Un acuerdo de tratamiento de datos (DPA, por sus siglas en inglés) es el contrato que regula cómo un proveedor trata los datos personales en tu nombre.
Antes de firmar con cualquier proveedor, pregunta por:
- la ubicación de almacenamiento de los datos
- los subencargados del tratamiento
- los plazos de notificación de brechas de seguridad
- las prácticas de entrenamiento de IA
- los derechos de auditoría y
- los procedimientos de eliminación.
Los requisitos varían entre el RGPD, el RGPD del Reino Unido y las leyes de privacidad estatales de EE. UU., y cada jurisdicción exige un lenguaje contractual específico.
Este artículo tiene una finalidad meramente informativa y no constituye asesoramiento jurídico. Las organizaciones deben consultar a un asesor legal cualificado para obtener orientación específica de cada jurisdicción sobre acuerdos de tratamiento de datos y cumplimiento de la normativa de privacidad.
Por qué el DPA de tu proveedor es un documento de cumplimiento y una señal de riesgo
Firmar un contrato con un proveedor de software es pura rutina. Pero subir grabaciones, compartir datos de clientes o conectar una herramienta de inteligencia de reuniones a tu calendario implica riesgos de otro calibre.
Desde el punto de vista legal, en el momento en que los datos personales pasan a un encargado del tratamiento externo, tú sigues siendo responsable de lo que ocurra con ellos.
Ese es el principio básico detrás de los requisitos del DPA: el responsable del tratamiento (la organización que determina los fines y medios del tratamiento) sigue respondiendo por la conducta del encargado.
En Europa
Según el artículo 28 del RGPD, esa responsabilidad es estructural. Un DPA bien redactado documenta que la relación se gestionó correctamente. Un DPA mal redactado, o su ausencia, deja esa responsabilidad sin asignar.
Las cifras de las sanciones lo hacen tangible. Según el estudio de DLA Piper sobre multas del RGPD y brechas de datos (enero de 2026), las multas acumuladas del RGPD desde mayo de 2018 alcanzan los 7.100 millones de euros, y solo en 2025 se impusieron aproximadamente 1.200 millones.
El mismo estudio registró un aumento interanual del 22% en las notificaciones de brechas, de 363 a 443 al día: la primera vez que la media diaria supera las 400 notificaciones desde la entrada en vigor del RGPD.
En Estados Unidos
En EE. UU., las sanciones de la CCPA/CPRA pueden alcanzar los 7.988 dólares por infracción intencionada, según los umbrales ajustados al IPC de la CPPA.
Las organizaciones estadounidenses suelen dar por hecho que los DPA son un requisito europeo. No lo son.
La CCPA/CPRA exige contratos escritos con los proveedores de servicios que prohíban expresamente vender los datos, divulgarlos a terceros o combinarlos con información personal que el proveedor haya recopilado por su cuenta
Colorado, Virginia, Connecticut y otros estados con leyes de privacidad vigentes exigen acuerdos similares. El término legal difiere; la sustancia es la misma.
📚 Lee también:
Antes de preguntar nada: entiende qué tipo de relación de tratamiento tienes
En una relación responsable-encargado, tú determinas los fines y medios del tratamiento y el proveedor actúa siguiendo tus instrucciones. Un DPA estándar conforme al artículo 28 del RGPD regula esta relación. Es el esquema que se aplica a la mayoría de las herramientas SaaS.
Por otro lado, en una relación de responsable a responsable, el proveedor trata los datos para sus propios fines independientes. Si un proveedor desarrolla productos, ejecuta analíticas o entrena modelos de IA con tus datos, puede estar actuando como responsable en esas actividades aunque a la vez actúe como encargado en otras.
En ese caso, un DPA estándar de encargado no cubre las actividades del proveedor como responsable. Si el DPA no distingue explícitamente entre ambos roles, el acuerdo tiene una debilidad estructural que ninguna negociación sobre plazos de notificación o listas de subencargados podrá arreglar.
