Back to home
DPA · Art. 28 RGPD

Contrato de encargo de tratamiento (DPA) para despachos: qué debe incluir

Mayo 2026 · Lectura: ~13 min

Cualquier despacho de abogados ha firmado, sin darle demasiada importancia, los DPA del software de gestión, del cloud, del proveedor de firma electrónica y de la gestoría. Suelen ser PDF que llegan por email con instrucción de devolverlos firmados y que pocos socios leen en detalle. El problema aparece en cuanto la AEPD inicia una inspección o una brecha de seguridad obliga a notificar: el contrato genérico, sin matriz de tratamientos, sin cláusulas adaptadas al secreto profesional y sin protocolo de notificación operativo, deja al despacho expuesto a sanciones que el proveedor difícilmente cubrirá.

El Art. 28 RGPD fija el contenido mínimo del contrato de encargo de tratamiento (DPA, por sus siglas en inglés). La AEPD ha publicado modelos orientativos y ha sancionado a responsables por DPA defectuosos. Esta guía explica las doce cláusulas que un DPA de despacho debe incluir, las particularidades cuando el tratamiento queda cubierto por el secreto profesional del Art. 542.3 LOPJ y un procedimiento operativo en siete pasos para desplegarlos y mantenerlos.

Si todavía no tienes cerrado el Registro de Actividades de Tratamiento (RAT), conviene empezar por ahí: sin RAT, el inventario de encargados no se sostiene. Y para entender el régimen del secreto en los puntos críticos, revisa la guía sobre compatibilidad entre secreto profesional y RGPD.

Qué obliga el Art. 28 RGPD y por qué un genérico no basta

El Art. 28.3 RGPD enumera el contenido mínimo del contrato entre responsable y encargado: objeto, naturaleza, finalidad, duración del tratamiento, tipo de datos personales y categorías de interesados, obligaciones del responsable, y un catálogo de obligaciones específicas del encargado. La LOPDGDD mantiene esa estructura y añade, en su Art. 33, precisiones sobre la transmisión de los datos al cierre del encargo y sobre la prohibición de tratamientos no autorizados.

La AEPD ha resuelto en varias inspecciones que un DPA «por adhesión», sin anexos que detallen el tratamiento real, no cumple el Art. 28: la genericidad equivale a ausencia de contrato. La consecuencia práctica es que la responsabilidad solidaria del Art. 82 RGPD se activa con toda su intensidad y el despacho responde patrimonialmente como si nunca hubiera firmado. Por eso un DPA correcto no es una formalidad: es la primera línea de defensa frente a una sanción.

Para un despacho, el listado del Art. 28 es insuficiente por sí solo. El secreto profesional añade obligaciones de confidencialidad reforzada, restricciones específicas frente a requerimientos de autoridades y un régimen de conservación condicionado por la prescripción de la responsabilidad deontológica. El DPA debe absorber todo eso o quedará por debajo del estándar exigible a la profesión.

Proveedores típicos en un despacho y nivel de exigencia del DPA

No todos los encargos tienen el mismo nivel de riesgo. La tabla resume los siete proveedores que un despacho medio tiene activos, el rol RGPD que asumen, el riesgo desde la óptica del secreto profesional y las cláusulas reforzadas que conviene exigir en cada caso.

