Joint Controller Agreement Spain (Acuerdo de Corresponsables del Tratamiento)
ACUERDO DE CORRESPONSABLES DEL TRATAMIENTO
Joint Controller Agreement
Governed by RGPD (EU) 2016/679 Article 26 and Ley Orgánica 3/2018 (LOPDGDD)
1. JOINT CONTROLLERS (CORRESPONSABLES DEL TRATAMIENTO)
FIRST JOINT CONTROLLER:
Name: [Controller One Name]
NIF/CIF: [Controller One NIF]
Address: [Controller One Address]
DPD Contact: [Controller One DPO]
SECOND JOINT CONTROLLER:
Name: [Controller Two Name]
NIF/CIF: [Controller Two NIF]
Address: [Controller Two Address]
DPD Contact: [Controller Two DPO]
2. JOINT PROCESSING ACTIVITY
The parties jointly determine the purposes and means of the following personal data processing activity, constituting joint controllership within the meaning of Article 26 of the Reglamento General de Protección de Datos (RGPD — Reglamento (UE) 2016/679):
Processing Description: [Processing Description]
Personal Data Categories: [Data Categories]
Data Subjects (Interesados): [Data Subjects]
Processing Purpose(s): [Processing Purpose]
Legal Basis: [Legal Basis], as required by Article 6 RGPD.
Retention Period: [Retention Period]
3. ALLOCATION OF RESPONSIBILITIES
Pursuant to Article 26.1 of the RGPD, the joint controllers hereby determine their respective responsibilities for compliance with RGPD obligations:
Privacy Notice (Arts. 13–14 RGPD): [Privacy Notice Responsibility]
Data Subject Rights Contact Point: [Rights Contact Point]. Notwithstanding this internal allocation, pursuant to Article 26.3 RGPD, data subjects may exercise their rights under Articles 15–21 RGPD against either joint controller.
Security Measures (Art. 32 RGPD): [Security Responsibility]
Data Breach Notification (Art. 33 RGPD): [Breach Notification Responsibility]. The notifying party must notify the Agencia Española de Protección de Datos (AEPD) at aepd.es within 72 hours of becoming aware of a personal data breach.
4. TRANSPARENCY TO DATA SUBJECTS
Pursuant to Article 26.2 of the RGPD, the essence of this arrangement shall be made available to data subjects — including the identity of both joint controllers and the designated contact point for exercising rights — through the privacy policies, cookie policies, and information notices published by each party on their respective digital and physical channels.
5. LIABILITY AND INDEMNIFICATION
Each joint controller is individually liable to data subjects for the full amount of damages caused by the joint processing pursuant to Article 82 of the RGPD and Article 30 of the LOPDGDD. As between the joint controllers, liability for RGPD fines, compensation awards, and AEPD investigation costs shall be allocated in proportion to the extent each party contributed to the violation, as determined by mutual agreement or, failing agreement, by the courts of the jurisdiction agreed herein.
6. GOVERNING LAW
This agreement is governed by the RGPD (EU) 2016/679, Ley Orgánica 3/2018 (LOPDGDD), and Spanish law. The Agencia Española de Protección de Datos (AEPD) is the competent supervisory authority for processing activities affecting data subjects in Spain. Disputes between the joint controllers shall be resolved before the courts of Madrid.
SIGNATURES
Signed in [City], on [Agreement Date].
FIRST JOINT CONTROLLER:
[Controller One Name]
Signature: _________________________ Date: _________________________
SECOND JOINT CONTROLLER:
[Controller Two Name]
Signature: _________________________ Date: _________________________
First Joint Controller
________________
Signature
Second Joint Controller
________________
Signature
What Is a Joint Controller Agreement Spain (Acuerdo de Corresponsables del Tratamiento)?
A Joint Controller Agreement Spain (Acuerdo de Corresponsables del Tratamiento) is a formal written arrangement between two or more organisations that jointly determine the purposes and means of processing personal data, establishing the respective responsibilities of each organisation for compliance with data protection obligations, governed principally by Article 26 of the Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 — RGPD), directly applicable in Spain since 25 May 2018, and supplemented by the Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) and the oversight of the Agencia Española de Protección de Datos (AEPD).
Article 26.1 RGPD establishes that where two or more controllers jointly determine the purposes and means of processing — corresponsables del tratamiento in Spanish — they must determine their respective responsibilities for compliance with RGPD obligations in a transparent manner through an arrangement (acuerdo or arreglo) between them. The essence of joint controllership is the joint determination of both the why (purposes) and the how (means) of processing — where one party merely provides a service following the other's instructions, the relationship is one of controller-processor (responsable-encargado) under Article 28 RGPD, not joint controllers.
