Cómo crear un DPA: cláusulas, plantillas y qué incluir
Tarde o temprano llega el momento. O bien necesita emitir un Acuerdo de Tratamiento de Datos a un socio, o bien un proveedor le desliza uno por encima de la mesa y espera su firma. Me he sentado a ambos lados de ese intercambio, y el trabajo se reduce siempre a lo mismo: saber qué contiene un buen DPA y reconocer dónde suelen esconderse los puntos débiles.
Un DPA no es una formalidad que se firma para que el formulario de compras se ponga en verde. Es el documento que define cómo gestiona otra persona los datos personales de sus clientes y empleados, qué promete sobre su seguridad y qué recurso tiene usted cuando algo sale mal. Acertar protege en silencio durante años. Equivocarse se descubre en el peor momento posible.
Esta guía recorre la anatomía de un DPA sólido, sección por sección, y luego le ofrece una lista de comprobación para revisar antes de firmar o enviar uno.
Esto es orientación práctica, no asesoramiento jurídico. Haga que un profesional cualificado revise cualquier acuerdo antes de basarse en él.
Al terminar esta guía, podrá:
- Entender cada sección que debe contener un DPA conforme al artículo 28 del RGPD
- Saber cuándo entran en juego las Cláusulas Contractuales Tipo
- Detectar las señales de alarma en la plantilla "estándar" de un proveedor
- Disponer de una lista de comprobación previa a la firma que podrá usar de inmediato
La anatomía de un DPA
Un DPA elaborado conforme al artículo 28 del RGPD suele cubrir los siguientes aspectos. Me resulta útil leer cualquier acuerdo contrastándolo con esta lista, porque las lagunas dicen tanto como el texto.
Alcance y funciones
Quién es el responsable y quién el encargado, además del objeto y la duración del tratamiento, así como su naturaleza y finalidad. Esto parece básico y, sin embargo, he visto acuerdos en los que las funciones están confundidas o simplemente se dan por supuestas. Equivóquese aquí y el resto del documento se asienta sobre arena.
Categorías de datos e interesados
Qué tipos de datos personales se tratan y de quién: clientes, empleados, usuarios finales. La concreción aquí protege a todos, porque delimita lo que el encargado puede realmente tocar.
Tratamiento según instrucciones
El encargado actúa únicamente según las instrucciones documentadas del responsable, y no por iniciativa propia. Esta es la cláusula que impide que sus datos se reutilicen en silencio.
Medidas de seguridad
Las medidas técnicas y organizativas exigidas: cifrado, controles de acceso, resiliencia, pruebas periódicas. La palabra a la que hay que prestar atención es "adecuadas" por sí sola. Medidas adecuadas sin detalle es una promesa de decidir más tarde, lo que en la práctica suele significar una promesa de hacer poco. Las buenas cláusulas de seguridad son específicas, y deberían corresponderse con el tipo de protecciones que esperaría de cualquier plataforma seria: el alojamiento en la UE, el cifrado y el acceso basado en funciones que sustentan nuestro propio enfoque de seguridad.
Confidencialidad
Cualquier persona con acceso a los datos queda obligada a mantenerlos confidenciales. Cláusula breve, consecuencias reales.
Subencargados
Si se permiten subencargados en absoluto, la obligación de trasladarles condiciones equivalentes y su derecho a ser notificado de los cambios y a oponerse. Los datos personales ya casi nunca residen en una sola empresa. Recorren una cadena, y esta cláusula es la que le permite no perderla de vista.
Asistencia
El encargado le ayuda a responder a las solicitudes de derechos de los interesados y a cumplir sus propias obligaciones de seguridad, notificación de brechas y evaluación de impacto. Cuando un cliente ejerza su derecho de supresión, agradecerá que esto esté por escrito.
Notificación de brechas
Un plazo claro y breve para que el encargado le comunique una violación de datos personales. "Sin dilación indebida" es el estándar que conviene. Cualquier plazo medido en semanas es un problema que usted heredará.
Transferencias internacionales
Un mecanismo de transferencia válido, como las Cláusulas Contractuales Tipo, siempre que los datos salgan del EEE, junto con las evaluaciones correspondientes. Más sobre esto a continuación, porque es la pieza que falta con más frecuencia.
Supresión o devolución
Qué ocurre con los datos cuando termina la relación: supresión o devolución, a su elección, con certificación cuando se solicite. La conservación indefinida es uno de los riesgos más silenciosos de un DPA deficiente.
Auditorías
Su derecho a verificar que el encargado hace realmente lo que acordó. Derechos de auditoría reales, no un gesto de cortesía.
