Skip to main content

Acuerdo de Encargado del Tratamiento de Datos España

Datos clave

EspañaEspañaEspañol (ES)GratisPDF & WordActualizado 6 jun 2026
Base legalEspañaNotarización: No requeridaTestigos: 0Partes: 2
Data Processing Agreement (DPA) (Acuerdo de Encargado del Tratamiento)
Data Processing Agreement (DPA) Spain (Acuerdo de Encargado del Tratamiento)

ACUERDO DE ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES

Acuerdo de Encargado del Tratamiento (DPA)

Regulado por el Reglamento (UE) 2016/679 (RGPD), artículo 28, y la Ley Orgánica 3/2018 (LOPDGDD)

1. PARTES

RESPONSABLE DEL TRATAMIENTO:

Denominación social: [Controller Name]

Domicilio registral: [Controller Address]

Representante legal: [Controller Representative]

Contacto del DPD: [Controller DPO]

ENCARGADO DEL TRATAMIENTO:

Denominación social: [Processor Name]

Domicilio registral: [Processor Address]

Representante legal: [Processor Representative]

Contacto del DPD: [Processor DPO]

2. OBJETO, NATURALEZA, FINALIDAD Y DURACIÓN DEL TRATAMIENTO

Finalidad del tratamiento: [Processing Purpose]

Naturaleza de las operaciones de tratamiento: [Processing Nature]

Tipos de datos personales tratados: [Data Categories]

Categorías de interesados: [Data Subject Categories]

3. TRATAMIENTO CONFORME A INSTRUCCIONES DOCUMENTADAS Y CONFIDENCIALIDAD

Conforme al artículo 28.3.a RGPD, [Processor Name] tratará los datos personales únicamente siguiendo instrucciones documentadas de [Controller Name] y no tratará los datos para fines propios ni para ningún fin no autorizado por escrito por el responsable. El encargado notificará inmediatamente al responsable si, a su juicio, una instrucción infringe el RGPD o la LOPDGDD.

Conforme al artículo 28.3.b RGPD, [Processor Name] garantiza que todo el personal autorizado a tratar los datos personales se ha comprometido a respetar la confidencialidad —ya sea por obligación legal o mediante acuerdos contractuales de confidencialidad por escrito— y recibe la formación adecuada en protección de datos.

4. MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS (ARTÍCULO 32 RGPD)

Medidas técnicas: [Technical Measures]

Medidas organizativas: [Organisational Measures]

Las medidas de seguridad serán revisadas y actualizadas por [Processor Name] al menos anualmente y ante cualquier cambio significativo en las operaciones de tratamiento, de conformidad con la Guía de Medidas de Seguridad de la AEPD (disponible en aepd.es).

5. SUBENCARGADOS DEL TRATAMIENTO

Autorización de subencargados: [Subprocessors Authorisation]

[Processor Name] deberá imponer obligaciones de protección de datos equivalentes a cualquier subencargado del tratamiento conforme al artículo 28.4 RGPD. El encargado sigue siendo plenamente responsable frente a [Controller Name] del cumplimiento por el subencargado de las obligaciones del RGPD. Se adjunta como Anexo B a este acuerdo una lista actualizada de subencargados aprobados.

6. ASISTENCIA EN EL EJERCICIO DE DERECHOS DE LOS INTERESADOS

[Processor Name] asistirá a [Controller Name] en la atención de las solicitudes de ejercicio de derechos de los interesados conforme a los artículos 15 a 22 RGPD — acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición — dentro de los plazos establecidos por el artículo 12.3 RGPD (1 mes desde la recepción, ampliable a 3 meses en casos complejos). El encargado notificará al responsable cualquier solicitud directa de derechos recibida de un interesado en un plazo de 5 días hábiles.

7. APOYO EN LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS

[Processor Name] asistirá a [Controller Name] en la realización de las Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) conforme al artículo 35 RGPD cuando resulte necesario, y en la consulta previa a la Agencia Española de Protección de Datos (AEPD) conforme al artículo 36 RGPD, facilitando toda la información sobre las operaciones de tratamiento y las medidas de seguridad necesarias para la EIPD.

8. NOTIFICACIÓN DE VIOLACIONES DE LA SEGURIDAD DE LOS DATOS PERSONALES

[Processor Name] notificará a [Controller Name] sin dilación indebida —y en todo caso en un plazo máximo de 72 horas desde que tenga conocimiento— cualquier violación de la seguridad de los datos personales conforme al artículo 33 RGPD, proporcionando: una descripción de la violación; categorías y número aproximado de interesados afectados; categorías y número aproximado de registros de datos afectados; consecuencias probables; y medidas adoptadas o propuestas para abordar la violación. Esto permite a [Controller Name] evaluar el riesgo y notificar, en su caso, a la AEPD y a los interesados afectados.

