Encargado del tratamiento en Barcelona: contrato obligatorio

Cuándo existe un encargado del tratamiento en la práctica empresarial

En protección de datos, un proveedor actúa como encargado del tratamiento cuando trata datos personales por cuenta de otro, siguiendo sus instrucciones y para prestar un servicio. Esto sucede con mucha frecuencia en empresas y despachos de Barcelona que subcontratan servicios de gestoría, recursos humanos, informática, almacenamiento cloud, call center, mantenimiento de sistemas, destrucción de documentación o herramientas de mailing.

El problema aparece cuando se confunde a un simple proveedor con un tercero independiente o cuando se cree que una factura, una propuesta comercial o unas condiciones estándar ya cubren el encaje legal. Si el proveedor accede a datos personales para prestar el servicio, el contrato de encargo no es un detalle opcional. Es una exigencia vinculada al RGPD y debe ajustarse a la realidad del tratamiento.

• Hay encargo cuando el proveedor trata datos siguiendo instrucciones de su empresa.
• No todo acceso puntual implica lo mismo, pero debe analizarse con criterio real y no formal.
• Las pymes suelen detectar el riesgo tarde, cuando ya existe intercambio de bases de datos o accesos remotos.
• En grupos empresariales también puede haber encargos entre sociedades si una trata datos por cuenta de otra.
• La identificación correcta del rol evita contratos defectuosos y responsabilidades mal repartidas.

Normativa aplicable y criterio útil en España y Cataluña

La base principal está en el Reglamento General de Protección de Datos, que regula la relación entre responsable y encargado del tratamiento, y en la Ley Orgánica 3/2018, que completa el marco español. El contrato o acto jurídico debe recoger el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos, las categorías de interesados y las obligaciones y derechos del responsable.

En Cataluña conviene atender también a la práctica institucional de la Autoritat Catalana de Protecció de Dades cuando el tratamiento afecta a entidades sujetas a su ámbito competencial. En el sector privado general, la referencia habitual sigue siendo la AEPD, sin perjuicio de que el análisis concreto pueda variar según la actividad, el sector y la localización de los tratamientos o proveedores.

• El RGPD exige que el encargo se documente por escrito, incluso en formato electrónico.
• La LOPDGDD refuerza el marco español y la responsabilidad proactiva de las organizaciones.
• El contenido del acuerdo debe responder al servicio real, no copiar una plantilla genérica.
• La selección del encargado exige garantías suficientes en medidas técnicas y organizativas.
• La supervisión no termina al firmar, porque debe mantenerse durante toda la relación.

Qué revisar antes de contratar en Barcelona y pasos previos

No existe un plazo único fijado en días para firmar el contrato, pero la lógica legal es clara: debe estar formalizado antes de que el proveedor acceda a datos personales o en el mismo momento en que se activa el servicio. Esperar a regularizar después es una práctica arriesgada, porque durante ese tiempo ya se ha producido tratamiento sin la cobertura documental adecuada.

Antes de contratar conviene mapear qué proveedor verá qué datos, desde dónde accederá, si habrá transferencias internacionales, si subcontratará parte del servicio y cómo se acreditan sus medidas de seguridad. En Barcelona es frecuente que la contratación se cierre con rapidez en servicios tecnológicos, coworking, software o gestoría externa. Precisamente por esa agilidad conviene incorporar una revisión documental previa en el circuito interno.

• Identifique el servicio y determine si existe acceso real a datos personales.
• Revise si el proveedor actúa con instrucciones suyas o con fines propios.
• Compruebe dónde se alojan los datos y si intervienen subencargados.
• Exija información mínima sobre seguridad, confidencialidad y soporte de incidencias.
• Bloquee el alta operativa del servicio hasta tener el encargo correctamente documentado.

Obligaciones del responsable, del proveedor y límites del acceso a datos

El responsable del tratamiento decide para qué y por qué se tratan los datos. El encargado, en cambio, los trata por cuenta del responsable y debe hacerlo con arreglo a sus instrucciones documentadas. Esto significa que el proveedor no puede usar los datos para fines propios, ni conservarlos por comodidad, ni compartirlos libremente con terceros, salvo que exista base legal y cobertura contractual suficiente.

La empresa que contrata no queda liberada por el simple hecho de externalizar. Debe elegir un encargado con garantías, documentar el encargo, supervisar su ejecución y reaccionar ante desviaciones. El proveedor, por su parte, debe mantener la confidencialidad, aplicar medidas de seguridad adecuadas, asistir al responsable cuando proceda y devolver o suprimir los datos al finalizar, según lo pactado y la normativa aplicable.

