Acuerdo de Tratamiento de Datos (DPA) del RGPD: El Artículo 28 Explicado (2026)

Un acuerdo de tratamiento de datos (DPA, por sus siglas en inglés) es un contrato vinculante que el artículo 28 del RGPD exige a todo responsable del tratamiento suscribir con cada encargado del tratamiento antes de que este trate datos personales por cuenta del responsable. Sin un DPA conforme, ambas partes se exponen a multas de hasta 20 millones de euros o el cuatro por ciento de la facturación mundial anual, según el artículo 83(4).
¿Qué Es un Acuerdo de Tratamiento de Datos del RGPD?
Un acuerdo de tratamiento de datos del RGPD es el contrato que el artículo 28(3) del Reglamento (UE) 2016/679 exige a un responsable del tratamiento suscribir con cada encargado del tratamiento que contrate para tratar datos personales. Establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales implicados, las categorías de interesados, y las obligaciones y derechos del responsable. El acuerdo debe constar por escrito, incluida la forma electrónica, tal como especifica el artículo 28(9).
El artículo 28(1) exige al responsable del tratamiento recurrir únicamente a encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas. El DPA es el mecanismo principal mediante el cual el responsable asegura y documenta esas garantías, y se sitúa en la intersección entre la rendición de cuentas y la responsabilidad. Según el artículo 82, tanto los responsables como los encargados afrontan responsabilidad civil por los daños causados por una infracción del RGPD. La responsabilidad del encargado se limita a las situaciones en que no haya cumplido las obligaciones dirigidas específicamente a los encargados o haya actuado fuera de las instrucciones lícitas del responsable. Un DPA bien redactado define esas instrucciones con precisión, lo cual importa tanto para la aplicación de la norma como para la distribución de la responsabilidad.
Las Directrices 07/2020 del CEPD sobre los conceptos de responsable y encargado del tratamiento, adoptadas en su forma final el 7 de septiembre de 2021, subrayan que la ausencia de un DPA por escrito constituye en sí misma una infracción del artículo 28, con independencia de si algún interesado ha sufrido un perjuicio. Los reguladores han impuesto multas específicamente por acuerdos de tratamiento inexistentes o insuficientes. Para el contexto más amplio del marco del RGPD, consulta Qué es el RGPD.
Responsable Frente a Encargado del Tratamiento: Por Qué Importa la Distinción
El artículo 4(7) define al responsable del tratamiento como "la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento". El artículo 4(8) define al encargado del tratamiento como "la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento".
El responsable decide el "por qué" y el "cómo" del tratamiento: qué datos recopilar, con qué finalidad, sobre qué base jurídica y durante cuánto tiempo. El encargado opera dentro de esos parámetros. Realiza tareas técnicas u organizativas sobre los datos, pero no determina de forma independiente la finalidad, no conserva los datos más allá de las instrucciones del responsable ni utiliza los datos en su propio beneficio.
Las Directrices 07/2020 del CEPD aclaran que la designación es funcional y fáctica, no contractual. Llamar "encargado" a una entidad en un contrato no la convierte en tal si, en la práctica, ejerce un criterio independiente sobre las finalidades o los medios del tratamiento. Una entidad que pasa de tratar datos por instrucciones a fijar finalidades se convierte en responsable del tratamiento y asume las obligaciones de un responsable, con independencia de cómo hayan etiquetado las partes la relación.
Esta distinción tiene tres consecuencias prácticas. Primero, solo el responsable posee una base jurídica para el tratamiento conforme al artículo 6; el encargado no necesita una propia mientras opere dentro de las instrucciones. Segundo, el responsable es el principal obligado ante las autoridades de control por el fondo del tratamiento. Tercero, las obligaciones de auditoría, cooperación y asistencia se canalizan hacia el responsable a través del DPA.
Entre las relaciones habituales de encargado del tratamiento se encuentran los proveedores de almacenamiento en la nube que alojan datos por cuenta del responsable; los proveedores de servicios de correo electrónico que transmiten comunicaciones; las gestorías que tratan datos de empleados según las instrucciones del empleador; las plataformas de análisis que tratan datos de visitantes web según los términos del operador del sitio; y los proveedores de atención al cliente externalizada que trabajan con un guion y una base de datos definidos.
