¿Cuándo es legalmente obligatorio un DPA?

Siempre que un responsable contrate a un encargado para tratar datos personales de residentes de la UE o el EEE. Los responsables y encargados fuera de la UE están igualmente cubiertos si tratan datos de residentes de la UE. El Reino Unido tiene su propio régimen casi idéntico bajo el UK GDPR.

¿Cuál es la diferencia entre un DPA y un contrato de servicios?

Un contrato de servicios (o acuerdo marco) cubre la relación comercial — alcance, precio, SLA. Un DPA cubre específicamente la protección de datos y puede ser un documento autónomo, un anexo o una sección del contrato principal. La mayoría de los proveedores SaaS maduros usan un DPA autónomo incorporado por referencia.

¿Necesito un DPA nuevo para cada cliente?

La mayoría mantienen una plantilla DPA única que usan con todos los clientes, negociando solo suplementos específicos (p. ej. una lista concreta de subencargados o frecuencia de auditoría). Un DPA estándar acelera el procurement; los DPA a medida ralentizan los ciclos sustancialmente.

Acuerdo de Procesamiento de Datos (DPA)

Data Processing Agreement · Acuerdo Artículo 28 RGPD · Contrato de encargado

Un Acuerdo de Procesamiento de Datos (DPA) es un contrato entre un responsable y un encargado del tratamiento que define cómo pueden tratarse los datos personales por cuenta del responsable. Según el artículo 28 del RGPD, un DPA es obligatorio siempre que un responsable utilice un encargado y debe cubrir objeto, duración, alcance y obligaciones del encargado.

Lo que realmente hace un DPA

Un DPA traduce las obligaciones abstractas del encargado bajo el RGPD en compromisos contractuales concretos. Define qué datos se tratan y por qué, por cuánto tiempo, quién cuenta como subencargado y cómo se aprueba, qué medidas de seguridad aplican, cómo se reportan las brechas, cómo funcionan los derechos de auditoría, qué ocurre al final de la relación y cómo se gestionan las transferencias internacionales. Para cualquier proveedor SaaS que almacena o trata datos personales por cuenta de clientes con orientación UE, un DPA conforme es un requisito comercial — los equipos de compras no firman sin uno. Para los clientes, el DPA es lo que hace al proveedor legalmente responsable por los compromisos de seguridad que promete el marketing.

Por qué importa

Las multas del RGPD se calculan como porcentaje del volumen de negocio mundial, y los DPA son el principal mecanismo contractual que usan los responsables para asignar riesgo de cumplimiento. Un DPA débil deja al responsable expuesto si el encargado gestiona mal los datos; uno fuerte fuerza compromisos de seguridad concretos, derechos de auditoría y notificación rápida. Para proveedores, la calidad del DPA predice el tamaño del trato: los clientes empresariales exigen DPA maduros con listas específicas de subencargados, derechos de auditoría y plazos definidos. Una plantilla genérica ya no pasa el procurement empresarial.

Errores comunes

1.Lista de subencargados ausente o desactualizada — el RGPD exige que el responsable sepa quién toca realmente sus datos.
2.Plazo de notificación de brechas vago — "tan pronto como sea posible" se reemplaza con horas concretas (24, 48, 72) en DPA maduros.
3.Derechos de auditoría ausentes o puramente hipotéticos — los responsables típicamente necesitan auditoría in situ o un informe reciente SOC 2 / ISO 27001.
4.Mecanismo de transferencia internacional sin especificar — tras Schrems II los DPA deben nombrar el mecanismo (CCT, decisión de adecuación) y cubrir medidas suplementarias.
5.Devolución o eliminación de datos al término es opcional — el RGPD lo hace obligatorio; el DPA debe especificar cuál y cuándo.

Términos relacionados

Acuerdo de Confidencialidad (NDA)→Indemnización→Due Diligence→

Preguntas frecuentes

¿Cuándo es legalmente obligatorio un DPA?: Siempre que un responsable contrate a un encargado para tratar datos personales de residentes de la UE o el EEE. Los responsables y encargados fuera de la UE están igualmente cubiertos si tratan datos de residentes de la UE. El Reino Unido tiene su propio régimen casi idéntico bajo el UK GDPR.
¿Cuál es la diferencia entre un DPA y un contrato de servicios?: Un contrato de servicios (o acuerdo marco) cubre la relación comercial — alcance, precio, SLA. Un DPA cubre específicamente la protección de datos y puede ser un documento autónomo, un anexo o una sección del contrato principal. La mayoría de los proveedores SaaS maduros usan un DPA autónomo incorporado por referencia.
¿Necesito un DPA nuevo para cada cliente?: La mayoría mantienen una plantilla DPA única que usan con todos los clientes, negociando solo suplementos específicos (p. ej. una lista concreta de subencargados o frecuencia de auditoría). Un DPA estándar acelera el procurement; los DPA a medida ralentizan los ciclos sustancialmente.

Tu DPA con Attorly está listo para revisar

Attorly envía un DPA conforme al artículo 28 del RGPD que cubre cifrado en reposo y en tránsito, Bring-Your-Own-Key en Enterprise y notificación de brechas en 72 horas.

Ver el DPA de Attorly