¿Es obligatorio el Acuerdo de Encargado del Tratamiento en España bajo el RGPD?

Sí. El artículo 28.3 del Reglamento (UE) 2016/679 (RGPD) exige que todo tratamiento realizado por un encargado del tratamiento en nombre de un responsable esté regulado por un contrato escrito (u otro acto jurídico) que especifique el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las obligaciones y derechos del responsable. Este requisito es directamente aplicable en toda España y está supervisado por la Agencia Española de Protección de Datos (AEPD). La AEPD ha sancionado sistemáticamente a las organizaciones que no suscriben un AET conforme, con multas que oscilan entre 5.000 € y 200.000 € según la gravedad. El artículo 83.4 del RGPD tipifica el incumplimiento del artículo 28 como infracción de Nivel 1 sujeta a multas de hasta 10.000.000 € o el 2 % del volumen de negocio anual mundial. La LOPDGDD 3/2018 no reduce este requisito — lo extiende a las administraciones públicas y obliga a todas las entidades (incluidas las pymes) a mantener un Registro de Actividades de Tratamiento que documente todas las relaciones responsable-encargado conforme al artículo 30 del RGPD.

¿Qué requisitos exige la AEPD para la autorización de subencargados del tratamiento en España?

Conforme al artículo 28.2 del RGPD, un encargado del tratamiento no puede contratar a un subencargado del tratamiento sin autorización previa por escrito del responsable. La AEPD admite dos formas de autorización en el AET: (1) autorización específica — nombrando individualmente a cada subencargado aprobado (por ejemplo, AWS para el alojamiento web, Stripe para el procesamiento de pagos); o (2) autorización general — permitiendo al encargado contratar subencargados de una lista o categoría preaprobada, con notificación al responsable antes de incorporar cualquier nuevo subencargado y dándole la oportunidad de oponerse. Cuando se utilice la autorización general, el AET debe especificar el plazo mínimo de notificación (habitualmente entre 15 y 30 días) y el procedimiento de oposición del responsable. El encargado sigue siendo plenamente responsable ante el responsable por el cumplimiento del RGPD por parte del subencargado conforme al artículo 28.4 del RGPD — si el subencargado provoca una brecha de datos, el encargado asume la responsabilidad principal. La guía de la AEPD Relaciones entre Responsables y Encargados del Tratamiento (disponible en aepd.es) ofrece orientación detallada sobre las cláusulas de autorización de subencargados.

¿Qué medidas de seguridad debe implantar un encargado del tratamiento según la normativa española?

El artículo 32 del RGPD exige a los encargados del tratamiento que implanten medidas técnicas y organizativas (MTOs) apropiadas, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y el riesgo para los interesados. La Guía de Medidas de Seguridad de la AEPD (disponible en aepd.es) y el INCIBE (Instituto Nacional de Ciberseguridad) proporcionan marcos sectoriales específicos. Las medidas mínimas de seguridad para la mayoría de los tratamientos comerciales en España incluyen: (1) seudonimización y cifrado de los datos personales en reposo y en tránsito; (2) confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas de tratamiento; (3) procedimientos para restablecer el acceso a los datos personales tras un incidente de seguridad dentro de los Objetivos de Tiempo de Recuperación (RTO) definidos; (4) pruebas y evaluaciones periódicas de las medidas de seguridad (tests de penetración, análisis de vulnerabilidades). Para el tratamiento de datos de salud, financieros o de vigilancia sistemática a gran escala, la AEPD espera medidas reforzadas que incluyan controles de acceso basados en roles, autenticación multifactor, registros de auditoría completos y procedimientos documentados de respuesta a incidentes alineados con el Esquema Nacional de Seguridad (ENS — Real Decreto 311/2022) para entidades de la cadena de suministro del sector público.

¿Cómo deben notificarse las brechas de datos personales bajo el RGPD en España?