The distinction between joint controllership and the controller-processor relationship was clarified by the Court of Justice of the European Union (CJEU) in key rulings: Case C-25/17 (Jehovah's Witnesses, 2018) — religious communities and door-to-door evangelists are joint controllers; Case C-210/16 (Wirtschaftsakademie, 2018) — Facebook fan page administrators and Facebook are joint controllers for visitor data analytics; and Case C-40/17 (Fashion ID, 2019) — website operators embedding Facebook Like buttons are joint controllers with Facebook for the initial data collection. These CJEU rulings significantly broadened the joint controller concept and the AEPD has applied this jurisprudence in Spanish enforcement decisions.
The AEPD — Spain's independent supervisory authority established under Article 36 LOPDGDD, operating from its headquarters in Calle Jorge Juan 6, 28001 Madrid — exercises investigative and corrective powers over data controllers in Spain under Articles 57 and 58 RGPD. The AEPD publishes practical guides (guías prácticas) on joint controllership, including the Guía sobre las relaciones entre responsable y encargado del tratamiento (2021), which provides detailed analysis of when organisations are joint controllers versus controller-processor.
Spanish organisations acting as joint controllers must confirm their arrangement covers the allocation of data subject rights (derechos de los interesados) responses — access (acceso), rectification (rectificación), erasure (supresión — derecho al olvido), restriction (limitación), portability (portabilidad), and objection (oposición) under Articles 15 through 21 RGPD. Under Article 26.3 RGPD, data subjects may exercise their rights against each joint controller irrespective of the internal allocation — making the arrangement's practical mechanics critical to avoid double-handling or gaps.
The LOPDGDD Articles 37 through 42 provide the Spanish national framework supplementing RGPD joint controller provisions, including specific rules on data protection officers (delegados de protección de datos — DPD), mandatory DPD appointment requirements for public authorities, organisations processing special categories of data at scale, and criminal record data processors under Article 34 LOPDGDD.
When Do You Need a Joint Controller Agreement Spain (Acuerdo de Corresponsables del Tratamiento)?
A Joint Controller Agreement Spain is required whenever two or more organisations independently determine the purposes and means of a shared personal data processing activity — the RGPD Article 26 obligation to document the arrangement in writing applies whenever joint controllership exists in fact, regardless of whether the organisations formally recognise it.
The agreement is needed when two companies within the same corporate group (grupo empresarial) share employee HR data, customer databases, or CRM systems for jointly determined marketing, analytics, or operational purposes — Spanish corporate groups where parent and subsidiary companies share data infrastructure are joint controllers for the shared processing activities, even if the parent dominates decision-making, as confirmed by AEPD enforcement decisions.
A Joint Controller Agreement is required when a Spanish business and a technology platform partner — such as a social media platform, analytics provider, or advertising network — together determine the purposes of processing visitor or user data. Following the CJEU Fashion ID judgment (C-40/17, 2019), Spanish companies embedding third-party tracking technologies (pixels, cookies, SDKs) on their websites are joint controllers with the technology provider for the initial data collection phase.
The agreement is needed when Spanish healthcare providers (centros de salud, hospitales) participate in shared electronic health record (historia clínica electrónica) systems operated by Autonomous Community health authorities (Consejerías de Sanidad) — both the healthcare provider and the regional health authority jointly determine the purposes of health data processing and must document their respective responsibilities.
A Joint Controller Agreement is required when Spanish public administrations — Ayuntamientos, Diputaciones, Ministerios — share citizen data with other public bodies through interoperability platforms regulated by the Ley 40/2015 de Régimen Jurídico del Sector Público and the Esquema Nacional de Interoperabilidad (ENI — Real Decreto 4/2010). The AEPD has specifically addressed joint controller arrangements between public administrations in its Informe 0042/2020.
The document is also needed when Spanish research institutions (universidades, centros de investigación) share personal data across consortium research projects, clinical trials, or epidemiological studies — consortium members that collectively design the research protocol and data collection methodology are joint controllers, requiring a data sharing agreement that meets Article 26 RGPD requirements alongside any applicable clinical trial regulations under Ley 14/2007 de Investigación Biomédica.
What to Include in Your Joint Controller Agreement Spain (Acuerdo de Corresponsables del Tratamiento)
A valid Joint Controller Agreement Spain under RGPD Article 26 and LOPDGDD must contain the following provisions to satisfy regulatory requirements and withstand AEPD scrutiny in an investigation or complaint procedure.
