Skip to content
Contracko Logo
Blog Cadencia de revisión de un DPA: plazos clave

Cadencia de revisión de un DPA: plazos clave
Image of Budi Voogt
Budi Voogt 23 may 2026

Un Acuerdo de Tratamiento de Datos no es un documento que se firma y se olvida, aunque sospecho que la mayoría se tratan así. Usted negocia las condiciones, firma, lo archiva y todos siguen adelante con la sensación de estar en regla. El problema es que un DPA suele obligar a revisiones periódicas, le otorga derechos de auditoría con sus propias ventanas y vincula su cumplimiento a mecanismos de transferencia de datos que pueden cambiar a sus espaldas sin que usted lo note. El acuerdo solo sigue siendo válido si alguien mantiene su calendario. En mi experiencia, ese alguien rara vez está asignado, y el calendario rara vez se mantiene.

Esta es una orientación práctica, no asesoramiento jurídico.

Al terminar esta guía, usted podrá:

  • Conocer las fechas recurrentes que un DPA típico contiene realmente.
  • Entender por qué estos plazos se escapan incluso a equipos bien organizados.
  • Establecer una cadencia de revisión una sola vez y dejar que funcione sola.
  • Ver cómo convertir las cláusulas de un DPA en un calendario de recordatorios operativo.

Las fechas que un DPA contiene realmente

Si lee un DPA buscando específicamente plazos, en lugar del lenguaje sobre responsabilidad e indemnización, aparece una cantidad sorprendente. Estas son las que veo con más frecuencia:

  • Revisiones de seguridad periódicas. Muchos DPA exigen que revise las medidas técnicas y organizativas del encargado del tratamiento en un ciclo establecido, a menudo anual. Parece texto estándar, pero es una obligación, no una sugerencia, y "nunca encontramos el momento" no es una respuesta cómoda en una auditoría.
  • Ventanas de cambio de subencargados. Cuando un encargado propone un nuevo subencargado, suele tener una ventana fija para oponerse. Si la pierde, ha aceptado el cambio por defecto.
  • Ventanas de derechos de auditoría. Su derecho a auditar o solicitar pruebas a menudo viene con plazos de preaviso y límites de frecuencia. Es mucho mejor conocerlos antes de necesitar ejercer el derecho, y no en mitad de un incidente.
  • Revalidación del mecanismo de transferencia. Si el acuerdo se basa en Cláusulas Contractuales Tipo, los cambios en el marco jurídico pueden obligarle a reevaluar si el mecanismo sigue cubriendo sus flujos de datos. El marco cambia, su contrato no, y la brecha es suya por detectar.
  • Plazos de terminación y supresión. Cuando termina la relación, la supresión o devolución de los datos suele tener que producirse dentro de un periodo definido, con certificación si se solicita. Este tiende a olvidarse precisamente porque la atención de todos ya se ha trasladado al proveedor sustituto.

Vistas en conjunto, el patrón es más claro:

Tipo de plazoActivador típicoLo que usted debe
Revisión de seguridadCiclo anualRevisión documentada de las medidas
Ventana de subencargadoAviso del proveedorUna decisión antes de que se cierre la ventana
Derecho de auditoríaSu iniciativaCumplimiento de los límites de preaviso y frecuencia
Revalidación de transferenciaCambio jurídico externoReevaluación del mecanismo de transferencia
Supresión / devoluciónFin de la relaciónSupresión o devolución dentro del periodo definido

Escritorio tranquilo con un calendario de fechas de revisión de DPA

Por qué esto se escapa

Ninguna de estas fechas se anuncia sola, y ese es el núcleo del problema. Una revisión "anual" no tiene ningún activador en el calendario de nadie. Un marco de transferencia que cambia no envía un correo a su equipo jurídico para avisarle de que sus CCT necesitan una segunda revisión. Un aviso de subencargado aterriza en una bandeja de entrada entre otros cien y parece publicidad.

Reconocerá la forma de esto. Las obligaciones son genuinamente reales, y también lo son las consecuencias: datos que fluyen bajo condiciones que nunca validó, un hallazgo de auditoría que no puede justificar, una pregunta de un regulador a la que no tiene una respuesta limpia. Lo que suele faltar no es voluntad ni competencia. Es simplemente un recordatorio, disparado en el momento adecuado, al responsable adecuado. El trabajo es pequeño cuando está programado y enorme cuando se descubre tarde.

