Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros)
THIRD-PARTY EMPLOYEE NON-DISCLOSURE AGREEMENT (ACUERDO DE CONFIDENCIALIDAD PARA EMPLEADOS DE TERCEROS)
This Third-Party Employee Non-Disclosure Agreement (Acuerdo de Confidencialidad para Empleados de Terceros) is entered into on [Agreement Date], governed by Código Civil Article 1255, Ley 1/2019 de Secretos Empresariales (LSE), and Ley Orgánica 3/2018 (LOPDGDD) supplementing Reglamento (UE) 2016/679 (RGPD).
1. PARTIES
DISCLOSING COMPANY (EMPRESA DIVULGADORA): [Disclosing Company Name], NIF/CIF [Disclosing Company NIF], registered address at [Disclosing Company Address], represented by [Disclosing Representative] (hereinafter "the Disclosing Company").
INDIVIDUAL (EMPLEADO DE TERCERO): [Individual Name], DNI/NIE/Passport [Individual DNI], employed by or contracted through [Individual Employer], engaged as [Individual Role] (hereinafter "the Individual").
This Agreement supplements the underlying services agreement: [Underlying Contract]. The Individual is bound directly and personally by this Agreement independent of any inter-company obligations under the underlying contract.
2. SCOPE OF ACCESS
The Individual will have access to the following systems, premises, or information in connection with their role ([Individual Role]): [Access Scope]. Access is limited strictly to what is necessary for the performance of the assigned project or service.
3. CONFIDENTIAL INFORMATION
"Confidential Information" means all non-public information of the Disclosing Company that the Individual accesses or receives in connection with the engagement, including: [Confidential Information Categories]. Confidential Information includes secretos empresariales within the meaning of Ley 1/2019 LSE Article 1.
Confidential Information does not include information that: (a) is publicly available through no fault of the Individual; (b) was known to the Individual prior to the engagement; (c) is independently developed without reference to the Disclosing Company's information; or (d) must be disclosed by law or court order — with prior written notice to the Disclosing Company where legally permitted.
4. INDIVIDUAL OBLIGATIONS
During the engagement period ([Engagement Period]) and for [Post-Engagement Duration] thereafter, the Individual shall: (a) maintain strict confidentiality regarding all Confidential Information; (b) use Confidential Information only for performing the assigned project or service; (c) not copy, download, transmit, or store Confidential Information on personal devices or non-authorised systems; (d) not disclose Confidential Information to any person outside the Disclosing Company without prior written consent; and (e) immediately notify the Disclosing Company of any actual or suspected breach of confidentiality or unauthorised system access.
The Individual shall process personal data accessed through the engagement only in accordance with RGPD Article 29 — solely on the documented instructions of the Disclosing Company — and shall implement appropriate technical and organisational security measures under RGPD Article 32. Personal data breaches shall be reported to the Disclosing Company's data protection contact within the timeframe required by RGPD Article 33.
Upon completion of the engagement or upon the Disclosing Company's written request, the Individual shall promptly return or certifiably destroy all Confidential Information — including electronic files stored on devices and cloud storage — and provide written confirmation of destruction.
5. REMEDIES
Breach of this Agreement by the Individual entitles the Disclosing Company to: (a) civil damages under Código Civil Articles 1101 and 1902; (b) remedies under Ley 1/2019 LSE Articles 9 through 11 — injunctions (cesación y prohibición del uso), damages calculated on actual losses or unjust enrichment (enriquecimiento injusto), and publication of judgment — before the Juzgado de lo Mercantil; and (c) AEPD administrative sanctions under RGPD Article 83 where personal data is involved. The Disclosing Company may seek urgent interim injunctions (medidas cautelares urgentes) under LEC Article 721.
6. GOVERNING LAW AND JURISDICTION
This Agreement is governed by Spanish law. Disputes are subject to the jurisdiction of the Juzgado de lo Mercantil of the Disclosing Company's registered domicile for trade secret claims under Ley 1/2019 LSE, or the Juzgado de Primera Instancia for general civil claims.