Antes de enviar las preguntas siguientes, confirma dos cosas: qué rol desempeña este proveedor y si el DPA refleja la relación real.
📚 Lee también:
Qué preguntar a tu proveedor y cómo reconocer una buena respuesta
Estos son criterios para evaluar si un DPA protege de verdad. La capacidad del proveedor para responderlos con rapidez y concreción indica si la infraestructura de cumplimiento existe o se montó a posteriori.
1. ¿Dónde se almacenan y tratan mis datos?
La residencia de los datos determina qué marco jurídico rige tus datos y si hacen falta mecanismos de transferencia internacional.
Para las organizaciones de la UE y del Reino Unido, transferir datos a un país sin decisión de adecuación exige las Cláusulas Contractuales Tipo (SCC) para las transferencias desde la UE, o el UK International Data Transfer Agreement (UK IDTA) para las transferencias desde el Reino Unido.
No son intercambiables.
📌 Un matiz crítico: La ubicación de los servidores y la jurisdicción de la entidad jurídica son dos cosas distintas. Un proveedor con sede en EE. UU. y centros de datos en la UE sigue estando sujeto al CLOUD Act estadounidense, que puede obligarle a entregar datos con independencia de dónde se encuentren físicamente.
Pregunta específicamente si la entidad jurídica del proveedor está constituida en la UE o el EEE, no solo dónde están los servidores.
En el caso de los proveedores estadounidenses, comprueba si el proveedor participa en el Marco de Privacidad de Datos UE-EE. UU., confirmado por el Tribunal General de la UE en septiembre de 2025. A mediados de 2026 sigue pendiente un recurso ante el TJUE (asunto C-703/25 P), así que las organizaciones que se apoyan en el DPF deberían mantener las SCC como salvaguarda paralela.
✅ Buena señal: entidad constituida en la UE con centros de datos solo en la UE, o proveedor estadounidense con certificación DPF activa y SCC.
❌ Mala señal: «infraestructura global» sin concreción de jurisdicciones, o incapacidad de confirmar el país de constitución de la entidad jurídica.
2. ¿Quiénes son tus subencargados y cómo se controlan?
Los subencargados son los terceros de los que depende tu proveedor para prestar su servicio.
Según el artículo 28 del RGPD, deben estar sujetos a las mismas obligaciones de protección de datos que el encargado principal. La CPRA también exige trasladar explícitamente estas obligaciones a lo largo de la cadena.
Pregunta si el proveedor mantiene una lista de subencargados actualizada y accesible públicamente; cómo y cuándo se notifica a los clientes la incorporación de nuevos subencargados; y de cuánto tiempo disponen los clientes para oponerse.
✅ Buena señal: lista pública de subencargados con suscripción a notificaciones y un plazo de oposición de 30 días.
❌ Mala señal: aprobación previa en bloque de todos los subencargados actuales y futuros, sin obligación de notificación.
3. ¿Usarás mis datos para entrenar modelos de IA?
Muchos proveedores de IA se reservan el derecho de usar los datos de sus clientes para mejorar sus modelos. Ese derecho a menudo no aparece en el DPA; vive en los términos del servicio, bajo un lenguaje tan inocuo como «para mejorar nuestros servicios».
La distinción es importante: una política de privacidad puede cambiar de forma unilateral. Una cláusula de un DPA, no. Un ajuste del producto no es un contrato.
Pregunta específicamente si el DPA incluye una prohibición contractual explícita de usar el contenido del cliente (grabaciones, transcripciones, resúmenes) para entrenar, afinar o mejorar modelos de IA, y si esa prohibición se aplica por defecto o requiere que el cliente la solicite (opt-out).
✅ Buena señal: prohibición contractual explícita y vinculante del entrenamiento de IA, sin excepciones.
❌ Mala señal: la prohibición de entrenamiento existe solo como un ajuste del producto; el DPA no menciona el entrenamiento de IA en absoluto.
4. ¿Qué certificaciones de seguridad tienes y puedes acreditarlas?