• El responsable debe dar instrucciones claras y proporcionales al servicio contratado.
• El encargado debe garantizar confidencialidad y limitar los accesos autorizados.
• La subcontratación requiere autorización previa, específica o general, con control real.
• El proveedor debe ayudar en brechas de seguridad y en el ejercicio de derechos cuando corresponda.
• Al terminar el servicio, debe regularse la devolución, supresión o bloqueo de la información.

Riesgos, costes y consecuencias de no formalizar el contrato

No disponer de un contrato adecuado puede generar costes indirectos relevantes, incluso antes de hablar de sanciones. Por ejemplo, retrasos en auditorías, objeciones de clientes corporativos, bloqueo de operaciones de due diligence, incidencias con proveedores tecnológicos, problemas para resolver el servicio o dificultades para demostrar que existían instrucciones claras y medidas razonables.

Además, si se produce una brecha de seguridad, un acceso indebido o un conflicto sobre la devolución de datos, la falta de encargo complica mucho la defensa jurídica y la reconstrucción de hechos. En sectores sensibles o en relaciones B2B exigentes, este documento se ha convertido en una pieza habitual de compliance contractual. Su ausencia puede deteriorar la posición negociadora y la trazabilidad interna del negocio.

• Puede haber exposición a procedimientos ante la autoridad de control competente.
• Se dificulta probar quién decidió, quién ejecutó y bajo qué instrucciones.
• El cliente o socio comercial puede exigir regularización inmediata o suspender el servicio.
• La salida del proveedor resulta más costosa si no se pactó la entrega ordenada de datos.
• Las incidencias reputacionales aumentan cuando falta documentación básica de cumplimiento.

Documentación y pruebas clave del encargo de tratamiento

La mejor forma de prevenir conflictos es conservar evidencia documental suficiente desde el inicio de la relación. No se trata solo del contrato principal, sino de todo lo que ayude a acreditar el alcance del servicio, las instrucciones dadas, la fecha de acceso, las personas autorizadas y la respuesta frente a incidencias. Esa trazabilidad es muy útil si hay una inspección, una reclamación o una discusión con el proveedor al finalizar la relación.

Cuando la contratación se ha hecho con prisa o con proveedores que operan mediante plataformas, conviene reconstruir el expediente: propuesta, aceptación, anexos, políticas, tickets, comunicaciones, permisos y evidencias de cumplimiento. En entornos empresariales de Cataluña suele ser especialmente relevante ordenar bien quién aprobó el servicio y qué versión contractual estaba vigente en cada momento.

• Contrato de encargo firmado o aceptado electrónicamente, con anexos y versiones aplicables.
• Requerimiento fehaciente, como burofax o comunicación equivalente, si necesita regularizar, rectificar o pedir devolución de datos.
• Trazabilidad documental interna: correos, facturas, actas, presupuestos, órdenes de compra, tickets o solicitudes de alta.
• Evidencias de seguridad y acceso: usuarios autorizados, logs, inventario de sistemas y política de subencargados.
• Pruebas de finalización del servicio: certificación de supresión, devolución de soportes y cierre de accesos.

Cómo regularizar la relación con orden y sin improvisar

Si detecta que un proveedor ya accede a datos sin contrato adecuado, conviene actuar con método. El primer paso es delimitar el tratamiento real y congelar la improvisación documental. No se trata de enviar una plantilla genérica sin más, sino de revisar el servicio, los datos afectados, el ecosistema de subproveedores y el riesgo que puede generar una regularización mal planteada.

Después, lo razonable es preparar una propuesta de encargo alineada con la operativa, revisar si hay transferencias internacionales, ajustar medidas de seguridad y documentar internamente quién valida la solución. Si el proveedor se resiste, conviene valorar alternativas y dejar constancia de las comunicaciones. En muchos casos la regularización es posible sin paralizar el negocio, siempre que se prioricen los puntos críticos.

• Mapee todos los proveedores con acceso actual o potencial a datos personales.
• Clasifique por criticidad el volumen de datos, su sensibilidad y la dependencia operativa.
• Revise la documentación ya existente y detecte vacíos o cláusulas incompatibles.
• Negocie primero los puntos esenciales: objeto, instrucciones, seguridad, subencargados y fin del servicio.
• Implante un circuito interno para que futuros contratos no se activen sin validación previa.

Requerimientos, coordinación interna y negociación con proveedores

La negociación del contrato de encargo no debería quedarse solo en el departamento jurídico o externo. Intervienen compras, sistemas, recursos humanos, comercial y, en ocasiones, dirección. Una comunicación interna deficiente genera contradicciones, porque un área exige seguridad mientras otra aprueba accesos inmediatos o acepta condiciones estándar sin revisión suficiente.

Cuando el proveedor no coopera o retrasa la firma, puede ser necesario remitir una comunicación formal pidiendo regularización, delimitando los accesos y fijando una hoja de ruta. Ese tipo de notificación debe ser prudente, útil como prueba y coherente con el interés empresarial de mantener el servicio cuando sea viable. La firmeza documental no está reñida con una negociación razonable.

