Gestionar un DPA bajo la AVG
Seguro que reconoce esta situación. Incorpora un nuevo proveedor, alguien envía un acuerdo de tratamiento por correo electrónico, usted lo lee a medias, lo firma y guarda el archivo en una carpeta que después no vuelve a abrir. En ese momento parece que el trabajo está hecho. Y ahí es exactamente donde empieza el problema, porque firmar es la parte fácil. El trabajo real viene después: mantener ese acuerdo actualizado mientras cambian los subprocesadores, se desplazan las revisiones y la base jurídica para las transferencias se mueve bajo sus pies.
A menudo veo que los equipos tratan sus acuerdos de tratamiento como un trámite de verificación, no como un expediente vivo. Es comprensible, porque nadie tiene en su calendario revisar dentro de catorce meses el anexo de seguridad de un proveedor de hosting. En esta guía le explico qué es exactamente un acuerdo de tratamiento, qué debe registrar por cada acuerdo, por qué estos acuerdos envejecen silenciosamente y cómo convertirlos en un conjunto claro y gestionable.
Esta es una explicación práctica, no asesoramiento jurídico. Consulte su situación específica con un profesional de privacidad cualificado.
Después de leer esta guía sabrá:
- Qué es un acuerdo de tratamiento (DPA) y cuándo la AVG exige uno.
- Qué datos debe registrar por cada acuerdo para seguir demostrando conformidad.
- Por qué los acuerdos de tratamiento envejecen en la práctica sin que nadie se dé cuenta.
- Cómo crear una única fuente de verdad consultable y poner las fechas importantes en un calendario.
Qué es un acuerdo de tratamiento
Un acuerdo de tratamiento, a menudo abreviado como DPA por el término inglés data processing agreement, establece cómo un encargado del tratamiento (el proveedor) trata datos personales en nombre de usted, el responsable del tratamiento. Piense en su CRM, su herramienta de correo, su sistema de nóminas o su proveedor de hosting. En cuanto una parte de este tipo toca datos personales por cuenta de usted, la AVG (artículo 28) exige regularlo por escrito.
La razón es sencilla. Usted determina la finalidad y los medios del tratamiento, por lo que sigue siendo responsable, incluso si otra parte gestiona los datos en la práctica. Sin un acuerdo, ambas partes asumen riesgos: usted no puede demostrar que su proveedor está sujeto a compromisos claros, y el proveedor no sabe dónde terminan sus obligaciones. El acuerdo establece, entre otras cosas, qué datos se tratan, con qué finalidad, qué medidas de seguridad se aplican y qué ocurre cuando termina la colaboración.
Hasta aquí la teoría. En la práctica, un acuerdo firmado es solo el punto de partida, y ahí es donde quiero concentrar la mayor parte de la atención.
Qué debe registrar por cada DPA
La mayoría de los problemas no surgen en el momento de la firma, sino meses después. Un acuerdo de tratamiento contiene muchas obligaciones que solo se activan en el futuro y que no se anuncian solas. Recomiendo registrar el mismo conjunto de datos para cada acuerdo, de modo que su cartera siga siendo comparable internamente.
| Qué registra | Por qué importa |
|---|---|
| El proveedor y el contrato principal | Así vincula el DPA con el servicio al que se refiere y evita que pierda su contexto. |
| Fecha de revisión | Cuándo debe volver a evaluar las medidas de seguridad antes de que queden silenciosamente obsoletas. |
| Lista de subprocesadores y ventana de objeción | Quién está permitido y de cuántos días dispone para oponerse a una nueva incorporación. |
| Derechos de auditoría | A qué tiene derecho y con qué frecuencia puede ejercer ese derecho. |
| Mecanismo de transferencia | En qué se basa una transferencia fuera del EEE (por ejemplo, cláusulas contractuales tipo) y si sigue cubriendo sus flujos reales de datos. |
| Plazos de cancelación y eliminación | Qué ocurre con los datos cuando termina la colaboración y dentro de qué plazo. |
Lo útil de estos campos es que todos son concretos y verificables. No necesita ser jurista para controlar que se acerca una fecha de revisión o que una ventana de objeción está a punto de cerrarse. Solo debe asegurarse de que la información esté en algún lugar donde pueda encontrarla, y no enterrada en la página once de un PDF.
Por qué caducan los acuerdos de tratamiento
Lo llamo caducar, aunque normalmente no tengan fecha de finalización. Lo que ocurre es más sutil: el acuerdo sigue siendo formalmente válido, pero ya no refleja la realidad. Esto sucede de varias formas previsibles.
Cambian los subprocesadores
Casi todos los proveedores recurren a su vez a otras partes, y esa lista cambia. Si recibe una notificación de que se añade un subprocesador y pierde la ventana de objeción, habrá aceptado tácitamente a esa parte. A veces eso está bien, pero habrá permitido que una nueva parte acceda a sus datos sin una decisión consciente.
Las revisiones se desplazan
Una evaluación periódica de las medidas de seguridad suena evidente, hasta que descubre que nadie la programa. Es exactamente el tipo de tarea que queda pendiente porque no pertenece personalmente a nadie. Un año después ya no sabe si los acuerdos siguen coincidiendo con la forma en que el proveedor trabaja hoy.
