Outsourcing Agreement Spain (Contrato de Outsourcing)
Key facts
CONTRATO DE OUTSOURCING / EXTERNALIZACIÓN DE SERVICIOS
Contrato de Externalización de Servicios
Regulado por el Código Civil artículo 1544 y el Estatuto de los Trabajadores artículo 42
1. PARTES
EMPRESA CONTRATANTE (CLIENTE):
Nombre: [Client Name]
NIF/CIF: [Client NIF]
Domicilio Social: [Client Address]
Representante Legal: [Client Representative]
EMPRESA PROVEEDORA:
Nombre: [Provider Name]
NIF/CIF: [Provider NIF]
Domicilio Social: [Provider Address]
Representante Legal: [Provider Representative]
2. ALCANCE DE LOS SERVICIOS
El Proveedor se obliga a prestar al Cliente los siguientes servicios externalizados:
Servicios: [Services Description]
Servicios Excluidos: [Excluded Services]
Lugar de Prestación: [Service Location]
3. ACUERDO DE NIVEL DE SERVICIO (ANS)
Disponibilidad del Sistema: [Availability Target]
Tiempo de Respuesta ante Incidencias Críticas: [Critical Response Time]
Créditos de Servicio: [SLA Credits]
El cumplimiento del ANS se medirá mensualmente. El Proveedor entregará al Cliente un informe mensual de rendimiento. Los créditos de servicio se aplicarán como reducción en la factura del mes siguiente. Las obligaciones de créditos de servicio constituyen cláusulas penales válidas conforme al artículo 1152 del Código Civil.
4. CONDICIONES ECONÓMICAS
Tarifa de Servicio: [Service Fee]
Condiciones de Pago: [Payment Terms]
Fecha de Inicio: [Commencement Date]
Duración del Contrato: [Contract Duration]
Preaviso de Resolución: [Termination Notice]
Los intereses de demora se devengarán al tipo establecido por la Ley 3/2004, de 29 de diciembre, de lucha contra la morosidad en las operaciones comerciales. Las facturas serán emitidas por el Proveedor con el IVA al 21% conforme a la Ley 37/1992 del IVA.
5. CUMPLIMIENTO DEL ARTÍCULO 42 ET — SUBCONTRATACIÓN
Cuando los servicios externalizados constituyan la propia actividad del Cliente o se presten en las instalaciones de éste, será de aplicación el artículo 42 del Estatuto de los Trabajadores (RDL 2/2015). El Proveedor entregará al Cliente, cuando así se le solicite y en cualquier momento, un certificado de la Tesorería General de la Seguridad Social (TGSS) que acredite que el Proveedor está al corriente de pago de sus obligaciones con la Seguridad Social. El Proveedor garantiza que todos los trabajadores adscritos a este contrato están debidamente dados de alta en la TGSS y que los salarios y cotizaciones a la Seguridad Social se abonan puntualmente.
6. PROTECCIÓN DE DATOS (RGPD / LOPDGDD)
Tratamiento de datos personales por el Proveedor: [Personal Data Processed]
Categorías de datos tratados: [Data Categories]
Cuando el Proveedor trate datos personales por cuenta del Cliente, actuará como encargado del tratamiento conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD). Las partes suscribirán un Acuerdo de Encargo del Tratamiento independiente, conforme al artículo 28 RGPD, que especifique: las categorías de datos tratados; las finalidades del tratamiento; las medidas técnicas y organizativas de seguridad conforme al artículo 32 RGPD; las restricciones sobre subencargados; las obligaciones de notificación de violaciones de seguridad (notificación a la AEPD en 72 horas conforme al artículo 33 RGPD); y la supresión o devolución de los datos a la finalización del contrato. El incumplimiento de las obligaciones de tratamiento de datos del RGPD puede dar lugar a sanciones de la Agencia Española de Protección de Datos (AEPD) de hasta 20.000.000 € o el 4% de la facturación anual global.
