¿Es obligatorio el Acuerdo de Encargado del Tratamiento en España bajo el RGPD?

Sí. El artículo 28.3 del Reglamento (UE) 2016/679 (RGPD) exige que todo tratamiento realizado por un encargado del tratamiento en nombre de un responsable esté regulado por un contrato escrito (u otro acto jurídico) que especifique el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las obligaciones y derechos del responsable. Este requisito es directamente aplicable en toda España y está supervisado por la Agencia Española de Protección de Datos (AEPD). La AEPD ha sancionado sistemáticamente a las organizaciones que no suscriben un AET conforme, con multas que oscilan entre 5.000 € y 200.000 € según la gravedad. El artículo 83.4 del RGPD tipifica el incumplimiento del artículo 28 como infracción de Nivel 1 sujeta a multas de hasta 10.000.000 € o el 2 % del volumen de negocio anual mundial. La LOPDGDD 3/2018 no reduce este requisito — lo extiende a las administraciones públicas y obliga a todas las entidades (incluidas las pymes) a mantener un Registro de Actividades de Tratamiento que documente todas las relaciones responsable-encargado conforme al artículo 30 del RGPD.

¿Qué requisitos exige la AEPD para la autorización de subencargados del tratamiento en España?

Conforme al artículo 28.2 del RGPD, un encargado del tratamiento no puede contratar a un subencargado del tratamiento sin autorización previa por escrito del responsable. La AEPD admite dos formas de autorización en el AET: (1) autorización específica — nombrando individualmente a cada subencargado aprobado (por ejemplo, AWS para el alojamiento web, Stripe para el procesamiento de pagos); o (2) autorización general — permitiendo al encargado contratar subencargados de una lista o categoría preaprobada, con notificación al responsable antes de incorporar cualquier nuevo subencargado y dándole la oportunidad de oponerse. Cuando se utilice la autorización general, el AET debe especificar el plazo mínimo de notificación (habitualmente entre 15 y 30 días) y el procedimiento de oposición del responsable. El encargado sigue siendo plenamente responsable ante el responsable por el cumplimiento del RGPD por parte del subencargado conforme al artículo 28.4 del RGPD — si el subencargado provoca una brecha de datos, el encargado asume la responsabilidad principal. La guía de la AEPD Relaciones entre Responsables y Encargados del Tratamiento (disponible en aepd.es) ofrece orientación detallada sobre las cláusulas de autorización de subencargados.

¿Qué medidas de seguridad debe implantar un encargado del tratamiento según la normativa española?

El artículo 32 del RGPD exige a los encargados del tratamiento que implanten medidas técnicas y organizativas (MTOs) apropiadas, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y el riesgo para los interesados. La Guía de Medidas de Seguridad de la AEPD (disponible en aepd.es) y el INCIBE (Instituto Nacional de Ciberseguridad) proporcionan marcos sectoriales específicos. Las medidas mínimas de seguridad para la mayoría de los tratamientos comerciales en España incluyen: (1) seudonimización y cifrado de los datos personales en reposo y en tránsito; (2) confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas de tratamiento; (3) procedimientos para restablecer el acceso a los datos personales tras un incidente de seguridad dentro de los Objetivos de Tiempo de Recuperación (RTO) definidos; (4) pruebas y evaluaciones periódicas de las medidas de seguridad (tests de penetración, análisis de vulnerabilidades). Para el tratamiento de datos de salud, financieros o de vigilancia sistemática a gran escala, la AEPD espera medidas reforzadas que incluyan controles de acceso basados en roles, autenticación multifactor, registros de auditoría completos y procedimientos documentados de respuesta a incidentes alineados con el Esquema Nacional de Seguridad (ENS — Real Decreto 311/2022) para entidades de la cadena de suministro del sector público.

¿Cómo deben notificarse las brechas de datos personales bajo el RGPD en España?

