Encargado del tratamiento en Barcelona: contrato obligatorio
Encargado del tratamiento: sepa cuándo el contrato es obligatorio y qué debe incluir para evitar errores RGPD y revisar proveedores.
Sí: cuando un tercero trata datos personales por cuenta de su empresa, la relación con ese encargado del tratamiento debe documentarse mediante un contrato de encargo del tratamiento o acto jurídico equivalente, conforme al artículo 28 del RGPD. No se trata de una simple formalidad comercial, sino del instrumento jurídico que ordena la relación responsable-encargado y fija las garantías mínimas exigibles.
La denominación correcta importa: no estamos ante una cesión o comunicación de datos, ni ante un supuesto de corresponsabilidad, sino ante un tratamiento realizado por cuenta del responsable del tratamiento. En la práctica, esto aparece con frecuencia cuando una empresa externaliza nóminas, alojamiento cloud, soporte informático, CRM, emailing o determinados servicios de marketing, aunque habrá que valorar cada caso según el acceso real a datos y la función del proveedor.
Respuesta breve
El contrato es obligatorio cuando un tercero trata datos personales por cuenta del responsable. Si el proveedor solo recibe datos para una finalidad propia e independiente, o si existe una verdadera comunicación de datos, no estaríamos ante el mismo supuesto y conviene revisar la configuración jurídica del servicio.
Desde una perspectiva preventiva para empresas y pymes en Barcelona y Cataluña, la cuestión clave no es solo firmar algo, sino identificar bien cuándo existe realmente un encargo y si el documento recoge el contenido mínimo del RGPD en Barcelona para pymes: obligaciones esenciales y las cláusulas operativas que pueden convenir al servicio externalizado.
Qué es un encargado del tratamiento y cuándo existe realmente
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable. La clave jurídica no está en el nombre comercial del proveedor, sino en cómo se presta el servicio y en si el tercero accede a datos para ejecutar instrucciones del responsable.
Existe realmente un encargo cuando concurren, de forma general, varios elementos: el responsable decide los fines y elementos esenciales del tratamiento, el proveedor actúa para prestar un servicio al responsable, y el acceso a datos personales se produce como consecuencia de esa prestación. En estos casos, el proveedor no usa los datos para una finalidad propia e independiente, sino dentro del marco definido por su cliente.
Esto debe distinguirse de otros escenarios:
- Cesión o comunicación de datos: el tercero recibe datos para sus propios fines o en el marco de una relación jurídica distinta. Aquí no basta con etiquetar el servicio como encargo si en realidad el destinatario actúa con autonomía.
- Corresponsabilidad: dos entidades determinan conjuntamente fines y medios esenciales del tratamiento. No es un encargo y exige otro análisis jurídico.
- Servicio sin acceso a datos personales: puede ocurrir que el proveedor no necesite acceder a datos o que el acceso sea puramente eventual y no integrado en la prestación. Habrá que revisar si existe un acceso real y relevante.
Por eso, antes de pedir o firmar un contrato RGPD estándar, conviene mapear el flujo de datos: qué proveedor interviene, para qué, con qué nivel de acceso y bajo qué instrucciones. Esa revisión evita errores frecuentes, especialmente en software cloud, soporte remoto o asesorías externas con funciones mixtas.
Cuándo es obligatorio firmar un contrato de encargo del tratamiento
La obligación deriva del artículo 28 RGPD. Este precepto exige que, cuando un tratamiento vaya a realizarse por cuenta del responsable, este elija únicamente encargados que ofrezcan garantías suficientes y que la relación quede regulada por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.
En consecuencia, sí es obligatorio formalizar el encargo cuando un tercero trata datos personales por cuenta de la empresa. Lo que dependerá del caso es el formato concreto, el detalle operativo de determinadas cláusulas y si conviene añadir previsiones complementarias adaptadas al servicio.
No debe presentarse esta obligación de forma más amplia de lo que realmente dice la norma. El RGPD exige documentar la relación y fijar un contenido mínimo. A partir de ahí, muchas empresas incorporan anexos de seguridad, niveles de servicio, protocolos de incidente, matrices de subencargados o derechos de auditoría más desarrollados. Todo ello puede ser conveniente, pero no siempre tendrá el mismo alcance ni el mismo detalle en todos los servicios.
