Acuerdos de Tratamiento de Datos (DPA) según el RGPD

Cada vez que su empresa SaaS comparte datos personales con un servicio externo — su proveedor de alojamiento en la nube, su plataforma de correo electrónico, su herramienta de analítica, su CRM — el RGPD exige un Acuerdo de Tratamiento de Datos entre usted y ese proveedor. Sin DPA, no hay base legal para la transferencia de datos. Así de claro.

El artículo 28 del RGPD establece las reglas. Cuando un responsable del tratamiento (la organización que decide por qué y cómo se procesan los datos) contrata a un encargado del tratamiento (la organización que procesa datos en nombre del responsable), la relación debe estar regida por un contrato que incluya disposiciones obligatorias específicas.

Para las empresas SaaS, esto funciona en ambas direcciones. Casi con certeza es un responsable que contrata encargados — cada proveedor de su stack que maneja datos personales necesita un DPA. Y si sus clientes confían sus datos a su plataforma, usted también es un encargado, lo que significa que sus clientes necesitan un DPA de su parte.

Esta guía cubre ambos lados: qué buscar en los DPA que firma con sus proveedores y qué incluir en el DPA que ofrece a sus clientes.

¿Qué es un DPA?

Un Acuerdo de Tratamiento de Datos es un contrato jurídicamente vinculante entre un responsable y un encargado del tratamiento que regula cómo se procesan los datos personales. No es una política de privacidad independiente ni un adenda vago de protección de datos — es un contrato específico requerido por el artículo 28(3) del RGPD.

El DPA debe:

Estar por escrito (incluido en formato electrónico)
Ser vinculante para el encargado
Establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento
Definir los tipos de datos personales y las categorías de interesados
Especificar las obligaciones y derechos del responsable

Piense en el DPA como el manual operativo de una relación de tratamiento de datos. Le indica al encargado exactamente qué puede y qué no puede hacer con los datos, y le da al responsable la garantía y el control que exige el RGPD.

¿Qué debe incluir un DPA?

El artículo 28(3) especifica ocho obligaciones que el DPA debe imponer al encargado. Esto es lo que significa cada una en la práctica:

1. Tratar solo según instrucciones documentadas

Artículo 28(3)(a)

El encargado solo debe tratar datos personales según las instrucciones documentadas del responsable. Esto impide que los encargados usen sus datos para sus propios fines — entrenar modelos de IA, crear productos de analítica agregada o segmentar publicidad.

En la práctica: El DPA debe especificar exactamente qué está autorizado a hacer el encargado con los datos. “Almacenar y procesar datos de clientes para prestar el servicio contratado” es una instrucción razonable. Si el encargado quiere usar los datos para mejora del producto o benchmarking, eso debería requerir una autorización separada y explícita.

2. Obligaciones de confidencialidad

Artículo 28(3)(b)

Cualquier persona autorizada a tratar los datos (empleados del encargado, contratistas) debe estar sujeta a obligaciones de confidencialidad, ya sea por contrato o por obligación legal.

En la práctica: El DPA debe exigir que el encargado garantice que todo el personal con acceso a datos personales haya firmado acuerdos de confidencialidad y haya recibido la formación adecuada en protección de datos.

3. Medidas de seguridad

Artículo 28(3)(c)

El encargado debe implementar las medidas de seguridad técnicas y organizativas apropiadas según lo exigido por el artículo 32.

En la práctica: El DPA debe hacer referencia a estándares o certificaciones de seguridad específicos (SOC 2, ISO 27001) o enumerar medidas concretas: cifrado en reposo y en tránsito, controles de acceso, pruebas de seguridad periódicas, procedimientos de respuesta a incidentes. Un lenguaje vago como “seguridad apropiada” sin especificaciones es una señal de alerta.

4. Requisitos sobre subencargados

Artículo 28(3)(d)

El encargado no debe contratar a otro encargado (un subencargado) sin la autorización previa por escrito del responsable. El DPA puede contemplar:

Autorización específica: El responsable aprueba cada subencargado individualmente
Autorización general: El responsable pre-aprueba el uso de subencargados, pero el encargado debe notificar al responsable de cualquier cambio, dándole la oportunidad de oponerse

En la práctica: La mayoría de los grandes proveedores SaaS usan la autorización general con una lista de subencargados publicada y un mecanismo de notificación de cambios. Debe recibir aviso previo (típicamente 30 días) de cualquier nuevo subencargado, con derecho a oponerse. Si el proveedor añade un subencargado con el que no se siente cómodo y no atiende su objeción, debería tener derecho a rescindir el contrato.