ProveedorRol RGPDRiesgo (secreto)Cláusulas reforzadas
Software de gestión del despacho en la nube (case management, facturación)Encargado del tratamientoAlto — tiene acceso continuado al expediente completoConfidencialidad explícita por encima del RGPD; prohibición absoluta de uso para entrenamiento de modelos; localización del dato en la UE; obligación de soportar requerimientos sin notificar al despacho.
Asesoría laboral y gestoría externaEncargado del tratamiento (de los datos de empleados del despacho) o corresponsable (en encargos del cliente)Medio — accede a nóminas y, eventualmente, a documentación del clienteDistinción clara entre los dos roles; matriz de tratamientos en anexo; régimen específico para datos de salud asociados a incapacidades.
Perito independiente o forenseEncargado del tratamiento (cuando el despacho lo contrata) o responsable independiente (cuando lo nombra el juzgado)Alto — manipula el contenido sustantivo del expedienteActa de entrega y devolución de soporte; obligación de destrucción certificada al cierre; prohibición de conservar copia salvo deber legal.
Servicio de cloud (Microsoft 365, Google Workspace, AWS, etc.)Encargado del tratamientoAlto si la información del expediente se almacena allíCláusulas tipo de la Comisión Europea para transferencias internacionales; addendum de seguridad con cifrado en reposo y en tránsito; control de acceso por identidad federada con MFA obligatorio.
Herramienta de firma electrónicaEncargado del tratamientoMedio — la firma incorpora datos identificativos del cliente y del despachoIdentificación del soporte de evidencia legal (eIDAS); plazo de conservación del certificado; localización del firmador.
Servicio de IA generativa o de revisión documental por LLMEncargado del tratamiento (si trata datos por cuenta del despacho)Muy alto — el dato del expediente puede usarse para entrenar modelos de tercerosProhibición taxativa de uso para entrenamiento; no retención salvo logs operativos cifrados con plazo definido; auditoría documental; obligación de anonimizar el documento antes del envío como medida adicional.
Servicio de mensajería o courier para documentación físicaEncargado del tratamientoMedio — soporte físico, custodia de cadenaTrazabilidad por código de envío; entrega con identificación del receptor; póliza de responsabilidad civil del transportista.

La tabla no es exhaustiva: incluye además a quien haga la copia de seguridad externa, al servicio de destrucción confidencial de papel, al proveedor de transcripción de vistas o a la empresa de mantenimiento informático. Cualquiera con acceso —aunque sea esporádico— a los archivos del despacho exige DPA.

Ecosistema de proveedores del despacho con flechas que indican el flujo de datos personales y contratos de encargo del Art. 28 RGPD entre el responsable y cada encargado.
El DPA materializa por escrito el flujo de datos entre el despacho y cada proveedor. Sin matriz de tratamientos anexa, la cláusula genérica no cubre el tratamiento real.

Las doce cláusulas que tu DPA debe incluir

Este es el contenido mínimo verificable. Para auditar un DPA recibido, recórrelo apartado por apartado: si falta alguno, exige enmienda. Si el proveedor se niega, el contrato es defectuoso a efectos del Art. 28 RGPD aunque esté firmado.

1

Identificación de las partes y objeto del encargo

El contrato debe identificar al responsable (el despacho), al encargado (el proveedor) y, si los hay, a los subencargados autorizados. El objeto define con precisión qué tratamientos se delegan: «alojamiento del expediente en la plataforma X», «liquidación de nóminas de los empleados», «emisión de informe pericial sobre los documentos del expediente Y». Una redacción genérica del tipo «todos los servicios prestados por el proveedor» convierte el DPA en papel mojado: el alcance debe ser auditable y trazable a una factura concreta.

2

Naturaleza, finalidad y duración del tratamiento

El Art. 28.3 RGPD exige declarar la naturaleza (operaciones que se ejecutan: almacenar, indexar, consultar, transmitir), la finalidad (el porqué del tratamiento) y la duración (alineada con el plazo del encargo y con un calendario de devolución o supresión al cierre). Para un despacho jurídico es relevante separar los tratamientos «al servicio del cliente» (con la duración del encargo del cliente) de los «al servicio del despacho» (gestión interna), porque los plazos de conservación deontológicos son distintos.

3

Categorías de interesados y de datos personales

Lista las categorías —clientes, partes contrarias, testigos, peritos, empleados del despacho— y los tipos de datos —identificativos, económicos, judiciales, de salud, opiniones políticas o religiosas si aparecen en el expediente—. Las categorías especiales (Art. 9 RGPD) obligan a medidas reforzadas que el contrato debe declarar. En despachos penalistas o de familia, prácticamente todo encargo tendrá datos del Art. 10 RGPD (condenas y antecedentes), lo que dispara salvaguardas adicionales.