Seré honesto en que este es un modo de fallo familiar mucho más allá de la privacidad. La misma dinámica impulsa muchos de los riesgos en la gestión de contratos en general, donde el coste no es la cláusula en sí, sino la fecha vinculada a ella que nadie vigiló. También aparece en silencio en los costes de la gestión de contratos SaaS, donde las ventanas de revisión perdidas se convierten en renovaciones automáticas y obligaciones que habría renegociado si las hubiera visto venir.

Establezca la cadencia una sola vez

La solución es más aburrida que el problema, que suele ser lo habitual con una buena higiene de cumplimiento. Extraiga las fechas de cada DPA cuando lo firme y póngalas en un calendario con responsables claros: la revisión de seguridad anual, la siguiente ventana de auditoría, la verificación del mecanismo de transferencia y una vigilancia permanente de los avisos de subencargados. Haga esto una vez por acuerdo y la cadencia funcionará sola a partir de entonces.

El truco está en mantener esas fechas junto al acuerdo del que proceden, localizables, con responsable y supervisadas, en lugar de copiadas en una hoja de cálculo que se desincroniza en un trimestre. Un repositorio de contratos adecuado mantiene el documento y sus obligaciones juntos, de modo que cuando se dispara un recordatorio está a un clic de la cláusula que lo activó. Esa continuidad en toda su cartera de proveedores es lo que la gestión de acuerdos de tratamiento de datos está diseñada para ofrecer, y se integra en nuestro software de cumplimiento del RGPD más amplio para equipos que quieren la imagen completa de sus obligaciones en un solo lugar.

La parte que encuentro genuinamente satisfactoria es que la cadencia cumple una doble función. Una vez que los plazos de su DPA viven en un sistema, el seguimiento de contratos le da una vista única de lo que vence en cada acuerdo, y los informes convierten la pregunta "¿tenemos controlados nuestros DPA?" de una conjetura ansiosa en una cifra que puede mostrar a un consejo o a un cliente. Si usted es quien realmente se ocupa de esto, el caso de uso del responsable de cumplimiento muestra cómo encaja el día a día.

Una nota sobre la confianza, ya que los DPA tratan de proteger datos y sería extraño gestionarlos mal en nombre de su gestión. Contracko está alojado en la UE, sus contratos están cifrados, el acceso es basado en roles y nunca entrenamos la IA con sus contratos. Puede leer los detalles en nuestra página de seguridad.

Dos formas de empezar

No tiene que montar un programa completo para notar el beneficio. Hay dos puntos de entrada ligeros a los que le dirigiría primero.

Para convertir las cláusulas de un único DPA en un calendario de recordatorios, la herramienta de recordatorios de DPA extrae las fechas de revisión, las ventanas de subencargados, los derechos de auditoría y las obligaciones de transferencia, y luego propone cuándo actuar sobre cada una. Es la forma más rápida de ver lo que un único acuerdo le ha estado pidiendo en realidad todo este tiempo. Internamente, esa misma capacidad de programación es lo que nuestra función de recordatorio de vencimiento aporta a cada contrato que tiene, no solo a los DPA.

Y si necesita calcular un plazo concreto, un periodo de preaviso, una ventana de notificación de brecha o una fecha de supresión posterior a la terminación, la calculadora de DPA hace las cuentas de fechas por usted, para que no cuente días hábiles con los dedos la mañana en que un reloj empieza a correr.

Próximos pasos

Elija un DPA, idealmente de un proveedor que le incomodaría explicar a un regulador, y encuentre todas las fechas que contiene. Ponga esas fechas en algún lugar con un responsable y un recordatorio asociado. Ese único ejercicio suele ser el momento en que la idea abstracta de "cadencia de revisión" se convierte en algo concreto que de verdad querrá implantar en el resto de sus acuerdos.

Cuando esté listo para hacerlo sistemático, es exactamente para lo que construimos Contracko, con una prueba gratuita para que pueda probarlo con sus acuerdos reales en lugar de una demo. Me encantaría saber cuál de estos plazos le ha mordido antes, porque las historias siempre son específicas y siempre instructivas. No dude en escribirme si tiene preguntas, respondo cada mensaje personalmente.

Empiece con Contracko

Quítese de encima las complicaciones de la gestión de contratos y suscripciones. Contracko le permite mantenerse organizado, puntual y al mando. Empiece a simplificar hoy mismo.

Iniciar la prueba gratuita de 7 días
endefres