9. DEVOLUCIÓN O SUPRESIÓN DE DATOS

Al vencimiento o resolución de este contrato de encargo, [Processor Name], a elección de [Controller Name], suprimirá de forma segura o devolverá todos los datos personales conforme al artículo 28.3.g RGPD en un plazo de 30 días naturales desde la resolución, salvo que la legislación de la UE o española exija su conservación continuada. La supresión segura deberá documentarse y certificarse al responsable.

10. CUMPLIMIENTO ANTE LA AEPD Y DERECHO DE AUDITORÍA

[Processor Name] pondrá a disposición de [Controller Name] toda la información necesaria para demostrar el cumplimiento del artículo 28 RGPD y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el responsable o por un auditor designado por este. Las infracciones del artículo 28 RGPD se clasifican conforme al artículo 83.4 RGPD como sujetas a multas administrativas de hasta 10.000.000 € o el 2% de la facturación anual global total, siendo supervisadas y sancionadas por la Agencia Española de Protección de Datos (AEPD), creada conforme al artículo 44 de la Ley Orgánica 3/2018 (LOPDGDD).

11. LEY APLICABLE

Este Acuerdo de Encargado del Tratamiento se rige por el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). Las controversias se resolverán ante los tribunales españoles competentes.

FIRMAS

RESPONSABLE DEL TRATAMIENTO:

Representado por: [Controller Representative]

Firma: _________________________ Fecha: _________________________

ENCARGADO DEL TRATAMIENTO:

Representado por: [Processor Representative]

Firma: _________________________ Fecha: _________________________

Responsable del tratamiento / Representante legal

________________

Signature

Encargado del tratamiento / Representante legal

________________

Signature

Mantenido por Vladislav Sergienko, Fundador·Plantilla modificada por última vez: ·Informar de un error

Qué es Acuerdo de Encargado del Tratamiento de Datos España

El Acuerdo de Encargado del Tratamiento de Datos es, en España, el contrato escrito regulado por Reglamento (UE) 2016/679 (RGPD), art. 28; Ley Orgánica 3/2018 (LOPDGDD), que fija por escrito los derechos y obligaciones recíprocos de las partes y resulta exigible ante los tribunales civiles.

El AET formaliza la relación entre el responsable del tratamiento — la entidad que determina los fines y medios del tratamiento (por ejemplo, una empresa que utiliza un proveedor en la nube o una plataforma de marketing) — y el encargado del tratamiento — la entidad que trata los datos únicamente siguiendo las instrucciones documentadas del responsable (por ejemplo, un proveedor de SaaS, una gestoría de nóminas o una empresa de soporte informático). El Artículo 28.3 del RGPD exige que el acuerdo de tratamiento se celebre por escrito y contenga un conjunto mínimo de estipulaciones, incluyendo el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de interesados, y las obligaciones y derechos del responsable.

No suscribir un AET conforme expone a ambas partes a sanciones administrativas del Artículo 83 del RGPD — hasta 10.000.000 € o el 2 % del volumen de negocio anual mundial (la cifra que sea mayor) por infracción del Artículo 28. La AEPD ha dictado numerosas resoluciones sancionadoras por ausencia de AET o por AET que carecen de las cláusulas obligatorias del Artículo 28.3, incluyendo sanciones contra grandes operadoras de telecomunicaciones y entidades financieras españolas. Todas las resoluciones de la AEPD se publican en la Sede Electrónica de la AEPD en aepd.es.

La LOPDGDD 3/2018 introdujo requisitos adicionales específicos para las relaciones de tratamiento en España, más allá de los previstos en el RGPD. El Artículo 28 de la LOPDGDD exige que los organismos públicos que traten datos por cuenta de otro organismo público utilicen un modelo de acuerdo de tratamiento aprobado por la autoridad de control competente (la AEPD para la Administración General del Estado, y las autoridades autonómicas de protección de datos — Autoritat Catalana de Protecció de Dades (APDCAT), Agencia Vasca de Protección de Datos (AVPD) y Agencia de Protección de Datos de Navarra — para las administraciones regionales). El Artículo 33 de la LOPDGDD amplía la obligación de mantener un Registro de Actividades de Tratamiento (RAT) a todos los responsables y encargados, con independencia de su tamaño, eliminando la exención para pymes que el Artículo 30.5 del RGPD establece nominalmente.

Cuando el encargado del tratamiento contrata a un subencargado, el Artículo 28.2 del RGPD exige autorización previa por escrito del responsable — bien específica (nombrando al subencargado) bien general (permitiendo subencargados con notificación previa). El subencargado debe quedar vinculado por obligaciones de protección de datos equivalentes a las del encargado, y este último sigue siendo plenamente responsable ante el responsable por los incumplimientos del subencargado.