4

Obligaciones específicas del encargado

Tratar los datos únicamente siguiendo instrucciones documentadas del despacho; garantizar el deber de confidencialidad de quienes acceden; aplicar las medidas técnicas y organizativas del Art. 32; no subcontratar sin autorización previa por escrito; asistir al despacho en derechos de los interesados y en notificación de brechas; suprimir o devolver los datos al finalizar el contrato. Estas seis obligaciones no son cosméticas: la AEPD sanciona directamente al despacho cuando el DPA no las recoge expresamente.

5

Régimen de subcontratación de proveedores

El encargado solo puede subcontratar con autorización previa y específica del despacho o con autorización general por escrito (lista de subencargados aprobados con derecho a oposición a las nuevas incorporaciones). El subencargado asume las mismas obligaciones del Art. 28 RGPD que el encargado principal, y este responde solidariamente ante el despacho. Para un software cloud es habitual encontrar listas de hasta 50 subencargados; revísalas antes de firmar.

6

Confidencialidad reforzada vinculada al secreto profesional

La cláusula estándar del Art. 28 obliga a confidencialidad, pero el despacho debe declarar expresamente que la información tratada está adicionalmente cubierta por el secreto profesional del Art. 542.3 LOPJ, de modo que el encargado no puede acceder al contenido salvo necesidad operativa, no puede revelarlo salvo orden judicial firme y debe notificar al despacho cualquier requerimiento de autoridad antes de cumplirlo, dentro de los márgenes legales.

7

Medidas técnicas y organizativas concretas

No basta con «se aplicarán medidas adecuadas»: el contrato debe describir las medidas reales (cifrado en reposo y en tránsito, segregación lógica del dato, MFA en accesos administrativos, logs inmutables, copia de seguridad cifrada con plazo de retención, prueba periódica de recuperación) o remitir a un anexo técnico vinculante. Para servicios certificados (ISO 27001, ENS Alto, SOC 2 Type II) basta con anexar el certificado vigente y comprometer su renovación.

8

Notificación de brechas en plazo operativo

El RGPD obliga al responsable a notificar a la AEPD en 72 horas. Para que el despacho lo cumpla, el encargado debe notificar al despacho mucho antes —24 horas como suelo razonable—. El contrato fija el canal (email seguro a un buzón designado, llamada al DPO), el contenido mínimo de la notificación (naturaleza, categorías y número aproximado de interesados, consecuencias probables, medidas adoptadas) y la obligación de cooperar en la investigación, sin cargo adicional.

9

Transferencias internacionales y localización del dato

Si el encargado o sus subencargados tratan datos fuera del Espacio Económico Europeo, el contrato declara la base de la transferencia (decisión de adecuación, Cláusulas Contractuales Tipo de 2021, normas corporativas vinculantes) y adjunta el documento aplicable. Para despachos con clientes en sectores regulados (sanidad, banca, defensa) conviene exigir explícitamente la localización europea del dato y prohibir el acceso desde terceros países por personal del encargado, no solo el almacenamiento allí.

10

Auditoría e inspección

El despacho debe poder auditar al encargado para verificar el cumplimiento (Art. 28.3.h RGPD). En la práctica, los grandes proveedores cloud sustituyen la auditoría in situ por la entrega periódica de informes de terceros independientes (ISAE 3000, SOC 2). Para despachos pequeños es razonable aceptar esa sustitución, pero el contrato debe garantizar el derecho de auditoría documental ilimitada y el de auditoría in situ cuando exista un indicio razonable de incumplimiento.

11

Devolución o supresión al finalizar el encargo

Cláusula crítica que la AEPD revisa: el contrato debe fijar el plazo (30, 60, 90 días tras la terminación del servicio), el formato de devolución, las copias de seguridad afectadas y la entrega de un certificado de destrucción firmado por el encargado. Para servicios cloud, la práctica habitual es la suspensión inmediata del acceso, retención por 30 días para recuperación y borrado lógico al final del periodo. Si el encargado conserva datos por una obligación legal propia, debe declararla y limitar el uso a esa obligación.