7. CONFIDENCIALIDAD
Cada parte mantendrá con estricta confidencialidad toda la información reservada, los secretos empresariales (conforme a la Ley 1/2019, de 20 de febrero, de Secretos Empresariales), los datos de negocio, las especificaciones técnicas y los datos personales revelados durante la ejecución de este contrato. Las obligaciones de confidencialidad subsistirán tras la resolución del contrato durante un plazo de 5 años. Cada parte implementará las medidas técnicas y organizativas adecuadas para impedir la divulgación no autorizada.
8. RESOLUCIÓN
Cualquiera de las partes podrá resolver este contrato por conveniencia mediante el preaviso escrito indicado anteriormente. Cualquiera de las partes podrá resolver de forma inmediata por incumplimiento esencial conforme al artículo 1124 del Código Civil, previo requerimiento escrito de subsanación de 30 días para los incumplimientos subsanables. A la resolución, el Proveedor prestará servicios de transición durante un período acordado para facilitar un traspaso ordenado, y devolverá o destruirá todos los datos e información confidencial del Cliente. La responsabilidad del artículo 42 ET del Cliente saliente subsiste durante 3 años tras la finalización del contrato.
9. LEY APLICABLE Y JURISDICCIÓN
Este contrato se rige por la legislación española, principalmente el Código Civil (artículo 1544), el Estatuto de los Trabajadores (artículo 42), el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). Las controversias se resolverán ante los Juzgados de lo Mercantil o los Juzgados de Primera Instancia de Madrid, sin perjuicio del derecho de cada parte a solicitar medidas cautelares.
FIRMAS
Firmado en [Contract City], el [Contract Date].
EMPRESA CONTRATANTE (CLIENTE):
Representada por: [Client Representative]
Firma: _________________________ Fecha: _________________________
EMPRESA PROVEEDORA:
Representada por: [Provider Representative]
Firma: _________________________ Fecha: _________________________
Cliente / Representante Legal
________________
Signature
Proveedor / Representante Legal
________________
Signature
What Is a Outsourcing Agreement Spain (Contrato de Outsourcing)?
An Outsourcing Agreement Spain (Contrato de Outsourcing o Externalización de Servicios) is a thorough commercial contract by which a business (empresa contratante or cliente) delegates the performance of specific business processes, functions, or services to an external provider (empresa proveedora or proveedor de servicios), governed principally by Article 1544 of the Código Civil español (arrendamiento de servicios and arrendamiento de obra) and, where workers of the provider perform services at the client's premises, by Article 42 of the Estatuto de los Trabajadores (RDL 2/2015) which regulates subcontracting (contratas y subcontratas) and establishes joint liability for labour obligations.
Outsourcing in Spain covers a wide range of business activities: information technology outsourcing (ITO) — including software development, IT infrastructure management, help-desk services, and cybersecurity operations — governed additionally by Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI); business process outsourcing (BPO) — including accounting, payroll processing, customer service (call centres), and logistics; knowledge process outsourcing (KPO) — including legal research, data analytics, and engineering services; and facilities management outsourcing — including building maintenance, security services, and cleaning.
Article 42 of the Estatuto de los Trabajadores is the cornerstone of the Spanish legal framework for outsourcing arrangements where the outsourced activity is related to the client's own principal activity (propia actividad). Under Article 42.1 ET, the principal contractor (empresa principal) is jointly and severally liable (responsabilidad solidaria) with the provider (contratista) for the provider's obligations towards workers performing the contracted services — including unpaid wages, unpaid social security contributions (TGSS), and holiday pay — during the contract period and for the 3 years following termination. This liability applies when the outsourced activity constitutes the same or closely related activity to the client's own business (propia actividad doctrine developed in Tribunal Supremo jurisprudencia). The Inspección de Trabajo y Seguridad Social (ITSS) actively audits outsourcing chains, particularly in sectors with high labour cost sensitivity.
The RGPD (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016) and the Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) impose mandatory contractual requirements for any outsourcing arrangement involving processing of personal data. Where the provider processes personal data on behalf of the client, the provider is a encargado del tratamiento (data processor) under Article 28 RGPD, and a formal Acuerdo de Encargo de Tratamiento (data processing agreement — DPA) compliant with Article 28 RGPD is mandatory as part of the outsourcing agreement. Failure to execute a compliant DPA exposes both parties to sanctions from the Agencia Española de Protección de Datos (AEPD), which may impose fines of up to €20,000,000 or 4% of global annual turnover under Article 83.4 RGPD.