No todo tercero que trata datos personales es un encargado del tratamiento. Los corresponsables del tratamiento (artículo 26), los destinatarios que reciben datos mediante una divulgación lícita y las entidades que tratan datos de forma independiente para sus propios fines no son encargados del tratamiento. Un proveedor de infraestructura en la nube que trata datos únicamente según las instrucciones documentadas del cliente es claramente un encargado. Una empresa de análisis de marketing que agrega datos de múltiples clientes, elabora sus propias conclusiones y vende esas conclusiones a terceros es, para ese tratamiento independiente, un responsable por derecho propio.
¿Cuándo Se Requiere un DPA?
Se requiere un DPA siempre que un encargado del tratamiento trate datos personales por cuenta de un responsable. El artículo 28(1) impone la obligación al responsable sin distinguir por sector de actividad, tamaño de la organización, valor del contrato, volumen de tratamiento o sensibilidad de los datos. Un fotógrafo autónomo que externaliza sus boletines de correo electrónico a una plataforma de automatización de marketing debe tener un DPA con esa plataforma. La obligación surge antes de que comience cualquier tratamiento; un responsable que transfiere datos a un encargado sin un DPA previo por escrito incurre en incumplimiento desde el momento en que se mueven los datos.
Varios contextos donde los DPA se pasan por alto con frecuencia pero son claramente obligatorios:
Proveedores de SaaS. Cuando una empresa se suscribe a una plataforma SaaS que trata los datos de clientes o empleados de esa empresa como parte de la prestación del servicio, el proveedor de SaaS es un encargado del tratamiento y el DPA es obligatorio. La mayoría de los grandes proveedores publican DPA estándar, pero el responsable sigue siendo responsable de verificar que esos documentos satisfacen plenamente el artículo 28(3).
Contratistas de mantenimiento y soporte informático. Un contratista al que se le concede acceso temporal a sistemas para realizar mantenimiento en infraestructura que contiene datos personales está tratando esos datos por cuenta del responsable, aunque no se espere que los lea ni los use. El acceso en sí mismo constituye tratamiento conforme al artículo 4(2).
Análisis y tecnología publicitaria. Las plataformas que colocan tecnologías de rastreo en el sitio web de un responsable y tratan datos de visitantes según la configuración del responsable actúan como encargadas para esas actividades, incluso cuando la plataforma trata simultáneamente datos para sus propios fines publicitarios en una capacidad de responsable separada.
Recursos humanos y nóminas externalizadas. Una gestoría de nóminas externa trata los datos personales de los empleados estrictamente para cumplir las obligaciones de nómina del empleador; no determina la finalidad de ese tratamiento.
Proveedores de infraestructura en la nube. Cuando una empresa ejecuta sus propias aplicaciones en infraestructura en la nube de un tercero, el proveedor de la nube trata datos personales por cuenta de la empresa. Los grandes proveedores ofrecen DPA estándar, pero el responsable no puede confiar únicamente en la publicación del proveedor; se requiere una aceptación activa.
No se requiere un DPA cuando dos organizaciones tratan datos personales de forma independiente para sus propios fines separados, actuando cada una como responsable. Tampoco se requiere un DPA para los corresponsables del tratamiento, aunque el artículo 26 exige un acuerdo separado entre ellos.
Las Ocho Cláusulas Obligatorias: El Artículo 28(3) Completo
El artículo 28(3) especifica el contenido mínimo de un DPA en ocho apartados. Cada uno es de obligado cumplimiento; un DPA que omita o debilite sustancialmente cualquiera de estos ocho elementos no satisface el artículo 28.