Las transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE) por parte del encargado requieren un mecanismo de transferencia válido del Capítulo V del RGPD — habitualmente Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914, una decisión de adecuación o Normas Corporativas Vinculantes (NCV). La AEPD supervisa el cumplimiento en materia de transferencias internacionales y puede imponer prohibiciones de transferencia como medida correctiva al amparo del Artículo 58.2(j) del RGPD.

Cuándo necesitas Acuerdo de Encargado del Tratamiento de Datos España

El Acuerdo de Encargado del Tratamiento en España es obligatorio conforme al Artículo 28 del RGPD en toda situación en la que una empresa u organización (responsable del tratamiento) encargue a otra entidad (encargado del tratamiento) el tratamiento de datos personales en su nombre, con independencia de que el tratamiento sea de naturaleza comercial, benéfica o pública.

El AET es necesario cuando una empresa española utiliza un proveedor de servicios en la nube — como AWS, Google Cloud o Microsoft Azure — para almacenar o tratar datos personales de clientes. Estos proveedores son encargados del tratamiento y deben suscribir un acuerdo de tratamiento conforme al RGPD con cada cliente español en virtud del Artículo 28.

El AET es obligatorio cuando un empleador español externaliza la gestión de nóminas a un gestor laboral externo o a un proveedor de software de recursos humanos. La gestoría trata datos personales de los empleados — incluidos el salario, el número de la Seguridad Social, los tipos de retención del IRPF y los datos bancarios — en nombre del empleador, lo que la convierte en encargada del tratamiento.

El AET es necesario cuando una empresa española utiliza una plataforma de email marketing — como Mailchimp, HubSpot o ActiveCampaign — para enviar comunicaciones comerciales a sus suscriptores. La plataforma trata datos de contacto en nombre de la empresa y debe suscribir un AET conforme al Artículo 28 del RGPD y a la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI).

El AET es necesario cuando una tienda electrónica española utiliza una pasarela de pago que accede a datos de titulares de tarjetas, o una empresa de mensajería que recibe las direcciones de entrega de los clientes. Ambas entidades tratan datos personales en nombre del operador del comercio electrónico y requieren un AET.

El acuerdo es obligatorio cuando un hospital, una clínica privada o un centro sanitario español contrata a una empresa de gestión de historias clínicas o a un proveedor de software de historia clínica electrónica. Los datos de salud son una categoría especial conforme al Artículo 9 del RGPD, cuyo tratamiento requiere consentimiento explícito u otra base jurídica específica, con cláusulas reforzadas en el AET para datos de categoría especial bajo la LOPDGDD.

El AET también es obligatorio cuando las Administraciones Públicas españolas contratan proveedores de servicios informáticos, empresas de analítica de datos o proveedores de alojamiento en la nube para tratar datos procedentes del padrón municipal, los servicios sociales o la administración tributaria, con los requisitos adicionales del Artículo 28 de la LOPDGDD para los acuerdos de tratamiento del sector público.

Qué incluir en tu Acuerdo de Encargado del Tratamiento de Datos España

Un Acuerdo de Encargado del Tratamiento conforme al Artículo 28.3 del RGPD y a la LOPDGDD 3/2018 debe contener las siguientes cláusulas obligatorias. La ausencia de cualquiera de estos elementos expone a ambas partes a sanciones de la AEPD.

Identificación del responsable y del encargado: Denominación social completa, domicilio social, NIF/CIF y datos de contacto del Delegado de Protección de Datos (DPD), si hubiera sido designado, tanto del responsable del tratamiento como del encargado. La designación de DPD es obligatoria para los organismos públicos españoles, para las entidades que realicen un control sistemático a gran escala y para las entidades que traten datos de categoría especial, conforme al Artículo 37 del RGPD y al Artículo 34 de la LOPDGDD.

Objeto, duración y naturaleza del tratamiento: Una descripción precisa de qué datos personales se van a tratar, con qué finalidad, por qué medios y durante cuánto tiempo. Las descripciones vagas o genéricas — como simplemente indicar «datos de clientes» — son insuficientes según los criterios de la AEPD.

Tipos de datos personales y categorías de interesados: Especificación de las categorías de datos personales tratados (por ejemplo, datos identificativos, de contacto, financieros, de salud, de localización) y de las categorías de interesados (empleados, clientes, visitantes web). El tratamiento de categorías especiales conforme al Artículo 9 del RGPD (salud, datos biométricos, origen étnico, afiliación sindical) requiere mención expresa y justificación reforzada.

Tratamiento solo por instrucciones documentadas: El encargado debe tratar los datos personales únicamente siguiendo las instrucciones documentadas del responsable conforme al Artículo 28.3(a) del RGPD. El AET debe prohibir al encargado tratar los datos para sus propios fines o para cualquier fin no autorizado por el responsable.

