RGPD · LOPDGDD

RGPD en contratos públicos: DPA y encargado del tratamiento

Cuando una Administración contrata a una empresa que accede a datos personales de los que la Administración es responsable, nace la figura del encargado del tratamiento. Ignorar esta obligación es una de las infracciones más frecuentes detectadas por la AEPD en inspecciones a entidades públicas.

Publicado: 24 junio 2026 Lectura: ~13 min Normativa: RGPD art. 28 · LOPDGDD art. 33

¿Cuándo existe encargado del tratamiento en un contrato público?

El art. 4.8 RGPD define al encargado del tratamiento como la "persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento". La clave está en esa expresión: el encargado no usa los datos para sus propios fines, sino para prestar un servicio al responsable.

En contratación pública, la Administración contratante es habitualmente el responsable del tratamiento de los datos de sus ciudadanos, empleados o beneficiarios. Si contrata a una empresa para que gestione, almacene o procese esos datos en su nombre, esa empresa se convierte automáticamente en encargada del tratamiento, con independencia de que el contrato lo reconozca o no.

Contratos que generan encargo del tratamiento con más frecuencia

Test básico de encargo del tratamiento

¿El proveedor accede a datos personales de los que la Administración es responsable? ¿Lo hace para prestar el servicio contratado (no para sus propios fines comerciales)? Si ambas respuestas son sí, hay encargo del tratamiento y el DPA es obligatorio, con independencia de cómo esté llamado el servicio en el contrato.

El contrato de encargo del tratamiento (DPA) — art. 28 RGPD

El art. 28.3 RGPD exige que el tratamiento por el encargado se rija por un "contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable". Este contrato — denominado habitualmente DPA (Data Processing Agreement) o contrato de encargo del tratamiento — debe celebrarse siempre por escrito.

La ausencia de DPA constituye una infracción del art. 28 RGPD, calificada como grave por el art. 83.4 RGPD, con sanción de hasta 10.000.000 € o el 2 % de la facturación mundial anual. En el caso de las Administraciones Públicas, la LOPDGDD establece un régimen sancionador diferenciado (no sanción económica, sino apercibimiento y publicación en el BOE), pero la obligación de formalizar el DPA es idéntica.

Cláusulas obligatorias del art. 28.3 RGPD

El DPA no es un contrato de forma libre. El art. 28.3 RGPD exige que contenga, como mínimo, las siguientes estipulaciones:

  1. Objeto, duración, naturaleza y finalidad del tratamiento. No puede ser una descripción genérica. Si el servicio es gestión de nóminas, el DPA debe especificar exactamente qué categorías de datos se tratan (datos identificativos, datos salariales, datos de salud en relación con bajas), con qué finalidad concreta (cálculo y pago de retribuciones) y durante cuánto tiempo.
  2. Tipo de datos personales y categorías de interesados. Datos de empleados, de ciudadanos, de menores, datos de salud (categoría especial ex art. 9 RGPD)... La descripción debe ser suficientemente precisa para delimitar el perímetro del tratamiento.
  3. Obligación de tratar los datos solo según instrucciones documentadas del responsable. El encargado no puede usar los datos para ningún fin propio. Si lo hace, pasa a ser responsable del tratamiento y asume directamente las obligaciones del RGPD — incluyendo la posibilidad de sanción.
  4. Obligación de confidencialidad del personal autorizado. Las personas que accedan a los datos deben estar sometidas a un compromiso de confidencialidad, bien por contrato, bien por imposición legal.
  5. Adopción de las medidas de seguridad del art. 32 RGPD. El DPA debe recoger, o al menos remitir, a las medidas técnicas y organizativas aplicables en función de los riesgos del tratamiento. En contratos TIC que afecten a sistemas de la Administración, esto debe coordinarse con el Esquema Nacional de Seguridad (ENS).
  6. Subcontratación sujeta a autorización previa. El encargado no puede delegar en terceros sin el consentimiento del responsable (cláusula detallada más abajo).
  7. Asistencia al responsable en el ejercicio de derechos. El encargado debe ayudar al responsable a responder solicitudes de acceso, rectificación, supresión, oposición y portabilidad de los interesados, así como a gestionar brechas de seguridad y evaluaciones de impacto.
  8. Destino de los datos al finalizar el contrato. El DPA debe especificar si los datos se devuelven al responsable o se eliminan, y en qué plazo. La eliminación debe incluir las copias de seguridad.
  9. Información y auditorías. El encargado debe proporcionar al responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones y permitir auditorías.
Error frecuente en contratación pública

Incluir en el PCAP una cláusula de "protección de datos" redactada genéricamente que hace referencia al RGPD sin detallar objeto, categorías de datos, medidas de seguridad ni destino final. Esa cláusula no cumple los requisitos del art. 28.3 RGPD aunque mencione el Reglamento. La AEPD lo considera ausencia de DPA a efectos sancionadores.

