Que es un contrato de tratamiento de datos (DPA)
Le sonará esto: llega una herramienta nueva, al equipo le encanta y, en algún punto del proceso de registro, hay una casilla que dice que acepta los términos de tratamiento de datos. La marca, porque por supuesto que sí, y sigue adelante. Meses después, alguien del departamento jurídico pide "el contrato de tratamiento de datos con ese proveedor" y nadie tiene del todo claro qué se acordó ni dónde está. He visto que esto ocurre en empresas de todos los tamaños, y casi nunca es por descuido. Es que los contratos de tratamiento de datos son de los documentos más firmados y menos leídos de cualquier negocio.
Esta guía está aquí para resolverle eso. Le explicaré qué es realmente un contrato de tratamiento de datos, cuándo lo exige el RGPD y qué cláusulas tienen el peso de verdad, de modo que la próxima vez que le pregunten por un contrato de tratamiento de datos pueda responder con seguridad en lugar de con un nudo en el estómago.
Esto es orientación práctica, no asesoramiento jurídico. Para su situación concreta, hable con un profesional cualificado en protección de datos.
Al terminar esta guía, usted:
- Entenderá qué es un contrato de tratamiento de datos y los roles de responsable y encargado que formaliza
- Sabrá cuándo el RGPD le obliga a tener uno en vigor
- Reconocerá las cláusulas que más importan al leer o negociar uno
- Detectará los dos errores que veo cometer a las empresas una y otra vez
- Tendrá un primer paso sencillo para cualquier contrato de tratamiento de datos que tenga ahora mismo sobre la mesa
Qué es realmente un contrato de tratamiento de datos
Un contrato de tratamiento de datos (en inglés, data processing agreement o DPA), a veces llamado anexo de tratamiento de datos, es un contrato entre un responsable y un encargado del tratamiento. El responsable es usted, la empresa que decide por qué y cómo se tratan los datos personales. El encargado es el proveedor que maneja esos datos siguiendo sus instrucciones. El contrato fija las reglas entre ambos: qué puede hacer el proveedor con los datos, cómo debe protegerlos y qué ocurre cuando algo sale mal o la relación termina.
Me parece que la forma más fácil de visualizarlo es como un conjunto de guardarraíles. Usted entrega datos personales (de sus clientes, sus empleados, sus proveedores) a otra persona para que haga un trabajo por usted. El contrato es la promesa por escrito de que solo hará ese trabajo, solo de las formas que usted ha acordado, y de que devolverá o destruirá los datos cuando el trabajo termine.
Según el RGPD, esto no es algo opcional. El artículo 28 exige un contrato por escrito siempre que un encargado trate datos personales por cuenta de un responsable. Sin él, ambas partes quedan expuestas: el responsable por no vincular debidamente a su encargado, y el encargado por tratar datos sin una instrucción lícita. Así que el contrato protege a todos, y eso es parte de por qué los reguladores se toman tan en serio su ausencia.
Responsable o encargado: por qué importan los roles
Todo el contrato gira en torno a quién decide qué se hace con los datos. Si su proveedor solo actúa siguiendo sus instrucciones, es un encargado y usted necesita un contrato de tratamiento de datos. Si el proveedor decide, para sus propios fines, qué hacer con los datos, entonces es un responsable por derecho propio y la relación se rige de otra manera. Acertar pronto con esta distinción ahorra mucha confusión después, porque determina qué obligaciones corresponden a cada parte.
En la práctica, la mayoría de los acuerdos del tipo "el proveedor hace algo con nuestros datos para que podamos operar el negocio" son relaciones de responsable a encargado, y ahí es donde el contrato de tratamiento de datos hace su trabajo. Si usted gestiona el cumplimiento en un conjunto de proveedores, nuestras notas para el caso de uso del responsable de cumplimiento explican cómo se materializan estos roles en el día a día.
Cuándo necesita uno
Necesita un contrato de tratamiento de datos siempre que otra organización trate datos personales por usted. Los desencadenantes habituales son más fáciles de reconocer que las definiciones jurídicas, así que estos son los casos en los que suelen aparecer:
- Herramientas SaaS que almacenan datos de clientes o empleados, como su CRM, su servicio de soporte, su sistema de RR. HH. o su plataforma de analítica
- Proveedores de infraestructura en la nube y alojamiento
- Servicios de pagos, nóminas y contabilidad
- Plataformas de marketing y envío de correos
- Cualquier contratista o agencia que maneje los datos personales de sus clientes o de su personal
El patrón es sencillo una vez que lo ve. Si un proveedor toca datos personales por cuenta de usted, casi con seguridad necesita un contrato de tratamiento de datos con él. Dadas las muchas herramientas en las que se apoya un equipo moderno, eso suma rápido, y esa es una de las razones por las que las obligaciones de tratamiento de datos se extienden por un negocio antes de que nadie se dé cuenta. Si gestiona específicamente proveedores de software, el enfoque de gestión de contratos SaaS encaja de forma natural con mantener los contratos de tratamiento de datos en orden.