Conforme a los artículos 33 y 34 del RGPD y a la LOPDGDD 3/2018, las violaciones de la seguridad de los datos personales deben notificarse en un proceso de dos etapas. En primer lugar, el encargado del tratamiento debe notificar al responsable sin dilación indebida tras tener conocimiento de la brecha — en la práctica, la AEPD espera la notificación en un plazo de 24 a 72 horas. En segundo lugar, el responsable debe notificar a la AEPD en un plazo de 72 horas desde que tenga conocimiento de la brecha, utilizando el portal de notificación en línea de la AEPD (disponible en aepd.es). La notificación a la AEPD debe incluir: una descripción de la naturaleza de la brecha; las categorías y el número aproximado de interesados afectados; las categorías y el número aproximado de registros de datos personales afectados; el nombre y los datos de contacto del DPD (si ha sido designado); las consecuencias probables de la brecha; las medidas adoptadas o propuestas para subsanarla. Cuando sea probable que la brecha conlleve un alto riesgo para los derechos y libertades de las personas, el responsable también debe comunicar la brecha a los interesados afectados conforme al artículo 34 del RGPD — sin dilación indebida. La AEPD ha sancionado a diversas entidades por notificaciones tardías o incompletas de brechas.

¿Pueden transferirse datos personales fuera de España en el marco de un AET?

Las transferencias internacionales de datos personales fuera del Espacio Económico Europeo (EEE) por parte de un encargado del tratamiento o subencargado con sede en España están restringidas por el Capítulo V del RGPD y requieren un mecanismo de transferencia válido. Los mecanismos disponibles en el derecho español y europeo son: (1) Decisiones de adecuación — la Comisión Europea ha reconocido que determinados países (entre ellos el Reino Unido, Japón, Canadá, Corea del Sur y Suiza) garantizan un nivel de protección adecuado conforme al artículo 45 del RGPD; (2) Cláusulas Contractuales Tipo (CCT) — los módulos aprobados por la Comisión mediante Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021, que sustituyeron a las CCT anteriores a 2021 y deben incorporarse íntegramente al AET o adjuntarse como anexo; (3) Normas Corporativas Vinculantes (NCV) — aprobadas por la AEPD para transferencias intragrupo; (4) excepciones específicas del artículo 49 del RGPD para transferencias puntuales en circunstancias excepcionales. Tras la sentencia Schrems II (Tribunal de Justicia de la UE, C-311/18), las transferencias a Estados Unidos se amparan ahora en el Marco de Privacidad de Datos UE-EE. UU. (Decisión de Adecuación 2023/1795) para entidades estadounidenses certificadas. La AEPD puede prohibir las transferencias que infrinjan el Capítulo V y ha emitido informes jurídicos sobre supuestos de transferencia específicos.

¿Cuáles son las sanciones de la AEPD por incumplir los requisitos del acuerdo de encargado del tratamiento en España?

El régimen sancionador de la AEPD sigue la estructura de dos niveles del artículo 83 del RGPD. Las infracciones relacionadas con los acuerdos de encargado del tratamiento — concretamente el artículo 28 del RGPD (obligaciones de los encargados), el artículo 32 (medidas de seguridad) y el artículo 33 (notificación de brechas) — se encuadran en el artículo 83.4 del RGPD como infracciones de Nivel 1 (nivel inferior) sujetas a multas de hasta 10.000.000 € o el 2 % del volumen de negocio anual mundial total, la cifra que sea mayor. En la práctica, la AEPD gradúa las multas en función de: (1) la gravedad y duración de la infracción; (2) el número de interesados afectados; (3) si la infracción fue dolosa o negligente; (4) la cooperación con la AEPD durante la investigación; (5) las infracciones previas de la misma entidad. Las resoluciones recientes de la AEPD contra entidades españolas por infracciones relacionadas con AET incluyen sanciones de entre 50.000 € y 300.000 € a grandes empresas que no mantenían acuerdos de tratamiento conformes con sus proveedores en la nube. La AEPD también tiene potestad para dictar advertencias, ordenar la cesación del tratamiento e imponer prohibiciones temporales o permanentes de tratamiento conforme al artículo 58.2 del RGPD — con independencia de las sanciones económicas o de forma acumulada.