5. Asistir con los derechos de los interesados

Artículo 28(3)(e)

El encargado debe asistir al responsable en la respuesta a las solicitudes de los interesados — acceso, rectificación, supresión, portabilidad, limitación y oposición.

En la práctica: El DPA debe especificar cómo ayudará el encargado a cumplir con las solicitudes de acceso de los interesados y otras solicitudes de derechos. Esto incluye proporcionar exportaciones de datos, permitir la eliminación de datos y responder a las solicitudes dentro de plazos razonables.

6. Asistir con las obligaciones de seguridad y violaciones

Artículo 28(3)(f)

El encargado debe asistir al responsable con las obligaciones de seguridad según los artículos 32-36, incluyendo la notificación de violaciones, las EIPD y la consulta previa con las autoridades de control.

En la práctica: El DPA debe exigir que el encargado le notifique de cualquier violación de datos personales sin dilación indebida (e idealmente dentro de un plazo específico — 24 o 48 horas es habitual). Esto le da tiempo para evaluar la situación y cumplir con su propia obligación de notificación de 72 horas a la autoridad de control.

7. Eliminación o devolución de datos

Artículo 28(3)(g)

Al finalizar la relación de tratamiento, el encargado debe eliminar o devolver todos los datos personales y suprimir cualquier copia existente, salvo que la legislación de la UE o de un Estado miembro exija su conservación.

En la práctica: El DPA debe especificar el plazo de eliminación (por ejemplo, dentro de los 30 días posteriores a la finalización del contrato), prever la exportación/devolución de datos antes de la eliminación y confirmar que la eliminación se extiende a todas las copias de seguridad y copias.

8. Auditorías e inspecciones

Artículo 28(3)(h)

El encargado debe poner a disposición toda la información necesaria para demostrar el cumplimiento y permitir auditorías e inspecciones por parte del responsable o un auditor designado.

En la práctica: Esto no significa que necesite auditar físicamente a cada proveedor. Muchos encargados satisfacen este requisito mediante informes de auditoría de terceros (SOC 2 Tipo II, certificados ISO 27001), cuestionarios complementarios y el derecho a solicitar auditorías adicionales si es necesario. El DPA debe especificar el mecanismo de auditoría.

DPA para empresas SaaS: ambos lados

Como responsable: DPA con sus proveedores

La mayoría de las empresas SaaS tienen decenas de proveedores que procesan datos personales. Categorías comunes:

Infraestructura: AWS, Google Cloud, Azure, Cloudflare, Vercel

Estos proveedores típicamente ofrecen DPA completos como parte de sus acuerdos de servicio. Revíselos — no simplemente haga clic en “Aceptar”.

Comunicación y marketing: Mailchimp, Customer.io, Sendgrid, HubSpot, Intercom

Las plataformas de marketing a menudo procesan cantidades significativas de datos personales. Preste atención a sus políticas de uso de datos y listas de subencargados.

Analítica: Amplitude, Mixpanel, Google Analytics, Hotjar

Los proveedores de analítica pueden operar en una zona gris entre encargado y responsable independiente. Clarifique su rol en el DPA.

Pagos: Stripe, Braintree, Adyen

Los procesadores de pagos a menudo actúan como responsables independientes para ciertas actividades de tratamiento (prevención de fraude, cumplimiento de regulaciones financieras). Comprenda qué datos controlan frente a los que procesan.

Soporte: Zendesk, Freshdesk, Intercom

Las plataformas de soporte almacenan datos personales ricos, incluido texto no estructurado en conversaciones de tickets. Asegúrese de que el DPA cubra todos los tipos de datos.

RR. HH. e interno: BambooHR, Gusto, Slack, Google Workspace

Los datos de empleados también son datos personales. Los DPA con plataformas de RR. HH. son tan importantes como los que tratan datos de clientes.

Como encargado: su DPA para clientes

Si su producto SaaS procesa datos en nombre de sus clientes, necesita ofrecer un DPA. Esto típicamente es:

Un documento independiente enlazado desde su sitio web
Un anexo a sus Términos de Servicio
Parte de su paquete de contrato empresarial

Su DPA para clientes debe abordar los ocho requisitos del artículo 28(3) desde la perspectiva del encargado. Debe ser claro sobre sus subencargados, sus medidas de seguridad, sus compromisos de notificación de violaciones y sus procedimientos de eliminación de datos.