Conforme a los artículos 33 y 34 del RGPD y a la LOPDGDD 3/2018, las violaciones de la seguridad de los datos personales deben notificarse en un proceso de dos etapas. En primer lugar, el encargado del tratamiento debe notificar al responsable sin dilación indebida tras tener conocimiento de la brecha — en la práctica, la AEPD espera la notificación en un plazo de 24 a 72 horas. En segundo lugar, el responsable debe notificar a la AEPD en un plazo de 72 horas desde que tenga conocimiento de la brecha, utilizando el portal de notificación en línea de la AEPD (disponible en aepd.es). La notificación a la AEPD debe incluir: una descripción de la naturaleza de la brecha; las categorías y el número aproximado de interesados afectados; las categorías y el número aproximado de registros de datos personales afectados; el nombre y los datos de contacto del DPD (si ha sido designado); las consecuencias probables de la brecha; las medidas adoptadas o propuestas para subsanarla. Cuando sea probable que la brecha conlleve un alto riesgo para los derechos y libertades de las personas, el responsable también debe comunicar la brecha a los interesados afectados conforme al artículo 34 del RGPD — sin dilación indebida. La AEPD ha sancionado a diversas entidades por notificaciones tardías o incompletas de brechas.

¿Pueden transferirse datos personales fuera de España en el marco de un AET?

Las transferencias internacionales de datos personales fuera del Espacio Económico Europeo (EEE) por parte de un encargado del tratamiento o subencargado con sede en España están restringidas por el Capítulo V del RGPD y requieren un mecanismo de transferencia válido. Los mecanismos disponibles en el derecho español y europeo son: (1) Decisiones de adecuación — la Comisión Europea ha reconocido que determinados países (entre ellos el Reino Unido, Japón, Canadá, Corea del Sur y Suiza) garantizan un nivel de protección adecuado conforme al artículo 45 del RGPD; (2) Cláusulas Contractuales Tipo (CCT) — los módulos aprobados por la Comisión mediante Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021, que sustituyeron a las CCT anteriores a 2021 y deben incorporarse íntegramente al AET o adjuntarse como anexo; (3) Normas Corporativas Vinculantes (NCV) — aprobadas por la AEPD para transferencias intragrupo; (4) excepciones específicas del artículo 49 del RGPD para transferencias puntuales en circunstancias excepcionales. Tras la sentencia Schrems II (Tribunal de Justicia de la UE, C-311/18), las transferencias a Estados Unidos se amparan ahora en el Marco de Privacidad de Datos UE-EE. UU. (Decisión de Adecuación 2023/1795) para entidades estadounidenses certificadas. La AEPD puede prohibir las transferencias que infrinjan el Capítulo V y ha emitido informes jurídicos sobre supuestos de transferencia específicos.

¿Cuáles son las sanciones de la AEPD por incumplir los requisitos del acuerdo de encargado del tratamiento en España?

El régimen sancionador de la AEPD sigue la estructura de dos niveles del artículo 83 del RGPD. Las infracciones relacionadas con los acuerdos de encargado del tratamiento — concretamente el artículo 28 del RGPD (obligaciones de los encargados), el artículo 32 (medidas de seguridad) y el artículo 33 (notificación de brechas) — se encuadran en el artículo 83.4 del RGPD como infracciones de Nivel 1 (nivel inferior) sujetas a multas de hasta 10.000.000 € o el 2 % del volumen de negocio anual mundial total, la cifra que sea mayor. En la práctica, la AEPD gradúa las multas en función de: (1) la gravedad y duración de la infracción; (2) el número de interesados afectados; (3) si la infracción fue dolosa o negligente; (4) la cooperación con la AEPD durante la investigación; (5) las infracciones previas de la misma entidad. Las resoluciones recientes de la AEPD contra entidades españolas por infracciones relacionadas con AET incluyen sanciones de entre 50.000 € y 300.000 € a grandes empresas que no mantenían acuerdos de tratamiento conformes con sus proveedores en la nube. La AEPD también tiene potestad para dictar advertencias, ordenar la cesación del tratamiento e imponer prohibiciones temporales o permanentes de tratamiento conforme al artículo 58.2 del RGPD — con independencia de las sanciones económicas o de forma acumulada.

¿Cuándo es obligatorio nombrar un Delegado de Protección de Datos (DPD) en España?

