Acuerdo de Encargo de Tratamiento de Datos Personales

El archivo .docx se genera en tu navegador con html-docx-js, sin enviarse a nuestros servidores. Abrelo en Word, Google Docs o LibreOffice y reemplaza los campos resaltados en amarillo con tus datos.

ACUERDO DE ENCARGO DE TRATAMIENTO DE DATOS PERSONALES

Conste por el presente documento el acuerdo que celebran:

EL TITULAR DEL BANCO DE DATOS (RESPONSABLE): [NOMBRE_RESPONSABLE], con RUC [RUC_RESPONSABLE] y domicilio en [DOMICILIO_RESPONSABLE].

EL ENCARGADO DE TRATAMIENTO: [NOMBRE_ENCARGADO], con RUC [RUC_ENCARGADO] y domicilio en [DOMICILIO_ENCARGADO].

PRIMERA: OBJETO
El RESPONSABLE encarga al ENCARGADO el tratamiento de datos personales por su cuenta, para la finalidad de [FINALIDAD_TRATAMIENTO], en el marco del servicio principal de [SERVICIO_PRINCIPAL].

SEGUNDA: MARCO LEGAL
Este acuerdo se rige por la Ley 29733, Ley de Protección de Datos Personales, y su Reglamento aprobado por el Decreto Supremo 016-2024-JUS, que derogó el D.S. 003-2013-JUS.

TERCERA: ALCANCE DEL TRATAMIENTO
Los datos a tratar son [CATEGORIAS_DATOS], de los titulares [CATEGORIA_TITULARES]. Las operaciones autorizadas son [OPERACIONES] (recopilación, almacenamiento, uso, supresión). El ENCARGADO solo tratará los datos según las instrucciones documentadas del RESPONSABLE.

CUARTA: OBLIGACIONES DEL ENCARGADO
El ENCARGADO se obliga a guardar confidencialidad, a no usar los datos para fines distintos, a adoptar las medidas de seguridad técnicas, organizativas y legales exigidas por la Ley 29733 y a no transferir los datos sin autorización del RESPONSABLE.

QUINTA: SUBENCARGADOS
El ENCARGADO no podrá subcontratar el tratamiento sin autorización previa y escrita del RESPONSABLE, debiendo trasladar a su subencargado las mismas obligaciones.

SEXTA: DERECHOS DE LOS TITULARES
El ENCARGADO asistirá al RESPONSABLE en la atención de las solicitudes de acceso, rectificación, cancelación y oposición (derechos ARCO) reconocidas en la Ley 29733.

SÉPTIMA: INCIDENTES DE SEGURIDAD
El ENCARGADO notificará al RESPONSABLE cualquier incidente o vulneración de seguridad sin demora indebida y en un plazo máximo de [PLAZO_NOTIFICACION] horas.

OCTAVA: DEVOLUCIÓN O SUPRESIÓN
Concluido el encargo, el ENCARGADO devolverá o suprimirá los datos, según indique el RESPONSABLE, y eliminará las copias existentes.

NOVENA: RESPONSABILIDAD
El incumplimiento genera responsabilidad conforme a la Ley 29733 y al Art. 1321 CC, sin perjuicio de las sanciones de la Autoridad Nacional de Protección de Datos Personales.

Firmado en [CIUDAD], el [FECHA].


_______________________
EL RESPONSABLE


_______________________
EL ENCARGADO

El Acuerdo de Encargo de Tratamiento de Datos Personales es el contrato que se firma cuando una empresa (responsable) entrega datos personales a un tercero (encargado) para que los procese en su nombre, por ejemplo un proveedor de nube, una agencia de marketing, un call center o un sistema de planillas. No transfiere la propiedad de los datos, solo permite que el encargado los trate siguiendo las instrucciones del responsable. Es la pieza que reparte responsabilidades y blinda al responsable frente a un mal uso por parte del proveedor.

Quién lo presenta y cuándo conviene usarlo

Lo firman el responsable del tratamiento (dueño de la base de datos) y el encargado (el proveedor que la procesa). Conviene usarlo siempre que un tercero acceda a datos personales de tus clientes, empleados o usuarios para prestarte un servicio. Es obligatorio en la práctica cuando externalizas hosting, facturación, nómina, atención al cliente o cualquier servicio que implique manejar datos por cuenta tuya, porque sin este acuerdo el responsable asume solo todo el riesgo de sanción.

Base legal

La figura del encargado de tratamiento está regulada en la Ley 29733 de Protección de Datos Personales y, con mayor detalle, en su Reglamento aprobado por el Decreto Supremo 016-2024-JUS, vigente desde el 31 de marzo de 2025, que exige que la relación entre responsable y encargado conste por escrito o medio equivalente. El derecho de fondo nace del artículo 2 inciso 6 de la Constitución (autodeterminación informativa). La Autoridad Nacional de Protección de Datos Personales (ANPD) fiscaliza el cumplimiento y puede sancionar a ambas partes según su rol.

Qué datos y documentos necesitas

• Identificación del responsable y del encargado (razón social, RUC, representante).
• Descripción del tratamiento encargado (qué datos, de quiénes, con qué finalidad).
• Instrucciones precisas del responsable sobre cómo tratar los datos.
• Medidas de seguridad técnicas y organizativas exigidas al encargado.
• Régimen de subcontratación (si el encargado puede o no usar subencargados).
• Plazo del encargo y destino de los datos al terminar (devolución o destrucción).

Cómo presentarlo paso a paso

1. Identifica qué datos entregas y para qué servicio exacto los procesará el encargado.
2. Redacta las instrucciones de tratamiento, el encargado solo puede actuar dentro de ellas.
3. Define las medidas de seguridad mínimas y la prohibición de usar los datos para fines propios.
4. Regula la subcontratación, la notificación de incidentes en 48 horas y la asistencia ante derechos ARCO.
5. Firma ambas partes, idealmente con firma digital de la IOFE.
6. Pacta la devolución o destrucción certificada de los datos al finalizar el encargo.

Errores comunes a evitar

• No formalizar el encargo por escrito, exigencia del Reglamento del D.S. 016-2024-JUS.
• Permitir que el encargado use los datos para finalidades propias no autorizadas.
• Olvidar regular los subencargados, perdiendo control sobre quién más toca los datos.
• No pactar la notificación de incidentes ni la devolución o destrucción al terminar.

Preguntas frecuentes

¿Cuál es la diferencia entre responsable y encargado?

El responsable decide el porqué y el para qué del tratamiento, el encargado solo ejecuta lo que el responsable le instruye. La Ley 29733 y su Reglamento (D.S. 016-2024-JUS) distinguen ambos roles, y cada uno responde según el incumplimiento que cometa.

¿Es obligatorio firmar este acuerdo?

Sí cuando un tercero trata datos en tu nombre. El Reglamento del D.S. 016-2024-JUS exige que la relación conste por escrito o medio equivalente, con instrucciones y medidas de seguridad. Sin él, el responsable concentra todo el riesgo de sanción.

¿El encargado puede contratar a otros proveedores?

Solo si el responsable lo autoriza. La subcontratación de subencargados debe regularse en el acuerdo, manteniendo el encargado la responsabilidad frente al responsable y trasladando a los subencargados las mismas obligaciones de seguridad y confidencialidad.

¿Qué pasa con los datos cuando termina el contrato?

El encargado debe devolverlos o destruirlos según lo pactado, sin conservar copias salvo obligación legal. Conviene exigir una constancia de destrucción, ya que el incumplimiento puede generar sanciones de la ANPD para ambas partes.