¿Cuándo es obligatorio nombrar un Delegado de Protección de Datos (DPD) en España?

La designación de un Delegado de Protección de Datos (DPD) es obligatoria en España conforme al artículo 37 del RGPD y a los artículos 34 a 37 de la LOPDGDD 3/2018 en tres categorías de supuestos: (1) organismos públicos (autoridades y organismos públicos) — todas las Administraciones Públicas españolas deben designar un DPD; (2) entidades cuya actividad principal consista en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala (por ejemplo, operadoras de telecomunicaciones, gestoras de programas de fidelización, plataformas de publicidad en línea); y (3) entidades cuya actividad principal conlleve el tratamiento a gran escala de categorías especiales de datos conforme al artículo 9 del RGPD (salud, biométricos, genéticos) o de datos relativos a condenas e infracciones penales conforme al artículo 10 del RGPD. La LOPDGDD amplía la obligación de designar DPD más allá de los mínimos del RGPD — el artículo 34 de la LOPDGDD exige expresamente la designación de DPD por entidades de crédito, aseguradoras, empresas de servicios de inversión, centros educativos, hospitales y centros sanitarios, y Colegios Profesionales. El DPD debe inscribirse en el registro electrónico de la AEPD en el plazo de 10 días desde su designación. El DPD puede ser empleado o prestador de servicios externo, debe tener conocimientos especializados en derecho de protección de datos y no puede recibir instrucciones del responsable o del encargado en el ejercicio de sus funciones.

Acuerdo de Encargado del Tratamiento de Datos España

Data Processing Agreement (DPA) Spain (Acuerdo de Encargado del Tratamiento)

ACUERDO DE ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES

Data Processing Agreement (DPA)

Governed by Reglamento (UE) 2016/679 (RGPD) Article 28 and Ley Orgánica 3/2018 (LOPDGDD)

1. PARTIES

DATA CONTROLLER (RESPONSABLE DEL TRATAMIENTO):

Legal Name: [Controller Name]

NIF/CIF: [Controller NIF]

Registered Address: [Controller Address]

Legal Representative: [Controller Representative]

DPD Contact: [Controller DPO]

DATA PROCESSOR (ENCARGADO DEL TRATAMIENTO):

Legal Name: [Processor Name]

NIF/CIF: [Processor NIF]

Registered Address: [Processor Address]

Legal Representative: [Processor Representative]

DPD Contact: [Processor DPO]

2. SUBJECT MATTER, NATURE, PURPOSE, AND DURATION OF PROCESSING

Subject Matter: [Processing Subject]

Purpose of Processing: [Processing Purpose]

Nature of Processing Operations: [Processing Nature]

Duration: [Contract Duration]

Types of Personal Data Processed: [Data Categories]

Categories of Data Subjects: [Data Subject Categories]

3. PROCESSING ON DOCUMENTED INSTRUCTIONS AND CONFIDENTIALITY

Pursuant to Article 28.3(a) RGPD, [Processor Name] shall process personal data only on the documented instructions of [Controller Name] and shall not process data for its own purposes or any purpose not authorised in writing by the controller. The processor shall immediately notify the controller if, in the processor's opinion, an instruction infringes the RGPD or LOPDGDD.

Pursuant to Article 28.3(b) RGPD, [Processor Name] ensures that all personnel authorised to process the personal data have committed themselves to confidentiality — either by statutory obligation or by written contractual confidentiality agreements — and receive appropriate data protection training.

4. TECHNICAL AND ORGANISATIONAL SECURITY MEASURES (ARTICLE 32 RGPD)

Technical Measures: [Technical Measures]

Organisational Measures: [Organisational Measures]

Security measures shall be reviewed and updated by [Processor Name] at least annually and upon any significant change to processing operations, in accordance with the AEPD's Guía de Medidas de Seguridad (available at aepd.es).