SIGNATURES
Signed on [Agreement Date].
DISCLOSING COMPANY Signed: _______________________ Name: [Disclosing Representative] On behalf of: [Disclosing Company Name] Date: _______________________
INDIVIDUAL Signed: _______________________ Name: [Individual Name] DNI/NIE: [Individual DNI] Employer: [Individual Employer] Date: _______________________
What Is a Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros)?
A Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros) is a direct confidentiality agreement signed by an individual employee, contractor, or consultant of an external organisation — such as a technology vendor, professional services firm, or outsourcing provider — who requires access to the disclosing company's confidential information in the course of delivering services in Spain. The agreement is governed by Código Civil Article 1255 (freedom of contract — autonomía de la voluntad), Ley 1/2019, de 20 de febrero, de Secretos Empresariales (LSE), and Ley Orgánica 3/2018 (LOPDGDD) supplementing Reglamento (UE) 2016/679 (RGPD), with the individual bound directly rather than through their employer organisation alone.
The distinction between this agreement and a standard inter-company NDA is critical under Spanish law. Under Código Civil Article 1257, contracts bind only the contracting parties (relatividad contractual) — an NDA signed between Company A and Vendor B does not automatically bind Vendor B's individual employees. Ley 1/2019 LSE Article 5 does impose direct liability on individuals who acquire, use, or disclose trade secrets obtained through their employment or service duties, but a written individual NDA with each third-party employee provides clearer, more enforceable obligations and enables direct legal action against the individual under Código Civil Articles 1101 and 1106 without needing to pierce the corporate veil of the vendor entity.
Third-party employees who typically require this agreement in Spain include: IT contractors (desarrolladores de software, administradores de sistemas) implementing or maintaining the disclosing company's information systems; auditors (auditores) and tax consultants (asesores fiscales) reviewing confidential financial records for Agencia Tributaria (AEAT) compliance; management consultants (consultores de gestión) advising on restructuring or strategy; data processors (encargados del tratamiento) under RGPD Article 28 whose individual staff access personal data stored by the disclosing company; and Empresa de Trabajo Temporal (ETT) workers placed under Ley 14/1994 at the disclosing company's premises who access confidential business systems.
The RGPD framework adds a specific dimension to Third-Party Employee NDAs in Spain: where the third-party employee accesses personal data belonging to the disclosing company's customers, employees, or data subjects, the individual must be bound by data processing obligations under RGPD Article 29 — processing only on documented employer instructions and maintaining confidentiality of personal data. The Agencia Española de Protección de Datos (AEPD) has confirmed that processor sub-contracting chains must bind each individual processor to equivalent confidentiality and data security obligations under RGPD Article 28.4.
The Juzgado de lo Mercantil has jurisdiction over trade secret misappropriation claims under Ley 1/2019 LSE Article 13, and civil damages claims may be brought against the individual third-party employee directly under Código Civil Articles 1101 and 1902 (extracontractual liability — responsabilidad extracontractual) even where no direct contractual relationship exists between the disclosing company and the individual, if the individual has acted unlawfully under LSE Articles 3 through 5.
The legal framework governing the Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros) in Spain draws on several key statutes and regulatory bodies. Under the Ley de Sociedades de Capital (LSC) RDL 1/2010, the Registro Mercantil maintains the register of Spanish companies. The Código de Comercio 1885 governs commercial obligations. The Agencia Estatal de Administración Tributaria (AEAT) administers Impuesto sobre Sociedades (IS) under Ley 27/2014. The Comisión Nacional de los Mercados y la Competencia (CNMC) enforces competition law. The Código Civil governs general contractual obligations under Article 1255. Parties executing a Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros) in Spain should confirm the document reflects current law, including any amendments enacted since the original drafting date. The Código Civil art. 1255; Ley 1/2019 de Secretos Empresariales art. 3–5 sets the foundational requirements.
