Contratos de Encargo de Tratamiento: Seguridad jurídica para su tratamiento de datos

Contratos de Encargo de Tratamiento (CET)

Conozca más sobre los requisitos legales de los contratos de encargo de tratamiento: cuándo son necesarios, qué contenidos deben tener y cómo podemos apoyar a su empresa con soluciones contractuales legalmente seguras.






Fundamentos de los Contratos de Encargo de Tratamiento

¿Qué es un Contrato de Encargo de Tratamiento?


Un Contrato de Encargo de Tratamiento (CET) es un documento legalmente vinculante que regula la relación entre un responsable del tratamiento (contratante) y un encargado del tratamiento (proveedor de servicios) en el marco del tratamiento de datos personales. Está establecido en el artículo 28 del RGPD y constituye un elemento central para garantizar la protección de datos en la externalización de procesos de tratamiento de datos.

¿Cuándo es necesario un CET?


Un CET debe celebrarse siempre que una empresa (responsable del tratamiento) encargue a un proveedor de servicios (encargado del tratamiento) el tratamiento de datos personales. Esto incluye escenarios típicos como el uso de proveedores externos de servicios TI, contratación de proveedores de servicios de marketing, integración de servicios de soporte externos, externalización de funciones de RRHH, contratación de centros de llamadas o el uso de herramientas de análisis.

¿Qué diferencia a los responsables de los encargados del tratamiento?


Un responsable del tratamiento decide sobre los fines y medios del tratamiento de datos, mientras que un encargado del tratamiento procesa datos personales por cuenta y siguiendo las instrucciones del responsable del tratamiento. En caso de responsabilidad conjunta, dos o más responsables deciden conjuntamente sobre los fines y medios del tratamiento, lo que requiere un acuerdo según el Art. 26 RGPD.

¿Qué contenidos debe tener un CET?


Un CET legalmente conforme debe establecer el objeto, la duración, la naturaleza y el propósito del tratamiento. Además, debe definir los derechos y obligaciones de ambas partes, describir las medidas técnicas y organizativas, contener regulaciones para el apoyo al responsable en los derechos de los interesados y establecer directrices para subencargados y conceptos de eliminación.

¿Qué riesgos surgen por la falta de un CET?


La falta de un CET o un CET deficiente en contenido puede llevar a multas de hasta 10 millones de euros o el 2% de la facturación anual mundial. Además, el responsable puede ser responsable por violaciones de protección de datos del encargado, pueden surgir responsabilidades poco claras en caso de violaciones de datos y amenazar daños reputacionales al conocerse deficiencias de cumplimiento.

¿Cómo debe realizarse la implementación de un CET en la práctica?


La implementación práctica incluye la identificación de todos los proveedores de servicios relevantes, la verificación de la necesidad de un CET, la negociación y celebración de contratos legalmente seguros, la revisión y actualización regular de los CET existentes, así como la documentación de todas las medidas para demostrar el cumplimiento del RGPD en el marco de la obligación de rendición de cuentas.

Mostrar más






Asesoramiento profesional de expertos – ¡Le acompañamos hacia el éxito!

Descubra soluciones personalizadas para su empresa: Asesoramiento personalizado de nuestros expertos líderes en el sector.

Concertar cita




Contenidos obligatorios de un Contrato de Encargo de Tratamiento

¿Qué elementos debe contener un CET según el artículo 28 RGPD?


Un CET legalmente seguro debe incluir numerosos contenidos obligatorios según el artículo 28 RGPD. Esto incluye la descripción exacta del objeto y duración del tratamiento, naturaleza y propósito del tratamiento de datos, así como las categorías de datos tratados y de las personas afectadas. Además, deben estar claramente definidas la sujeción a instrucciones del encargado del tratamiento, el compromiso de confidencialidad de todas las personas involucradas, así como las medidas técnicas y organizativas para la protección de datos.

¿Cómo se regulan los subcontratistas en el CET?


La regulación del uso de subcontratistas es un componente central de un CET. Típicamente se establece que la contratación de subcontratistas solo es admisible con consentimiento previo por escrito del responsable del tratamiento. El encargado del tratamiento debe informar al responsable sobre cualquier cambio previsto y asegurar que los subcontratistas también cumplan las mismas obligaciones de protección de datos que él mismo.

¿Qué obligaciones de apoyo tiene el encargado del tratamiento?


El encargado del tratamiento está obligado a apoyar al responsable en el cumplimiento de los derechos de los interesados. Esto incluye ayuda en solicitudes de información, peticiones de rectificación y eliminación, así como en solicitudes de portabilidad de datos. Además, debe proporcionar apoyo en el cumplimiento de otras obligaciones de protección de datos, especialmente en garantizar la seguridad de los datos, notificación de violaciones de datos, realización de evaluaciones de impacto en la protección de datos y en consultas previas con autoridades de supervisión.

¿Qué se aplica para la finalización del encargo de tratamiento?


En el CET debe estar claramente regulado qué sucede con los datos personales después de la conclusión del tratamiento. Por defecto debe establecerse que el encargado del tratamiento elimine todos los datos personales o los devuelva al responsable del tratamiento, a menos que exista una obligación legal de conservación adicional. La eliminación o devolución debe ser demostrable y, cuando sea posible, documentada.

¿Qué requisitos especiales se aplican en las transferencias a terceros países?