5. SUB-PROCESSORS (SUBENCARGADOS DEL TRATAMIENTO)

Sub-processor Authorisation: [Subprocessors Authorisation]

[Processor Name] must impose equivalent data protection obligations on any subencargado del tratamiento under Article 28.4 RGPD. The processor remains fully liable to [Controller Name] for the subencargado's compliance with RGPD obligations. A current list of approved sub-processors is attached as Annex B to this agreement.

6. DATA SUBJECT RIGHTS ASSISTANCE

[Processor Name] shall assist [Controller Name] in responding to data subject rights requests under Articles 15 to 22 RGPD — access (acceso), rectification (rectificación), erasure (supresión), restriction of processing (limitación del tratamiento), data portability (portabilidad), and objection (oposición) — within the timeframes established by Article 12.3 RGPD (1 month from receipt, extendable to 3 months in complex cases). The processor shall notify the controller of any direct rights request received from a data subject within 5 working days.

7. DATA PROTECTION IMPACT ASSESSMENT SUPPORT

[Processor Name] shall assist [Controller Name] in carrying out Data Protection Impact Assessments (Evaluaciones de Impacto relativas a la Protección de Datos — EIPD) under Article 35 RGPD where required, and in prior consultation with the Agencia Española de Protección de Datos (AEPD) under Article 36 RGPD, providing all information about processing operations and security measures necessary for the EIPD.

8. PERSONAL DATA BREACH NOTIFICATION

[Processor Name] shall notify [Controller Name] without undue delay — and in any event within 72 hours of becoming aware — of any personal data breach (violación de la seguridad de los datos personales) under Article 33 RGPD, providing: a description of the breach; categories and approximate number of data subjects affected; categories and approximate number of data records affected; likely consequences; and measures taken or proposed to address the breach. This enables [Controller Name] to assess the risk and notify the AEPD and, where required, affected data subjects.

9. RETURN OR DELETION OF DATA

Upon expiry or termination of this DPA, [Processor Name] shall, at [Controller Name]'s election, securely delete or return all personal data under Article 28.3(g) RGPD within 30 calendar days of termination, unless EU or Spanish law requires continued retention. Secure deletion shall be documented and certified to the controller.

10. AEPD COMPLIANCE AND AUDIT RIGHTS

[Processor Name] shall make available to [Controller Name] all information necessary to demonstrate compliance with Article 28 RGPD and allow for and contribute to audits, including inspections, conducted by the controller or a mandated auditor. Violations of Article 28 RGPD are classified under Article 83.4 RGPD as subject to administrative fines of up to €10,000,000 or 2% of total global annual turnover, supervised and enforced by the Agencia Española de Protección de Datos (AEPD) established under Article 44 of Ley Orgánica 3/2018 (LOPDGDD).

11. GOVERNING LAW

This Data Processing Agreement is governed by Reglamento (UE) 2016/679 (RGPD) and Ley Orgánica 3/2018 (LOPDGDD). Disputes shall be resolved before the competent Spanish courts.

SIGNATURES

Signed in [Agreement City], on [Agreement Date].

DATA CONTROLLER (RESPONSABLE DEL TRATAMIENTO):

[Controller Name]

Represented by: [Controller Representative]

Signature: _________________________ Date: _________________________

DATA PROCESSOR (ENCARGADO DEL TRATAMIENTO):

[Processor Name]

Represented by: [Processor Representative]

Signature: _________________________ Date: _________________________

Data Controller / Legal Representative

________________

Signature

Data Processor / Legal Representative

________________

Signature

Mantenido por Vladislav Sergienko, Fundador·Plantilla modificada por última vez: 2026-06-23·Informar de un error

Qué es Acuerdo de Encargado del Tratamiento de Datos España

El Acuerdo de Encargado del Tratamiento de Datos es, en España, el contrato escrito regulado por Reglamento (UE) 2016/679 (RGPD), art. 28; Ley Orgánica 3/2018 (LOPDGDD), que fija por escrito los derechos y obligaciones recíprocos de las partes y resulta exigible ante los tribunales civiles.

