Con arreglo al RGPD, un acuerdo de tratamiento de datos (APD) es un contrato escrito entre un responsable y un encargado del tratamiento de datos personales. El responsable del tratamiento es la entidad que determina los fines y medios del tratamiento de datos personales, mientras que el encargado del tratamiento es la entidad que trata los datos personales por cuenta del responsable del tratamiento.
Un APD establece los términos y condiciones en los que el encargado del tratamiento tratará los datos personales por cuenta del responsable del tratamiento. Normalmente incluye disposiciones relativas al alcance del tratamiento, los fines para los que se utilizarán los datos personales, las medidas de seguridad que se aplicarán para proteger los datos personales y los derechos de los interesados.
Con arreglo al RGPD, es obligatorio un APD para poder confiar en un encargado del tratamiento.