When Do You Need a Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros)?
A Third-Party Employee NDA Spain is needed when a company's confidential information, trade secrets, or personal data will be accessed by named individuals employed by or contracted through an external vendor, consultancy, or service provider.
The agreement is needed when an IT outsourcing provider (proveedor de servicios TI) deploys individual contractors at the disclosing company's premises or remotely on the company's systems — each contractor should sign a personal NDA in addition to any framework services agreement between the companies, because the individual contractor is the person with actual physical access to sensitive systems and data.
A Third-Party Employee NDA Spain is needed when an external auditing firm (firma de auditoría) or tax advisory firm (asesoría fiscal) sends individual partners and staff to review confidential accounting records, unpublished financial statements, or pending AEAT tax inspections — the individual professionals access information far beyond what is covered by the firm's standard engagement letter.
The agreement is needed when a management consulting firm (consultora de gestión) is engaged for a strategic project — such as a merger integration, operational restructuring, or market entry analysis — and its individual consultants will be briefed on non-public pricing data, customer strategies, or competitive positioning.
A Third-Party Employee NDA Spain is required when an Empresa de Trabajo Temporal (ETT) places temporary workers at the company under Ley 14/1994 — ETT workers are employed by the ETT, not the host company (empresa usuaria), so the host company cannot rely on the ET Article 5.a duty of loyalty running from the ETT worker to the host. A direct NDA bridges this gap.
The agreement is also needed when a freelance professional (profesional autónomo) — a graphic designer, copywriter, software developer, or financial analyst — is engaged for a specific project involving access to the company's confidential business data, customer information, or unreleased product details, particularly where the freelancer's services agreement does not contain a detailed confidentiality clause meeting the requirements of Ley 1/2019 LSE.
Parties in Spain should prepare a Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros) proactively rather than waiting for a dispute to arise. Courts interpret agreements based on the written terms rather than oral representations. Under the Ley de Sociedades de Capital (LSC) RDL 1/2010, the Registro Mercantil maintains the register of Spanish companies. The Código de Comercio 1885 governs commercial obligations. The Agencia Estatal de Administración Tributaria (AEAT) administers Impuesto sobre Sociedades (IS) under Ley 27/2014. The Comisión Nacional de los Mercados y la Competencia (CNMC) enforces competition law. The Código Civil governs general contractual obligations under Article 1255. Where the transaction involves regulated activities, prior approval from the relevant authority may be required before execution.
What to Include in Your Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros)
A valid Third-Party Employee NDA Spain under Código Civil Article 1255 and Ley 1/2019 de Secretos Empresariales must contain the following essential elements to be directly binding on the third-party individual.
Identification of Parties: Full name, DNI or NIE (or passport number for non-Spanish nationals), employer organisation, job title, and contact address of the individual signatory (empleado de tercero or contratista). Full legal name, NIF, and registered address of the disclosing company (empresa divulgadora). The agreement should reference the underlying commercial contract between the disclosing company and the individual's employer organisation.
Scope of Access: Clear description of the specific systems, premises, projects, or information categories to which the individual will have access — for example, customer database access, financial reporting systems, research and development documentation, or personal data archives. The specificity of the access scope limits the individual's liability to information actually accessible and prevents the agreement from being challenged as disproportionately broad.
Definition of Confidential Information: Thorough definition of información confidencial under Ley 1/2019 LSE Article 1 criteria — information that is not publicly known, has commercial value, and has been kept secret — plus business-specific categories: trade secrets, customer data, supplier terms, technical specifications, software code, financial projections, and any information marked confidential by the disclosing company.
Obligations of the Individual: The individual must: (1) maintain strict confidentiality during and after the engagement period; (2) access confidential information only to the extent necessary for the assigned project or service; (3) not copy, transmit, download, or store confidential information on personal devices or non-authorised systems; (4) immediately notify the disclosing company of any suspected security breach, unauthorised access, or loss of confidential materials; and (5) return or certifiably destroy all confidential materials upon completion of the project or engagement.