Service level agreements (SLAs — acuerdos de nivel de servicio) are a critical component of Spanish outsourcing contracts. SLAs define measurable performance parameters — availability (disponibilidad), response time (tiempo de respuesta), resolution time (tiempo de resolución), error rate, and quality benchmarks — and provide contractual remedies (créditos de servicio, penalties, or termination rights) for SLA breaches. Spanish courts — the Juzgados de lo Mercantil and the Juzgados de Primera Instancia — apply the general contractual liability rules of Articles 1101 to 1107 CC to SLA breach claims in outsourcing disputes.
For cloud computing and software-as-a-service (SaaS) outsourcing arrangements, the Esquema Nacional de Seguridad (ENS) — Royal Decree 311/2022 — applies to public sector entities and their providers, setting cybersecurity requirements for cloud services procured by Spanish public administrations. Private sector outsourcing involving critical infrastructure or financial services is subject to sector-specific regulation by the Banco de España, the Comisión Nacional del Mercado de Valores (CNMV), and the Dirección General de Seguros y Fondos de Pensiones (DGSFP) under their respective supervisory frameworks.
When Do You Need a Outsourcing Agreement Spain (Contrato de Outsourcing)?
An Outsourcing Agreement Spain is needed whenever a Spanish company or public entity delegates the performance of a business process, function, or service to an external provider, where the arrangement involves a defined scope of services, ongoing performance obligations, access to confidential information, or processing of personal data.
A formal outsourcing contract is needed when a company delegates its IT infrastructure management, application development, or cybersecurity monitoring to an external IT provider. The agreement must comply with data protection obligations under RGPD Article 28, address cybersecurity requirements under the Esquema Nacional de Seguridad (ENS) if the client is a public body, and define SLAs for system availability and incident response.
An outsourcing agreement is needed when a company outsources its payroll processing (gestión de nóminas) or accounting (contabilidad) to a gestoría or external accounting firm — the agreement must comply with Article 42 ET if the provider's workers attend the client's premises, and must include a data processing agreement for RGPD compliance given the processing of employee personal data.
The contract is needed when a business outsources its customer service operations (atención al cliente) — telephone, email, or chat — to a call centre provider. The agreement must define performance metrics, data protection measures for customer data processed on behalf of the client, and compliance with Ley 34/2002 (LSSI) for electronic communications.
An outsourcing agreement is needed when a company transfers its logistics operations — warehousing, order fulfilment, last-mile delivery — to a third-party logistics provider (3PL), addressing Article 42 ET liability for the provider's workers and the transport law requirements of the Ley de Ordenación de los Transportes Terrestres (LOTT, Ley 16/1987).
The contract is required when a financial institution (entidad financiera) regulated by the Banco de España outsources a material function to a third-party provider under the EBA (European Banking Authority) guidelines on outsourcing arrangements (EBA/GL/2019/02) implemented in Spain through Circular 2/2016 of the Banco de España — requiring prior risk assessment, contractual provisions for audit rights, business continuity, and subcontracting restrictions.
An outsourcing agreement is needed when a healthcare provider outsources clinical support services — radiology analysis, diagnostic laboratory services, or medical transcription — subject to data protection requirements for medical data (datos de categoría especial under Article 9 RGPD) and the specific authorisation requirements of the Ley de Cohesión y Calidad del Sistema Nacional de Salud (Ley 16/2003).
What to Include in Your Outsourcing Agreement Spain (Contrato de Outsourcing)
A valid Outsourcing Agreement Spain under Código Civil Article 1544 and Estatuto de los Trabajadores Article 42 must contain the following essential elements to protect both parties, confirm compliance with labour law subcontracting obligations, and satisfy RGPD data protection requirements.
Identification of Parties: Full legal name, NIF/CIF, registered address, and Registro Mercantil entry details of both the empresa contratante (client) and the empresa proveedora (provider). The name, title, and authority of the legal representative signing for each party, including reference to the poder notarial (notarial power of attorney) or corporate resolution (acuerdo de administrador or junta) authorising the signature.