• Centralice un interlocutor interno para evitar mensajes contradictorios al proveedor.
• Describa por escrito qué acceso existe y qué cláusulas se consideran imprescindibles.
• Utilice canales trazables para comunicaciones sensibles o plazos de regularización.
• Evite aceptar cambios verbales que alteren seguridad, subcontratación o usos permitidos.
• Documente las propuestas, contrapropuestas y acuerdos parciales alcanzados.

Vías de reclamación o regularización ante incidencias en Cataluña

No todas las incidencias exigen una reclamación inmediata ante la autoridad de control. En muchos casos conviene intentar primero la regularización contractual, la limitación de accesos o la sustitución ordenada del proveedor. Sin embargo, si existe una brecha, una negativa persistente a cumplir o un uso de datos al margen de las instrucciones, puede ser necesario valorar actuaciones adicionales.

La vía administrativa puede corresponder a la autoridad competente según la naturaleza de la entidad y del tratamiento. Además, pueden existir acciones contractuales o de responsabilidad derivadas del incumplimiento del proveedor. En Cataluña, especialmente en relaciones empresariales del área metropolitana de Barcelona, suele ser útil agotar una fase probatoria y de requerimiento clara antes de adoptar medidas más intensas.

• Regularización amistosa con calendario, anexo contractual y limitación temporal de accesos.
• Suspensión de determinados tratamientos si el riesgo es alto y no hay garantías mínimas.
• Valoración de notificación de brecha o de deberes asociados si ha existido incidente de seguridad.
• Reclamación ante la autoridad de control competente cuando proceda por incumplimiento relevante.
• Acciones contractuales para exigir cumplimiento, resolver la relación o reclamar daños si se acreditan.

Qué hacer si ya existe acceso a datos o el contrato ya está firmado

Si el proveedor ya está tratando datos, lo primero es no empeorar el escenario con soluciones improvisadas. Revise qué documento se firmó, qué aceptaciones electrónicas existen, qué servicio real se está prestando y si el texto encaja con la operativa. A veces hay contrato, pero es insuficiente. Otras veces el encargo está disperso entre condiciones generales, anexos y correos aceptados.

Si el contrato ya está firmado, puede ser necesario corregir anexos, delimitar subencargados, reforzar instrucciones o aclarar la fase de finalización del servicio. Si no hay nada firmado, debe valorarse una regularización inmediata y, en su caso, una revisión del riesgo acumulado. Lo importante es actuar con cronología, conservar evidencia y no reconocer hechos de forma precipitada sin revisar antes la documentación completa.

• Recopile todos los documentos y versiones contractuales vigentes o históricas.
• Compruebe si el proveedor ya ha accedido, exportado o compartido datos con terceros.
• Prepare un cuadro comparativo entre servicio real y cláusulas actualmente firmadas.
• Corrija por adenda lo salvable y documente límites operativos mientras se regulariza.
• Si la relación es inviable, planifique la salida con devolución de datos y cierre de accesos.

Preguntas frecuentes

Estas dudas aparecen con frecuencia en pymes, despachos y profesionales que externalizan servicios. La respuesta depende siempre del tratamiento real y de la documentación existente.

P: ¿Siempre necesito un contrato de encargo si un proveedor ve datos personales?

R: Si el proveedor trata datos por cuenta de su empresa para prestar un servicio, en términos generales sí. Lo relevante no es el nombre del contrato mercantil principal, sino el acceso real a datos y la función que desempeña el proveedor.

P: ¿Bastan las condiciones generales del proveedor SaaS?

R: A veces incorporan un anexo de tratamiento válido en parte, pero no conviene presumirlo sin revisión. Debe comprobarse si recogen instrucciones, subencargados, seguridad, transferencias internacionales y reglas de finalización del servicio.

P: ¿Qué pasa si firmé tarde y el proveedor ya tenía acceso?

R: Debe valorarse una regularización inmediata y documentar desde cuándo existe el acceso, qué datos se tratan y qué medidas había. Firmar tarde no borra lo ocurrido, pero ayuda a ordenar la relación si se hace con rigor y prueba suficiente.

P: ¿Puede el proveedor usar mis datos para mejorar su servicio?

R: No de forma automática. Ese uso debe analizarse con mucho cuidado, porque puede desbordar el papel de encargado y alterar la base jurídica y las responsabilidades. Conviene revisar la redacción exacta y el contexto técnico.

P: ¿Influye estar en Barcelona o en Cataluña?

R: El marco general es común, pero la práctica documental, la autoridad competente en ciertos supuestos y la dinámica de proveedores pueden introducir matices. En entornos empresariales locales suele ser útil una revisión adaptada al circuito interno y a la contratación habitual de la empresa.