Duration: The confidentiality obligation during the engagement is absolute. Post-engagement duration — typically 2 to 3 years — must be clearly stated. For trade secrets qualifying under Ley 1/2019 LSE, the individual's obligation not to disclose continues as long as the information remains secret, independent of the contractual term.
Data Protection Obligations: Where the individual will access personal data belonging to the disclosing company's data subjects — customers, employees, or others — the agreement must include RGPD Article 29 processor obligations: processing only on the disclosing company's documented instructions, maintaining confidentiality of personal data, implementing appropriate technical and organisational measures (medidas técnicas y organizativas) under RGPD Article 32, and reporting personal data breaches to the disclosing company's DPD within the timeframe required by RGPD Article 33 (72 hours from discovery).
Remedies: Reference to civil remedies under Ley 1/2019 LSE Articles 9 through 11 against the individual — injunctions (medidas cautelares), damages, and seizure of infringing materials — and civil liability under Código Civil Articles 1101 and 1902. AEPD administrative sanctions under RGPD Article 83 for data protection breaches reaching up to €20 million or 4% of global annual turnover may also apply.
Governing Law and Jurisdiction: Spanish law as governing law and the Juzgado de lo Mercantil (for trade secret claims) or Juzgado de Primera Instancia (for general civil claims) of the disclosing company's registered domicile as the competent court.
Forms-legal.com provides this Third-Party Employee NDA Spain template as a practical supplement to inter-company services agreements. Legal review by a Spanish abogado is recommended to confirm the agreement is appropriately tailored to the individual's specific access scope and the applicable sector data protection requirements.
Under the Ley de Sociedades de Capital (LSC) RDL 1/2010, the Registro Mercantil maintains the register of Spanish companies. The Código de Comercio 1885 governs commercial obligations. The Agencia Estatal de Administración Tributaria (AEAT) administers Impuesto sobre Sociedades (IS) under Ley 27/2014. The Comisión Nacional de los Mercados y la Competencia (CNMC) enforces competition law. The Código Civil governs general contractual obligations under Article 1255.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros) (Spain) [Legal document template]. Forms Legal. https://forms-legal.com/espana/business/contracts/third-party-employee-nda-spain
"Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros) (Spain)." Forms Legal, 2026, https://forms-legal.com/espana/business/contracts/third-party-employee-nda-spain.
@misc{formslegal-third-party-employee-nda-spain,
author = {{Forms Legal}},
title = {Third-Party Employee NDA Spain (Acuerdo de Confidencialidad para Empleados de Terceros) (Spain)},
year = {2026},
howpublished = {\url{https://forms-legal.com/espana/business/contracts/third-party-employee-nda-spain}},
note = {Free legal document template}
}Frequently Asked Questions
Conforme al artículo 1257 del Código Civil, los contratos solo obligan a las partes contratantes —principio conocido como relatividad contractual o privity of contract—. Un NDA suscrito entre la empresa divulgadora y la organización proveedora no impone automáticamente obligaciones vinculantes a los empleados individuales del proveedor. Aunque los artículos 3 a 5 de la Ley 1/2019 de Secretos Empresariales imponen responsabilidad directa a las personas físicas que obtengan, utilicen o divulguen ilícitamente secretos empresariales en el ejercicio de sus funciones laborales, ofreciendo así una garantía legal subsidiaria, un NDA individual directo aporta varias ventajas adicionales en el derecho español. En primer lugar, crea una acción contractual directa contra el individuo conforme a los artículos 1101 y 1106 del Código Civil, simplificando la cuantificación de los daños sin necesidad de levantar el velo societario del proveedor. En segundo lugar, permite a la empresa divulgadora solicitar medidas cautelares directamente contra el individuo al Juzgado de lo Mercantil. En tercer lugar, pone al individuo en conocimiento expreso y escrito de sus obligaciones, reforzando la posición del empleador en eventuales procedimientos disciplinarios o penales. En cuarto lugar, satisface los requisitos del artículo 29 RGPD sobre confidencialidad del personal encargado del tratamiento de datos personales conforme a la LOPDGDD.