Confidencialidad del tratamiento: El personal autorizado para tratar los datos personales debe estar sujeto a un deber de confidencialidad conforme al Artículo 28.3(b) del RGPD — ya sea un deber legal (secreto profesional de abogados o médicos) o contractual.

Medidas técnicas y organizativas de seguridad: El encargado debe aplicar medidas técnicas y organizativas (MTOs) apropiadas para proteger los datos personales conforme al Artículo 32 del RGPD — proporcionales al riesgo del tratamiento. El AET debe especificar estándares mínimos de seguridad: seudonimización, cifrado, controles de acceso, continuidad de negocio, procedimientos de copia de seguridad y pruebas periódicas de seguridad. La Guía de Medidas de Seguridad de la AEPD (disponible en aepd.es) ofrece orientación por sectores.

Autorización de subencargados: Si el encargado puede contratar subencargados — y en su caso, si la autorización es específica (nombrando a cada subencargado) o general (con notificación previa). El encargado debe imponer obligaciones equivalentes a cualquier subencargado conforme al Artículo 28.4 del RGPD.

Asistencia en el ejercicio de derechos: El encargado debe ayudar al responsable a atender las solicitudes de ejercicio de derechos de los interesados — acceso (Artículo 15 RGPD), rectificación (Artículo 16), supresión (Artículo 17), limitación (Artículo 18), portabilidad (Artículo 20) y oposición (Artículo 21) — dentro de los plazos de los artículos 12 y 22 del RGPD.

Apoyo en evaluaciones de impacto: El encargado debe asistir al responsable en la realización de Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) conforme al Artículo 35 del RGPD cuando sean preceptivas, y en la consulta previa a la AEPD conforme al Artículo 36 del RGPD.

Notificación de brechas de seguridad: El encargado debe notificar al responsable, sin dilación indebida y como máximo en 72 horas, cualquier violación de la seguridad de los datos personales conforme al Artículo 33 del RGPD, aportando información suficiente para que el responsable evalúe el riesgo y notifique a la AEPD si es preciso.

Devolución o supresión de datos: Al finalizar el AET, el encargado debe devolver o suprimir de forma segura todos los datos personales conforme al Artículo 28.3(g) del RGPD — en el plazo pactado — salvo que el derecho español obligue a su conservación.

Transferencias internacionales: Si el encargado o algún subencargado va a transferir datos personales fuera del EEE, el AET debe especificar el mecanismo de transferencia del Capítulo V del RGPD — Cláusulas Contractuales Tipo (CCT — Decisión 2021/914), decisión de adecuación o NCV.

FormsLegal.com pone a disposición este modelo de Acuerdo de Encargado del Tratamiento para España como punto de partida práctico. Todo AET debe ser revisado por un abogado especializado en protección de datos o por un Delegado de Protección de Datos certificado antes de su firma, para verificar el cumplimiento de los criterios de la AEPD y los requisitos del RGPD. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.

Citar esta página

CC BY 4.0 · libre de citar

Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:

APA
Forms Legal. (2026). Acuerdo de Encargado del Tratamiento de Datos España (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/business/policies/acuerdo-encargado-tratamiento-datos-espana
MLA
"Acuerdo de Encargado del Tratamiento de Datos España (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/business/policies/acuerdo-encargado-tratamiento-datos-espana.
Chicago
Forms Legal. "Acuerdo de Encargado del Tratamiento de Datos España (España)." Forms Legal, 2026. https://forms-legal.com/es/espana/business/policies/acuerdo-encargado-tratamiento-datos-espana.
BibTeX
@misc{formslegal-acuerdo-encargado-tratamiento-datos-espana,
  author       = {{Forms Legal}},
  title        = {Acuerdo de Encargado del Tratamiento de Datos España (España)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/es/espana/business/policies/acuerdo-encargado-tratamiento-datos-espana}},
  note         = {Free legal document template}
}
Wikipedia
{{cite web |title=Acuerdo de Encargado del Tratamiento de Datos España (España) |website=Forms Legal |publisher=Forms Legal |date=2026 |url=https://forms-legal.com/es/espana/business/policies/acuerdo-encargado-tratamiento-datos-espana}}
RIS
TY  - ELEC
T1  - Acuerdo de Encargado del Tratamiento de Datos España (España)
T2  - Forms Legal
PB  - Forms Legal
PY  - 2026
UR  - https://forms-legal.com/es/espana/business/policies/acuerdo-encargado-tratamiento-datos-espana
ER  - 
Forms LegalActualizado 2026-06-06.bib.ris

También disponible para estas jurisdicciones:

Preguntas Frecuentes

Plantilla con referencias legales — Plantilla modificada por última vez en junio de 2026

Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo

¿Encontró un error? Avísenos