En transmisiones de datos a países fuera de la UE/EEE deben tomarse precauciones adicionales en el CET. Esto incluye la regulación explícita de la transmisión a terceros países con indicación de los países receptores, la implementación de garantías adecuadas como cláusulas contractuales estándar de la UE, así como la documentación de una evaluación de riesgos. Desde la sentencia "Schrems II" del TJUE, los requisitos para transferencias internacionales de datos han aumentado considerablemente y requieren un examen y documentación minuciosos.

¿Qué errores ocurren frecuentemente en los CET en la práctica?


En la práctica, los CET a menudo presentan deficiencias que pueden llevar a su ineficacia. Los errores más frecuentes incluyen descripciones demasiado inespecíficas del tratamiento, regulaciones faltantes o poco claras sobre subcontratistas, descripciones insuficientes de las medidas técnicas y organizativas, definición faltante de derechos de instrucción y control, así como conceptos de eliminación incompletos. El uso de modelos contractuales obsoletos que no corresponden a los requisitos actuales del RGPD también representa un riesgo considerable.

Mostrar más



Déjese asesorar por nuestros expertos

Concertar cita Elegir horario conveniente





Nuestros servicios para Contratos de Encargo de Tratamiento

¿Por qué es tan importante el apoyo profesional en CET?


El diseño legalmente seguro de CET requiere conocimiento especializado debido a los complejos requisitos legales que se desarrollan continuamente a través de nueva jurisprudencia. Desafíos especiales presentan la delimitación entre encargo de tratamiento y responsabilidad conjunta, transmisiones internacionales de datos después de la sentencia "Schrems II", así como la descripción precisa de medidas técnicas y organizativas. Nuestros expertos le apoyan con conocimiento especializado fundamentado y experiencia práctica de muchos años en todos los aspectos relacionados con CET.

¿Cómo creamos CET a medida?


Creamos CET individuales que están exactamente adaptados a sus requisitos específicos. Esto incluye un diseño contractual legalmente seguro según el Art. 28 RGPD, una descripción precisa de las actividades de tratamiento y flujos de datos, así como una representación detallada de las medidas técnicas y organizativas. Además, garantizamos regulaciones claras sobre derechos de instrucción y control, diseño conforme al derecho en transferencias internacionales de datos y una armonización con relaciones contractuales existentes.

¿Qué ventajas ofrece nuestra revisión de CET existentes?


Para CET ya existentes ofrecemos una revisión integral con recomendaciones concretas de adaptación. Esto incluye la verificación de completitud y conformidad legal según los requisitos legales actuales, la identificación de lagunas o riesgos, así como la evaluación de las medidas técnicas y organizativas descritas. Revisamos además las regulaciones sobre subcontratistas y transferencias a terceros países y creamos un informe detallado con recomendaciones de adaptación, en caso necesario también nos encargamos de la revisión y actualización del CET.

¿Qué incluye nuestro sistema de gestión de CET?


Para empresas con numerosas relaciones con proveedores de servicios desarrollamos un sistema estructurado de gestión de CET. Esto incluye la creación de una descripción general de proveedores con evaluación de la obligación de CET, el desarrollo de plantillas de CET estandarizadas para diferentes tipos de proveedores de servicios, así como la definición de un proceso para conclusión, actualización y control de CET. Adicionalmente implementamos una gestión de subcontratistas, construimos un sistema de documentación y evidencia y formamos a los empleados responsables en el manejo del sistema.

¿Cómo apoyamos en negociaciones con proveedores de servicios?


Le apoyamos en negociaciones con sus proveedores de servicios para la conclusión de CET conformes al derecho. Esto incluye la evaluación legal de borradores de CET presentados, la identificación de puntos contractuales críticos y el desarrollo de formulaciones alternativas. Ayudamos en la imposición de adaptaciones necesarias, en la evaluación de las MOT indicadas por el proveedor de servicios, así como en la negociación de transferencias a terceros países y regulaciones de subcontratistas. A petición también nos encargamos de la conducción directa de negociaciones con el proveedor de servicios para asegurar que sus CET no solo correspondan a los requisitos formales, sino que también protejan óptimamente sus intereses.

¿Qué ventajas ofrece una consultoría profesional en CET?


Una consultoría profesional en CET ofrece numerosas ventajas para su empresa. Minimiza el riesgo de multas y reclamaciones de responsabilidad a través de diseño contractual legalmente seguro, optimiza sus procesos de negocio a través de responsabilidades y obligaciones claras, así como mejora su posición de cumplimiento en auditorías de protección de datos. Además crea seguridad jurídica en transferencias internacionales de datos, permite una administración eficiente de numerosas relaciones con proveedores de servicios y fortalece su posición de negociación frente a proveedores de servicios a través de experiencia legal fundamentada.

Mostrar más



Servicios de Protección de Datos para su Empresa

  • Consultoría en Protección de Datos

    Consultoría Inicial en Protección de Datos

    Nuestros expertos en protección de datos analizan su situación actual y ofrecen recomendaciones concretas de acción para una implementación conforme al RGPD.

    Saber más
  • Documentos de Protección de Datos

    Documentos Individuales de Protección de Datos

    Creamos y mantenemos todos los documentos relevantes como CET, MOT, directrices y evidencias – legalmente seguros y actualizados.

    Saber más
  • Auditoría

    Auditoría de Protección de Datos

    Revisamos sus procesos, contratos y documentación sobre conformidad con el RGPD y ayudamos en la optimización.

    Saber más
  • Formación

    Formación y Sensibilización

    Formamos a sus empleados de manera práctica en temas de protección de datos – online o presencial – y fomentamos comportamiento conforme a la protección de datos.

    Saber más