Proveedores Encargados del tratamiento: sin contrato, hay sanción
Proveedores considerados Encargados del tratamiento
En el día a día de cualquier organización, resulta habitual contar con proveedores cuyos servicios contratados implique un tratamiento de datos personales, como por ejemplo, asesorías, gestorías, servicios informáticos, prevención de riesgos, entre muchos otros.
A estos, el Reglamento General de Protección de Datos (RGPD) los define como Encargados del tratamiento, y la relación con ellos no es una cuestión menor.
El artículo 28 del RGPD, exige de forma clara a los Responsables del tratamiento que elijan únicamente a Encargados que ofrezcan garantías suficientes en materia de seguridad y cumplimiento normativo, y además, formalizar esa relación mediante un contrato que detalle de forma precisa las obligaciones en materia de protección de datos de cada parte.
Una sanción que marca la diferencia
Pero no basta con firmar un contrato, este debe contemplar todo lo establecido en el artículo 28 RGPD, lo dispuesto en la Decisión de Ejecución (UE) 2021/915 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo entre responsables y encargados del
tratamiento contempladas en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, y además contemplar las normas sectoriales y particulares de las partes que celebran el contrato.
La reciente Resolución PS-00313-2025 de la AEPD ha puesto de relieve la importancia de ser minuciosos en esta cuestión y en el caso analizado, el contrato entre el Responsable y el Encargado incluía una cláusula muy genérica sobre la conservación de datos:
“Obligación de destrucción de los datos finalizado el encargo.”
La Agencia consideró insuficiente esa referencia, ya que el artículo 28.3 del RGPD exige que el contrato especifique con claridad los plazos de conservación y los procedimientos de supresión o devolución de los datos. No basta con enunciar lo que dice la norma: es necesario concretar cómo y cuándo se cumplirán esas obligaciones.
El resultado de esa imprecisión fue una sanción de 50.000 euros al Responsables del tratamiento, pues la ausencia de un marco contractual ajustado a derecho que garantizara el respeto a los plazos legales de conservación de los datos, independientemente de la duración de la relación contractual con el proveedor.
Lecciones clave para las organizaciones
Este caso nos recuerda varios aspectos fundamentales:
No todos los proveedores valen:
El encargado debe demostrar garantías técnicas y organizativas suficientes, por lo que se recomienda además de la firma del mencionado contrato, cumplimente una Evaluación y acredite lo que ahí se detalle.
Los contratos no son plantillas genéricas:
Deben adaptarse a cada tratamiento y reflejar obligaciones concretas, especialmente en materia de conservación y supresión de datos.
El Responsable no se exonera:
Aunque el tratamiento lo realice un proveedor, la responsabilidad última sigue recayendo en quien decide los fines y medios del tratamiento.
La seguridad jurídica se construye en los detalles:
Una cláusula ambigua puede traducirse en sanciones económicas y pérdida de confianza.
Business Adapter® a su servicio
La relación con los encargados del tratamiento no puede abordarse de forma superficial, y en este sentido el artículo 28 del RGPD es claro, siendo una obligación elegir bien a nuestros proveedores y redactar contratos adecuados a la prestación de sus servicios y tipología de datos tratados, protegiendo al Responsable y a los derechos de las personas afectadas.
En un entorno donde la protección de datos se convierte cada vez más en un valor competitivo, cumplir rigurosamente con estas exigencias evita riesgos de sanción y aporta confianza a clientes, empleados y colaboradores.
Si necesitas ayuda en la redacción de estos contratos, escríbenos al email: info@businessadapter.es, llama al 96 131 88 04, o deja tu mensaje en nuestro formulario: