Contratos con Encargados de Tratamiento (Art. 28)
¿Quién es encargado en una empresa de salud?
Cualquier entidad que trate datos personales por cuenta del responsable:
| Proveedor | ¿Encargado? | ¿Qué hacer? |
|---|---|---|
| Proveedor de HCE (cloud) | ✅ Sí | Contrato Art. 28 |
| Laboratorio externo | ✅ Sí | Contrato Art. 28 |
| Empresa de soporte IT | ✅ Sí | Contrato Art. 28 |
| Gestoría/asesoría fiscal | ✅ Sí | Contrato Art. 28 |
| Empresa de destrucción docs | ✅ Sí | Contrato Art. 28 |
| Google Workspace / Office 365 | ✅ Sí | Contrato Art. 28 (con garantías) |
| Seguro médico (como pagador) | ❌ Responsable autónomo | No necesita contrato, pero sí delimitar responsabilidades |
| Hospital derivante | ❌ Responsable autónomo | Acuerdo de corresponsabilidad |
Contenido mínimo del contrato Art. 28
□ Objeto y duración del tratamiento
□ Naturaleza y finalidad del tratamiento
□ Tipo de datos personales y categorías de interesados
□ Obligaciones y derechos del responsable
□ El encargado SOLO trata según instrucciones documentadas
□ Confidencialidad del personal autorizado
□ Medidas técnicas y organizativas (Art. 32)
□ Subencargados: autorización previa (general o específica)
□ Asistencia al responsable para derechos ARSOLIP
□ Asistencia para cumplir con Art. 32-36 (seguridad, breaches, EIPD)
□ Supresión o devolución de datos al finalizar
□ Derecho de auditoría del responsable
□ Notificación inmediata de breaches
□ Legislación aplicable y jurisdicción
🔑 Truco: No reinventes la rueda. La AEPD tiene modelos de cláusulas para contratos Art. 28. Úsalos como base y adapta.
Subencargados
El encargado necesita autorización para contratar subencargados:
- Autorización general: el encargado puede cambiar subencargados notificándolo (tú puedes oponerte)
- Autorización específica: cada subencargado necesita tu aprobación expresa
🔑 Recomendación: Usa autorización general para proveedores cloud grandes (necesitan flexibilidad). Usa específica para subencargados críticos.
Due Diligence de proveedores
Antes de firmar, verifica:
□ Certificaciones (ISO 27001, ENS, SOC 2)
□ Dónde están los servidores (transferencia internacional?)
□ Historial de breaches
□ Política de subencargados
□ Procedimiento de breach notification
□ Plan de continuidad y copias de seguridad
□ Cláusulas de salida (qué pasa cuando termina el contrato)
Encargados cloud — Particularidades
Si usas servicios cloud (AWS, Azure, Google Cloud, etc.):
- ✅ Todos ofrecen DPA (Data Processing Agreement) estándar
- ✅ Aceptas sus condiciones (no negociables para los grandes)
- ✅ Verifica que las cláusulas contractuales tipo (SCC) están incluidas
- ✅ Para Microsoft: usa el Microsoft DPA + EU Model Clauses
- ✅ Ubicación: asegúrate de que los datos no salen del EEE (o si salen, con garantías)
La lista de encargados
Mantenla viva en tu RAT:
| Encargado | Servicio | Contrato firmado? | Subencargados | Última revisión |
|---|---|---|---|---|
| Proveedor HCE | Cloud HC | ✅ 2024 | AWS (Irlanda) | 2025-01 |
| LabCentral | Análisis clínicos | ✅ 2023 | Ninguno | 2025-03 |
| Asesoría García | Contabilidad | ✅ 2024 | Ninguno | 2024-06 |
Referencias
- ^[raw/papers/reglamento-gdpr-ue-2016-679-es.pdf] Art. 28
- data-mapping-rat
- compliance-roadmap
- breach-playbook