El artículo 32 del RGPD exige a los encargados implantar medidas técnicas y organizativas (TOM) adecuadas al riesgo.
Un lenguaje genérico en el DPA como «prácticas de seguridad comercialmente razonables» no es suficiente; el acuerdo debe nombrar controles concretos.
Las certificaciones son la vía más rápida de comprobación. Solicita un informe SOC 2 Type II vigente (no un Type I, ni uno con más de 12 meses de antigüedad). Confirma que los estándares de cifrado están especificados en el DPA (AES-256 en tránsito y en reposo).
✅ Buena señal: informe SOC 2 Type II vigente disponible bajo acuerdo de confidencialidad (NDA); estándares de cifrado nombrados en el DPA.
❌ Mala señal: certificaciones mencionadas en el marketing pero no documentables; solo hay disponible un informe SOC 2 Type I.
5. ¿Con qué rapidez me notificarás una brecha de seguridad?
El artículo 33 del RGPD obliga a los responsables a notificar a las autoridades de control en un plazo de 72 horas desde que tienen conocimiento de una brecha.
Como ese reloj empieza a correr cuando el responsable se entera, un encargado lento consume directamente el margen de respuesta del responsable. El RGPD del Reino Unido replica esta norma.
El DPA debe especificar un plazo máximo de notificación, no limitarse a describirla como «con prontitud» o «sin dilación indebida». Ambas fórmulas tienen sentido legal, pero son operativamente vagas.
✅ Buena señal: el DPA especifica una notificación en un máximo de 72 horas desde la detección, con un contacto de escalado designado.
❌ Mala señal: «con prontitud» o «sin dilación indebida» sin plazo concreto; una brecha definida de forma tan estrecha que excluye incidentes que a ti sí te importarían.
6. ¿Cuáles son mis derechos de auditoría y cómo los ejerzo?
El artículo 28 del RGPD otorga a los responsables el derecho de auditar a los encargados y de acceder a toda la información necesaria para demostrar el cumplimiento.
En la práctica, el derecho a solicitar un informe SOC 2 Type II vigente es el mecanismo operativo.
Pregunta si el DPA acepta explícitamente que un informe de auditoría de terceros satisface esta obligación, si especifica un plazo de preaviso (30 días es lo estándar) y si extiende algún derecho de auditoría a los subencargados.
✅ Buena señal: SOC 2 Type II aceptado como cumplimiento de la auditoría; preaviso de 30 días especificado; algún mecanismo para verificar el cumplimiento de los subencargados.
❌ Mala señal: derecho de auditoría vago; una página web pública citada como cumplimiento de la obligación; sin mecanismo de auditoría de subencargados.
7. ¿Cómo y cuándo se eliminarán mis datos?
El DPA debe especificar un calendario de retención, los eventos que activan la eliminación y si el proveedor entrega una certificación escrita de eliminación al terminar el contrato.
Pregunta si la eliminación cubre todas las copias (incluidas las copias de seguridad y las de los subencargados) y si se conservan derivados anonimizados una vez finalizada la relación.
✅ Buena señal: calendario de retención definido; eliminación en un plazo de 30 días tras la terminación; certificación escrita disponible; el alcance cubre las copias de seguridad.
❌ Mala señal: la retención se rige por la política de privacidad del proveedor en lugar del DPA; no se entrega certificación de eliminación.
8. ¿Qué jurisdicciones cubre tu DPA?
Un DPA redactado para cumplir el RGPD no satisface automáticamente las obligaciones del RGPD del Reino Unido.
Tras el Brexit, el Reino Unido opera un régimen separado, y el UK IDTA (no las SCC de la UE) es el mecanismo exigido para las transferencias internacionales desde el Reino Unido.
Para las organizaciones estadounidenses sujetas a la CCPA, el DPA debe prohibir explícitamente al proveedor vender, retener o divulgar información personal para cualquier fin ajeno al servicio contratado.