Identification of Joint Controllers: Full legal name, NIF/CIF, registered address, and data protection contact details of each joint controller. Identification of the Data Protection Officer (Delegado de Protección de Datos — DPD) of each party, where appointed under Article 37 RGPD or mandated under Article 34 LOPDGDD. The DPD contact point must be published on the organisation's website under Article 37.7 RGPD.
Description of Joint Processing Activities: Precise description of the processing activity (actividad de tratamiento) subject to joint control — the personal data categories processed (datos personales ordinarios or datos especialmente protegidos under Article 9 RGPD), the data subjects (interesados) affected, the processing purposes (finalidades), the legal basis for processing (base jurídica) under Article 6 RGPD, and the processing operations performed by each party.
Allocation of RGPD Obligations: The specific allocation between the joint controllers of responsibilities for: (a) confirming a valid legal basis exists for the processing; (b) providing the privacy notice (información de privacidad) to data subjects under Articles 13 and 14 RGPD — including who provides the notice and in what form; (c) implementing appropriate technical and organisational security measures under Article 32 RGPD; (d) maintaining records of processing activities (registro de actividades de tratamiento) under Article 30 RGPD; (e) conducting Data Protection Impact Assessments (DPIA — Evaluación de Impacto en la Protección de Datos) under Article 35 RGPD where required; and (f) reporting personal data breaches (violaciones de seguridad) to the AEPD within 72 hours under Article 33 RGPD.
Data Subject Rights Handling: The agreed procedure for receiving, processing, and responding to data subject rights requests (derechos de los interesados) — access, rectification, erasure, restriction, portability, and objection — within the one-month deadline of Article 12.3 RGPD. The single contact point (punto de contacto único) for data subjects must be identified, though under Article 26.3 RGPD each controller remains individually liable regardless of the internal allocation.
Data Retention and Deletion: The agreed data retention periods (plazos de conservación) for each data category, aligned with the processing purpose and applicable legal obligations. The procedure for deletion or anonymisation upon expiry of the retention period, and allocation of responsibility for secure deletion.
International Data Transfers: Where personal data is transferred outside the European Economic Area (EEA) — including to processors or sub-processors using cloud infrastructure — the applicable transfer mechanism under Chapter V RGPD (Standard Contractual Clauses under Commission Implementing Decision (EU) 2021/914; adequacy decisions; binding corporate rules) must be identified and responsibility for implementing transfer safeguards allocated between the joint controllers.
Liability and Indemnification: The internal allocation of liability between the joint controllers for RGPD fines and compensation claims — AEPD administrative fines for serious violations (Article 83.5 RGPD) reach up to €20 million or 4% of global annual turnover. The LOPDGDD Article 77 establishes specific sanction procedures for public administrations. The indemnification mechanism between joint controllers for compensation paid to data subjects under Article 82 RGPD must be specified.
Forms-legal.com provides this Joint Controller Agreement Spain template as a practical starting point. Every joint controller arrangement should be reviewed by a qualified abogado especialista en protección de datos or DPD with knowledge of AEPD enforcement practice and the specific processing context — mischaracterisation of joint controller relationships is a recurring finding in AEPD investigations and can result in administrative sanctions.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Joint Controller Agreement Spain (Acuerdo de Corresponsables del Tratamiento) (Spain) [Legal document template]. Forms Legal. https://forms-legal.com/espana/business/policies/joint-controller-agreement-spain
"Joint Controller Agreement Spain (Acuerdo de Corresponsables del Tratamiento) (Spain)." Forms Legal, 2026, https://forms-legal.com/espana/business/policies/joint-controller-agreement-spain.
