Saltar al contenido principal

Data Processing Agreement (DPA) / Acuerdo de Procesamiento de Datos

TL;DR

El Acuerdo de Procesamiento de Datos, o DPA para abreviar, es un contrato legalmente vinculante entre una empresa y un tercero procesador de datos, destinado a regular la privacidad de los datos en lo que respecta al cumplimiento de la RGPD.

¿Qué es el Acuerdo de Procesamiento de Datos (DPA)?

Cualquier empresa que tenga una presencia en línea depende de terceros para funcionar correctamente. Esos terceros pueden ser cualquier cosa, desde un proveedor de correo electrónico hasta una herramienta de análisis de sitios web o una herramienta de chat, etc.; básicamente, cualquier herramienta que procese los datos personales del usuario. Es necesario firmar un Acuerdo de procesamiento de datos entre esa empresa (Controlador) y cada tercero (Procesador) para asegurarse de que los datos se almacenen correctamente y no se utilicen indebidamente, se vendan o sean vulnerables a ataques. Este es uno de los pasos más básicos para cumplir con el RGPD.

La mayoría de estas herramientas de terceros ponen a disposición de los DPA en sus sitios web para ser descargadas y firmadas. Por ejemplo, aquí está el DPA de Visitor Analytics: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. Por lo general, la DPA firmada también puede solicitarse por correo electrónico.

En caso de que necesite crear su propio acuerdo de procesamiento de datos, la plantilla oficial puede descargarse de https://gdpr.eu/data-processing-agreement/. Cualquier organización puede utilizar este documento para cumplir con la normativa de la RGPD y evitar costosas multas.

El acuerdo de procesamiento de datos se aplica a las empresas que almacenan y/o procesan datos procedentes de la Unión Europea y aborda las siguientes cuestiones en relación con el Procesador:

  • debe existir una seguridad adecuada de la información;
  • no se permite a ningún subProcesador utilizar los datos sin el consentimiento del Controlador;
  • debe proporcionarse cooperación con las autoridades de protección de datos cuando sea necesario;
  • las violaciones de los datos deben ser comunicadas inmediatamente al Responsable;
  • deben mantenerse registros de todas las actividades de procesamiento;
  • cumplimiento de las normas de transferencia de datos de la Unión Europea;
  • asistencia al Controlador en la gestión de posibles violaciones de los datos.

Puede encontrarse información más detallada al respecto en: https://gdpr.eu/article-28-processor/.