✅ Buena señal: RGPD, RGPD del Reino Unido y CCPA/CPRA nombrados explícitamente; UK IDTA incluido para las transferencias desde el Reino Unido; anexo CCPA con prohibiciones enumeradas específicas.
❌ Mala señal: un comodín de «leyes de protección de datos aplicables» sin mecanismos específicos por jurisdicción; ninguna referencia al Reino Unido como jurisdicción diferenciada.
📚 Lee también:
La lista de verificación del DPA del proveedor, de un vistazo
| Pregunta | Qué debe decir el DPA | Buena señal | Mala señal |
|---|---|---|---|
| ¿Dónde se almacenan y tratan los datos? | Cláusula de residencia de datos; mecanismo de transferencia internacional nombrado | Entidad de la UE + servidores en la UE, o proveedor de EE. UU. certificado en el DPF | «Infraestructura global» sin concreción de jurisdicciones |
| ¿Quiénes son los subencargados? | Lista de subencargados; derechos de notificación y oposición | Lista pública con actualizaciones por suscripción; plazo de oposición de 30 días | Aprobación previa en bloque; sin obligación de notificación |
| ¿Se usan mis datos para entrenar modelos de IA? | Prohibición contractual explícita del entrenamiento de IA | Prohibición vinculante en el DPA, sin excepciones | Solo con exclusión voluntaria; la prohibición existe como ajuste del producto |
| ¿Qué certificaciones de seguridad se aplican? | TOM específicas; mecanismo de documentación | Informe SOC 2 Type II vigente bajo NDA; ISO 27001 con detalles del certificado | Certificaciones citadas en el marketing pero no documentables |
| ¿Cuáles son las condiciones de notificación de brechas? | Plazo concreto, no «con prontitud» | 72 horas desde la detección; contacto de escalado designado | «Con prontitud» sin plazo definido |
| ¿Cuáles son mis derechos de auditoría? | Derecho a auditar o a solicitar informes; mecanismo para ejercerlo | SOC 2 aceptado como cumplimiento de la auditoría; preaviso de 30 días | Derecho de auditoría vago; página web pública citada como cumplimiento de la obligación |
| ¿Cuándo y cómo se eliminan mis datos? | Calendario de retención; certificación de eliminación | Eliminación en 30 días tras la terminación; certificación escrita; cubre las copias de seguridad | Retención regida por la política de privacidad; sin certificación de eliminación |
| ¿Qué jurisdicciones cubre? | RGPD, RGPD del Reino Unido y CCPA nombrados explícitamente, con mecanismos específicos por jurisdicción | Todos los marcos relevantes nombrados; UK IDTA para las transferencias desde el Reino Unido | Solo RGPD, con una referencia comodín a las «leyes aplicables» |
¿Qué hacer cuando el DPA de un proveedor no da la talla?
Un DPA que no cumple algunos de estos criterios no convierte automáticamente al proveedor en alguien con quien no puedas trabajar; pero sí en uno con quien debes negociar antes de firmar.
Las cláusulas de los DPA de nivel enterprise suelen ser negociables: los plazos de notificación de subencargados, los tiempos de eliminación, el alcance jurisdiccional y el lenguaje de prohibición del entrenamiento de IA se modifican con frecuencia.
Si el contrato estándar de un proveedor no incluye ningún DPA, solicítalo explícitamente durante el proceso de alta. Los proveedores SaaS con sede en EE. UU. suelen facilitarlo, previa solicitud, como un anexo de tratamiento de datos independiente.
Un proveedor que no puede presentar uno, o que trata la petición como algo inusual, está señalando que el cumplimiento no forma parte de su forma de operar. Eso es un riesgo de proveedor material, independiente de la calidad de su producto.
Cómo es un DPA conforme en la práctica
Las herramientas de audio e inteligencia de reuniones plantean una versión más aguda del problema del DPA que la mayoría de las categorías de software.
Las grabaciones contienen las voces de los hablantes, el contenido de las reuniones y datos de conversaciones: todo datos personales que merecen un tratamiento cuidadoso. El DPA que rige esa relación debe reflejar la sensibilidad de lo que se está tratando.