Publicar su DPA públicamente (como hacen empresas como Notion, Linear y Vercel) señala madurez y acelera los ciclos de venta empresarial. Los prospectos pueden revisarlo antes de involucrar a su departamento de compras.

Gestión de DPA a escala

En una empresa SaaS de 50 personas, puede tener entre 30 y 50 proveedores que procesan datos personales. Gestionar sus DPA manualmente crea problemas predecibles:

Seguimiento del estado. ¿Qué proveedores tienen DPA firmados? ¿Cuáles usan versiones desactualizadas? ¿Qué nuevos proveedores se incorporaron sin un DPA?

Monitoreo de cambios de subencargados. Los proveedores actualizan sus listas de subencargados regularmente. ¿Está revisando estas notificaciones? ¿Tiene un proceso para objetar si un nuevo subencargado es problemático?

Ciclos de renovación y revisión. Los DPA deben revisarse periódicamente, especialmente cuando los proveedores actualizan sus términos, cuando cambia cómo usa un proveedor o cuando evoluciona la orientación regulatoria.

Conexión con su RAT. Cada DPA debe corresponder a entradas en su Registro de Actividades de Tratamiento. Cuando cambia una relación con un proveedor, ambos documentos necesitan actualización.

Señales de alerta en los DPA

Al revisar el DPA de un proveedor, vigile estas señales de advertencia:

Subcontratación ilimitada sin notificación significativa. Si un proveedor puede añadir subencargados sin notificarle, o con notificación pero sin derecho a objetar, ha perdido un mecanismo de control significativo. Debe saber quién maneja sus datos.

Límites de responsabilidad que trasladan todo el riesgo a usted. Algunos DPA limitan la responsabilidad del encargado por violaciones de datos a una cantidad nominal mientras el responsable asume toda la responsabilidad regulatoria y civil. El DPA debe reflejar una distribución razonable de la responsabilidad.

Sin plazo específico de eliminación. “Eliminaremos los datos en un plazo razonable después de la finalización” es demasiado vago. Exija un plazo definido — 30 días es lo estándar.

Compromisos de seguridad vagos. Si la sección de seguridad no dice más que “implementamos medidas técnicas y organizativas apropiadas”, no hay sustancia que hacer cumplir. Busque medidas específicas, certificaciones o estándares.

Ausencia de garantías para transferencias internacionales. Si el encargado transfiere datos fuera del EEE, el DPA debe especificar el mecanismo legal. Si no menciona las transferencias internacionales, o bien no se realizan transferencias (verifíquelo) o el DPA está incompleto. Consulte nuestra guía de transferencias internacionales de datos para saber qué se requiere.

Uso de datos para los propios fines del encargado. Vigile el lenguaje que permita al encargado usar sus datos para “mejora del servicio”, “analítica” o “aprendizaje automático”. Esto es el encargado actuando como responsable independiente — y cambia significativamente el panorama legal.

Cómo GRCTrail gestiona sus DPA

GRCTrail proporciona un sistema centralizado de gestión de proveedores y DPA:

Registro de proveedores con seguimiento del estado del DPA. Cada encargado del tratamiento externo está catalogado con su estado de DPA, versión, fecha de firma y próxima fecha de revisión. Vea de un vistazo qué proveedores necesitan atención.

Alertas de cambios de subencargados. Cuando los proveedores actualizan sus listas de subencargados, GRCTrail señala los cambios para su revisión. No más correos de notificación perdidos en una bandeja de entrada compartida.

Recordatorios automáticos de revisión. Establezca cadencias de revisión para cada DPA y reciba notificaciones cuando las revisiones sean necesarias. Nunca deje que un DPA quede obsoleto porque nadie recordó revisarlo.

Conectado a su RAT. El DPA de cada proveedor se vincula directamente a las actividades de tratamiento relevantes en su Registro de Actividades de Tratamiento. Cambie uno y verá dónde necesita actualizar el otro.

Gestione todos los DPA de proveedores en un solo lugar →

Guías relacionadas

Registro de Actividades de Tratamiento (RAT) — Documente sus actividades de tratamiento
Transferencias internacionales de datos — Mecanismos de transferencia para flujos de datos transfronterizos
Lista de verificación de cumplimiento del RGPD — El marco de cumplimiento completo
Requisitos del aviso de privacidad — Lo que debe comunicar a los interesados

Comience con GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours