Skip to main content

Acuerdo de Corresponsables del Tratamiento España

Datos clave

EspañaEspañaEspañol (ES)GratisPDF & WordActualizado 6 jun 2026
Base legalEspañaNotarización: No requeridaTestigos: 0Partes: 2
Acuerdo de Corresponsables del Tratamiento
Joint Controller Agreement Spain (Acuerdo de Corresponsables del Tratamiento)

Acuerdo de Corresponsables del Tratamiento

Regulado por el artículo 26 del RGPD (UE) 2016/679 y la Ley Orgánica 3/2018 (LOPDGDD)

1. CORRESPONSABLES DEL TRATAMIENTO

PRIMER CORRESPONSABLE:

Contacto del DPD: [Controller One DPO]

SEGUNDO CORRESPONSABLE:

Contacto del DPD: [Controller Two DPO]

2. ACTIVIDAD DE TRATAMIENTO CONJUNTA

Las partes determinan conjuntamente los fines y los medios de la siguiente actividad de tratamiento de datos personales, constituyendo corresponsabilidad del tratamiento en el sentido del artículo 26 del Reglamento General de Protección de Datos (RGPD — Reglamento (UE) 2016/679):

Descripción del Tratamiento: [Processing Description]

Categorías de Datos Personales: [Data Categories]

Interesados: [Data Subjects]

Finalidad(es) del Tratamiento: [Processing Purpose]

Base Jurídica: [Legal Basis], conforme a lo exigido por el artículo 6 RGPD.

Período de Conservación: [Retention Period]

3. REPARTO DE RESPONSABILIDADES

Conforme al artículo 26.1 del RGPD, los corresponsables determinan por el presente sus respectivas responsabilidades para el cumplimiento de las obligaciones del RGPD:

Aviso de Privacidad (arts. 13–14 RGPD): [Privacy Notice Responsibility]

Punto de Contacto para el Ejercicio de Derechos: [Rights Contact Point]. Sin perjuicio de este reparto interno, conforme al artículo 26.3 RGPD, los interesados podrán ejercer sus derechos conforme a los artículos 15 a 21 RGPD frente a cualquiera de los corresponsables.

Medidas de Seguridad (art. 32 RGPD): [Security Responsibility]

Notificación de Brechas de Seguridad (art. 33 RGPD): [Breach Notification Responsibility]. La parte notificante deberá informar a la Agencia Española de Protección de Datos (AEPD) a través de aepd.es en el plazo de 72 horas desde que tenga conocimiento de la brecha de seguridad de datos personales.

4. TRANSPARENCIA FRENTE A LOS INTERESADOS

Conforme al artículo 26.2 del RGPD, el contenido esencial de este acuerdo se pondrá a disposición de los interesados —incluida la identidad de ambos corresponsables y el punto de contacto designado para el ejercicio de derechos— a través de las políticas de privacidad, políticas de cookies y avisos informativos publicados por cada parte en sus respectivos canales digitales y físicos.

5. RESPONSABILIDAD E INDEMNIZACIÓN

Cada corresponsable responde individualmente frente a los interesados por la totalidad de los daños causados por el tratamiento conjunto conforme al artículo 82 del RGPD y al artículo 30 de la LOPDGDD. Entre los corresponsables, la responsabilidad por sanciones del RGPD, indemnizaciones y costes de investigación de la AEPD se repartirá en proporción al grado de contribución de cada parte a la infracción, según lo que determinen de mutuo acuerdo o, en su defecto, los tribunales de la jurisdicción pactada en este documento.

6. LEY APLICABLE

Este acuerdo se rige por el RGPD (UE) 2016/679, la Ley Orgánica 3/2018 (LOPDGDD) y la legislación española. La Agencia Española de Protección de Datos (AEPD) es la autoridad de control competente para las actividades de tratamiento que afecten a interesados en España. Los conflictos entre los corresponsables se resolverán ante los tribunales de Madrid.

FIRMAS

Firmado en [City], el [Agreement Date].