📌 Así es como se ve esto en la práctica en el caso de HappyScribe:
El centro de datos de HappyScribe está dentro de la Unión Europea. Es una instalación Tier IV, certificada conforme a los estándares PCI DSS e ISO 27001. Los servidores están separados físicamente de los de otros clientes.
La empresa cuenta con la certificación SOC 2 Type II, con los detalles disponibles a través de su Trust Center. El control de acceso basado en roles está disponible en todas las cuentas. Los empleados firman acuerdos de confidencialidad (NDA) como condición de empleo, lo que limita el acceso interno al contenido de los clientes.
Preguntas frecuentes sobre los acuerdos de tratamiento de datos
¿Cuál es la diferencia entre un acuerdo de tratamiento de datos y un acuerdo de intercambio de datos?
Un DPA regula una relación responsable-encargado: el encargado trata los datos siguiendo las instrucciones del responsable y no puede usarlos para fines propios.
En cambio, un acuerdo de intercambio de datos regula una relación de responsable a responsable, en la que ambas partes determinan los fines de forma independiente. Si un proveedor fija sus propios fines para tus datos, un DPA por sí solo es insuficiente.
¿Necesitan las empresas estadounidenses un acuerdo de tratamiento de datos?
Las empresas estadounidenses que tratan datos personales de la UE o del Reino Unido necesitan un DPA conforme al RGPD o al RGPD del Reino Unido. Para operaciones exclusivamente en EE. UU., la CCPA/CPRA exige contratos de proveedor de servicios que prohíban al proveedor vender o seguir divulgando información personal más allá del fin contratado.
¿Puede un solo DPA cubrir los requisitos del RGPD y de la CCPA?
Un único documento puede cubrir ambos, siempre que los requisitos de cada jurisdicción se nombren explícitamente. Muchos DPA conformes al RGPD incluyen un anexo CCPA que cubre las prohibiciones específicas de California. El RGPD del Reino Unido requiere una sección separada que aborde los mecanismos de transferencia específicos del Reino Unido, en concreto el UK IDTA en lugar de las SCC de la UE, ya que ambos regímenes divergieron tras el Brexit.
¿Qué pasa si firmo un contrato con un proveedor que no tiene DPA?
Según el RGPD, operar sin un contrato de encargado conforme infringe el artículo 28. El responsable sigue respondiendo por la conducta del encargado, y la ausencia de un acuerdo escrito dificulta la defensa ante una investigación de la autoridad de control. Según la CCPA, la falta de contrato puede hacer que la transferencia de datos se clasifique como una venta de información personal, lo que activa las obligaciones de exclusión voluntaria de los consumidores.
¿Con qué frecuencia debo revisar el DPA de un proveedor?
Como mínimo, una vez al año y en cada renovación del contrato. Las listas de subencargados cambian, la normativa evoluciona y los informes SOC 2 Type II caducan cada 12 meses. Programa recordatorios en el calendario vinculados a las fechas de renovación en lugar de tratar la revisión del DPA como un paso único.
¿Debe un DPA abordar el entrenamiento de modelos de IA?
Las plantillas estándar del artículo 28 del RGPD son anteriores a la IA generativa y no incluyen por defecto ninguna cláusula sobre entrenamiento. Si un proveedor usa datos personales para entrenar o afinar sus modelos, se trata de un fin de tratamiento secundario que requiere su propia base jurídica. Para cualquier proveedor que trate contenido conversacional o de audio, solicitar una prohibición contractual explícita es una posición de compra razonable y cada vez más habitual.
R Das
Rodoshi ayuda a las marcas SaaS a crecer con contenido que genera clics, conversiones y mejora su posicionamiento en los resultados de búsqueda y en las páginas de resultados de aprendizaje. Dedica sus días a probar herramientas, analizar tecnología y transformar información en narrativas atractivas. En su tiempo libre, cambia los paneles de control por novelas policiacas y la jardinería.