Cláusulas Contractuales Tipo: cuándo las necesita
Si se van a tratar datos personales fuera del EEE, o por un subencargado que sí lo hace, el DPA suele necesitar incorporar las CCT y referirse a una evaluación del impacto de la transferencia. Esta es una de las piezas que más a menudo se omiten de las que me encuentro.
La trampa es sutil. El DPA "estándar" de un proveedor suele dar por hecho un tratamiento solo en la UE porque así era cuando se redactó por primera vez la plantilla, o simplemente porque era más fácil redactarla así. Luego el proveedor añade una herramienta de soporte con base en EE. UU. o un subencargado de analítica, y la realidad ya no coincide con el papeleo. Nadie actualiza el DPA, porque nadie lo está mirando. La transferencia ocurre igualmente, sin cobertura.
Así que, cuando revise un DPA, vaya más allá de si se mencionan las CCT. Compruebe si los flujos de datos que describe el contrato coinciden realmente con el lugar donde ocurre el tratamiento. El desajuste es donde reside la exposición.
Señales de alarma al aceptar el DPA de un proveedor
Cuando el DPA de un proveedor aterriza ante usted, estas son las señales de aviso que busco primero:
- Plazos de notificación de brechas medidos en semanas en lugar de "sin dilación indebida"
- Derechos generales sobre subencargados sin mecanismo de notificación ni de oposición
- Lenguaje de seguridad vago sin medidas específicas nombradas
- Condiciones de supresión que permiten al encargado conservar los datos indefinidamente
- Ningún mecanismo de transferencia, pese a un tratamiento que claramente sale del EEE
Cualquiera de estos puntos merece una conversación antes de firmar. Dos o más, y estará ante una plantilla redactada para proteger al proveedor, no a usted.
Una lista de comprobación previa a la firma
Antes de firmar, o antes de enviar, repase esto. Yo mantengo una versión a mano siempre que un DPA cruza mi escritorio.
| Comprobación | Confirme que |
|---|---|
| Funciones | El responsable y el encargado están correctamente identificados |
| Seguridad | Las medidas son específicas, van más allá de "adecuadas" |
| Subencargados | Existen derechos de notificación y de oposición |
| Brechas | La notificación es rápida ("sin dilación indebida") |
| Transferencias | Hay un mecanismo válido si los datos salen del EEE |
| Supresión | Las condiciones al fin de la relación son claras |
| Auditorías | Los derechos de verificación son reales, no decorativos |
Si negocia estas condiciones con regularidad como parte de compras o de una gestión más amplia de contratos con proveedores, conviene estandarizar esta lista de comprobación para que cada acuerdo reciba el mismo escrutinio en lugar de depender de quién lo revise por casualidad.
El DPA no termina con la firma
Aquí está la parte que se olvida. Una vez firmado, un DPA se convierte en una obligación continua, no en una tarea cerrada. La lista de subencargados cambia. Llega el momento de la revisión anual. Una novedad jurídica implica que las CCT necesitan revalidarse. Nada de eso se anuncia solo.
Mantener el DPA junto al contrato del proveedor, con sus fechas de revisión, condiciones sobre subencargados y obligaciones de transferencia bajo seguimiento, es exactamente para lo que sirve la gestión de acuerdos de tratamiento de datos. Significa que el acuerdo que negoció con tanto cuidado no quede obsoleto en silencio dentro de una carpeta. Un repositorio de contratos mantiene el documento localizable, y los recordatorios automáticos de vencimiento y renovación garantizan que las fechas de revisión salgan a la superficie en lugar de pasar de largo. Si quiere comprobar cómo funciona sin comprometerse a nada, nuestro recordatorio de acuerdos de tratamiento de datos gratuito lo configura en un par de minutos.
Cómo revisar uno más rápido
Si ahora mismo tiene delante el DPA de un proveedor y quiere una lectura rápida de si es sólido, nuestro analizador de acuerdos de intercambio de datos gratuito extrae las condiciones de uso permitido, seguridad, conservación, notificación de brechas y transferencia, y señala dónde parecen insuficientes. Es una primera pasada útil antes de una revisión jurídica detallada, de esas que en un minuto le dicen si está ante un acuerdo cuidadoso o ante un problema en ciernes. Si quiere la visión más amplia de cómo la IA está cambiando este tipo de trabajo, nuestro artículo sobre IA jurídica es una buena lectura complementaria.
Redactar y revisar DPA es un trabajo genuinamente satisfactorio una vez que se tiene clara la imagen de lo que es bueno, y siempre me alegra ayudar a alguien a llegar ahí. No dude en escribirme si tiene preguntas. Leo cada mensaje yo mismo y lo respondo personalmente.
Empiece con Contracko
Quítese de encima las complicaciones de la gestión de contratos y suscripciones. Contracko le permite mantenerse organizado, puntual y al mando. Empiece a simplificar hoy mismo.