PRIMER CORRESPONSABLE:

Firma: _________________________ Fecha: _________________________

SEGUNDO CORRESPONSABLE:

Firma: _________________________ Fecha: _________________________

Primer Corresponsable

________________

Signature

Segundo Corresponsable

________________

Signature

Mantenido por Vladislav Sergienko, Fundador·Plantilla modificada por última vez: ·Informar de un error

Qué es Acuerdo de Corresponsables del Tratamiento España

El Acuerdo de Corresponsables del Tratamiento es, en España, el contrato escrito regulado por Reglamento General de Protección de Datos (UE) 2016/679 art. 26; Ley Orgánica 3/2018 (LOPDGDD), que fija por escrito los derechos y obligaciones recíprocos de las partes y resulta exigible ante los tribunales civiles.

El Artículo 26.1 RGPD establece que cuando dos o más responsables determinan conjuntamente los fines y los medios del tratamiento —corresponsables del tratamiento en español— deben fijar de forma transparente, mediante acuerdo entre ellos, sus responsabilidades respectivas en el cumplimiento de las obligaciones del RGPD. La esencia de la corresponsabilidad radica en la determinación conjunta tanto del porqué (fines) como del cómo (medios) del tratamiento; cuando una parte se limita a prestar un servicio siguiendo las instrucciones de la otra, la relación es de responsable-encargado del tratamiento conforme al Artículo 28 RGPD, no de corresponsables.

El Tribunal de Justicia de la Unión Europea (TJUE) precisó la distinción entre corresponsabilidad y la relación responsable-encargado en resoluciones clave: Asunto C-25/17 (Testigos de Jehová, 2018), Asunto C-210/16 (Wirtschaftsakademie, 2018) —los administradores de páginas de Facebook y Facebook son corresponsables del tratamiento de datos de visitantes— y Asunto C-40/17 (Fashion ID, 2019) —los operadores de sitios web que integran el botón «Me gusta» de Facebook son corresponsables con Facebook en la fase inicial de recogida de datos—. Estas sentencias ampliaron significativamente el concepto de corresponsabilidad y la AEPD las ha aplicado en sus resoluciones sancionadoras.

La AEPD —autoridad supervisora independiente de España constituida conforme al Artículo 36 LOPDGDD, con sede en Calle Jorge Juan 6, 28001 Madrid— ejerce potestades de investigación y corrección sobre los responsables del tratamiento en España conforme a los artículos 57 y 58 RGPD. La AEPD publica guías prácticas sobre corresponsabilidad, entre ellas la Guía sobre las relaciones entre responsable y encargado del tratamiento (2021), que analiza en detalle cuándo las organizaciones son corresponsables frente a cuándo existe una relación responsable-encargado.

Las organizaciones españolas que actúen como corresponsables deben prever en el acuerdo la atención de los derechos de los interesados: acceso, rectificación, supresión (derecho al olvido), limitación, portabilidad y oposición conforme a los artículos 15 a 21 RGPD. Conforme al Artículo 26.3 RGPD, los interesados pueden ejercitar sus derechos frente a cualquiera de los corresponsables con independencia de la asignación interna, lo que hace imprescindible un mecanismo práctico claro para evitar lagunas o duplicidades.

La LOPDGDD, artículos 37 a 42, proporciona el marco nacional español complementario al RGPD en materia de corresponsabilidad, con normas específicas sobre delegados de protección de datos (DPD), designación obligatoria del DPD para autoridades públicas, organizaciones que tratan categorías especiales de datos a gran escala y entidades que tratan datos de antecedentes penales conforme al Artículo 34 LOPDGDD.

Cuándo necesitas Acuerdo de Corresponsables del Tratamiento España

El Acuerdo de Corresponsables del Tratamiento España es obligatorio siempre que dos o más organizaciones determinen de forma independiente los fines y los medios de una actividad de tratamiento de datos personales compartida. La obligación del Artículo 26 RGPD de documentar el acuerdo por escrito existe en cuanto se produce corresponsabilidad de hecho, con independencia de que las organizaciones la reconozcan formalmente.