En España, la Ley Orgánica 3/2018 sirve como marco complementario de aplicación del RGPD, pero la base inequívoca de esta obligación está en el propio Reglamento. Por eso, al revisar contratos de proveedores, la referencia central debe ser siempre el artículo 28 RGPD.
Qué debe incluir el acuerdo según el artículo 28 del RGPD
El artículo 28.3 RGPD establece el contenido mínimo del contrato o acto jurídico de encargo. No es recomendable reducirlo a una cláusula genérica de confidencialidad, porque la norma exige bastante más.
De forma sintética, el acuerdo debe regular al menos los siguientes extremos:
- que el encargado trate los datos solo siguiendo instrucciones documentadas del responsable;
- el deber de que las personas autorizadas para tratar datos se comprometan a la confidencialidad o estén sujetas a una obligación legal equivalente;
- la adopción de medidas de seguridad adecuadas conforme al RGPD;
- las condiciones para recurrir a subencargados, con autorización previa específica o general según se pacte;
- la asistencia al responsable, en la medida en que proceda, para atender solicitudes de derechos de las personas interesadas;
- la asistencia en obligaciones relativas a seguridad, violaciones de seguridad, evaluaciones de impacto y consultas previas, teniendo en cuenta la naturaleza del tratamiento y la información disponible;
- el destino de los datos al finalizar la prestación, con devolución o supresión, salvo obligación legal de conservación;
- la puesta a disposición del responsable de la información necesaria para demostrar el cumplimiento y, en su caso, permitir auditorías o inspecciones en los términos pactados.
Además, el propio artículo 28 exige que el acuerdo recoja el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales, las categorías de interesados y las obligaciones y derechos del responsable. Estos elementos ayudan a definir con precisión qué servicio se externaliza y cuál es el perímetro del acceso a datos.
A partir de este mínimo legal, pueden pactarse cláusulas adicionales: tiempos de notificación si se produce una incidencia, requisitos técnicos más detallados, limitaciones geográficas del tratamiento, esquemas de certificación, reparto operativo de tareas o evidencias periódicas de cumplimiento. Su conveniencia dependerá del servicio, del volumen de datos, del riesgo y del sector.
Qué servicios suelen requerir este contrato en empresas y pymes
En el día a día de una empresa, el encargo aparece con frecuencia en servicios externalizados muy habituales. La clave no es el sector del proveedor, sino si existe tratamiento por cuenta de terceros con acceso a datos personales.
| Servicio | Puede existir encargo | Qué conviene revisar |
|---|---|---|
| Gestoría laboral o nóminas | Sí, habitualmente | Alcance del acceso, categorías de datos, subencargados y conservación |
| Hosting, cloud, backup | Sí, con frecuencia | Ubicación del tratamiento, seguridad, subprocesadores y soporte |
| CRM o software SaaS | Puede existir | Finalidad real del proveedor, acceso a datos y transferencias internacionales si las hubiera |
| Soporte informático remoto | Puede existir | Accesos puntuales o continuados, trazabilidad y confidencialidad |
| Emailing o automatización de marketing | Frecuente | Instrucciones, listas de destinatarios, subencargados y finalidades |
| Videovigilancia | Puede existir | Si la empresa de seguridad accede o gestiona imágenes por cuenta del cliente |
En pymes de Barcelona es común que convivan varios proveedores con acceso parcial a datos y que algunos contratos se hayan aceptado online, en inglés o mediante anexos incorporados a condiciones generales. Eso no impide que exista un encargo, pero sí obliga a revisar si el contenido contractual cumple realmente con el artículo 28 RGPD.
Errores frecuentes al revisar proveedores, software y asesorías externas
Uno de los errores más habituales es pensar que cualquier proveedor que “ve datos” ya es automáticamente encargado del tratamiento. Puede serlo, pero habrá que comprobar si actúa realmente por cuenta del responsable o si interviene con fines propios.
También son frecuentes estos fallos:
- firmar un modelo genérico sin describir objeto, finalidad, tipo de datos y categorías de interesados;
- confundir una cláusula de confidencialidad con un verdadero contrato de encargo;
- aceptar condiciones de software cloud sin revisar subencargados, soporte, ubicación del tratamiento o funciones del proveedor;
- no adaptar el contrato cuando cambia el servicio, el volumen de datos o las herramientas utilizadas;
- olvidar que una asesoría externa, una gestoría o un proveedor técnico pueden prestar servicios distintos, algunos como encargados y otros no, según la actividad concreta;
- presuponer que el proveedor “cumple RGPD” sin una mínima verificación documental.