La designación de un Delegado de Protección de Datos (DPD) es obligatoria en España conforme al artículo 37 del RGPD y a los artículos 34 a 37 de la LOPDGDD 3/2018 en tres categorías de supuestos: (1) organismos públicos (autoridades y organismos públicos) — todas las Administraciones Públicas españolas deben designar un DPD; (2) entidades cuya actividad principal consista en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala (por ejemplo, operadoras de telecomunicaciones, gestoras de programas de fidelización, plataformas de publicidad en línea); y (3) entidades cuya actividad principal conlleve el tratamiento a gran escala de categorías especiales de datos conforme al artículo 9 del RGPD (salud, biométricos, genéticos) o de datos relativos a condenas e infracciones penales conforme al artículo 10 del RGPD. La LOPDGDD amplía la obligación de designar DPD más allá de los mínimos del RGPD — el artículo 34 de la LOPDGDD exige expresamente la designación de DPD por entidades de crédito, aseguradoras, empresas de servicios de inversión, centros educativos, hospitales y centros sanitarios, y Colegios Profesionales. El DPD debe inscribirse en el registro electrónico de la AEPD en el plazo de 10 días desde su designación. El DPD puede ser empleado o prestador de servicios externo, debe tener conocimientos especializados en derecho de protección de datos y no puede recibir instrucciones del responsable o del encargado en el ejercicio de sus funciones.

Data Processing Agreement (DPA) Spain

Data Processing Agreement (DPA) Spain (Acuerdo de Encargado del Tratamiento)

ACUERDO DE ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES

Data Processing Agreement (DPA)

Governed by Reglamento (UE) 2016/679 (RGPD) Article 28 and Ley Orgánica 3/2018 (LOPDGDD)

1. PARTIES

DATA CONTROLLER (RESPONSABLE DEL TRATAMIENTO):

Legal Name: [Controller Name]

NIF/CIF: [Controller NIF]

Registered Address: [Controller Address]

Legal Representative: [Controller Representative]

DPD Contact: [Controller DPO]

DATA PROCESSOR (ENCARGADO DEL TRATAMIENTO):

Legal Name: [Processor Name]

NIF/CIF: [Processor NIF]

Registered Address: [Processor Address]

Legal Representative: [Processor Representative]

DPD Contact: [Processor DPO]

2. SUBJECT MATTER, NATURE, PURPOSE, AND DURATION OF PROCESSING

Subject Matter: [Processing Subject]

Purpose of Processing: [Processing Purpose]

Nature of Processing Operations: [Processing Nature]

Duration: [Contract Duration]

Types of Personal Data Processed: [Data Categories]

Categories of Data Subjects: [Data Subject Categories]

3. PROCESSING ON DOCUMENTED INSTRUCTIONS AND CONFIDENTIALITY

Pursuant to Article 28.3(a) RGPD, [Processor Name] shall process personal data only on the documented instructions of [Controller Name] and shall not process data for its own purposes or any purpose not authorised in writing by the controller. The processor shall immediately notify the controller if, in the processor's opinion, an instruction infringes the RGPD or LOPDGDD.

Pursuant to Article 28.3(b) RGPD, [Processor Name] ensures that all personnel authorised to process the personal data have committed themselves to confidentiality — either by statutory obligation or by written contractual confidentiality agreements — and receive appropriate data protection training.

4. TECHNICAL AND ORGANISATIONAL SECURITY MEASURES (ARTICLE 32 RGPD)

Technical Measures: [Technical Measures]

Organisational Measures: [Organisational Measures]

Security measures shall be reviewed and updated by [Processor Name] at least annually and upon any significant change to processing operations, in accordance with the AEPD's Guía de Medidas de Seguridad (available at aepd.es).

5. SUB-PROCESSORS (SUBENCARGADOS DEL TRATAMIENTO)

Sub-processor Authorisation: [Subprocessors Authorisation]

[Processor Name] must impose equivalent data protection obligations on any subencargado del tratamiento under Article 28.4 RGPD. The processor remains fully liable to [Controller Name] for the subencargado's compliance with RGPD obligations. A current list of approved sub-processors is attached as Annex B to this agreement.

6. DATA SUBJECT RIGHTS ASSISTANCE

[Processor Name] shall assist [Controller Name] in responding to data subject rights requests under Articles 15 to 22 RGPD — access (acceso), rectification (rectificación), erasure (supresión), restriction of processing (limitación del tratamiento), data portability (portabilidad), and objection (oposición) — within the timeframes established by Article 12.3 RGPD (1 month from receipt, extendable to 3 months in complex cases). The processor shall notify the controller of any direct rights request received from a data subject within 5 working days.

7. DATA PROTECTION IMPACT ASSESSMENT SUPPORT

[Processor Name] shall assist [Controller Name] in carrying out Data Protection Impact Assessments (Evaluaciones de Impacto relativas a la Protección de Datos — EIPD) under Article 35 RGPD where required, and in prior consultation with the Agencia Española de Protección de Datos (AEPD) under Article 36 RGPD, providing all information about processing operations and security measures necessary for the EIPD.