Las cláusulas que importan
Un contrato de tratamiento de datos puede ocupar varias páginas, y la mayoría son texto estándar que rara vez cambia. Sin embargo, un puñado de disposiciones cargan con casi todo el peso, y son las que leo primero siempre que un contrato de tratamiento de datos llega a mis manos.
| Cláusula | Qué regula | Por qué importa |
|---|---|---|
| Objeto y duración | Qué se trata, por qué, durante cuánto tiempo, y qué categorías de datos e interesados intervienen | Define el alcance de todo lo demás; si esto es impreciso, el resto es difícil de exigir |
| Tratamiento según instrucciones documentadas | El encargado actúa según sus instrucciones, no por iniciativa propia | Mantiene al proveedor dentro de los guardarraíles que usted fija |
| Medidas de seguridad | Medidas técnicas y organizativas apropiadas, como cifrado y control de acceso | Aquí es donde se previenen o se invitan las brechas |
| Confidencialidad | Toda persona con acceso queda obligada a mantener la confidencialidad de los datos | Extiende su protección hasta cada empleado |
| Subencargados | Si el proveedor incorpora sus propios subencargados, y cómo, y su derecho a ser informado y a oponerse | Nuevas partes pueden sumarse en silencio a la cadena que maneja sus datos |
| Asistencia | El encargado le ayuda a responder a las solicitudes de los interesados y a cumplir sus obligaciones | Le mantiene capaz de atender a tiempo las solicitudes de ejercicio de derechos |
| Notificación de brechas | El encargado le informa, sin dilación indebida, cuando se produce una brecha | Su propio plazo de notificación a menudo depende del suyo |
| Supresión o devolución | Al finalizar el contrato, los datos se suprimen o se devuelven según su instrucción | Evita que los datos queden en algún sitio que usted ya no controla |
| Auditorías | Usted puede verificar el cumplimiento mediante auditorías, inspecciones o pruebas | Convierte las promesas anteriores en algo que puede comprobar |
| Transferencias internacionales | Si los datos salen del EEE, existe un mecanismo de transferencia válido | Un mecanismo ausente o caducado hace ilícita la transferencia |
Si no lee nada más, lea con atención las cláusulas de seguridad, subencargados, notificación de brechas y transferencias internacionales. Por mi experiencia, esas cuatro son donde más difieren las plantillas de los proveedores, y donde una debilidad silenciosa puede costarle caro después. Cuando lleve un contrato de tratamiento de datos a una herramienta como el análisis de contratos con IA, estas son justo las disposiciones que conviene sacar a la luz primero.
Una nota sobre las transferencias internacionales
De todas las cláusulas, esta es la que parece menos asentada. La base jurídica para mover datos personales más allá de las fronteras ha cambiado más de una vez en los últimos años, y un contrato de tratamiento de datos que ancló el cumplimiento a un mecanismo concreto puede quedar caducado sin que nadie edite una sola palabra. Si su proveedor trata datos fuera del EEE, compruebe que el mecanismo de transferencia en el que se apoya (a menudo las Cláusulas Contractuales Tipo) siga cubriendo sus flujos de datos reales. Mantener eso bajo revisión forma parte de la higiene más amplia del software de cumplimiento del RGPD en lugar de ser una comprobación única.
Errores habituales
Dos fallos aparecen mucho más que cualquier otro, y ambos resultan del todo comprensibles en el momento.
El primero es firmar el contrato de tratamiento de datos del proveedor sin leerlo. Llega la plantilla, parece estándar y, bajo la presión de un plazo, se aprueba. El problema es que las plantillas "estándar" favorecen en silencio a quien las redactó, así que puede acabar aceptando términos de seguridad débiles, derechos amplios de subencargados o una ventana de notificación de brechas medida en semanas en lugar de días. Unos minutos de lectura ahorran muchos arrepentimientos.
El segundo es firmar una vez y olvidarse. Un contrato de tratamiento de datos es una obligación viva, no una firma única. Los subencargados cambian, las reglas de transferencia se mueven, vencen las revisiones anuales, y nada de eso le envía un recordatorio. El contrato se deteriora en silencio mientras todos suponen que va bien. Esto guarda relación estrecha con los riesgos más amplios de la gestión de contratos que afloran siempre que las obligaciones sobreviven a la atención que se les presta.
Guardar cada contrato de tratamiento de datos junto al contrato con el proveedor al que pertenece, con sus fechas de revisión y sus términos de subencargados controlados, es lo que convierte un PDF archivado en cumplimiento real. Para eso está pensada justamente la gestión de contratos de tratamiento de datos en Contracko, que se asienta sobre un repositorio de contratos para que el contrato de tratamiento de datos y el acuerdo que rige nunca se separen.
Un primer paso rápido
Si tiene un contrato de tratamiento de datos delante ahora mismo, la forma más rápida de entenderlo es pasarlo por un analizador de contratos de cesión de datos. Saca a la luz los términos de uso permitido, las obligaciones de seguridad, los periodos de conservación, las ventanas de notificación de brechas y las disposiciones relevantes del RGPD en segundos, de modo que sepa qué está firmando antes de firmarlo. Es gratis de probar y le da una lectura clara de las cláusulas que he señalado arriba sin que tenga que abrirse paso por cada página usted mismo.
A partir de ahí, el siguiente paso natural es mantener ese entendimiento al día en lugar de dejar que se desvanezca. Me parece que la forma más tranquila de hacerlo es darle a cada contrato de tratamiento de datos un hogar, extraer sus fechas clave y dejar que el sistema le recuerde cuándo algo requiere atención. Esa es la diferencia entre un contrato de tratamiento de datos que le protege y uno que se limita a estar en una carpeta.
Contracko es una plataforma alojada en la UE, sus datos permanecen cifrados con acceso basado en roles, y los proveedores de IA que utilizamos no entrenan con sus contratos, así que leer y almacenar acuerdos sensibles no crea una nueva exposición en sí misma. Si quiere ver cómo encaja en su stack, la visión general de soluciones completa es un buen punto de partida, y hay una prueba gratuita cuando lo desee.
No dude en escribirnos si tiene preguntas. Yo mismo leo todos los correos y siempre me alegra ayudarle a entender un contrato de tratamiento de datos complicado.
Empiece con Contracko
Quítese de encima las complicaciones de la gestión de contratos y suscripciones. Contracko le permite mantenerse organizado, puntual y al mando. Empiece a simplificar hoy mismo.