| Cláusula | Qué Exige |
|---|---|
| Artículo 28(3)(a) | El encargado trata los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive en lo relativo a las transferencias a un tercer país u organización internacional, salvo que esté obligado a ello por el derecho de la Unión o de un Estado miembro; en tal caso, el encargado informará al responsable antes del tratamiento, salvo que dicho derecho lo prohíba por razones importantes de interés público. |
| Artículo 28(3)(b) | El encargado garantiza que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. |
| Artículo 28(3)(c) | El encargado adopta todas las medidas exigidas en virtud del artículo 32, es decir, implementa medidas técnicas y organizativas de seguridad apropiadas y proporcionales al riesgo. |
| Artículo 28(3)(d) | El encargado respeta las condiciones indicadas en el artículo 28(2) y (4) para recurrir a otro encargado (un subencargado), incluida la obtención de la autorización previa del responsable y la extensión de obligaciones equivalentes al subencargado. |
| Artículo 28(3)(e) | El encargado asiste al responsable, mediante medidas técnicas y organizativas apropiadas, siempre que sea posible, para cumplir con la obligación del responsable de responder a las solicitudes de ejercicio de los derechos de los interesados conforme a los artículos 15 a 22. |
| Artículo 28(3)(f) | El encargado asiste al responsable a garantizar el cumplimiento de las obligaciones de seguridad del artículo 32, la notificación de violaciones de datos de los artículos 33 y 34, las evaluaciones de impacto relativas a la protección de datos del artículo 35, y la consulta previa del artículo 36, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado. |
| Artículo 28(3)(g) | A elección del responsable, el encargado elimina o devuelve todos los datos personales al responsable una vez finalizada la prestación de los servicios de tratamiento, y elimina las copias existentes, salvo que el derecho de la Unión o de un Estado miembro exija la conservación de los datos personales. |
| Artículo 28(3)(h) | El encargado pone a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28, y permite y contribuye a las auditorías, incluidas las inspecciones, realizadas por el responsable o por otro auditor autorizado por este. El encargado debe informar de inmediato al responsable si, en su opinión, una instrucción infringe el reglamento u otras disposiciones de protección de datos de la Unión o de un Estado miembro. |
Además de las ocho cláusulas obligatorias, el artículo 28(3) también exige que el contrato especifique el objeto y la duración del tratamiento, la naturaleza y la finalidad del tratamiento, el tipo de datos personales, las categorías de interesados, y las obligaciones y derechos del responsable. Estos parámetros definen el límite exterior dentro del cual el encargado opera lícitamente.
Cláusula (a): Solo Bajo Instrucciones
El requisito de instrucciones documentadas del artículo 28(3)(a) es el mecanismo de control fundamental de la relación con el encargado del tratamiento. "Documentado" significa por escrito o registrado de otra forma; las instrucciones verbales son insuficientes para cualquier instrucción que sea material para el alcance del tratamiento.
El propio DPA establece las instrucciones principales (categorías de datos, operaciones de tratamiento permitidas, plazos de conservación), y el acuerdo de servicio las complementa con el detalle operativo. Las instrucciones puntuales fuera del alcance original deben documentarse. La obligación del encargado de señalar cualquier instrucción que considere que vulnera el RGPD (establecida en la última frase del artículo 28(3)) complementa esta cláusula: un encargado que sigue una instrucción ilícita sin advertirlo corre el riesgo de perder el amparo de responsabilidad que ofrece el cumplimiento de instrucciones conforme al artículo 82(3).
Cuando el encargado o sus subencargados operan infraestructura fuera del EEE, el DPA debe autorizar expresamente esas transferencias e identificar el mecanismo de transferencia conforme al capítulo V del RGPD. Consulta la guía de Transferencias Internacionales de Datos del RGPD.
Cláusula (c): Seguridad del Artículo 32
El artículo 28(3)(c) impone directamente al encargado las obligaciones del artículo 32. El artículo 32(1) especifica lo que deben abordar esas medidas de seguridad: la seudonimización y el cifrado; la capacidad de garantizar de forma continua la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma oportuna tras un incidente físico o técnico; y un proceso para probar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas.
Las medidas apropiadas deben tener en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas. Lo que es apropiado para un encargado que trata análisis anonimizados difiere de lo que se requiere para datos de salud o registros financieros. Un DPA que no especifica los estándares de seguridad esperados del encargado para las categorías particulares de datos tratados se queda corto.
Cláusula (f): Asistencia en la Notificación de Violaciones de Seguridad y las EIPD
El artículo 28(3)(f) impone una obligación de cooperación sujeta a plazos ajustados. Según el artículo 33(1), un responsable debe notificar a su autoridad de control una violación de la seguridad de los datos personales sin dilación indebida y, cuando sea posible, en el plazo de 72 horas. Un responsable solo puede cumplir ese plazo si su encargado cuenta con sistemas para detectar, documentar y notificar al responsable con prontitud.
El DPA debe especificar la obligación del encargado de notificar al responsable cualquier posible violación de datos dentro de un plazo definido (muchos DPA usan entre 24 y 48 horas) y de proporcionar la información del artículo 33(3): la naturaleza de la violación, las categorías y el número aproximado de interesados afectados, las categorías y el número aproximado de registros involucrados, las consecuencias probables, y las medidas adoptadas o propuestas. Una referencia genérica y vaga al artículo 33 es insuficiente.
