Un Acuerdo de Procesamiento de Datos (DPA) es el addendum contractual que regula cómo un proveedor (el procesador) gestionará los datos personales en nombre del cliente (el responsable). Exigido por el Artículo 28 del GDPR, con obligaciones equivalentes bajo la Ley de Protección de Datos del RU, CCPA/CPRA, LGPD brasileña y la mayoría de los regímenes de privacidad modernos. El DPA rara vez es el documento que preocupa a los equipos de negocio —pero sí es el documento que determina si los datos de tus clientes quedan expuestos en una brecha del proveedor.
Cuándo necesitas un DPA
Necesitas un DPA de cualquier proveedor que:
- Almacene datos personales en tu nombre (CRM, servicio de atención al cliente, automatización de marketing, analítica)
- Procese datos personales en tu nombre (proveedores de enriquecimiento, data brokers, servicios de AI)
- Tenga acceso a datos personales a través de una relación de subprocesador (infraestructura en la nube, sub-proveedores)
No necesitas un DPA de proveedores que no tocan datos personales (la mayoría de proveedores de herramientas internas que solo procesan datos de empleados/negocio propios —aunque los datos de empleados son en sí mismos datos personales, por lo que la mayoría de los proveedores B2B terminan necesitando uno—).
Si un proveedor ofrece tanto un MSA Estándar como un “DPA disponible bajo solicitud”, solicítalo. Si no tienen uno, eso es una señal de alerta sobre su madurez en privacidad.
El checklist de 12 puntos del DPA
Cada DPA que firmes debe cubrir:
| # | Elemento | Qué verificar |
|---|---|---|
| 1 | Objeto y duración | Los datos personales se procesan solo para el propósito del servicio, solo durante el plazo del MSA |
| 2 | Naturaleza y propósito del procesamiento | Descripción clara; no “cualquier propósito comercial” |
| 3 | Categorías de interesados | Clientes, prospectos, empleados, etc. — enumerados |
| 4 | Categorías de datos personales | Qué campos se procesan (sin categorías especiales sin disposición expresa) |
| 5 | Obligaciones del responsable / procesador | Lista del Artículo 28 — confidencialidad, seguridad, subprocesadores, auditoría |
| 6 | Subprocesadores | Listados; aviso previo de cambios; derecho de oposición |
| 7 | Transferencias internacionales | CCTs, decisiones de adecuación o mecanismo de transferencia equivalente |
| 8 | Asistencia para derechos de los interesados | El proveedor debe ayudar a responder solicitudes de acceso, eliminación y portabilidad |
| 9 | Notificación de brechas | 24-72 horas; qué información; qué canal |
| 10 | Devolución / eliminación de datos | A la terminación; certificación; excepciones de retención documentadas |
| 11 | Derechos de auditoría | Razonables, con aviso previo; el SOC 2 / ISO 27001 más reciente del proveedor suele ser suficiente |
| 12 | Responsabilidad e indemnización | Alineada con el MSA; no limitada por debajo de la exposición a multas regulatorias |
Las plantillas de los proveedores suelen fallar en el aviso de subprocesadores (sin advertencia previa, sin derecho de oposición), las transferencias internacionales (basándose en mecanismos de transferencia desactualizados) y la notificación de brechas (plazos vagos, canales vagos).
Cómo operacionalizarlo
- Plantilla estándar de DPA adjunta a cada MSA. No negocies a partir del DPA del proveedor —presenta tu DPA estándar como la versión predeterminada. La mayoría de los proveedores lo aceptarán.
- Lista de subprocesadores mantenida por el proveedor. Suscríbete a las notificaciones de cambios de subprocesadores. Añade al calendario de gestión de proveedores para revisión.
- Auditoría de transferencias transfronterizas. Una vez al año, audita qué proveedores procesan datos personales de la UE/RU fuera del EEE y verifica que el mecanismo de transferencia esté vigente (especialmente tras los cambios de Schrems II / Marco de Privacidad de Datos).
- Simulacro de notificación de brecha. Anualmente, simula una notificación de brecha de proveedor y verifica el proceso de respuesta de tu equipo —quién notifica a quién, en qué plazo, con qué implicaciones regulatorias—.
- Escrutinio del DPA de proveedores de AI. Los proveedores de AI que entrenan con datos de clientes son un caso especial —verifica que el DPA excluya explícitamente el uso para entrenamiento, o que el modo sin entrenamiento esté contractualmente garantizado—.
Errores frecuentes
- Aceptar el DPA del proveedor sin negociación. Los DPAs de los proveedores están redactados en beneficio del proveedor; las concesiones estándar al cliente se ocultan en el texto estándar.
- Ignorar el flujo hacia abajo de los subprocesadores. Los subprocesadores de tu proveedor procesan tus datos —las obligaciones de flujo hacia abajo importan—.
- Mecanismos de transferencia desactualizados. Las Cláusulas Contractuales Tipo se revisaron en 2021; algunos DPAs heredados todavía hacen referencia a las SCCs antiguas que ya no son válidas.
- Lenguaje sobre entrenamiento de AI. Muchos DPAs de proveedores de AI establecen por defecto “podemos usar los datos del cliente para mejorar el servicio”. Negocia para una cláusula explícita de sin entrenamiento, o verifica que el nivel empresarial sin entrenamiento sea el que se está adquiriendo.
- Sin registro de auditoría de DPAs firmados. Cuando una investigación regulatoria pregunte “¿qué proveedores procesan la información del interesado X?”, necesitas responder en días, no en meses.
Relacionado
- Rúbrica de revisión de MSA — el contrato principal al que se adjunta el DPA
- Workflow de diligencia debida de proveedores — el proceso más amplio de incorporación de proveedores
- SOP de revisión de contratos — el proceso que determina el nivel de revisión del DPA