Scope of Services: A precise description of the outsourced services, business processes, or functions — including deliverables (entregables), excluded services, geographic scope, and any transition services (servicios de transición) for the onboarding phase. The description should be sufficiently specific to determine whether Article 42 ET's propia actividad doctrine applies, which determines whether the client bears joint liability for the provider's labour obligations.
Service Level Agreement (SLA): Measurable performance parameters — uptime/availability (percentage), response times (tiempos de respuesta), resolution times, error rates, and quality benchmarks — with defined measurement methodologies, reporting frequencies, and escalation procedures. SLA credits (créditos de servicio) or penalty mechanisms for breach of SLA thresholds, proportionate to the service value, should be specified.
Price and Payment: The agreed service fee (tarifa de servicio) — whether fixed (tarifa fija), time-and-materials (tiempo y materiales), or output-based (por entregable) — payment frequency, invoicing procedures, and late payment provisions under Ley 3/2004 de lucha contra la morosidad en las operaciones comerciales. The agreement should address price revision mechanisms (revisión de precios) tied to the IPC (Índice de Precios al Consumo) published by the Instituto Nacional de Estadística (INE).
Data Protection: A mandatory Acuerdo de Encargo del Tratamiento compliant with Article 28 of Reglamento (UE) 2016/679 (RGPD), specifying: the categories of personal data processed; the purposes and legal basis for processing; the technical and organisational security measures (medidas de seguridad) under Article 32 RGPD; data subject rights procedures; data breach notification obligations (Article 33 RGPD — 72-hour notification to the AEPD); data retention and deletion obligations; restrictions on sub-processors (sub-encargados); and the obligation to return or delete data upon contract termination.
Confidentiality: Strong confidentiality obligations (obligaciones de confidencialidad) extending to all proprietary information, trade secrets (secretos empresariales) protected under Ley 1/2019 de Secretos Empresariales, business data, and customer information disclosed during the outsourcing engagement. Post-termination confidentiality obligations and return or destruction of confidential materials.
Article 42 ET Compliance: Where the provider's workers perform services at the client's premises or in connection with the client's principal activity, provisions for: (a) the provider's obligation to demonstrate regular payment of wages and TGSS contributions (certificado de estar al corriente de pago); (b) the client's right to withhold payment to the provider if the provider has unpaid labour or social security obligations; (c) the client's subsidiary and, in some cases, joint and several liability under Article 42.1 ET for the provider's labour obligations during and for 3 years after the contract.
Business Continuity and Disaster Recovery: The provider's obligations to maintain a business continuity plan (plan de continuidad de negocio) and a disaster recovery plan (plan de recuperación ante desastres), minimum recovery time objective (RTO) and recovery point objective (RPO), and notification obligations in the event of a service disruption.
Termination: Grounds for termination — termination for convenience (terminación por conveniencia) with a notice period, termination for cause (terminación por incumplimiento), and the transition services the provider must perform upon termination to support orderly handover. Exit assistance obligations and the prohibition on provider lock-in tactics.
Forms-legal.com provides this Outsourcing Agreement Spain template as a starting framework for business process and IT outsourcing arrangements. Complex outsourcing transactions — particularly those involving financial institutions, healthcare providers, critical infrastructure, or public sector entities — require review by a qualified abogado mercantilista with expertise in technology law (derecho tecnológico) and data protection law to confirm compliance with RGPD, sector-specific regulations, and Article 42 ET obligations.
Under the Ley de Sociedades de Capital (LSC) RDL 1/2010, the Registro Mercantil maintains the register of Spanish companies. The Código de Comercio 1885 governs commercial obligations. The Agencia Estatal de Administración Tributaria (AEAT) administers Impuesto sobre Sociedades (IS) under Ley 27/2014. The Comisión Nacional de los Mercados y la Competencia (CNMC) enforces competition law. The Código Civil governs general contractual obligations under Article 1255.