La obligación de asistencia en las EIPD también es importante en la práctica. Según el artículo 35, un responsable debe realizar una evaluación de impacto relativa a la protección de datos antes de un tratamiento que probablemente entrañe un alto riesgo para los interesados. Los encargados suelen tener la información técnica necesaria para completar la evaluación de riesgos, y el DPA debe especificar la obligación de cooperación del encargado.
Cláusula (h): Derechos de Auditoría
Los encargados del tratamiento proponen habitualmente satisfacer el artículo 28(3)(h) mediante certificaciones de auditoría de terceros (ISO 27001 o SOC 2 Tipo II) en lugar de permitir al responsable el acceso directo a los sistemas y registros. Las Directrices 07/2020 del CEPD confirman que las certificaciones de terceros pueden constituir prueba de cumplimiento, pero no pueden excluir el derecho del responsable a realizar su propia auditoría cuando tenga inquietudes específicas de cumplimiento. Una disposición del DPA que sustituye por completo el derecho de auditoría por una referencia a una certificación no satisface el artículo 28(3)(h) y ha sido criticada por las autoridades de control.
Subencargados y la Obligación de Traslado de Obligaciones
Un subencargado es cualquier tercero que un encargado del tratamiento contrata para realizar actividades de tratamiento específicas por cuenta del responsable. El artículo 28(2) exige al encargado obtener la autorización previa, específica o general, por escrito del responsable antes de contratar a cualquier subencargado.
Cuando el responsable otorga una autorización general, el artículo 28(2) exige al encargado informar al responsable de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados, dando al responsable la oportunidad de oponerse. El DPA debe incorporar un plazo de notificación suficiente para que el responsable ejerza este derecho; muchos DPA fijan un preaviso de 30 días.
El artículo 28(4) establece la regla de traslado de obligaciones: cuando un encargado contrata a un subencargado, debe imponer a este las mismas obligaciones de protección de datos que las establecidas en el contrato entre el responsable y el encargado. Si el subencargado incumple sus obligaciones, el encargado inicial sigue siendo plenamente responsable ante el responsable del tratamiento.
Cada eslabón de una cadena de tratamiento debe estar vinculado por un acuerdo conforme al artículo 28. La responsabilidad recae por completo en el encargado, quien a su vez debe garantizar protecciones contractuales adecuadas en los acuerdos posteriores con los subencargados.
Los responsables que gestionan cadenas de proveedores complejas deben mapear a sus encargados y a los subencargados declarados de cada encargado como parte de sus registros de actividades de tratamiento (artículo 30). Muchos encargados publican listas de subencargados y se comprometen a notificar con antelación los cambios.
Las Cláusulas Contractuales Tipo del Artículo 28 de la Comisión
El RGPD permite que los DPA se basen, total o parcialmente, en cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control (artículo 28(6) y (7)).
La Decisión de Ejecución (UE) 2021/914 de la Comisión, publicada en el Diario Oficial L 199/31 el 7 de junio de 2021, adoptó las CCT para transferencias internacionales de datos. Esa decisión contiene cuatro módulos, entre ellos el Módulo 2 (responsable a encargado) y el Módulo 3 (encargado a encargado), que rigen las obligaciones de transferencia del capítulo V cuando el tratamiento implica una transferencia fuera del EEE. Esas CCT de transferencias internacionales son distintas de, pero compatibles con, las CCT del artículo 28. Para una explicación completa, consulta la guía de Transferencias Internacionales de Datos del RGPD.
La Decisión de Ejecución (UE) 2021/915 de la Comisión, también publicada el 4 de junio de 2021, adoptó cláusulas contractuales tipo independientes específicamente para los acuerdos entre responsables y encargados dentro de la UE y el EEE (las "CCT del artículo 28"). Las partes que las adopten sin modificación pueden ampararse en la determinación de adecuación de la Comisión respecto de esas cláusulas. Están estructuradas de forma modular y adaptable, con disposiciones opcionales claramente marcadas y apéndices donde las partes aportan los parámetros del tratamiento (categorías de datos, finalidades, medidas de seguridad, listas de subencargados).