8. PERSONAL DATA BREACH NOTIFICATION

[Processor Name] shall notify [Controller Name] without undue delay — and in any event within 72 hours of becoming aware — of any personal data breach (violación de la seguridad de los datos personales) under Article 33 RGPD, providing: a description of the breach; categories and approximate number of data subjects affected; categories and approximate number of data records affected; likely consequences; and measures taken or proposed to address the breach. This enables [Controller Name] to assess the risk and notify the AEPD and, where required, affected data subjects.

9. RETURN OR DELETION OF DATA

Upon expiry or termination of this DPA, [Processor Name] shall, at [Controller Name]'s election, securely delete or return all personal data under Article 28.3(g) RGPD within 30 calendar days of termination, unless EU or Spanish law requires continued retention. Secure deletion shall be documented and certified to the controller.

10. AEPD COMPLIANCE AND AUDIT RIGHTS

[Processor Name] shall make available to [Controller Name] all information necessary to demonstrate compliance with Article 28 RGPD and allow for and contribute to audits, including inspections, conducted by the controller or a mandated auditor. Violations of Article 28 RGPD are classified under Article 83.4 RGPD as subject to administrative fines of up to €10,000,000 or 2% of total global annual turnover, supervised and enforced by the Agencia Española de Protección de Datos (AEPD) established under Article 44 of Ley Orgánica 3/2018 (LOPDGDD).

11. GOVERNING LAW

This Data Processing Agreement is governed by Reglamento (UE) 2016/679 (RGPD) and Ley Orgánica 3/2018 (LOPDGDD). Disputes shall be resolved before the competent Spanish courts.

SIGNATURES

Signed in [Agreement City], on [Agreement Date].

DATA CONTROLLER (RESPONSABLE DEL TRATAMIENTO):

[Controller Name]

Represented by: [Controller Representative]

Signature: _________________________ Date: _________________________

DATA PROCESSOR (ENCARGADO DEL TRATAMIENTO):

[Processor Name]

Represented by: [Processor Representative]

Signature: _________________________ Date: _________________________

Data Controller / Legal Representative

________________

Signature

Data Processor / Legal Representative

________________

Signature

Maintained by Vladislav Sergienko, Founder·Template last modified: 2026-06-23·Report an error

What Is a Data Processing Agreement (DPA) Spain?

A Data Processing Agreement Spain (Acuerdo de Encargado del Tratamiento — AET) is a legally mandatory contract required by Article 28 of Reglamento (UE) 2016/679 — the General Data Protection Regulation (RGPD) — whenever a data controller (responsable del tratamiento) instructs a data processor (encargado del tratamiento) to process personal data on its behalf. In Spain, the RGPD is supplemented by Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), and supervised by the Agencia Española de Protección de Datos (AEPD), the independent data protection supervisory authority established under Article 34 LOPDGDD.

The Data Processing Agreement formalises the relationship between the responsable del tratamiento — the entity that determines the purposes and means of processing (for example, a company using a cloud provider or marketing platform) — and the encargado del tratamiento — the entity that processes data solely on the controller's documented instructions (for example, a SaaS provider, payroll bureau, or IT support company). Article 28.3 RGPD mandates that the processing agreement be concluded in writing and contain a minimum set of provisions including the subject matter, duration, nature and purpose of processing, the type of personal data processed, the categories of data subjects, and the obligations and rights of the controller.

Failure to execute a compliant Data Processing Agreement exposes both the responsable and the encargado to administrative sanctions under Article 83 RGPD — up to €10,000,000 or 2% of total global annual turnover (whichever is higher) for violations of Article 28. The AEPD has issued multiple sanction resolutions (resoluciones sancionadoras) for the absence of a DPA or for DPAs that lack the mandatory Article 28.3 clauses — including sanctions against major Spanish telecommunications operators and financial entities. All AEPD resolutions are published in the Sede Electrónica de la AEPD at aepd.es.