El AET formaliza la relación entre el responsable del tratamiento — la entidad que determina los fines y medios del tratamiento (por ejemplo, una empresa que utiliza un proveedor en la nube o una plataforma de marketing) — y el encargado del tratamiento — la entidad que trata los datos únicamente siguiendo las instrucciones documentadas del responsable (por ejemplo, un proveedor de SaaS, una gestoría de nóminas o una empresa de soporte informático). El Artículo 28.3 del RGPD exige que el acuerdo de tratamiento se celebre por escrito y contenga un conjunto mínimo de estipulaciones, incluyendo el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de interesados, y las obligaciones y derechos del responsable.

No suscribir un AET conforme expone a ambas partes a sanciones administrativas del Artículo 83 del RGPD — hasta 10.000.000 € o el 2 % del volumen de negocio anual mundial (la cifra que sea mayor) por infracción del Artículo 28. La AEPD ha dictado numerosas resoluciones sancionadoras por ausencia de AET o por AET que carecen de las cláusulas obligatorias del Artículo 28.3, incluyendo sanciones contra grandes operadoras de telecomunicaciones y entidades financieras españolas. Todas las resoluciones de la AEPD se publican en la Sede Electrónica de la AEPD en aepd.es.

La LOPDGDD 3/2018 introdujo requisitos adicionales específicos para las relaciones de tratamiento en España, más allá de los previstos en el RGPD. El Artículo 28 de la LOPDGDD exige que los organismos públicos que traten datos por cuenta de otro organismo público utilicen un modelo de acuerdo de tratamiento aprobado por la autoridad de control competente (la AEPD para la Administración General del Estado, y las autoridades autonómicas de protección de datos — Autoritat Catalana de Protecció de Dades (APDCAT), Agencia Vasca de Protección de Datos (AVPD) y Agencia de Protección de Datos de Navarra — para las administraciones regionales). El Artículo 33 de la LOPDGDD amplía la obligación de mantener un Registro de Actividades de Tratamiento (RAT) a todos los responsables y encargados, con independencia de su tamaño, eliminando la exención para pymes que el Artículo 30.5 del RGPD establece nominalmente.

Cuando el encargado del tratamiento contrata a un subencargado, el Artículo 28.2 del RGPD exige autorización previa por escrito del responsable — bien específica (nombrando al subencargado) bien general (permitiendo subencargados con notificación previa). El subencargado debe quedar vinculado por obligaciones de protección de datos equivalentes a las del encargado, y este último sigue siendo plenamente responsable ante el responsable por los incumplimientos del subencargado.

Las transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE) por parte del encargado requieren un mecanismo de transferencia válido del Capítulo V del RGPD — habitualmente Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914, una decisión de adecuación o Normas Corporativas Vinculantes (NCV). La AEPD supervisa el cumplimiento en materia de transferencias internacionales y puede imponer prohibiciones de transferencia como medida correctiva al amparo del Artículo 58.2(j) del RGPD.

Cuándo necesitas Acuerdo de Encargado del Tratamiento de Datos España

El Acuerdo de Encargado del Tratamiento en España es obligatorio conforme al Artículo 28 del RGPD en toda situación en la que una empresa u organización (responsable del tratamiento) encargue a otra entidad (encargado del tratamiento) el tratamiento de datos personales en su nombre, con independencia de que el tratamiento sea de naturaleza comercial, benéfica o pública.

El AET es necesario cuando una empresa española utiliza un proveedor de servicios en la nube — como AWS, Google Cloud o Microsoft Azure — para almacenar o tratar datos personales de clientes. Estos proveedores son encargados del tratamiento y deben suscribir un acuerdo de tratamiento conforme al RGPD con cada cliente español en virtud del Artículo 28.

El AET es obligatorio cuando un empleador español externaliza la gestión de nóminas a un gestor laboral externo o a un proveedor de software de recursos humanos. La gestoría trata datos personales de los empleados — incluidos el salario, el número de la Seguridad Social, los tipos de retención del IRPF y los datos bancarios — en nombre del empleador, lo que la convierte en encargada del tratamiento.