Se necesita cuando dos empresas de un mismo grupo empresarial comparten datos de RR. HH. de empleados, bases de datos de clientes o sistemas CRM para fines de marketing, analítica u operaciones determinados conjuntamente. Los grupos españoles en que sociedad matriz y filiales comparten infraestructura de datos son corresponsables del tratamiento para las actividades de datos compartidas, aunque la matriz domine la toma de decisiones, según ha confirmado la AEPD en sus resoluciones sancionadoras.

Es necesario cuando una empresa española y una plataforma tecnológica asociada —red social, proveedor de analítica o red publicitaria— determinan conjuntamente los fines del tratamiento de datos de visitantes o usuarios. Tras la sentencia del TJUE en el Asunto Fashion ID (C-40/17, 2019), las empresas españolas que integran tecnologías de seguimiento de terceros (píxeles, cookies, SDK) en sus sitios web son corresponsables con el proveedor tecnológico en la fase inicial de recogida de datos.

Se requiere cuando centros de salud y hospitales españoles participan en sistemas compartidos de historia clínica electrónica operados por Consejerías de Sanidad autonómicas: tanto el prestador sanitario como la autoridad regional de salud determinan conjuntamente los fines del tratamiento de datos de salud y deben documentar sus responsabilidades respectivas.

Es obligatorio cuando administraciones públicas españolas —Ayuntamientos, Diputaciones, Ministerios— comparten datos de ciudadanos con otros organismos públicos a través de plataformas de interoperabilidad reguladas por la Ley 40/2015 de Régimen Jurídico del Sector Público y el Esquema Nacional de Interoperabilidad (ENI — Real Decreto 4/2010). La AEPD ha tratado específicamente los acuerdos de corresponsabilidad entre administraciones en su Informe 0042/2020.

También se precisa cuando instituciones de investigación españolas (universidades, centros de investigación) comparten datos personales en proyectos de investigación en consorcio, ensayos clínicos o estudios epidemiológicos. Los miembros del consorcio que diseñan colectivamente el protocolo de investigación y la metodología de recogida de datos son corresponsables, lo que exige un acuerdo de intercambio de datos conforme al Artículo 26 RGPD junto con la normativa aplicable en materia de ensayos clínicos bajo la Ley 14/2007 de Investigación Biomédica.

Qué incluir en tu Acuerdo de Corresponsables del Tratamiento España

Todo Acuerdo de Corresponsables del Tratamiento España válido conforme al Artículo 26 RGPD y la LOPDGDD debe contener las siguientes disposiciones para satisfacer los requisitos regulatorios y superar el escrutinio de la AEPD en un procedimiento de investigación o reclamación.

Identificación de los corresponsables: nombre legal completo, NIF/CIF, domicilio social y datos de contacto en materia de protección de datos de cada corresponsable; identificación del Delegado de Protección de Datos (DPD) de cada parte, cuando sea designado conforme al Artículo 37 RGPD o sea obligatorio conforme al Artículo 34 LOPDGDD. El punto de contacto del DPD debe publicarse en el sitio web de la organización conforme al Artículo 37.7 RGPD.

Descripción de las actividades de tratamiento conjunto: descripción precisa de la actividad de tratamiento sujeta a corresponsabilidad —categorías de datos personales tratados (datos ordinarios o datos especialmente protegidos conforme al Artículo 9 RGPD), interesados afectados, finalidades del tratamiento, base jurídica conforme al Artículo 6 RGPD y operaciones de tratamiento realizadas por cada parte.

Reparto de obligaciones RGPD: asignación específica entre los corresponsables de las responsabilidades relativas a: (a) confirmación de que existe una base jurídica válida para el tratamiento; (b) facilitación de la información de privacidad a los interesados conforme a los artículos 13 y 14 RGPD; (c) adopción de medidas de seguridad técnicas y organizativas adecuadas conforme al Artículo 32 RGPD; (d) mantenimiento del registro de actividades de tratamiento conforme al Artículo 30 RGPD; (e) realización de Evaluaciones de Impacto en la Protección de Datos (EIPD) conforme al Artículo 35 RGPD cuando sea necesario; y (f) notificación de violaciones de seguridad a la AEPD en 72 horas conforme al Artículo 33 RGPD.

