Acuerdos de procesamiento de datos (DPA): con quién, cuándo y sin complicarlo

Todo SaaS que procese datos personales en tu nombre necesita un DPA. Normalmente ya lo tienen publicado en su web. Aquí tienes el checklist para no acabar con 40 PDF sueltos al cabo de un año.

Un acuerdo de procesamiento de datos (Data Processing Agreement, DPA) es obligatorio entre tú (responsable del tratamiento) y cada proveedor que procese datos personales en tu nombre.

¿Con quién necesitas un DPA?

• Tu software de contabilidad (procesa datos de clientes y empleados).
• Tu CRM.
• Tu sistema de RRHH.
• Tu herramienta de email marketing (MailChimp, Mailerlite, ActiveCampaign).
• Tu hosting y almacenamiento en la nube (M365, Google Workspace, AWS).
• Tu CDN / seguridad (Cloudflare).
• Tu herramienta de soporte al cliente (Intercom, Zendesk, Help Scout).
• Tu gestoría o asesoría (si tratan tus datos).

¿Con quién NO?

• Tu proveedor de internet (no actúa como encargado del tratamiento).
• Tu proveedor de telefonía.
• Tu pasarela de pago (el banco actúa como «responsable independiente», no como encargado).

Contenido del DPA

La mayoría de los grandes proveedores tienen un DPA estándar disponible online. Descárgalo y fírmalo digitalmente. Debe incluir:

• Finalidad y duración del tratamiento.
• Categorías de datos y de interesados.
• Medidas de seguridad del proveedor.
• Subencargados (qué región de AWS, qué terceros externos).
• Obligación de notificación ante incidentes.
• Asistencia en el ejercicio de derechos de los interesados.

Archivo y conservación

Guarda todos los DPA en una única carpeta, con la fecha de firma y la versión del documento. Cuando cambies de proveedor: firma un DPA con el nuevo, y conserva el anterior en el archivo durante el plazo de retención establecido.

Ver también: Guía GDPR para pymes, subencargados fuera de la UE.