@misc{formslegal-joint-controller-agreement-spain,
author = {{Forms Legal}},
title = {Joint Controller Agreement Spain (Acuerdo de Corresponsables del Tratamiento) (Spain)},
year = {2026},
howpublished = {\url{https://forms-legal.com/espana/business/policies/joint-controller-agreement-spain}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
La distinción entre corresponsables del tratamiento y la relación responsable-encargado del tratamiento conforme al RGPD (UE) 2016/679 depende de quién determina los fines y los medios del tratamiento. Los corresponsables —regulados por el artículo 26 RGPD— son dos o más organizaciones que determinan conjuntamente tanto el porqué (fines) como el cómo (medios) del tratamiento de datos personales. La relación responsable-encargado —regulada por el artículo 28 RGPD— existe cuando el encargado actúa exclusivamente conforme a las instrucciones documentadas del responsable, sin determinar de forma independiente los fines. El TJUE, en el Asunto C-40/17 (Fashion ID, 2019), confirmó que el operador de un sitio web que integra código de terceros (como plugins de Facebook) es corresponsable con el proveedor del plugin en la fase de recogida de datos. La AEPD aplica esta jurisprudencia del TJUE: en la Resolución PS/00022/2021 halló una relación de corresponsabilidad entre una empresa española y una plataforma de analítica de marketing. La consecuencia práctica: los corresponsables deben formalizar un acuerdo conforme al artículo 26 y compartir las obligaciones del RGPD; la relación responsable-encargado exige un contrato de encargado del tratamiento conforme al artículo 28 con instrucciones vinculantes al encargado. La clasificación incorrecta en cualquier sentido puede acarrear sanciones de la AEPD.
La Agencia Española de Protección de Datos (AEPD) tiene potestad para imponer sanciones administrativas conforme al artículo 83 del RGPD (UE) 2016/679 y la Ley Orgánica 3/2018 (LOPDGDD). El RGPD establece una estructura sancionadora de dos niveles: las infracciones graves (artículo 83.5 RGPD) —incluidas las infracciones de los principios básicos del tratamiento (artículo 5), los requisitos de base jurídica (artículo 6), las normas sobre categorías especiales de datos (artículo 9), las obligaciones de transferencia internacional (Capítulo V) y las órdenes de la autoridad supervisora— conllevan multas de hasta 20.000.000 € o el 4% del volumen de negocio global anual del ejercicio precedente, si esta última cuantía fuera superior. Las infracciones menos graves (artículo 83.4 RGPD) —como el incumplimiento de la obligación de llevar el registro de actividades (artículo 30), de notificar violaciones de seguridad (artículo 33), de realizar EIPD (artículo 35) o las relativas al DPD— conllevan multas de hasta 10.000.000 € o el 2% del volumen de negocio. Los artículos 71 a 74 LOPDGDD clasifican las infracciones en muy graves, graves y leves: las muy graves prescriben a los tres años, las graves a los dos y las leves al año. La mayor sanción impuesta hasta la fecha por la AEPD fue de 8,15 millones de euros contra un gran operador de telecomunicaciones español en 2021, lo que demuestra una aplicación activa tanto frente a multinacionales como frente a pymes.
Conforme al artículo 26.2 del RGPD (UE) 2016/679, los aspectos esenciales del acuerdo entre corresponsables deben ponerse a disposición de los interesados. No es necesario publicar el texto íntegro del acuerdo, pero sí deben comunicarse los aspectos clave relativos a la asignación de responsabilidades en materia de protección de datos y el punto de contacto único designado para los interesados. En la práctica, las organizaciones españolas cumplen este requisito a través de: la política de privacidad de su sitio web, que identifica a los corresponsables y describe el tratamiento compartido; la información básica sobre protección de datos facilitada a los interesados conforme a los artículos 13 y 14 RGPD; y, cuando proceda, la política de cookies que identifica a todos los responsables implicados en tecnologías de seguimiento. La AEPD ha confirmado en sus orientaciones prácticas que los interesados pueden ejercitar sus derechos frente a cualquiera de los corresponsables y que cada corresponsable es individualmente responsable de la totalidad de los daños si un interesado no puede ejercer sus derechos por deficiencias en el mecanismo del acuerdo. La AEPD recomienda que el acuerdo especifique con suficiente detalle el punto de contacto único y el procedimiento de respuesta para que los interesados sepan dónde dirigir sus solicitudes.
La Evaluación de Impacto en la Protección de Datos (EIPD) es obligatoria conforme al artículo 35 del RGPD (UE) 2016/679 cuando una actividad de tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. La AEPD publicó una lista de tratamientos que requieren EIPD obligatoria en España conforme al artículo 35.4 RGPD, que incluye: tratamiento a gran escala de categorías especiales de datos del artículo 9 RGPD (datos de salud, biométricos, genéticos, políticos, religiosos); videovigilancia sistemática y a gran escala de zonas de acceso público; tratamiento de datos personales de personas vulnerables (menores, pacientes, empleados) a gran escala; scoring crediticio o evaluación sistemática que afecte al acceso a servicios financieros; elaboración de perfiles de personas combinando datos de múltiples fuentes; y uso de tecnologías innovadoras o de inteligencia artificial que afecten a los derechos de los interesados. La guía práctica para las evaluaciones de impacto de la AEPD (2018, actualizada en 2021) proporciona una metodología alineada con las Directrices WP248 del Grupo de Trabajo del Artículo 29 (ahora Comité Europeo de Protección de Datos — CEPD). Cuando la EIPD indique que el tratamiento conlleva un riesgo residual elevado pese a las medidas de mitigación, la consulta previa a la AEPD conforme al artículo 36 RGPD es obligatoria antes de iniciar el tratamiento.