El régimen específico de las AAPP en la LOPDGDD

La Ley Orgánica 3/2018 (LOPDGDD) adapta el RGPD al ordenamiento español con disposiciones específicas para las Administraciones Públicas:

Art. 33 LOPDGDD — Presunción de encargo del tratamiento

El artículo 33 establece que cuando una Administración acceda a datos de otra Administración para ejercer competencias propias sobre los mismos asuntos, se considerará responsable del tratamiento y no encargada. Esta disposición regula las relaciones entre AAPP, no las relaciones entre AAPP y empresas privadas contratadas.

Art. 34 LOPDGDD — Delegado de Protección de Datos (DPD) obligatorio

Todas las Administraciones Públicas están obligadas a designar un DPD. El DPD tiene entre sus funciones la supervisión del cumplimiento del RGPD, incluyendo la revisión de los contratos de encargo del tratamiento. En la práctica, muchos DPD de AAPP carecen de recursos suficientes para revisar todos los contratos, lo que hace que muchos DPAs defectuosos pasen inadvertidos hasta una inspección de la AEPD.

El ENS y los contratos TIC con acceso a datos personales

Cuando el objeto del contrato implica el tratamiento de datos en sistemas de información de la Administración, se superpone el régimen del Esquema Nacional de Seguridad (Real Decreto 311/2022).

El ENS categoriza los sistemas de información en tres niveles —básico, medio y alto— en función del impacto que tendría una brecha de seguridad. Para cada nivel hay un conjunto de medidas de seguridad obligatorias (Anexo II del RD 311/2022). El pliego de contratación de servicios TIC debe:

La omisión de estos requisitos en el pliego constituye una deficiencia tanto desde la perspectiva del RGPD como del ENS, que puede dar lugar a incumplimiento normativo del órgano de contratación.

Subcontratistas del encargado: el subencargo del tratamiento

El art. 28.2 RGPD establece que el encargado no puede "subcontratar" el tratamiento (recurrir a otro encargado) sin autorización previa del responsable:

El subencargado queda sujeto a las mismas obligaciones de protección de datos que el encargado principal, y el encargado responde ante el responsable de cualquier incumplimiento del subencargado.

En la práctica de la contratación pública, esto significa que si el adjudicatario utiliza servicios cloud de terceros (Amazon AWS, Microsoft Azure, Google Cloud) para alojar datos de la Administración, esos proveedores cloud son subencargados del tratamiento y deben estar mencionados o autorizados en el DPA.

Cómo integrar el DPA en los pliegos de contratación

La práctica recomendable es incluir el DPA como Anexo obligatorio al PCAP, con las siguientes características:

Cláusula mínima recomendable en el PCAP

Modelo de cláusula para incluir en el PCAP

"En virtud del art. 28 del Reglamento (UE) 2016/679 (RGPD) y del art. 33 de la Ley Orgánica 3/2018 (LOPDGDD), el adjudicatario actuará como encargado del tratamiento respecto de los datos personales a los que acceda en el ejercicio de las prestaciones objeto del presente contrato, de los que [nombre del órgano] es responsable del tratamiento. El adjudicatario estará sujeto a las obligaciones establecidas en el contrato de encargo del tratamiento que figura como Anexo [X] al presente pliego, el cual tendrá carácter vinculante y forma parte integrante del contrato."

Consecuencias de la ausencia de DPA en un contrato público

Las consecuencias se despliegan en varios planos:

Régimen sancionador

El art. 77 LOPDGDD establece que cuando el responsable o encargado del tratamiento sea una Administración Pública, la AEPD emite una resolución declarando la infracción y ordena la adopción de medidas correctoras, pero no impone multa. En cambio, sí se publica la resolución en el BOE, con el consiguiente impacto reputacional. Las entidades privadas que actúen como encargadas sí pueden recibir multas.

Responsabilidad en caso de brecha de seguridad

Si un proveedor sufre un incidente de seguridad que compromete datos personales de la Administración contratante, la ausencia de DPA agrava la posición de la Administración porque no puede demostrar que adoptó las medidas contractuales exigidas por el RGPD. El art. 82 RGPD establece responsabilidad solidaria entre responsable y encargado cuando ambos han contribuido al daño.

Nulidad contractual potencial

En teoría, la ausencia de DPA podría dar lugar a nulidad de las cláusulas contractuales contrarias al RGPD, aunque los tribunales no han desarrollado jurisprudencia específica sobre este punto en el ámbito de la contratación pública española.

Verifica el cumplimiento RGPD de tu tratamiento

El verificador RGPD de Lexara analiza si tu contrato o tratamiento de datos cumple el art. 28 RGPD, identifica las cláusulas ausentes y genera un informe de conformidad en minutos.

Probar Lexara gratis

Lecturas relacionadas