¿Cuándo existe encargado del tratamiento en un contrato público?
El art. 4.8 RGPD define al encargado del tratamiento como la "persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento". La clave está en esa expresión: el encargado no usa los datos para sus propios fines, sino para prestar un servicio al responsable.
En contratación pública, la Administración contratante es habitualmente el responsable del tratamiento de los datos de sus ciudadanos, empleados o beneficiarios. Si contrata a una empresa para que gestione, almacene o procese esos datos en su nombre, esa empresa se convierte automáticamente en encargada del tratamiento, con independencia de que el contrato lo reconozca o no.
Contratos que generan encargo del tratamiento con más frecuencia
- Servicios de gestión de nóminas o recursos humanos: la empresa accede a datos salariales, bajas médicas y expedientes personales de los empleados públicos.
- Mantenimiento de sistemas de información: el proveedor tiene acceso técnico a bases de datos que contienen datos de ciudadanos o usuarios del servicio público.
- Call centers y atención ciudadana: los agentes del proveedor atienden consultas con acceso al historial del ciudadano en los sistemas de la Administración.
- Servicios de destrucción de documentación: acceso físico a documentos con datos personales.
- Servicios de limpieza e instalaciones: el personal de la empresa accede a espacios donde los datos están visibles (expedientes sobre mesas, pantallas encendidas). Aquí la situación es más matizada — la AEPD considera que existe encargo cuando hay acceso regular y no meramente incidental.
- Servicios jurídicos y consultoría: cuando el asesor accede a expedientes con datos personales de partes, usuarios o empleados.
- Cloud computing y servicios SaaS: cualquier proveedor cloud donde la Administración aloja datos personales.
¿El proveedor accede a datos personales de los que la Administración es responsable? ¿Lo hace para prestar el servicio contratado (no para sus propios fines comerciales)? Si ambas respuestas son sí, hay encargo del tratamiento y el DPA es obligatorio, con independencia de cómo esté llamado el servicio en el contrato.
El contrato de encargo del tratamiento (DPA) — art. 28 RGPD
El art. 28.3 RGPD exige que el tratamiento por el encargado se rija por un "contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable". Este contrato — denominado habitualmente DPA (Data Processing Agreement) o contrato de encargo del tratamiento — debe celebrarse siempre por escrito.
La ausencia de DPA constituye una infracción del art. 28 RGPD, calificada como grave por el art. 83.4 RGPD, con sanción de hasta 10.000.000 € o el 2 % de la facturación mundial anual. En el caso de las Administraciones Públicas, la LOPDGDD establece un régimen sancionador diferenciado (no sanción económica, sino apercibimiento y publicación en el BOE), pero la obligación de formalizar el DPA es idéntica.
Cláusulas obligatorias del art. 28.3 RGPD
El DPA no es un contrato de forma libre. El art. 28.3 RGPD exige que contenga, como mínimo, las siguientes estipulaciones:
- Objeto, duración, naturaleza y finalidad del tratamiento. No puede ser una descripción genérica. Si el servicio es gestión de nóminas, el DPA debe especificar exactamente qué categorías de datos se tratan (datos identificativos, datos salariales, datos de salud en relación con bajas), con qué finalidad concreta (cálculo y pago de retribuciones) y durante cuánto tiempo.
- Tipo de datos personales y categorías de interesados. Datos de empleados, de ciudadanos, de menores, datos de salud (categoría especial ex art. 9 RGPD)... La descripción debe ser suficientemente precisa para delimitar el perímetro del tratamiento.
- Obligación de tratar los datos solo según instrucciones documentadas del responsable. El encargado no puede usar los datos para ningún fin propio. Si lo hace, pasa a ser responsable del tratamiento y asume directamente las obligaciones del RGPD — incluyendo la posibilidad de sanción.
- Obligación de confidencialidad del personal autorizado. Las personas que accedan a los datos deben estar sometidas a un compromiso de confidencialidad, bien por contrato, bien por imposición legal.
- Adopción de las medidas de seguridad del art. 32 RGPD. El DPA debe recoger, o al menos remitir, a las medidas técnicas y organizativas aplicables en función de los riesgos del tratamiento. En contratos TIC que afecten a sistemas de la Administración, esto debe coordinarse con el Esquema Nacional de Seguridad (ENS).
- Subcontratación sujeta a autorización previa. El encargado no puede delegar en terceros sin el consentimiento del responsable (cláusula detallada más abajo).
- Asistencia al responsable en el ejercicio de derechos. El encargado debe ayudar al responsable a responder solicitudes de acceso, rectificación, supresión, oposición y portabilidad de los interesados, así como a gestionar brechas de seguridad y evaluaciones de impacto.
- Destino de los datos al finalizar el contrato. El DPA debe especificar si los datos se devuelven al responsable o se eliminan, y en qué plazo. La eliminación debe incluir las copias de seguridad.
- Información y auditorías. El encargado debe proporcionar al responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones y permitir auditorías.
Incluir en el PCAP una cláusula de "protección de datos" redactada genéricamente que hace referencia al RGPD sin detallar objeto, categorías de datos, medidas de seguridad ni destino final. Esa cláusula no cumple los requisitos del art. 28.3 RGPD aunque mencione el Reglamento. La AEPD lo considera ausencia de DPA a efectos sancionadores.
El régimen específico de las AAPP en la LOPDGDD
La Ley Orgánica 3/2018 (LOPDGDD) adapta el RGPD al ordenamiento español con disposiciones específicas para las Administraciones Públicas:
Art. 33 LOPDGDD — Presunción de encargo del tratamiento
El artículo 33 establece que cuando una Administración acceda a datos de otra Administración para ejercer competencias propias sobre los mismos asuntos, se considerará responsable del tratamiento y no encargada. Esta disposición regula las relaciones entre AAPP, no las relaciones entre AAPP y empresas privadas contratadas.