El AET es necesario cuando una empresa española utiliza una plataforma de email marketing — como Mailchimp, HubSpot o ActiveCampaign — para enviar comunicaciones comerciales a sus suscriptores. La plataforma trata datos de contacto en nombre de la empresa y debe suscribir un AET conforme al Artículo 28 del RGPD y a la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI).

El AET es necesario cuando una tienda electrónica española utiliza una pasarela de pago que accede a datos de titulares de tarjetas, o una empresa de mensajería que recibe las direcciones de entrega de los clientes. Ambas entidades tratan datos personales en nombre del operador del comercio electrónico y requieren un AET.

El acuerdo es obligatorio cuando un hospital, una clínica privada o un centro sanitario español contrata a una empresa de gestión de historias clínicas o a un proveedor de software de historia clínica electrónica. Los datos de salud son una categoría especial conforme al Artículo 9 del RGPD, cuyo tratamiento requiere consentimiento explícito u otra base jurídica específica, con cláusulas reforzadas en el AET para datos de categoría especial bajo la LOPDGDD.

El AET también es obligatorio cuando las Administraciones Públicas españolas contratan proveedores de servicios informáticos, empresas de analítica de datos o proveedores de alojamiento en la nube para tratar datos procedentes del padrón municipal, los servicios sociales o la administración tributaria, con los requisitos adicionales del Artículo 28 de la LOPDGDD para los acuerdos de tratamiento del sector público.

Qué incluir en tu Acuerdo de Encargado del Tratamiento de Datos España

Un Acuerdo de Encargado del Tratamiento conforme al Artículo 28.3 del RGPD y a la LOPDGDD 3/2018 debe contener las siguientes cláusulas obligatorias. La ausencia de cualquiera de estos elementos expone a ambas partes a sanciones de la AEPD.

Identificación del responsable y del encargado: Denominación social completa, domicilio social, NIF/CIF y datos de contacto del Delegado de Protección de Datos (DPD), si hubiera sido designado, tanto del responsable del tratamiento como del encargado. La designación de DPD es obligatoria para los organismos públicos españoles, para las entidades que realicen un control sistemático a gran escala y para las entidades que traten datos de categoría especial, conforme al Artículo 37 del RGPD y al Artículo 34 de la LOPDGDD.

Objeto, duración y naturaleza del tratamiento: Una descripción precisa de qué datos personales se van a tratar, con qué finalidad, por qué medios y durante cuánto tiempo. Las descripciones vagas o genéricas — como simplemente indicar «datos de clientes» — son insuficientes según los criterios de la AEPD.

Tipos de datos personales y categorías de interesados: Especificación de las categorías de datos personales tratados (por ejemplo, datos identificativos, de contacto, financieros, de salud, de localización) y de las categorías de interesados (empleados, clientes, visitantes web). El tratamiento de categorías especiales conforme al Artículo 9 del RGPD (salud, datos biométricos, origen étnico, afiliación sindical) requiere mención expresa y justificación reforzada.

Tratamiento solo por instrucciones documentadas: El encargado debe tratar los datos personales únicamente siguiendo las instrucciones documentadas del responsable conforme al Artículo 28.3(a) del RGPD. El AET debe prohibir al encargado tratar los datos para sus propios fines o para cualquier fin no autorizado por el responsable.

Confidencialidad del tratamiento: El personal autorizado para tratar los datos personales debe estar sujeto a un deber de confidencialidad conforme al Artículo 28.3(b) del RGPD — ya sea un deber legal (secreto profesional de abogados o médicos) o contractual.

Medidas técnicas y organizativas de seguridad: El encargado debe aplicar medidas técnicas y organizativas (MTOs) apropiadas para proteger los datos personales conforme al Artículo 32 del RGPD — proporcionales al riesgo del tratamiento. El AET debe especificar estándares mínimos de seguridad: seudonimización, cifrado, controles de acceso, continuidad de negocio, procedimientos de copia de seguridad y pruebas periódicas de seguridad. La Guía de Medidas de Seguridad de la AEPD (disponible en aepd.es) ofrece orientación por sectores.