Las partes pueden añadir términos comerciales adicionales junto con las CCT del artículo 28, siempre que esas adiciones no contradigan las cláusulas obligatorias ni reduzcan la protección de los interesados. Cuando las partes deseen incorporar tanto las CCT del artículo 28 como las CCT de transferencia del capítulo V en un único acuerdo, la guía de la Comisión confirma que ambos conjuntos de cláusulas pueden combinarse.
Los DPA y las Transferencias Internacionales de Datos
Cada vez que el tratamiento bajo un DPA implica una transferencia de datos personales fuera del EEE, el DPA debe abordar el cumplimiento del capítulo V. El artículo 28(3)(a) ya exige que el DPA cubra cualquier instrucción de transferir datos a un tercer país.
Cuando toda la relación de tratamiento se encuentra dentro del EEE, las CCT del artículo 28 cubren la relación por completo. Cuando el encargado opera infraestructura fuera del EEE pero el país de destino cuenta con una decisión de adecuación de la UE (por ejemplo, el Reino Unido, Japón, o una organización estadounidense certificada bajo el DPF), el DPA debe identificar esa decisión de adecuación como base de la transferencia y confirmar que el encargado y cualquier subencargado que reciba datos están cubiertos por ella. Cuando no se aplica ninguna decisión de adecuación, el DPA debe incorporar el mecanismo aplicable del capítulo V: para una relación transfronteriza de responsable a encargado, el Módulo 2 de las CCT internacionales de 2021, que también impone una Evaluación de Impacto de la Transferencia conforme a la cláusula 14.
Un responsable que ejecuta un DPA conforme al artículo 28 con un proveedor de nube estadounidense pero que no incorpora por separado el Módulo 2 de las CCT de transferencia internacional cumple solo parcialmente: la relación de tratamiento está regulada, pero la transferencia en sí carece de base jurídica válida. La lista de verificación de cumplimiento del RGPD cubre los pasos necesarios para abordar ambas capas.
¿Quién Redacta el DPA?
El RGPD impone al responsable del tratamiento la obligación de asegurar que exista un DPA. En la práctica, los grandes encargados (proveedores de SaaS y de nube) suelen elaborar el DPA de formato estándar porque negocian con cientos o miles de responsables y no pueden negociar un contrato a medida con cada uno.
Desde la perspectiva del responsable, esto crea una obligación de diligencia debida, no una obligación de redacción. Un responsable que firma el DPA de un encargado sin revisar su contenido no ha cumplido sus obligaciones de rendición de cuentas conforme al artículo 5(2), incluso si ese DPA resulta ser conforme. Si el DPA estándar del encargado es deficiente, el responsable debe negociar modificaciones o buscar un encargado que ofrezca un acuerdo conforme.
Los responsables que contratan a proveedores de servicios más pequeños que no ofrecen su propio DPA estándar deben redactar el acuerdo ellos mismos o usar las CCT del artículo 28 de la Comisión como base. Las CCT del artículo 28 están disponibles públicamente en el sitio web de la Comisión y son de uso gratuito.
En un acuerdo de corresponsabilidad conforme al artículo 26, las obligaciones del artículo 28 no se aplican entre los corresponsables. El artículo 26 exige un acuerdo transparente separado que regule sus respectivas responsabilidades, el cual opera bajo reglas distintas de las de un DPA.
Consecuencias de No Tener un DPA
No tener un DPA conforme constituye una infracción independiente del RGPD. El artículo 83(4) enumera el artículo 28 como una disposición cuyo incumplimiento está sujeto a multas administrativas de hasta 10.000.000 de euros o el dos por ciento de la facturación mundial anual total, lo que sea mayor. Cuando la ausencia de un DPA es sintomática de fallos más amplios de rendición de cuentas, las autoridades de control también han aplicado el nivel superior del artículo 83(5) en virtud de los artículos 5 y 25.
Las autoridades de control también pueden ejercer poderes correctivos conforme al artículo 58(2): emitir advertencias, apercibimientos y órdenes de cumplimiento; limitar o prohibir temporal o permanentemente el tratamiento; y ordenar la suspensión de los flujos de datos hacia un encargado. Una prohibición temporal de tratamiento puede resultar operativamente más dañina que una multa cuando el encargado presta infraestructura empresarial crítica.
