Contrato de tratamiento de datos: obligaciones para direcciones postales

Una asociación en Valencia encarga la limpieza de su base de socios a un proveedor externo. Una agencia de marketing en Madrid envía 30.000 direcciones de clientes a una empresa de mailing postal. Una tienda online utiliza un servicio en la nube para validar códigos postales. Tres situaciones distintas, una misma obligación legal: el contrato de encargado de tratamiento según el artículo 28 del RGPD.

Este contrato es una de las obligaciones más ignoradas en el manejo de datos de direcciones. Las sanciones, sin embargo, son severas: la Agencia Española de Protección de Datos (AEPD) puede imponer multas de hasta 10 millones de euros o el 2 % de la facturación mundial. En la práctica, las multas por ausencia de contrato de encargado de tratamiento en España oscilan entre 5.000 y 60.000 EUR para pymes – la AEPD ha intensificado sus inspecciones desde 2024.

Qué es un contrato de encargado de tratamiento y por qué afecta a las direcciones

El contrato de encargado de tratamiento es un acuerdo escrito entre el responsable del tratamiento (usted) y el encargado (el proveedor). Define las condiciones bajo las cuales se tratan los datos personales: finalidades, medidas de seguridad, duración, derechos y obligaciones de ambas partes.

Los datos de direcciones son datos personales según el artículo 4 del RGPD. Nombre, apellidos, dirección postal, código postal, municipio – esta información permite identificar directamente a una persona física. No existe ambigüedad jurídica al respecto.

Cuándo es obligatorio el contrato

La regla básica: en cuanto un proveedor externo accede a sus datos de direcciones y los trata por su cuenta, necesita formalizar la relación con un contrato. Estos son los casos concretos:

Situación	¿Contrato necesario?	Justificación
Servicio cloud de deduplicación	Sí	Los datos se transfieren a servidores de terceros
Empresa de mailing postal (Publicorreo, carta ordinaria)	Sí	El proveedor trata las direcciones por su cuenta
Proveedor informático que mantiene su CRM	Sí	Acceso técnico a datos personales
Asesor fiscal que recibe lista de clientes	No	Actividad propia (no es encargado de tratamiento)
Software instalado en su ordenador	No	No hay transferencia de datos a terceros

Contenido obligatorio del contrato para datos de direcciones

El artículo 28, apartado 3 del RGPD establece un contenido mínimo preciso. Para el tratamiento de direcciones, esto se traduce en:

Cláusulas exigidas por el RGPD

1. Objeto y duración del tratamiento – por ejemplo: «Limpieza y deduplicación de 20.000 direcciones de clientes del 1 al 30 de abril de 2026»
2. Naturaleza y finalidad del tratamiento – por ejemplo: «Validación postal, deduplicación, normalización de nombres de vías»
3. Tipos de datos personales – para direcciones: nombre, apellidos, tipo de vía, nombre de vía, número, código postal, municipio, provincia, teléfono si procede
4. Categorías de interesados – clientes, socios, prospectos
5. Obligaciones y derechos del responsable del tratamiento
6. Medidas técnicas y organizativas conforme al artículo 32 del RGPD

Medidas de seguridad específicas para datos de direcciones

La AEPD recomienda como mínimo:

• Cifrado en la transmisión (TLS 1.2+) y almacenamiento (AES-256)
• Control de acceso – solo personal autorizado del proveedor
• Registro de accesos – trazabilidad de quién accedió a qué datos y cuándo
• Procedimiento de supresión – plazos concretos tras finalización del encargo
• Regulación de subencargados – lista nominativa con derecho de oposición

Ejemplo práctico: contrato con empresa de mailing postal

Una empresa mediana en Barcelona envía 20.000 envíos de Publicorreo por trimestre a través de un proveedor de mailing en Zaragoza. Las direcciones de clientes (nombre, dirección, referencia) se transmiten para impresión, ensobrado y entrega a Correos.

Sin contrato: La empresa transmite 20.000 direcciones sin marco jurídico. Es una infracción del RGPD.