Autorización de subencargados: Si el encargado puede contratar subencargados — y en su caso, si la autorización es específica (nombrando a cada subencargado) o general (con notificación previa). El encargado debe imponer obligaciones equivalentes a cualquier subencargado conforme al Artículo 28.4 del RGPD.

Asistencia en el ejercicio de derechos: El encargado debe ayudar al responsable a atender las solicitudes de ejercicio de derechos de los interesados — acceso (Artículo 15 RGPD), rectificación (Artículo 16), supresión (Artículo 17), limitación (Artículo 18), portabilidad (Artículo 20) y oposición (Artículo 21) — dentro de los plazos de los artículos 12 y 22 del RGPD.

Apoyo en evaluaciones de impacto: El encargado debe asistir al responsable en la realización de Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) conforme al Artículo 35 del RGPD cuando sean preceptivas, y en la consulta previa a la AEPD conforme al Artículo 36 del RGPD.

Notificación de brechas de seguridad: El encargado debe notificar al responsable, sin dilación indebida y como máximo en 72 horas, cualquier violación de la seguridad de los datos personales conforme al Artículo 33 del RGPD, aportando información suficiente para que el responsable evalúe el riesgo y notifique a la AEPD si es preciso.

Devolución o supresión de datos: Al finalizar el AET, el encargado debe devolver o suprimir de forma segura todos los datos personales conforme al Artículo 28.3(g) del RGPD — en el plazo pactado — salvo que el derecho español obligue a su conservación.

Transferencias internacionales: Si el encargado o algún subencargado va a transferir datos personales fuera del EEE, el AET debe especificar el mecanismo de transferencia del Capítulo V del RGPD — Cláusulas Contractuales Tipo (CCT — Decisión 2021/914), decisión de adecuación o NCV.

FormsLegal.com pone a disposición este modelo de Acuerdo de Encargado del Tratamiento para España como punto de partida práctico. Todo AET debe ser revisado por un abogado especializado en protección de datos o por un Delegado de Protección de Datos certificado antes de su firma, para verificar el cumplimiento de los criterios de la AEPD y los requisitos del RGPD. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.

Citar esta página

Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:

APA

Forms Legal. (2026). Acuerdo de Encargado del Tratamiento de Datos España (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/business/policies/acuerdo-encargado-tratamiento-datos-espana

MLA

"Acuerdo de Encargado del Tratamiento de Datos España (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/business/policies/acuerdo-encargado-tratamiento-datos-espana.

BibTeX

@misc{formslegal-acuerdo-encargado-tratamiento-datos-espana,
  author       = {{Forms Legal}},
  title        = {Acuerdo de Encargado del Tratamiento de Datos España (España)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/es/espana/business/policies/acuerdo-encargado-tratamiento-datos-espana}},
  note         = {Free legal document template}
}

También disponible para estas jurisdicciones:

Alemania

Finlandia

Noruega

Emiratos Árabes Unidos

Preguntas Frecuentes

Plantilla con referencias legales — Plantilla modificada por última vez en junio de 2026

Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo

¿Encontró un error? Avísenos

Documentos Relacionados

También puede encontrar útiles estos documentos:

Acuerdo de Confidencialidad España — Ley 1/2019 de Secretos Empresariales

Acuerdo de Confidencialidad (NDA) para España conforme al artículo 1255 del Código Civil, la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 1/2019 de Secretos Empresariales, que protege la información empresarial confidencial, los secretos comerciales y los datos exclusivos en relaciones comerciales.

Acuerdo de Transferencia de Tecnología España

Acuerdo de Transferencia de Tecnología para España — regulado por el artículo 75 de la Ley 24/2015 de Patentes y el Reglamento (UE) n.º 316/2014 (TTBER), que formaliza la cesión licenciada de patentes, know-how e información técnica entre cedente y licenciatario.

Contrato de Trabajo Indefinido España

Contrato de Trabajo Indefinido para España — conforme al Estatuto de los Trabajadores (RDL 2/2015), artículos 15 y 49, estableciendo una relación laboral por tiempo indefinido con alta en la Tesorería General de la Seguridad Social (TGSS).