La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) complementa el marco de corresponsabilidad del RGPD en varios aspectos específicos de España. Delegados de protección de datos: el artículo 34 LOPDGDD amplía las obligaciones de designación obligatoria del DPD más allá de lo previsto en el artículo 37 RGPD; en España, deben designar DPD, entre otras, las entidades de información crediticia, las empresas de publicidad, las agencias de detectives y las empresas que traten a gran escala datos de empleados o clientes por encima de los umbrales del artículo 34. Derechos digitales: el Título X LOPDGDD reconoce derechos digitales específicos: derecho a la desconexión digital en el ámbito laboral (artículo 88), derecho a la intimidad en el uso de dispositivos digitales en el trabajo (artículo 87) y derecho a no ser objeto de decisiones automatizadas, ampliado por el artículo 89 LOPDGDD respecto al artículo 22 RGPD. Sector público: los artículos 77 y 78 LOPDGDD establecen procedimientos sancionadores especiales para las administraciones públicas; no se les puede imponer multas administrativas directamente, pero la AEPD emite resoluciones públicas de apercibimiento y traslada las infracciones graves al Defensor del Pueblo o al defensor autonómico correspondiente. Datos de menores: el artículo 7 LOPDGDD fija la edad de consentimiento digital en 14 años en España (por debajo del máximo de 16 del artículo 8 RGPD), exigiendo el consentimiento verificable de los padres o tutores para tratar datos de menores de 14 años.
La notificación de violaciones de seguridad de datos personales en España se rige por los artículos 33 y 34 del RGPD (UE) 2016/679, siendo la Agencia Española de Protección de Datos (AEPD) la autoridad supervisora competente. Cuando se produzca una violación de seguridad —definida como cualquier destrucción, pérdida, alteración, comunicación no autorizada o acceso no autorizado, accidental o ilícito, a datos personales— los responsables deben notificar a la AEPD en el plazo de 72 horas desde que tengan conocimiento de ella, conforme al artículo 33.1 RGPD, a través del portal de notificación electrónica de la AEPD en aepd.es. La notificación debe incluir: la naturaleza de la violación; las categorías y el número aproximado de interesados y registros afectados; los datos de contacto del DPD; las consecuencias probables; y las medidas adoptadas o propuestas para abordar la violación y mitigar sus efectos. Si la violación puede conllevar un alto riesgo para los interesados —por ejemplo, datos financieros, de salud o sensibles expuestos—, los afectados también deben ser notificados directamente conforme al artículo 34 RGPD sin dilación indebida y en lenguaje claro. En los acuerdos de corresponsabilidad, el acuerdo debe especificar qué parte es responsable de notificar a la AEPD y a los afectados; el incumplimiento del plazo de 72 horas constituye una infracción sujeta a multas de hasta 10.000.000 € o el 2% del volumen de negocio global anual conforme al artículo 83.4 RGPD.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Préstamo Convertible en Capital España
Contrato de Préstamo Convertible en Capital para España, regulado por la Ley de Sociedades de Capital (RDL 1/2010) artículo 401, que financia startups mediante instrumentos de deuda convertibles en participaciones en una ronda de financiación futura.
Acuerdo de Corresponsalía España
Acuerdo de Corresponsalía para España, regulado por el Código de Comercio artículo 244, que establece relaciones de representación recíproca entre agentes comerciales, despachos de abogados o entidades financieras en distintos territorios.
Acuerdo de Criptoactivos España
Un Acuerdo de Criptoactivos para España — regulado por el Reglamento MiCA (UE) 2023/1114 y la Ley 6/2023 del Mercado de Valores y Servicios de Inversión, estableciendo las condiciones para la prestación de servicios sobre criptoactivos bajo la supervisión de la CNMV.
Acuerdo de Financiación Participativa España
Acuerdo de Financiación Participativa para España — conforme a la Ley 5/2015 de fomento de la financiación empresarial, artículo 46, y al Reglamento ECSPR (UE) 2020/1503, regulando las condiciones de inversión mediante plataformas de financiación participativa (PFP) autorizadas por la CNMV.