Cite this page
CC BY 4.0 · free to citeReference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Outsourcing Agreement Spain (Contrato de Outsourcing) (Spain) [Legal document template]. Forms Legal. https://forms-legal.com/espana/business/services/outsourcing-agreement-spain
"Outsourcing Agreement Spain (Contrato de Outsourcing) (Spain)." Forms Legal, 2026, https://forms-legal.com/espana/business/services/outsourcing-agreement-spain.
Forms Legal. "Outsourcing Agreement Spain (Contrato de Outsourcing) (Spain)." Forms Legal, 2026. https://forms-legal.com/espana/business/services/outsourcing-agreement-spain.
@misc{formslegal-outsourcing-agreement-spain,
author = {{Forms Legal}},
title = {Outsourcing Agreement Spain (Contrato de Outsourcing) (Spain)},
year = {2026},
howpublished = {\url{https://forms-legal.com/espana/business/services/outsourcing-agreement-spain}},
note = {Free legal document template}
}{{cite web |title=Outsourcing Agreement Spain (Contrato de Outsourcing) (Spain) |website=Forms Legal |publisher=Forms Legal |date=2026 |url=https://forms-legal.com/espana/business/services/outsourcing-agreement-spain}}TY - ELEC T1 - Outsourcing Agreement Spain (Contrato de Outsourcing) (Spain) T2 - Forms Legal PB - Forms Legal PY - 2026 UR - https://forms-legal.com/espana/business/services/outsourcing-agreement-spain ER -
Frequently Asked Questions
El artículo 42 del Estatuto de los Trabajadores (RDL 2/2015) establece la responsabilidad solidaria de la empresa contratante (empresa principal) con el proveedor de outsourcing (contratista o subcontratista) por las obligaciones salariales incumplidas y las cuotas a la Tesorería General de la Seguridad Social (TGSS) pendientes de pago frente a los trabajadores que prestan los servicios externalizados, durante el período de contrata y durante los 3 años siguientes a su finalización. Esta responsabilidad se activa cuando la actividad externalizada constituye la propia actividad del cliente — concepto interpretado por la Sala de lo Social del Tribunal Supremo como comprensivo de actividades que forman parte del proceso productivo o comercial nuclear del cliente, no de meros servicios auxiliares periféricos. Con anterioridad a la exigencia de la responsabilidad del artículo 42 ET, la empresa contratante puede reclamar al proveedor en cualquier momento un certificado de la TGSS que acredite que el proveedor está al corriente en el pago de sus cuotas a la Seguridad Social. Si el cliente solicita y recibe el certificado, el artículo 42.1 ET limita la responsabilidad del cliente a lo que el certificado no reflejó — protegiendo al cliente que ejerce la diligencia debida. La Inspección de Trabajo y Seguridad Social (ITSS) tiene competencia para investigar las cadenas de outsourcing y emitir actas de infracción y actas de liquidación contra las empresas contratantes que incumplan.
Sí. Conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y al artículo 28 de la Ley Orgánica 3/2018 (LOPDGDD), siempre que un proveedor de outsourcing trate datos personales por cuenta del cliente — siendo el cliente el responsable del tratamiento y el proveedor el encargado del tratamiento — es obligatorio formalizar por escrito un Acuerdo de Encargo del Tratamiento (AET). El AET debe especificar: el objeto, la duración, la naturaleza y la finalidad del tratamiento; los tipos de datos personales y las categorías de interesados; las instrucciones del responsable al encargado; las obligaciones del encargado, incluida la aplicación de las medidas de seguridad técnicas y organizativas adecuadas conforme al artículo 32 RGPD; las restricciones a la subcontratación; las obligaciones relativas al ejercicio de derechos por los interesados; la notificación de brechas de seguridad al responsable en un plazo de 72 horas; y las obligaciones de supresión o devolución de datos a la terminación del contrato. La ausencia de un AET conforme expone tanto al responsable como al encargado a sanciones de la Agencia Española de Protección de Datos (AEPD) — que ha multado a empresas con hasta 20 millones de euros en virtud del artículo 83 RGPD. La actividad sancionadora de la AEPD en el sector del outsourcing se ha intensificado desde 2021.