La base de transferencia envejece
La base jurídica para transferir datos fuera del Espacio Económico Europeo ha cambiado repetidamente en los últimos años. Un mecanismo que en su momento estaba bien regulado puede haber quedado obsoleto sin que haya ocurrido nada por parte de usted. Este es uno de los riesgos más silenciosos, porque se desarrolla completamente fuera de su campo de visión.
Si quiere profundizar en este tipo de obligaciones latentes, escribí antes sobre los riesgos ocultos en la gestión de contratos, donde aparece gran parte de la misma dinámica.
Construya una única fuente de verdad
La solución es menos complicada que el problema. La clave es que cada acuerdo de tratamiento esté en un solo lugar, sea consultable, esté vinculado al proveedor correcto y tenga extraídas las fechas principales en lugar de quedar ocultas dentro de un documento. Si una autoridad supervisora o un cliente pregunta por su DPA con la parte X y quiere ver que está actualizado, la respuesta está a una sola búsqueda, no a media tarde de rastreo.
Para eso se creó la gestión de acuerdos de tratamiento de Contracko. Guarda cada DPA junto al contrato al que se refiere, con fechas de revisión, condiciones de subprocesadores y obligaciones de transferencia en campos estructurados. Contracko funciona sobre infraestructura de la UE, con cifrado y acceso basado en roles, y los proveedores de IA que realizan el análisis no entrenan con sus contratos. Para un expediente de privacidad, no lo considero un detalle, sino una condición.
Lo que me gusta de este enfoque es que el trabajo que usted ya hace, es decir, leer la información de un acuerdo, deja de perderse en cuanto cierra el archivo. El análisis contractual con IA extrae los campos relevantes y los coloca en su repositorio, para que todo el conjunto de proveedores encaje en una sola vista. Explico cómo funciona este tipo de IA en la práctica en mi artículo sobre IA legal.
Ponga las fechas en un calendario
Una fuente de verdad solo ayuda de verdad si le dice cuándo debe actuar. Todos los momentos de vencimiento que mencioné antes son, en realidad, fechas: plazos de revisión, ventanas de objeción para subprocesadores, ciclos de auditoría y revalidación del mecanismo de transferencia. Cada uno debería generar un recordatorio para el propietario adecuado, con suficiente antelación para poder actuar.
Si quiere ver cómo funciona esto en un único acuerdo antes de abordar toda su cartera, la herramienta de recordatorios de DPA es un buen punto de partida. Carga un acuerdo de tratamiento, la IA extrae las fechas de revisión, las ventanas de subprocesadores y los derechos de auditoría, y usted recibe un calendario de recordatorios propuesto. En todo su conjunto de proveedores, exactamente esa disciplina, cada fecha registrada y cada propietario avisado a tiempo, es lo que mantiene una cartera conforme en lugar de simplemente firmada.
Configurar esto no es un gran proyecto. Con el repositorio de contratos, la extracción automática de datos, los recordatorios, los informes y la integración con el calendario, la base queda lista rápidamente, y puede probarlo con tranquilidad durante el periodo de prueba gratuito. Para el panorama más amplio de la conformidad con la AVG, la gestión de DPA encaja en el mismo enfoque: visibilidad y acción oportuna en lugar de una pila de archivos firmados.
Cómo varía esto por sector
No todos los conjuntos de proveedores tienen el mismo aspecto. Un proveedor sanitario trata categorías especiales de datos personales y, por eso, necesita acuerdos más estrictos y revisiones más ajustadas; escribí sobre ello por separado en gestión de contratos para proveedores sanitarios. Una empresa de software en rápido crecimiento, en cambio, suele tener muchos más proveedores y, por tanto, muchos más subprocesadores que vigilar. El método sigue siendo el mismo, pero el volumen y la sensibilidad determinan cuánta estructura necesita realmente.
En esa evaluación también influye el lado de los costes. Conviene analizar de antemano cuánto cuesta una herramienta frente al trabajo manual que elimina, y ya ofrecí un resumen sobre ello en gestión de contratos SaaS y costes.
Empezar
Si hoy quiere hacer una sola cosa, empiece en pequeño: tome los tres proveedores que tratan los datos más sensibles, busque sus acuerdos de tratamiento y anote para cada uno la fecha de revisión, la política de subprocesadores y el mecanismo de transferencia. Notará que para al menos uno de ellos no tiene una respuesta actualizada, y esa es exactamente la razón por la que este trabajo merece la pena.
Después puede ampliarlo mediante las soluciones de Contracko y mapear el resto de su cartera de la misma manera. Estaré encantado de ayudarle. Envíeme un mensaje si se queda atascado o quiere comentar cómo configurar esto para su situación; leo y respondo personalmente esos correos.
Empiece con Contracko
Quítese de encima las complicaciones de la gestión de contratos y suscripciones. Contracko le permite mantenerse organizado, puntual y al mando. Empiece a simplificar hoy mismo.