Visitor Analytics
Saltar al contenido principal

Data Processing Agreement (DPA) / Acuerdo de Procesamiento de Datos

TL;DR

El Acuerdo de procesamiento de datos, o DPA para abreviar, es un contrato legalmente vinculante entre una empresa y un procesador de datos de terceros, destinado a regular la privacidad de los datos con respecto al cumplimiento de GDPR.

¿Qué es el Acuerdo de procesamiento de datos (DPA)?

Cualquier negocio que tenga presencia en línea depende de terceros para funcionar correctamente. Esos terceros pueden ser cualquier cosa, desde un proveedor de correo electrónico hasta una herramienta de análisis de sitios web o una herramienta de chat, etc. básicamente, cualquier herramienta que trate datos personales del usuario. Se debe firmar un Acuerdo de procesamiento de datos entre esa empresa (Controlador) y cada tercero (Procesador) asegurándose de que los datos se almacenen correctamente y no se usen indebidamente, se vendan o sean vulnerables a ataques. Este es uno de los pasos más básicos para cumplir con el RGPD.

La mayoría de estas herramientas de terceros hacen que los DPA estén disponibles en sus sitios web para descargarlos y firmarlos. El DPA firmado generalmente también se puede solicitar por correo electrónico.

En caso de que necesite crear su propio acuerdo de procesamiento de datos, la plantilla oficial se puede descargar desde https://gdpr.eu/data-processing-agreement/. Cualquier organización puede usar este documento para cumplir con el RGPD y evitar multas costosas.

El Acuerdo de procesamiento de datos se aplica a las empresas que almacenan y/o procesan datos de la Unión Europea y aborda los siguientes problemas con respecto al Procesador:

  • debe existir una seguridad de la información adecuada;
  • ningún subprocesador puede usar los datos sin el consentimiento del Controlador;
  • se debe proporcionar cooperación con las Autoridades de Protección de Datos cuando sea necesario;
  • las violaciones de datos deben informarse inmediatamente al Controlador;
  • se deben mantener registros de todas las actividades de procesamiento;
  • cumplimiento de las normas de transferencia de datos de la UE;
  • asistencia al Responsable en la gestión de posibles violaciones de datos.

Puede encontrar información más detallada al respecto aquí: https://gdpr.eu/article-28-processor/.