Un acuerdo de nivel de servicio (ANS o SLA) en un contrato de outsourcing español debe definir: (1) Indicadores de disponibilidad — el porcentaje de disponibilidad acordado (por ejemplo, 99,5 % de disponibilidad mensual para sistemas TI), medido conforme a una metodología acordada y excluyendo las ventanas de mantenimiento programado; (2) Tiempos de respuesta y resolución — clasificados por nivel de gravedad del incidente (por ejemplo, crítico/alto/medio/bajo), especificando el tiempo máximo para la respuesta inicial y para la resolución definitiva; (3) Indicadores de calidad — tasas de error, tasas de defectos por entrega, puntuaciones de satisfacción del cliente (CSAT) u otros indicadores de calidad apropiados al tipo de servicio; (4) Metodología de medición — cómo se mide el rendimiento, por quién y los formatos e intervalos de reporte (informes mensuales de rendimiento, paneles en tiempo real); (5) Créditos de servicio o penalizaciones — la compensación (créditos de servicio) pagadera al cliente por incumplimientos del SLA, expresada típicamente como porcentaje de la tarifa mensual del servicio, con un límite máximo mensual acumulado; (6) Obligaciones de mejora continua — el compromiso del proveedor de buscar mejoras en el rendimiento durante la vigencia del contrato; (7) Exenciones por fuerza mayor — eventos genuinamente fuera del control del proveedor que eximen del cumplimiento del SLA. Los tribunales españoles aplican el artículo 1105 CC (fuerza mayor) y el artículo 1103 CC (proporcionalidad en los daños) a las reclamaciones por créditos de servicio, y han reconocido las cláusulas penales de SLA como cláusulas penales válidas conforme al artículo 1152 CC.
La resolución de un contrato de outsourcing en España se rige principalmente por las cláusulas del contrato, complementadas por las normas generales de incumplimiento y resolución del Código Civil. Los mecanismos de salida habituales incluyen: (1) Resolución por conveniencia — la mayoría de los contratos de outsourcing incluyen un derecho del cliente a resolver el contrato sin causa con preaviso (típicamente de 3 a 12 meses para contratos de larga duración), sujeto al pago de una indemnización de resolución o los costes de desmontaje. Los tribunales españoles respaldan las cláusulas de terminación por conveniencia como ejercicio legítimo de la autonomía contractual conforme al artículo 1255 CC; (2) Resolución por incumplimiento — cualquiera de las partes puede resolver el contrato por incumplimiento esencial conforme al artículo 1124 CC, con preaviso y un período de subsanación para los incumplimientos remediables. Los incumplimientos de SLA por encima de un umbral definido (por ejemplo, créditos de servicio mensuales acumulados que superen el 30 % de la tarifa mensual) constituyen típicamente incumplimiento esencial que justifica la resolución; (3) Resolución por cambio normativo — un derecho a resolver si la normativa aplicable cambia de forma que haga el acuerdo de outsourcing ilícito o materialmente más gravoso (relevante para el outsourcing en servicios financieros y sanitarios). A la resolución, las obligaciones de asistencia en la transición — el deber del proveedor de cooperar en la transferencia de los servicios al cliente o a un proveedor sustituto durante un período de transición acordado — son esenciales para evitar la interrupción del servicio. Las obligaciones del artículo 42 ET del cliente saliente persisten durante 3 años tras la finalización del contrato.
Conforme a la Directiva 2001/23/CE (Directiva de Derechos Adquiridos), implementada en España por el artículo 44 del Estatuto de los Trabajadores (RDL 2/2015), la externalización, internalización o nueva licitación de un servicio puede constituir una transmisión de empresa que determine la subrogación automática del nuevo contratista en los trabajadores dedicados a la actividad externalizada, con mantenimiento de las condiciones laborales. El artículo 44 ET resulta aplicable cuando se produce la transmisión de una unidad económica autónoma (conjunto de medios productivos) — personal, activos, sistemas, clientes — que conserva su identidad tras la transmisión. El Tribunal Supremo y la Sala de lo Social de la Audiencia Nacional han aplicado el artículo 44 ET a operaciones de outsourcing en múltiples sectores, especialmente cuando el nuevo contratista asume una parte significativa de la plantilla que antes prestaba el servicio. Los convenios colectivos sectoriales — especialmente en los sectores de limpieza, seguridad, restauración colectiva y call centres — a menudo contienen cláusulas específicas de subrogación convencional que obligan al nuevo contratista a absorber a la plantilla del contratista saliente con independencia de si el artículo 44 ET resulta estrictamente aplicable. Tanto el contratista saliente como el entrante responden solidariamente frente a los trabajadores afectados por las obligaciones laborales derivadas de la transmisión conforme al artículo 44.3 ET durante los tres años siguientes.