The LOPDGDD 3/2018 introduced specific additional requirements for Spanish data processing relationships beyond those in the RGPD. Article 28 LOPDGDD requires that public bodies processing data on behalf of another public body use a specific form of processing agreement approved by the competent supervisory authority (the AEPD for the central state administration, and the equivalent regional data protection authorities — Autoridad Catalana de Protección de Datos (APDCAT), Agencia Vasca de Protección de Datos (AVPD), and Agencia Española de Protección de Datos de Navarra — for regional authorities). Article 33 LOPDGDD extends the obligation to maintain a register of processing activities (Registro de Actividades de Tratamiento — RAT) under RGPD Article 30 to all controllers and processors, regardless of size, removing the SME exemption that Article 30.5 RGPD nominally provides.

Where an encargado del tratamiento engages a sub-processor (subencargado), Article 28.2 RGPD requires prior written authorisation from the responsable — either specific (naming the sub-processor) or general (allowing sub-processors subject to notification). The subencargado must be bound by equivalent data protection obligations as the encargado, and the encargado remains fully liable to the responsable for the subencargado's compliance failures.

International data transfers outside the European Economic Area (EEA) by the encargado require a legal transfer mechanism under Chapter V RGPD — typically Standard Contractual Clauses (Cláusulas Contractuales Tipo — CCT) approved by the European Commission under Decisión de Ejecución (UE) 2021/914, an adequacy decision (decisión de adecuación), or Binding Corporate Rules (Normas Corporativas Vinculantes — BCR). The AEPD supervises international transfer compliance and may impose transfer bans as a corrective measure under Article 58.2(j) RGPD.

When Do You Need a Data Processing Agreement (DPA) Spain?

A Data Processing Agreement Spain is required under Article 28 RGPD in every situation where a company or organisation (responsable del tratamiento) instructs another entity (encargado del tratamiento) to process personal data on its behalf — regardless of whether the processing is commercial, charitable, or governmental in nature.

The DPA is required when a Spanish company uses a cloud computing provider (proveedor de servicios en la nube) — such as AWS, Google Cloud, or Microsoft Azure — to store or process customer personal data. These providers are encargados del tratamiento and must execute a RGPD-compliant processing agreement with each Spanish client under Article 28.

A Data Processing Agreement is required when a Spanish employer outsources payroll processing (gestión de nóminas) to an external gestor laboral or HR software provider. The payroll provider processes employee personal data — including salario, NSS number, IRPF withholding rates, and bank account details — on the employer's behalf, making it an encargado del tratamiento.

The DPA is required when a Spanish business uses an email marketing platform (plataforma de email marketing) — such as Mailchimp, HubSpot, or ActiveCampaign — to send commercial communications to its subscriber list. The platform processes contact data on the company's behalf and must execute a DPA compliant with Article 28 RGPD and Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI).

A Data Processing Agreement is needed when a Spanish e-commerce business uses a third-party payment processor (pasarela de pago) that accesses cardholder data, or a logistics provider (empresa de mensajería) that receives customer delivery address data. Both entities process personal data on behalf of the e-commerce operator and require a DPA.

The agreement is required when a Spanish hospital, clinic (clínica privada), or healthcare provider engages a medical records management company or electronic health record (historia clínica electrónica) software provider. Health data is a special category under Article 9 RGPD and processing requires explicit consent or another specific legal basis, with enhanced DPA provisions for special category data under LOPDGDD.

A DPA is also required when Spanish public bodies (Administraciones Públicas) contract IT service providers, data analytics companies, or cloud hosting providers to process data from citizen registries (padrón municipal), social services, or tax administration — with the additional requirements imposed by Article 28 LOPDGDD for public sector processing agreements.

What to Include in Your Data Processing Agreement (DPA) Spain

A compliant Data Processing Agreement Spain under Article 28.3 RGPD and LOPDGDD 3/2018 must contain the following mandatory provisions. Absence of any of these elements exposes both parties to AEPD sanctions.

Identification of Controller and Processor: Full legal names, registered addresses, NIF/CIF, and data protection officer (Delegado de Protección de Datos — DPD) contact details (if appointed) for both the responsable del tratamiento and the encargado del tratamiento. Appointment of a DPD is mandatory for Spanish public bodies, for entities conducting large-scale systematic monitoring, and for entities processing special category data under Article 37 RGPD and Article 34 LOPDGDD.

Subject Matter, Duration, and Nature of Processing: A precise description of what personal data will be processed, for what purpose (finalidad), by what means (medios), and for how long (duración). Vague or generic descriptions — such as simply stating "customer data" — are insufficient under the AEPD's enforcement guidance.