Sí, por dos vías. En primer lugar, si el individuo ha suscrito un NDA individual directo con la empresa divulgadora, el incumplimiento genera responsabilidad contractual directa conforme a los artículos 1101 y 1106 del Código Civil, pudiendo la empresa divulgadora reclamar daños ante el Juzgado de lo Mercantil (para reclamaciones por secretos empresariales conforme a la Ley 1/2019 LSE) o ante el Juzgado de Primera Instancia (para daños civiles generales). En segundo lugar, incluso sin NDA directo, la empresa divulgadora puede reclamar al individuo por responsabilidad extracontractual conforme al artículo 1902 del Código Civil si su conducta constituye obtención, uso o divulgación ilícita de secretos empresariales conforme a los artículos 3 a 5 de la Ley 1/2019 LSE. El artículo 13 LSE dispone que el Juzgado de lo Mercantil ostenta jurisdicción sobre todas las reclamaciones por infracción de secretos empresariales con independencia de la relación contractual entre las partes. Adicionalmente, podría ejercitarse la acción penal conforme al artículo 278 del Código Penal (espionaje empresarial) si el individuo extrajo documentos confidenciales de los sistemas de la empresa divulgadora sin autorización.
Conforme al artículo 29 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), las personas físicas empleadas por un encargado del tratamiento que acceden a datos personales por cuenta del responsable del tratamiento solo pueden tratar dichos datos con arreglo a las instrucciones documentadas del responsable o del encargado. El artículo 28.3.b RGPD exige al encargado —en este caso, la organización proveedora— que garantice que su personal autorizado para tratar los datos personales del responsable haya asumido un compromiso de confidencialidad o esté sujeto a una obligación legal adecuada de confidencialidad. Un Acuerdo de Confidencialidad para Empleados de Terceros España que incorpore las obligaciones del artículo 29 RGPD satisface este requisito directamente a nivel individual. Las directrices de la Agencia Española de Protección de Datos (AEPD) sobre la responsabilidad del encargado confirman que las organizaciones deben implementar compromisos individuales de confidencialidad vinculantes para todo el personal que acceda a datos personales. El incumplimiento de las obligaciones de confidencialidad del RGPD por parte del personal del encargado puede dar lugar a sanciones administrativas de la AEPD contra la organización encargada de hasta 10 millones de euros o el 2 % del volumen de negocios global anual conforme al artículo 83.4 RGPD.
La duración del Acuerdo de Confidencialidad para Empleados de Terceros España se rige por la libertad de pactos del artículo 1255 del Código Civil, sin plazo máximo legal para las obligaciones comerciales de confidencialidad. En la práctica española, estos acuerdos contemplan habitualmente: obligaciones de confidencialidad durante el período de prestación —absolutas y coextensas con el acceso del individuo al proyecto—; y obligaciones de confidencialidad post-prestación de dos a cinco años para la información confidencial general, en línea con la duración de los NDA comerciales conforme al Código Civil. Para la información que tenga la condición de secreto empresarial conforme a la Ley 1/2019 LSE, la obligación del individuo de mantener la confidencialidad se extiende mientras la información conserve su carácter secreto, con independencia del plazo contractual, dado que las protecciones legales de la LSE no están sujetas a plazo de caducidad. Las obligaciones de protección de datos conforme al RGPD se mantienen mientras los datos personales subsistan y continúe la función del individuo como persona autorizada del encargado. Los tribunales aplican criterios de proporcionalidad a las restricciones post-prestación excesivas conforme a los artículos 7 y 1258 del Código Civil.