Las obligaciones de ciberseguridad en un contrato de outsourcing español dimanan de múltiples fuentes normativas. Conforme al artículo 32 RGPD, tanto el responsable como el encargado del tratamiento deben aplicar medidas técnicas y organizativas apropiadas proporcionales al riesgo — incluyendo cifrado, seudonimización, controles de acceso, pruebas de seguridad periódicas y medidas de continuidad de negocio. El Esquema Nacional de Seguridad (ENS — Real Decreto 311/2022) se aplica a los organismos del sector público y a sus proveedores tecnológicos, estableciendo categorías de seguridad obligatorias (básica, media, alta) y exigiendo que los proveedores obtengan la certificación ENS para los servicios prestados a las administraciones públicas españolas. El Centro Nacional de Inteligencia (CNI) — a través de su Centro Criptológico Nacional (CCN) — publica las guías de seguridad CCN-STIC que definen los estándares técnicos para el outsourcing en el sector público. Para el outsourcing en el sector financiero, la Circular 2/2016 del Banco de España, las directrices de la CNMV para el outsourcing TI de las empresas de servicios de inversión y las Directrices de la ABE sobre gestión de riesgos TIC y de seguridad (EBA/GL/2019/04) exigen a las entidades financieras incluir en el contrato previsiones específicas sobre notificación de incidentes, derechos de auditoría y restricciones a la subcontratación. Las obligaciones de notificación de brechas de seguridad del artículo 33 RGPD exigen que el encargado del tratamiento notifique al responsable en un plazo de 72 horas desde que tenga conocimiento de una violación de seguridad de datos personales — el contrato de outsourcing debe operacionalizar este requisito con contactos de escalada y protocolos de comunicación claros.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Contrato de Prestación de Servicios IT (España)
Un Contrato de Prestación de Servicios de Tecnología de la Información para España, regulado por el artículo 1544 del Código Civil y la Ley 34/2002 (LSSI), que cubre desarrollo de software, mantenimiento de sistemas, soporte y consultoría IT, con cláusulas de encargo del tratamiento RGPD, ANS y propiedad intelectual.
Contrato de Consultoría España
Contrato de Consultoría para España — regulado por el Código Civil artículo 1544 (arrendamiento de servicios), diferenciando la consultoría independiente de la relación laboral conforme al Estatuto de los Trabajadores (RDL 2/2015), con cláusulas de retención de IRPF, IVA y cesión de derechos de propiedad intelectual conforme a la Ley de Propiedad Intelectual (RDL 1/1996).
Acuerdo de Confidencialidad España — Ley 1/2019 de Secretos Empresariales
Acuerdo de Confidencialidad (NDA) para España conforme al artículo 1255 del Código Civil, la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 1/2019 de Secretos Empresariales, que protege la información empresarial confidencial, los secretos comerciales y los datos exclusivos en relaciones comerciales.
Acuerdo de Encargado del Tratamiento de Datos España
Acuerdo de Encargado del Tratamiento (AET) para España — exigido por el artículo 28 del RGPD y la LOPDGDD 3/2018, que regula el tratamiento de datos personales por el encargado en nombre del responsable, bajo supervisión de la AEPD.
Contrato de Agencia Comercial España
Contrato de Agencia Comercial conforme a la Ley 12/1992 artículo 1 y la Directiva 86/653/CEE. Regula comisiones, territorio exclusivo, indemnización por clientela y régimen TRADE de la Ley 20/2007.