La responsabilidad civil conforme al artículo 82 es un riesgo separado. Cuando ningún DPA definió el alcance y las obligaciones del encargado, el responsable puede tener dificultades para demostrar que el tratamiento fue lícito. Las decisiones de aplicación son públicas; una conclusión de que una empresa trataba datos personales a través de un proveedor de servicios sin ningún DPA revela fallos sistémicos de gobernanza y tiende a atraer un escrutinio más amplio.
Entre las medidas de aplicación documentadas se encuentran la Autoridad Sueca de Protección de Datos (IMY), que ha multado a responsables por no contar con acuerdos de tratamiento adecuados con sus proveedores, y la Comisión de Protección de Datos de Irlanda, que ha detectado acuerdos contractuales inadecuados entre encargado y responsable en importantes investigaciones tecnológicas.
Pasos Prácticos Clave para los Responsables
Mapear a los encargados. Identifica a cada tercero que trate datos personales por cuenta del responsable. Los registros de actividades de tratamiento exigidos por el artículo 30 son el vehículo natural para este ejercicio. Debe existir un DPA conforme por escrito antes de transferir datos a cada encargado identificado.
Evaluar la idoneidad. El artículo 28(1) exige diligencia debida sobre las medidas técnicas y organizativas de seguridad de cada encargado, sus acuerdos con subencargados, sus procedimientos de notificación de violaciones, su postura de cooperación en auditorías y su capacidad de asistir en las solicitudes de derechos de los interesados. La diligencia debida puede incluir la revisión de certificaciones de auditoría de terceros, la cumplimentación de cuestionarios de seguridad para proveedores y la revisión de la documentación de privacidad del encargado.
Ejecutar un DPA conforme. Usar las CCT del artículo 28 de la Comisión es la vía más directa para satisfacer las cláusulas obligatorias. Cuando el tratamiento implica transferencias internacionales, también debe incorporarse o ejecutarse por separado el Módulo 2 de las CCT de transferencia internacional de la Comisión.
Gestionar los cambios de subencargados. Cuando el DPA prevé una autorización general de subencargados, establece un proceso para recibir y revisar las notificaciones de cambio de subencargados y ejercer el derecho a oponerse cuando un subencargado propuesto plantee inquietudes de cumplimiento.
Mantener los DPA. Los encargados actualizan sus servicios, añaden subencargados, cambian de centros de datos y revisan sus medidas de seguridad. Los DPA deben revisarse cada vez que se produzca un cambio material en las actividades de tratamiento cubiertas.
Para orientación sobre cómo encaja el DPA dentro del programa más amplio de cumplimiento del RGPD, consulta la lista de verificación de cumplimiento del RGPD.
Alcance jurisdiccional: Este artículo aborda el requisito del acuerdo de tratamiento de datos bajo el RGPD, Reglamento (UE) 2016/679, que se aplica dentro de la Unión Europea y el Espacio Económico Europeo, incluida su aplicación a encargados y responsables establecidos fuera de la UE/EEE que están sujetos al alcance extraterritorial del RGPD conforme al artículo 3. No aborda por separado el UK GDPR (que conserva requisitos equivalentes del artículo 28 tras el Brexit) ni los contratos de tratamiento específicos de sector bajo las normas de protección de datos de las instituciones de la Unión conforme al Reglamento (UE) 2018/1725.
Aviso legal: Este artículo ofrece información legal general sobre el artículo 28 del RGPD y los acuerdos de tratamiento de datos a partir de junio de 2026. No constituye asesoramiento legal y no debe utilizarse como tal. Los requisitos legales descritos reflejan el RGPD y la guía oficial de la Comisión y el CEPD a la fecha de publicación. Las leyes y la guía pueden cambiar. Debes consultar a un abogado cualificado y habilitado en tu jurisdicción para obtener asesoramiento específico sobre las circunstancias de tu organización.
Preguntas frecuentes
¿Qué es un acuerdo de tratamiento de datos bajo el RGPD?
Un acuerdo de tratamiento de datos (DPA) es un contrato por escrito que el artículo 28 del RGPD exige a un responsable suscribir con cada encargado del tratamiento antes de que este trate datos personales por cuenta del responsable. El DPA debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, y debe incluir las ocho categorías de obligaciones obligatorias enumeradas en el artículo 28(3), incluido el deber del encargado de seguir únicamente instrucciones documentadas, mantener la confidencialidad, implementar medidas de seguridad, gestionar a los subencargados, asistir con los derechos de los interesados, asistir con la notificación de violaciones y las EIPD, eliminar o devolver los datos al finalizar la relación, y cooperar con las auditorías.