Con un contrato correctamente redactado:

Objeto: Impresión y envío de mailing postal (Publicorreo)
Datos: Nombre, apellidos, dirección completa, código postal,
       municipio, provincia, referencia cliente
Interesados: Clientes activos del responsable del tratamiento
Duración: Contrato anual renovable automáticamente
Supresión: Datos eliminados en 10 días hábiles tras confirmación
           de envío, certificado de destrucción
Subencargados: Correos (transporte), ningún otro
Medidas: Control de acceso al centro de impresión, transferencia
         SFTP cifrada, protocolo de destrucción certificada

Cálculo del riesgo sin contrato: Para un fichero de 20.000 direcciones, la AEPD podría imponer una multa de 10.000 a 35.000 EUR. Añada los costes de adecuación urgente (auditoría, asesoría jurídica, notificación a la AEPD): cuente con 6.000 a 12.000 EUR adicionales. Redactar un contrato de encargado de tratamiento cuesta entre 400 y 1.500 EUR – las cuentas son claras.

Los 5 errores más frecuentes

1. Aceptar el contrato estándar del proveedor sin revisarlo

Los modelos que proporcionan los proveedores cloud protegen ante todo sus propios intereses. Verifique siempre: ¿los tipos de datos coinciden con su situación? ¿El plazo de supresión es aceptable? ¿Están listados todos los subencargados?

2. Olvidar los subencargados

¿Su empresa de mailing subcontrata la impresión? ¿Su herramienta cloud aloja los datos en AWS o en un centro de datos en Irlanda? Cada subencargado debe figurar en el contrato con su nombre, dirección y función. Usted tiene derecho de oposición ante cualquier cambio.

3. No definir plazos de supresión

«Los datos se eliminarán tras finalizar el encargo» no es suficiente. Especifique: «Supresión irreversible en los 10 días hábiles siguientes a la finalización del tratamiento, con certificado de destrucción remitido al responsable.»

4. Medidas de seguridad genéricas

«El encargado adoptará medidas adecuadas» no es una cláusula válida. Detalle: qué estándar de cifrado, qué protocolo de transferencia, qué política de acceso, qué procedimiento ante una brecha de seguridad.

5. Firmar el contrato y olvidarse

El artículo 28, apartado 3, letra h) del RGPD le otorga un derecho de auditoría. Ejérzalo: prevea al menos una certificación anual del cumplimiento de las medidas de seguridad por parte del encargado.

Cuándo no necesita contrato

No toda manipulación de direcciones requiere un contrato de encargado de tratamiento:

Tratamiento autónomo: Cuando un proveedor actúa bajo su propia responsabilidad (una empresa de recobro, por ejemplo), no es encargado de tratamiento. La relación se rige por el artículo 26 del RGPD (corresponsables) o no requiere marco especial.

Tratamiento completamente local: Si trata sus direcciones exclusivamente en su propio ordenador, sin que ningún tercero acceda a ellas, el contrato de encargado de tratamiento no aplica. Los datos permanecen bajo su control total.

Este es exactamente el planteamiento de ListenFix: como software de escritorio, ListenFix trata sus datos de direcciones íntegramente en local. Sin nube, sin transferencias, sin necesidad de contrato de encargado de tratamiento. La protección de datos en la limpieza de direcciones se simplifica considerablemente.

Su plan de acción en 7 pasos

Si recurre a un proveedor externo, proceda de forma metódica:

1. Inventario – Liste todos los proveedores con acceso a sus datos de direcciones
2. Calificación – ¿Encargado de tratamiento o responsable autónomo? (La tabla anterior le orienta)
3. Redacción o auditoría – ¿Están presentes todos los contenidos obligatorios del art. 28.3?
4. Medidas de seguridad – Descripciones concretas, no formulaciones genéricas
5. Subencargados – Lista completa con derecho de oposición
6. Plazo de supresión – Número de días concreto, certificado escrito
7. Auditoría anual – Como mínimo, una certificación de cumplimiento por el encargado

Una obligación que protege su negocio

El contrato de encargado de tratamiento no es un obstáculo burocrático, sino su garantía jurídica. Para el tratamiento de datos de direcciones conforme al RGPD, una base contractual sólida evita sorpresas desagradables. Y si tiene la opción de elegir entre un servicio cloud que exige un contrato complejo y un software local sin transferencia de datos, la pregunta merece reflexión: ¿justifica realmente la comodidad del cloud los costes adicionales de cumplimiento?