Desde una óptica práctica, el problema no suele ser solo la ausencia de firma, sino la falta de coherencia entre contrato, servicio real y flujos de datos. Si se produce una incidencia, una brecha de seguridad o una reclamación, esa falta de alineación complica acreditar qué instrucciones existían, quién podía acceder y qué medidas debían aplicarse.
Cómo acreditar y mantener actualizado el contrato de encargo
Formalizar el acuerdo es solo el primer paso. Después, conviene mantener una evidencia razonable de que la relación sigue siendo correcta desde el punto de vista documental y operativo.
- Identifique qué proveedores acceden a datos por cuenta de la empresa.
- Clasifique el tipo de servicio y el alcance del acceso.
- Revise si existe contrato o acto jurídico equivalente con contenido alineado con el artículo 28.3 RGPD.
- Compruebe si hay subencargados, servicios cloud o asistencia remota que deban reflejarse.
- Actualice el documento cuando cambie la herramienta, la finalidad, la ubicación del tratamiento o el perímetro de datos.
- Conserve versiones, anexos y evidencias de aceptación para poder demostrar el cumplimiento documental.
No siempre será necesario un rediseño completo del contrato. A veces bastará con revisar anexos técnicos, el listado de subencargados o las instrucciones documentadas. En otros casos, especialmente cuando el proveedor ha evolucionado su servicio o ha incorporado nuevas funciones, puede convenir rehacer el análisis desde el inicio.
Si su empresa trabaja con varios proveedores digitales, una auditoría RGPD centrada en la relación responsable-encargado suele ser una medida útil para ordenar contratos, detectar lagunas y evitar soluciones estandarizadas que no encajan con la operativa real.
Qué conviene revisar en Barcelona y Cataluña si su empresa externaliza datos
En Barcelona y Cataluña muchas pymes combinan asesoría externa, software internacional y proveedores tecnológicos locales. Esa mezcla puede generar relaciones contractuales fragmentadas, con documentos aceptados en momentos distintos y sin una revisión jurídica unificada.
En este contexto, conviene revisar especialmente:
- si todos los proveedores con acceso a datos están identificados y clasificados correctamente;
- si la documentación contractual coincide con la operativa real de la empresa y de cada departamento;
- si los servicios cloud o de soporte implican cadenas de subencargados que deban conocerse y controlarse;
- si la gestoría, consultora o proveedor de RR. HH. actúa siempre como encargado o si hay prestaciones adicionales que exigen otra base jurídica;
- si existe una política interna para altas, cambios y bajas de proveedores con acceso a datos.
No existe una especialidad autonómica en Cataluña que sustituya el régimen del artículo 28 RGPD para este punto. El marco aplicable es el general de la normativa europea y española. Lo relevante a nivel local es la realidad empresarial: externalización intensiva, uso de soluciones SaaS y necesidad de coordinar compliance, tecnología y contratación mercantil.
En definitiva, si un proveedor trata datos personales por cuenta de su empresa, la relación debe documentarse adecuadamente como encargo del tratamiento. No documentarlo bien no solo debilita la posición de la empresa ante una revisión o incidencia, sino que complica el control real sobre proveedores, software y accesos. Un siguiente paso razonable es revisar contratos vigentes, flujos de datos y prestaciones externalizadas para comprobar si el encaje jurídico y documental es correcto.
FAQ breve
¿Una simple cláusula de confidencialidad sustituye el contrato de encargo?
No debería entenderse así. La confidencialidad forma parte del marco exigible, pero el artículo 28 RGPD pide un contenido mínimo más amplio.
¿Todos los proveedores tecnológicos son encargados del tratamiento?
No necesariamente. Habrá que valorar si tratan datos por cuenta del responsable o si actúan para fines propios o con una posición jurídica distinta.
¿Puede formalizarse el encargo mediante condiciones generales o anexos online?
Puede ocurrir, siempre que exista un acto jurídico vinculante y que el contenido cubra lo exigido por el artículo 28 RGPD. Conviene revisar la trazabilidad de la aceptación y el alcance real de esas condiciones.
Fuentes oficiales consultables
¿Necesitas orientación legal?
Te explicamos opciones generales y, si lo solicitas, te ponemos en contacto con un profesional colegiado colaborador independiente.