Sí. Los trabajadores de ETT (Empresa de Trabajo Temporal) cedidos a una empresa usuaria conforme a la Ley 14/1994 son empleados de la ETT —no de la empresa usuaria—, por lo que esta no puede invocar el deber general de lealtad del artículo 5.a del Estatuto de los Trabajadores entre el trabajador cedido y la empresa usuaria. No obstante, los artículos 3 a 5 de la Ley 1/2019 de Secretos Empresariales imponen obligaciones legales directas a cualquier persona física que obtenga, use o divulgue secretos empresariales adquiridos en el ejercicio de sus funciones de servicio, con independencia de la estructura de empleo. Un trabajador de ETT que se apropie indebidamente de los secretos empresariales de la empresa usuaria responde directamente conforme al artículo 5 LSE incluso sin un NDA directo. Para reforzar la protección, la empresa usuaria debe: (1) exigir a la ETT que incluya obligaciones de confidencialidad en el propio contrato de trabajo del trabajador cedido; (2) obtener un Acuerdo de Confidencialidad individual directo suscrito por cada trabajador de ETT que acceda a información sensible; y (3) implementar controles de acceso y sistemas de clasificación de la información para limitar la exposición del trabajador cedido a la información estrictamente necesaria para su asignación.
Cuando un empleado de tercero incumple un acuerdo de confidencialidad en España, la empresa divulgadora debe actuar con diligencia en varios frentes. Primero, preservar pruebas: documentar el incumplimiento con registros de acceso al sistema, correos electrónicos, análisis forense de dispositivos y testimonios —pruebas que serán exigidas por el Juzgado de lo Mercantil en cualquier procedimiento conforme a la Ley 1/2019 LSE—. Segundo, notificar a la organización proveedora y exigir el cese inmediato del incumplimiento y la devolución de todos los materiales confidenciales —esto crea un registro claro de la objeción de la empresa divulgadora y refuerza la reclamación de que la información mantiene su carácter secreto—. Tercero, solicitar medidas cautelares urgentes al Juzgado de lo Mercantil conforme a los artículos 721 a 747 LEC para impedir divulgaciones adicionales antes del juicio. Cuarto, ejercitar acciones civiles de daños conforme a los artículos 9 a 11 LSE y los artículos 1101 y 1106 del Código Civil. Quinto, si se han visto implicados datos personales, notificar a la AEPD en un plazo de 72 horas desde el conocimiento de la brecha conforme al artículo 33 RGPD y evaluar la necesidad de notificar a los interesados afectados conforme al artículo 34 RGPD. Sexto, evaluar si la conducta penal del artículo 278 del Código Penal (espionaje empresarial) o del artículo 197 (acceso no autorizado a datos) justifica una denuncia ante el Juzgado de Instrucción.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Acuerdo de Confidencialidad de Empleado España
Acuerdo de Confidencialidad de Empleado para España — conforme al artículo 5.a del Estatuto de los Trabajadores (RDL 2/2015) y la Ley 1/2019 de Secretos Empresariales, protegiendo los secretos comerciales, datos de clientes e información empresarial revelada al trabajador durante la relación laboral.
Acuerdo de Confidencialidad para Due Diligence España — Ley 1/2019 LSE
Acuerdo de Confidencialidad para procesos de Due Diligence en España, conforme al artículo 1255 del Código Civil, la Ley 1/2019 de Secretos Empresariales y la LOPDGDD. Protege la información divulgada durante operaciones de M&A, inversión o financiación en el mercado español.
Acuerdo de Confidencialidad Personal España — Código Civil art. 1255
Acuerdo de Confidencialidad Personal para España conforme al artículo 1255 del Código Civil y la Ley 1/2019 de Secretos Empresariales, que protege información personal, creativa o empresarial compartida entre particulares fuera de una relación laboral o mercantil formal.
Acuerdo de Concesionario España — Código de Comercio art. 244
Acuerdo de Concesionario para España conforme al Código de Comercio arts. 244–280, la Ley 12/1992 de Contrato de Agencia y el Reglamento (UE) 2022/720 de exención por categorías (VBER), que regula la distribución exclusiva de productos entre concedente y concesionario.