¿Cuándo se necesita un DPA del RGPD?
Se requiere un DPA cada vez que un encargado del tratamiento trata datos personales por cuenta de un responsable. La obligación se aplica con independencia del sector, el tamaño de la organización, el valor del contrato o la sensibilidad de los datos implicados. Se aplica antes de que comience cualquier tratamiento. Ejemplos comunes en los que se requieren DPA incluyen proveedores de almacenamiento en la nube que alojan los datos de un responsable, plataformas SaaS que tratan registros de clientes, gestorías que tratan datos de empleados, proveedores de análisis que tratan datos de visitantes web y contratistas de soporte informático con acceso a sistemas que contienen datos personales. No se requiere un DPA entre corresponsables del tratamiento (que tienen una obligación separada conforme al artículo 26) ni cuando el tercero trata los datos de forma totalmente independiente para sus propios fines.
¿Qué debe incluir un DPA del RGPD?
El artículo 28(3) especifica ocho categorías de cláusulas obligatorias: (a) tratar solo bajo instrucciones documentadas del responsable; (b) garantizar que el personal autorizado esté sujeto a confidencialidad; (c) implementar las medidas de seguridad del artículo 32; (d) cumplir con los requisitos de autorización y traslado de obligaciones a subencargados; (e) asistir al responsable con las solicitudes de derechos de los interesados; (f) asistir con la notificación de violaciones conforme a los artículos 33 y 34, las EIPD conforme al artículo 35, y la consulta previa conforme al artículo 36; (g) eliminar o devolver todos los datos personales al finalizar los servicios; y (h) poner información a disposición para auditorías e inspecciones e informar de inmediato al responsable de cualquier instrucción que parezca infringir el RGPD. Además de estas cláusulas, el DPA también debe especificar el objeto, la duración, la naturaleza, la finalidad, los tipos de datos y las categorías de interesados del tratamiento.
¿Quién proporciona el DPA: el responsable o el encargado?
La obligación legal de garantizar que exista un DPA recae en el responsable del tratamiento conforme al artículo 28(1). En la práctica, los grandes encargados (proveedores de nube y de SaaS) suelen redactar y publicar DPA estándar que los responsables son invitados a aceptar. El responsable no puede delegar su obligación legal en el encargado firmando un DPA sin revisar su contenido. El responsable debe verificar que cualquier DPA proporcionado por el encargado satisface los ocho elementos del artículo 28(3). Cuando el encargado no ofrece un DPA estándar, el responsable debe redactar uno o usar las cláusulas contractuales tipo del artículo 28 de la Comisión (Decisión de Ejecución (UE) 2021/915) como base.
¿Cuál es la diferencia entre un responsable y un encargado del tratamiento bajo el RGPD?
El artículo 4(7) define al responsable del tratamiento como la entidad que determina las finalidades y los medios del tratamiento de datos personales, es decir, decide por qué se tratan los datos y cómo. El artículo 4(8) define al encargado del tratamiento como una entidad que trata datos personales por cuenta del responsable, siguiendo las instrucciones del responsable sin determinar de forma independiente la finalidad del tratamiento. Las Directrices 07/2020 del CEPD confirman que esta distinción es funcional y fáctica: etiquetar a una parte como encargado en un contrato no la convierte en tal si ejerce un control independiente sobre las finalidades. Un encargado que comienza a determinar por sí mismo las finalidades del tratamiento se convierte en responsable conforme al artículo 28(10) y asume la responsabilidad plena de un responsable.
¿Pueden usarse las cláusulas contractuales tipo de la Comisión como DPA?
Sí. La Decisión de Ejecución (UE) 2021/915 de la Comisión, de 4 de junio de 2021, adoptó cláusulas contractuales tipo específicamente para las relaciones entre responsables y encargados conforme al artículo 28. Estas CCT del artículo 28 ofrecen una plantilla preaprobada que satisface automáticamente los requisitos de cláusulas obligatorias del artículo 28(3) cuando se usan sin modificación. Las partes completan los apéndices con sus parámetros de tratamiento específicos (categorías de datos, finalidades, medidas de seguridad, listas de subencargados). Las CCT del artículo 28 son distintas de las CCT de transferencia internacional de 2021 bajo la Decisión (UE) 2021/914; cuando también intervienen transferencias internacionales, pueden ser necesarios ambos conjuntos de cláusulas.