Atención de derechos de los interesados: procedimiento acordado para recibir, tramitar y responder solicitudes de ejercicio de derechos —acceso, rectificación, supresión, limitación, portabilidad y oposición— en el plazo de un mes del Artículo 12.3 RGPD. Debe identificarse el punto de contacto único para los interesados, aunque conforme al Artículo 26.3 RGPD cada corresponsable sigue siendo individualmente responsable con independencia de la asignación interna.

Conservación y supresión de datos: plazos de conservación acordados para cada categoría de datos, alineados con las finalidades del tratamiento y las obligaciones legales aplicables, y procedimiento de supresión o anonimización al término del plazo de conservación.

Transferencias internacionales de datos: cuando se transfieran datos personales fuera del Espacio Económico Europeo (EEE), debe identificarse el mecanismo de transferencia aplicable conforme al Capítulo V RGPD (Cláusulas Contractuales Tipo conforme a la Decisión de Ejecución (UE) 2021/914; decisiones de adecuación; normas corporativas vinculantes) y asignarse la responsabilidad de su aplicación entre los corresponsables.

Responsabilidad e indemnización: asignación interna de la responsabilidad entre los corresponsables por multas administrativas del RGPD e indemnizaciones —las sanciones de la AEPD por infracciones graves (Artículo 83.5 RGPD) alcanzan hasta 20.000.000 € o el 4% del volumen de negocio global anual—. El Artículo 77 LOPDGDD establece procedimientos sancionadores específicos para las administraciones públicas. Debe especificarse el mecanismo de repetición entre corresponsables por las indemnizaciones abonadas a los interesados conforme al Artículo 82 RGPD.

Forms-legal.com ofrece esta plantilla de Acuerdo de Corresponsables del Tratamiento España como punto de partida práctico. Todo acuerdo de corresponsabilidad debe revisarse por un abogado especialista en protección de datos o un DPD con conocimiento de la práctica sancionadora de la AEPD y del contexto específico del tratamiento, ya que la clasificación errónea de las relaciones de corresponsabilidad es un hallazgo recurrente en las investigaciones de la AEPD y puede acarrear sanciones administrativas. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.

Citar esta página

CC BY 4.0 · libre de citar

Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:

APA
Forms Legal. (2026). Acuerdo de Corresponsables del Tratamiento España (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/business/policies/acuerdo-corresponsables-tratamiento-espana
MLA
"Acuerdo de Corresponsables del Tratamiento España (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/business/policies/acuerdo-corresponsables-tratamiento-espana.
Chicago
Forms Legal. "Acuerdo de Corresponsables del Tratamiento España (España)." Forms Legal, 2026. https://forms-legal.com/es/espana/business/policies/acuerdo-corresponsables-tratamiento-espana.
BibTeX
@misc{formslegal-acuerdo-corresponsables-tratamiento-espana,
  author       = {{Forms Legal}},
  title        = {Acuerdo de Corresponsables del Tratamiento España (España)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/es/espana/business/policies/acuerdo-corresponsables-tratamiento-espana}},
  note         = {Free legal document template}
}
Wikipedia
{{cite web |title=Acuerdo de Corresponsables del Tratamiento España (España) |website=Forms Legal |publisher=Forms Legal |date=2026 |url=https://forms-legal.com/es/espana/business/policies/acuerdo-corresponsables-tratamiento-espana}}
RIS
TY  - ELEC
T1  - Acuerdo de Corresponsables del Tratamiento España (España)
T2  - Forms Legal
PB  - Forms Legal
PY  - 2026
UR  - https://forms-legal.com/es/espana/business/policies/acuerdo-corresponsables-tratamiento-espana
ER  - 
Forms LegalActualizado 2026-06-06.bib.ris

También disponible para estas jurisdicciones:

Preguntas Frecuentes

Plantilla con referencias legales — Plantilla modificada por última vez en junio de 2026

Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo

¿Encontró un error? Avísenos