Types of Personal Data and Categories of Data Subjects: Specification of the categories of personal data processed (e.g., identification data, contact data, financial data, health data, location data) and the categories of data subjects (e.g., employees, customers, website visitors). Processing of special categories under Article 9 RGPD (health, biometric, ethnic origin, trade union membership) requires express mention and enhanced justification.

Processing Only on Documented Instructions: The encargado must process personal data only on the documented instructions of the responsable under Article 28.3(a) RGPD. The DPA must prohibit the encargado from processing data for its own purposes or for any purpose not authorised by the responsable.

Confidentiality of Processing: Personnel authorised to process the personal data must be under an obligation of confidentiality under Article 28.3(b) RGPD — either a statutory obligation (e.g., professional secrecy of lawyers or doctors) or a contractual obligation.

Technical and Organisational Security Measures: The encargado must implement appropriate technical and organisational measures (medidas técnicas y organizativas — MTOs) to protect personal data under Article 32 RGPD — proportionate to the risk of the processing. The DPA should specify minimum security standards: pseudonymisation, encryption, access controls, business continuity, backup procedures, and periodic security testing. The AEPD's Guía de Medidas de Seguridad (available at aepd.es) provides sector-specific guidance.

Sub-processor Authorisation: Whether the encargado may engage sub-processors (subencargados) — and if so, whether authorisation is specific (listing named sub-processors) or general (subject to notification). The encargado must impose equivalent obligations on any subencargado under Article 28.4 RGPD.

Data Subject Rights Assistance: The encargado must assist the responsable in responding to data subject rights requests — access (Article 15 RGPD), rectification (Article 16), erasure (Article 17), restriction (Article 18), portability (Article 20), and objection (Article 21) — within the deadlines established by Articles 12 and 22 RGPD.

Data Protection Impact Assessment Support: The encargado must assist the responsable in carrying out Data Protection Impact Assessments (Evaluaciones de Impacto relativas a la Protección de Datos — EIPD) under Article 35 RGPD where required, and in prior consultation with the AEPD under Article 36 RGPD.

Personal Data Breach Notification: The encargado must notify the responsable without undue delay (and within 72 hours maximum) of any personal data breach (violación de la seguridad) under Article 33 RGPD, providing sufficient information for the responsable to assess the risk and notify the AEPD if required.

Return or Deletion of Data: Upon termination of the DPA, the encargado must return or securely delete all personal data under Article 28.3(g) RGPD — within a specified timeframe — unless Spanish law requires retention of the data.

International Transfers: If the encargado or any subencargado will transfer personal data outside the EEA, the DPA must specify the transfer mechanism under Chapter V RGPD — Standard Contractual Clauses (CCT — Decisión 2021/914), adequacy decision, or BCR.

Forms-legal.com provides this Data Processing Agreement Spain template as a practical starting point. All DPAs should be reviewed by a qualified abogado specialising in protección de datos or a certified Delegado de Protección de Datos before execution, to confirm compliance with current AEPD enforcement positions and RGPD requirements.

Cite this page

Reference this free template in an article, syllabus, or research note:

APA

Forms Legal. (2026). Data Processing Agreement (DPA) Spain (Spain) [Legal document template]. Forms Legal. https://forms-legal.com/espana/business/policies/data-processing-agreement-spain

MLA

"Data Processing Agreement (DPA) Spain (Spain)." Forms Legal, 2026, https://forms-legal.com/espana/business/policies/data-processing-agreement-spain.

BibTeX

@misc{formslegal-data-processing-agreement-spain,
  author       = {{Forms Legal}},
  title        = {Data Processing Agreement (DPA) Spain (Spain)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/espana/business/policies/data-processing-agreement-spain}},
  note         = {Free legal document template}
}

Also available for these jurisdictions:

Frequently Asked Questions

Statute-referenced template — Template last modified June 2026

This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer

Found an error? Let us know

Data Processing Agreement (DPA) Spain

What Is a Data Processing Agreement (DPA) Spain?

When Do You Need a Data Processing Agreement (DPA) Spain?

What to Include in Your Data Processing Agreement (DPA) Spain

Cite this page

Also available for these jurisdictions:

Frequently Asked Questions

Related Documents

Acuerdo de Confidencialidad España — Ley 1/2019 de Secretos Empresariales

Acuerdo de Transferencia de Tecnología España

Contrato de Trabajo Indefinido España