¿Cuáles son las consecuencias de no tener un DPA?
No tener un DPA conforme constituye una infracción independiente del RGPD, sujeta a multas administrativas de hasta 10 millones de euros o el dos por ciento de la facturación mundial anual total conforme al artículo 83(4). Cuando la ausencia del DPA forma parte de fallos más amplios de rendición de cuentas, también pueden imponerse multas superiores conforme al artículo 83(5). Más allá de las multas, las autoridades de control pueden emitir prohibiciones de tratamiento conforme al artículo 58(2), lo que puede paralizar las operaciones empresariales. Los responsables también pueden enfrentarse a responsabilidad civil conforme al artículo 82 por parte de interesados que sufran daños. Varias autoridades de control de la UE, incluidas la IMY sueca y la Comisión de Protección de Datos de Irlanda, han emitido decisiones de aplicación tras detectar acuerdos de tratamiento inexistentes o inadecuados.
¿Qué son los subencargados y cómo los regula el artículo 28?
Un subencargado es un tercero que un encargado del tratamiento contrata para realizar actividades de tratamiento específicas por cuenta del responsable. El artículo 28(2) exige al encargado obtener la autorización previa, específica o general, por escrito del responsable antes de contratar a cualquier subencargado. Cuando se otorga una autorización general, el encargado debe notificar al responsable cualquier cambio de subencargado y darle la oportunidad de oponerse. Conforme al artículo 28(4), el encargado debe imponer a cada subencargado las mismas obligaciones de protección de datos establecidas en el DPA entre responsable y encargado, y el encargado sigue siendo plenamente responsable ante el responsable si el subencargado no cumple.
¿Debe un DPA abordar las transferencias internacionales de datos?
Si el encargado o cualquiera de sus subencargados va a transferir datos personales fuera del EEE, el DPA debe abordar el cumplimiento del capítulo V. El artículo 28(3)(a) exige que el DPA cubra cualquier instrucción de transferir datos a un tercer país. Cuando una decisión de adecuación válida cubre el destino, el DPA debe identificarla. Cuando no se aplica ninguna decisión de adecuación, el DPA debe incorporar el mecanismo pertinente del capítulo V, que para una transferencia de responsable a encargado suele ser el Módulo 2 de las Cláusulas Contractuales Tipo de 2021 bajo la Decisión de Ejecución (UE) 2021/914 de la Comisión. Las CCT del artículo 28 y las CCT de transferencia internacional pueden combinarse en un único acuerdo.
¿Qué significa 'instrucciones documentadas' en un DPA del RGPD?
El artículo 28(3)(a) exige que el encargado trate los datos personales únicamente siguiendo instrucciones documentadas del responsable. 'Documentado' significa por escrito o registrado de otra forma. El propio DPA constituye el conjunto principal de instrucciones, especificando las operaciones de tratamiento permitidas, las categorías de datos, las finalidades y los plazos de conservación. Las instrucciones puntuales dadas durante la relación de servicio también deben documentarse para ser válidas. La última frase del artículo 28(3) impone al encargado la obligación de informar de inmediato al responsable si, en su opinión, alguna instrucción infringe el RGPD u otra [ley de protección de datos](/us-laws/data-privacy-laws) aplicable. Un encargado que sigue una instrucción que sabe ilícita sin señalar el problema corre el riesgo de perder la protección de responsabilidad que ofrece el cumplimiento de instrucciones documentadas conforme al artículo 82(3).
Fuentes y referencias
- Reglamento (UE) 2016/679 del RGPD, artículos 4, 28, 32, 33, 35, 82 y 83(eur-lex.europa.eu)
- Decisión de Ejecución (UE) 2021/914 de la Comisión, Cláusulas Contractuales Tipo para Transferencias Internacionales(eur-lex.europa.eu)
- Decisión de Ejecución (UE) 2021/915 de la Comisión, Cláusulas Contractuales Tipo entre Responsables y Encargados(eur-lex.europa.eu)
- Directrices 07/2020 del CEPD sobre los Conceptos de Responsable y Encargado del Tratamiento bajo el RGPD(edpb.europa.eu)
- Comisión Europea, Cláusulas Contractuales Tipo para Transferencias de Datos(commission.europa.eu)