Art. 34 LOPDGDD — Delegado de Protección de Datos (DPD) obligatorio
Todas las Administraciones Públicas están obligadas a designar un DPD. El DPD tiene entre sus funciones la supervisión del cumplimiento del RGPD, incluyendo la revisión de los contratos de encargo del tratamiento. En la práctica, muchos DPD de AAPP carecen de recursos suficientes para revisar todos los contratos, lo que hace que muchos DPAs defectuosos pasen inadvertidos hasta una inspección de la AEPD.
El ENS y los contratos TIC con acceso a datos personales
Cuando el objeto del contrato implica el tratamiento de datos en sistemas de información de la Administración, se superpone el régimen del Esquema Nacional de Seguridad (Real Decreto 311/2022).
El ENS categoriza los sistemas de información en tres niveles —básico, medio y alto— en función del impacto que tendría una brecha de seguridad. Para cada nivel hay un conjunto de medidas de seguridad obligatorias (Anexo II del RD 311/2022). El pliego de contratación de servicios TIC debe:
- Identificar la categoría ENS del sistema al que tendrá acceso el proveedor.
- Exigir que el proveedor implemente las medidas correspondientes a esa categoría.
- En sistemas de categoría media o alta: exigir certificación ENS o acreditación equivalente del proveedor.
- Incluir en el DPA una referencia explícita a las medidas ENS como parte de las obligaciones de seguridad del art. 32 RGPD.
La omisión de estos requisitos en el pliego constituye una deficiencia tanto desde la perspectiva del RGPD como del ENS, que puede dar lugar a incumplimiento normativo del órgano de contratación.
Subcontratistas del encargado: el subencargo del tratamiento
El art. 28.2 RGPD establece que el encargado no puede "subcontratar" el tratamiento (recurrir a otro encargado) sin autorización previa del responsable:
- Autorización general: el DPA puede autorizar de antemano la subcontratación a cualquier proveedor, pero el encargado debe informar al responsable de los cambios y dar al responsable la posibilidad de oponerse.
- Autorización específica: el DPA lista los subencargados autorizados. Cualquier cambio requiere aprobación previa del responsable.
El subencargado queda sujeto a las mismas obligaciones de protección de datos que el encargado principal, y el encargado responde ante el responsable de cualquier incumplimiento del subencargado.
En la práctica de la contratación pública, esto significa que si el adjudicatario utiliza servicios cloud de terceros (Amazon AWS, Microsoft Azure, Google Cloud) para alojar datos de la Administración, esos proveedores cloud son subencargados del tratamiento y deben estar mencionados o autorizados en el DPA.
Cómo integrar el DPA en los pliegos de contratación
La práctica recomendable es incluir el DPA como Anexo obligatorio al PCAP, con las siguientes características:
- El licitador debe presentar el DPA firmado junto con su oferta (o confirmación de que lo suscribirá antes de la formalización del contrato).
- El DPA debe estar suficientemente cumplimentado para el contrato concreto — no puede ser un formulario en blanco.
- El órgano de contratación debe rellenar las secciones de objeto, categorías de datos, finalidad y medidas de seguridad antes de licitar, ya que es información que solo él conoce.
- La AEPD publica guías y plantillas de contratos de encargo del tratamiento en su web que sirven de base para adaptar el DPA al contrato específico.
Cláusula mínima recomendable en el PCAP
"En virtud del art. 28 del Reglamento (UE) 2016/679 (RGPD) y del art. 33 de la Ley Orgánica 3/2018 (LOPDGDD), el adjudicatario actuará como encargado del tratamiento respecto de los datos personales a los que acceda en el ejercicio de las prestaciones objeto del presente contrato, de los que [nombre del órgano] es responsable del tratamiento. El adjudicatario estará sujeto a las obligaciones establecidas en el contrato de encargo del tratamiento que figura como Anexo [X] al presente pliego, el cual tendrá carácter vinculante y forma parte integrante del contrato."
Consecuencias de la ausencia de DPA en un contrato público
Las consecuencias se despliegan en varios planos:
Régimen sancionador
El art. 77 LOPDGDD establece que cuando el responsable o encargado del tratamiento sea una Administración Pública, la AEPD emite una resolución declarando la infracción y ordena la adopción de medidas correctoras, pero no impone multa. En cambio, sí se publica la resolución en el BOE, con el consiguiente impacto reputacional. Las entidades privadas que actúen como encargadas sí pueden recibir multas.
Responsabilidad en caso de brecha de seguridad
Si un proveedor sufre un incidente de seguridad que compromete datos personales de la Administración contratante, la ausencia de DPA agrava la posición de la Administración porque no puede demostrar que adoptó las medidas contractuales exigidas por el RGPD. El art. 82 RGPD establece responsabilidad solidaria entre responsable y encargado cuando ambos han contribuido al daño.
Nulidad contractual potencial
En teoría, la ausencia de DPA podría dar lugar a nulidad de las cláusulas contractuales contrarias al RGPD, aunque los tribunales no han desarrollado jurisprudencia específica sobre este punto en el ámbito de la contratación pública española.
Verifica el cumplimiento RGPD de tu tratamiento
El verificador RGPD de Lexara analiza si tu contrato o tratamiento de datos cumple el art. 28 RGPD, identifica las cláusulas ausentes y genera un informe de conformidad en minutos.
Probar Lexara gratisLecturas relacionadas
Cómo analizar un pliego de contratación pública
Método completo para revisar el PCAP, incluyendo las cláusulas de ejecución y condiciones especiales.
Criterios de adjudicación ilegales según la LCSP
Qué criterios anulan el TACRC y cómo presentar un recurso especial en 15 días hábiles.