12

Régimen de responsabilidad y subrogación de sanciones

El Art. 82 RGPD establece responsabilidad solidaria, pero el contrato puede redistribuirla internamente entre las partes con cláusulas de indemnidad: el encargado asume las sanciones que la AEPD imponga al despacho cuando deriven de un incumplimiento imputable al encargado, con un límite económico razonable —típicamente vinculado al volumen anual del contrato—. Conviene también pactar la cobertura aseguradora del encargado (póliza de ciberresponsabilidad con sublímite específico para sanciones administrativas).

Antes de enviar el expediente al proveedor, anonimiza el PDF

El DPA fija el régimen contractual, pero la primera medida técnica es no enviar más datos personales de los necesarios. AnonDocs detecta y elimina estructuralmente nombres, DNIs, IBANs y direcciones en escritos jurídicos antes de subirlos a herramientas externas.

Ver cómo funciona

Procedimiento en siete pasos para desplegar y mantener los DPA

El despliegue de DPA es un proyecto puntual; el mantenimiento, una rutina anual. Este es el orden recomendado para que ambas fases sean defendibles ante una inspección.

1

Inventaria los proveedores que tratan datos del despacho

Antes de firmar nada, cruza el RAT con la lista de proveedores activos y la facturación del último año. El objetivo es construir un mapa: para cada proveedor, qué trata, qué datos, qué categorías de interesados, qué duración. Sin este inventario, firmarás contratos genéricos que no cubrirán el tratamiento real. Identifica también los proveedores que el despacho usa de facto sin contrato escrito (la aplicación que un socio dio de alta y nadie revisó) y los que tratan datos del cliente sin que el despacho sea consciente (suite ofimática personal con archivos del cliente sincronizados).

2

Clasifica el rol RGPD de cada proveedor

No todo proveedor es encargado del tratamiento. Algunos son responsables independientes (tu asesor fiscal externo cuando emite el modelo 130 del despacho), corresponsables (cuando comparten finalidad con el despacho) o ajenos al RGPD (servicios que no acceden a datos personales). Para los encargados, lleva el DPA del Art. 28. Para los corresponsables, el acuerdo del Art. 26. Para los responsables independientes, basta con la cláusula de transmisión legal pero ninguna cesión adicional. Una clasificación errónea convierte el contrato en defectuoso aunque esté firmado.

3

Negocia un addendum sobre el contrato comercial estándar

Para proveedores grandes, el contrato comercial suele venir cerrado, pero casi todos aceptan firmar un Data Processing Addendum (DPA) que prevalece sobre el contrato base. Pide la versión vigente del DPA, revísala contra las 12 cláusulas mínimas de esta guía y solicita modificaciones específicas en los puntos críticos: subcontratación, secreto profesional, plazo de notificación de brechas, transferencias internacionales y supresión al cierre. Documenta la negociación: si el proveedor rechaza una modificación razonable, eso es relevante para la evaluación de riesgo del despacho.

4

Anexa la matriz de tratamientos al contrato

Un DPA sin anexos suele ser inútil. Construye una matriz que liste, para cada finalidad delegada: tipos de datos, categorías de interesados, ubicación de servidores, subencargados aprobados, medidas de seguridad técnicas relevantes y plazo de conservación al cierre del encargo. Para servicios cloud, esa matriz suele estar disponible públicamente (Trust Center, página de cumplimiento); inclúyela por referencia versionada o adjúntala como anexo. Sin matriz, el DPA es declarativo y no controla el tratamiento real.

5

Aplica medidas adicionales por el secreto profesional

El secreto profesional del Art. 542.3 LOPJ va más allá del RGPD: el deber de confidencialidad del Art. 28 no lo agota. Añade cláusulas específicas que prohíban al encargado acceder al contenido salvo necesidad operativa estrictamente justificada, que exijan notificación previa al despacho de cualquier requerimiento (juzgado, autoridad fiscal, autoridad supervisora extranjera) y que reconozcan al despacho el derecho a recurrir contra el cumplimiento del requerimiento antes de la entrega. Estas medidas son las que después permiten oponer el secreto motivadamente.

