del Responsable, el Encargado [devolverá / suprimirá] los datos y las copias existentes, salvo obligación legal de conservación.

Undécima. Responsabilidad. Cada parte responde de los daños que cause por incumplimiento, conforme al art. 82 RGPD.

Firmado por ambas partes.

Anexo I — Descripción del tratamiento: finalidad, naturaleza, tipos de datos, categorías de interesados, duración.

Anexo II — Medidas de seguridad: control de accesos, cifrado, copias de seguridad, seudonimización, registro de actividad, gestión de incidentes.

4. Los anexos son la parte crítica

La AEPD no sanciona por falta de literatura contractual, sino por anexos vacíos o genéricos. El Anexo I debe describir el tratamiento real (qué datos, de quién, para qué), y el Anexo II, las medidas de seguridad efectivamente aplicadas, proporcionadas al riesgo. Un contrato impecable con anexos copiados de una plantilla sin adaptar no acredita el cumplimiento del art. 28.

5. Subcontratación en cadena

Si el encargado usa a su vez proveedores (cloud, correo, mantenimiento), cada uno es subencargado y debe quedar vinculado por las mismas obligaciones. El responsable ha de autorizar la subcontratación y poder oponerse a nuevos subencargados. Cuando algún eslabón está fuera del EEE, hay que analizar las transferencias internacionales de datos y documentar las garantías del art. 46.

6. Errores frecuentes que sanciona la AEPD

  • Ausencia total de contrato con un proveedor que sí trata datos.
  • Contrato firmado pero con anexos genéricos o en blanco.
  • No regular la subcontratación ni informar de los subencargados.
  • Omitir el plazo de notificación de brechas del encargado al responsable.
  • No prever la devolución o supresión de datos al terminar.

Estos fallos figuran entre los más habituales en las resoluciones recogidas en el tracker de sanciones AEPD 2025 y en el panorama de sanciones RGPD.

7. Integración en el sistema de cumplimiento

El contrato de encargado no vive solo: cada proveedor debe figurar en el registro de actividades, reflejarse en la política de privacidad y estar cubierto por el procedimiento de brechas. Mantener decenas de contratos vivos, con sus anexos y sus subencargados, es precisamente el trabajo que una plataforma como Legiscope automatiza; para comparar herramientas, ver software de cumplimiento RGPD, y para el marco general, la checklist RGPD España.

8. Encargado, corresponsable o cesión: no confundir las figuras

No toda comunicación de datos a un tercero es un encargo. Distinguir las tres figuras evita firmar el contrato equivocado:

  • Encargado del tratamiento (art. 28): el tercero trata datos por cuenta y bajo instrucciones del responsable, sin decidir sobre las finalidades. Ejemplo: proveedor cloud, gestoría de nóminas. Documento: contrato de encargo.
  • Corresponsabilidad (art. 26): dos o más responsables deciden conjuntamente finalidades y medios. Ejemplo: dos empresas que operan una plataforma común. Documento: acuerdo de corresponsables que reparta las obligaciones y el punto de contacto.
  • Cesión o comunicación de datos: el tercero recibe los datos para tratarlos con sus propias finalidades, como responsable independiente. Ejemplo: comunicar datos a una entidad financiera para una operación del cliente. Requiere base jurídica propia (consentimiento u obligación legal), no un contrato de encargo.

El error clásico es firmar un contrato de encargo cuando en realidad hay una cesión —o al revés—, lo que deja el tratamiento sin la cobertura jurídica correcta. Antes de redactar el documento, conviene calificar la relación: ¿quién decide el porqué y el cómo del tratamiento?

Véase también: cláusulas contractuales tipo.

Preguntas frecuentes

¿Necesito un contrato de encargado con mi proveedor de software en la nube?

Sí. Si el proveedor trata datos personales por tu cuenta (correo, CRM, ERP, almacenamiento), es encargado del tratamiento y el art. 28 exige contrato escrito con los contenidos mínimos. Sus condiciones generales solo valen si los incluyen específicamente.

¿Vale un contrato genérico para todos mis encargados?

Puedes reutilizar el cuerpo del contrato, pero los anexos deben adaptarse a cada encargo concreto: qué datos, de quién y qué medidas de seguridad. La AEPD sanciona precisamente los anexos genéricos o vacíos.

¿Cuánto tiempo tengo para firmar el contrato de encargado?

Debe existir antes de que el encargado empiece a tratar los datos, no después. Trabajar con un proveedor sin contrato del art. 28 es ya una infracción, aunque no haya ocurrido ningún incidente.

¿Qué pasa con los datos cuando termina el contrato?

El encargado debe devolverlos o suprimirlos, a elección del responsable, junto con las copias, salvo que una ley obligue a conservarlos. Conviene documentar la devolución o el certificado de destrucción.

Conclusión

El contrato de encargado del tratamiento es uno de los documentos que la AEPD revisa primero en cualquier inspección, y uno de los que más empresas incumplen por defecto: firman las condiciones del proveedor sin comprobar que contienen los ocho contenidos del art. 28 y sin adaptar los anexos al tratamiento real. La plantilla anterior cubre el cuerpo del contrato; el trabajo serio está en los anexos y en mantener vivos todos los contratos y sus subencargados. Un inventario de encargados actualizado es la mejor prueba del principio de responsabilidad proactiva.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →