Un Encargado del Tratamiento (ET) que no quiere firmar el contrato de ET con lo estipulado en el art. 28.3 del GDPR, no ofrece suficientes garantías, tal como exige el GDPR:

Art. 28.1. GDPR

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Si el ET considera que el contrato está redactado de mala fe, que el ET indique lo que quiere suprimir o cambiar y se estudiará si se ajusta a lo dispuesto en el GDPR, o que confeccione uno propio según los artículos 28 y 29 del GDPR.

Si aun así no quiere firmar, ya no es que el RT tenga mala fe, es que la mala fe la tiene el ET y no se debe contratar el servicio. El GDPR es muy claro en este sentido.

Como última opción solo quedaría poder aplicar lo dispuesto en el art. 28.10, aunque no sería lo adecuado, ya que se refiere a un ET que ha firmado un contrato de protección de datos y que no lo cumple:

Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.
 
En este sentido se tiene que tener en cuenta las responsabilidades a que se atiene el RT si contrata un ET sin firmar dicho contrato:

Artículo 82 GDPR. Derecho a indemnización y responsabilidad

1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

4. Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.

5. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2.

6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.


Los art. 83 y 84 GDPR se refieren a las condiciones generales para la imposición de multas administrativas y a las sanciones respectivamente por lo que no se transcriben literalmente.