6

Verifica las certificaciones y la cadena de subencargados

Pide y archiva el certificado vigente (ISO 27001, ENS, SOC 2 Type II, esquema nacional aplicable), la lista pública de subencargados con sus ubicaciones, y los informes de auditoría externa del último ejercicio. Comprueba que el alcance del certificado cubre realmente el servicio que tú contratas: muchos certificados ISO 27001 se acotan a una unidad de negocio que no incluye tu producto. Si un subencargado de la lista está en un país sin decisión de adecuación, verifica las garantías concretas para esa transferencia.

7

Integra el DPA en el RAT y revísalo anualmente

El RAT del despacho debe listar, para cada tratamiento, los encargados y subencargados implicados. Cada DPA firmado actualiza el RAT y la versión del DPA queda vinculada en la entrada del registro. Una vez al año, revisa: ¿siguen activos los proveedores? ¿Se han incorporado subencargados nuevos? ¿Han cambiado las cláusulas estándar? ¿Hay decisiones de la AEPD o del CEPD que obliguen a renegociar? Una revisión anual documentada es prueba directa de accountability del Art. 5.2 RGPD.

Errores frecuentes en los DPA de despachos

  1. 1Firmar el DPA por adhesión sin leerlo y sin anexar la matriz de tratamientos. La AEPD considera defectuoso el contrato sin descripción concreta del tratamiento real.
  2. 2Confundir el DPA con el contrato comercial. Son documentos distintos: el comercial regula precio y SLA, el DPA regula el tratamiento. Pueden ir en el mismo soporte físico pero con cláusulas claramente separadas.
  3. 3Aceptar autorización general de subencargados sin revisar la lista. Cada subencargado debe pasar el mismo filtro que el encargado principal y la lista debe estar accesible y actualizada.
  4. 4Omitir el régimen de notificación de brechas con plazo operativo. Si el encargado notifica en 72 horas, el despacho no puede cumplir con la AEPD en plazo. Pide 24 horas como suelo.
  5. 5No declarar el secreto profesional como obligación adicional. La confidencialidad del Art. 28 no agota el Art. 542.3 LOPJ.
  6. 6Olvidar la cláusula de devolución o supresión al cierre. Sin certificado de destrucción firmado, el despacho no puede acreditar que los datos del cliente ya no están en poder del proveedor.
  7. 7Aceptar transferencias internacionales sin documento de garantía adjunto. Las Cláusulas Contractuales Tipo deben formar parte del DPA o de un anexo vinculante.
  8. 8No vincular cada DPA con su entrada del RAT. Si los DPA viven en una carpeta del email del socio y el RAT está en un Excel del DPO externo, la accountability se rompe.
  9. 9Renovar el DPA solo cuando lo pide el proveedor. La revisión debe ser anual e iniciada por el despacho, no reactiva al cambio comercial del encargado.
  10. 10Asumir que el DPA cubre el uso de IA generativa con datos del expediente. Salvo cláusula expresa de no entrenamiento y no retención, el uso de consumo viola el secreto y vulnera el Art. 28.

Preguntas frecuentes

¿Necesito un DPA para mi software de gestión del despacho aunque sea un proveedor pequeño?

Sí. El Art. 28 RGPD no distingue por tamaño del encargado: cualquier proveedor que trate datos personales por cuenta del despacho exige contrato del Art. 28 con las cláusulas mínimas. Para proveedores pequeños, el contrato no tiene por qué ser largo, pero sí completo: identificación, objeto, naturaleza/finalidad/duración, categorías de datos e interesados, obligaciones, subcontratación, medidas técnicas, notificación de brechas, transferencias, auditoría y supresión final. Un DPA de tres páginas bien construido vale más que un addendum de veinte mal anexado.

Si el proveedor solo me ofrece su DPA estándar y no acepta cambios, ¿qué hago?

Documenta la negociación y evalúa el riesgo. Para servicios cloud globales (Microsoft, Google, AWS) los DPA son razonables y suelen cubrir los mínimos; las negociaciones se limitan a los precios y al SLA. Para servicios más pequeños sin DPA aceptable o con cláusulas problemáticas (uso para entrenamiento de modelos, transferencias sin garantías, subcontratación libre), conviene sustituir al proveedor antes de firmar. La AEPD ha sancionado responsables que aceptaron condiciones notoriamente inadecuadas alegando que «el proveedor no negociaba».

¿El asesor fiscal del despacho es encargado o responsable independiente?

Depende de qué hace. Cuando emite los modelos tributarios del despacho (130, 303, 390), es responsable independiente: trata los datos por una obligación legal propia, no por cuenta del despacho. Cuando, en cambio, gestiona nóminas y seguros sociales de los empleados del despacho, es encargado del tratamiento y exige DPA. Y cuando trata datos del cliente del despacho por mandato de este (informe pericial fiscal en un procedimiento), es a su vez encargado de un encargo del despacho. Conviene declarar los tres roles por escrito.

¿Tengo que renegociar todos los DPA si cambia la lista de subencargados del proveedor?

No, si el DPA contempla autorización general con derecho de oposición: el encargado notifica las altas de subencargados con antelación razonable, el despacho puede oponerse y, si la oposición no se resuelve, rescindir sin penalización. Esta es la fórmula estándar en cloud. Si el DPA exige autorización específica, sí hay que firmar un addendum por cada subencargado nuevo. Verifica cuál es tu régimen antes de pasar por alto las notificaciones del proveedor.

¿La AEPD me sancionará por incumplimientos del proveedor?

Puede hacerlo, sí. El Art. 82 RGPD establece responsabilidad solidaria del responsable y el encargado cuando ambos han contribuido al daño. La AEPD ha sancionado a responsables porque su DPA no recogía las cláusulas mínimas, porque no verificaron las medidas de seguridad del encargado o porque no actuaron al detectar la brecha. La indemnidad contractual frente al encargado permite repetir económicamente, pero la sanción la cobra la AEPD del despacho. La defensa preventiva es un DPA correcto y un seguimiento documentado.

¿Puedo usar ChatGPT, Copilot o herramientas similares con documentos del expediente?

Solo si el proveedor garantiza por DPA que los datos no se usan para entrenar modelos, que no se almacenan más allá de los logs operativos cifrados y que existe un plazo de retención definido. Las versiones empresariales (Microsoft 365 Copilot, ChatGPT Enterprise, equivalentes) ofrecen ese DPA; las versiones de consumo no. Aun con DPA aceptable, la mejor práctica con un expediente es anonimizar estructuralmente el PDF antes del envío: añade una capa de defensa frente a fallos del proveedor y refuerza el secreto profesional del Art. 542.3 LOPJ.

¿Qué pasa con el DPA cuando termino la relación con el proveedor?

Se activa la cláusula de devolución o supresión: el proveedor debe entregar al despacho los datos en el formato pactado o destruirlos en el plazo previsto y emitir un certificado de destrucción firmado. Las copias de seguridad pueden conservarse por un periodo adicional cifrado, con borrado lógico definitivo al final. Si el proveedor mantiene los datos por una obligación legal propia (datos de facturación entre las partes), debe declararla, limitar el uso a esa obligación y aislar el dato del resto de sus tratamientos.

Conclusión

Un DPA bien diseñado es un seguro a tres bandas: protege al cliente cuyos datos viajan al encargado, protege al despacho frente a la responsabilidad solidaria del Art. 82 RGPD y protege al propio proveedor obligándolo a documentar lo que ya hace bien. Lo importante no es la longitud del contrato sino que cubra las doce cláusulas mínimas, que esté anexado al RAT y que se revise anualmente con la diligencia de cualquier otra obligación profesional.

Y conviene recordar lo evidente: el DPA es la pieza jurídica, pero la mejor protección operativa sigue siendo la minimización. Si el documento que el despacho envía al proveedor ya está anonimizado en lo que no es estrictamente necesario, el riesgo cae de golpe. Lo que no sale del despacho no exige cláusula que lo proteja fuera.

Para continuar: cómo construir el RAT del despacho, la guía sobre secreto profesional y RGPD y la página sectorial de anonimización para despachos y abogados.

Reduce el riesgo del encargo antes de firmarlo

AnonDocs anonimiza estructuralmente los documentos del expediente antes de que salgan al cloud, al perito o al servicio de revisión. Menos dato personal fuera del despacho = menos exposición contractual y menos riesgo deontológico.

Probar AnonDocs

Artículos relacionados