• nuevo

    Lanzamiento 2026.06 - Llevando la Data Observability a su código

  • nuevo

    Contribuya al futuro de la innovación en IA y datos

  • nuevo

    • Lanzamiento 2026.06 - Llevando la Data Observability a su código

  • nuevo

    • Contribuya al futuro de la innovación en IA y datos

Acuerdo de Procesamiento de Datos: Cláusulas y Negociación

|

7

minuto de lectura

Por fin, un proveedor supera la revisión de seguridad. Compras está listo. Ingeniería quiere que la integración esté disponible esta semana. Entonces, un acuerdo de procesamiento de datos llega a su bandeja de entrada y todo se detiene.

Es largo, denso y está lleno de cláusulas que parecen intercambiables hasta que se leen detenidamente. Una versión otorga al proveedor amplios derechos de subencargado de tratamiento. Otra limita el soporte en caso de brechas a vagos “esfuerzos comercialmente razonables”. Una tercera parece impecable, pero omite términos que importan si su equipo alguna vez tiene que investigar un incidente de seguridad o responder ante un regulador. Por eso, tratar un DPA como simple papeleo es un error.

Lo que está en juego es real. A fecha de marzo de 2025, las autoridades de protección de datos de la UE han impuesto multas por un total aproximado de 5.600 millones de euros en virtud del RGPD, y las organizaciones que carecen de un DPA válido están expuestas a sanciones de hasta 10 millones de euros o el 2% de la facturación anual global según el Artículo 83(4), tal como se resume en este resumen del DPA del RGPD. Para los equipos de datos, esa norma jurídica se traduce en algo sencillo. Si otra empresa gestiona datos personales en su nombre, el contrato que rige esa relación debe ser estructuralmente sólido.

Eso va mucho más allá de lo legal. Un DPA sólido obliga a tener claridad sobre quién puede acceder a los datos, cómo se escalan los incidentes, qué sucede cuando finaliza el contrato y si su equipo puede verificar algo de esto. También es importante cuando se revisan los términos de privacidad del proveedor, como una privacy policy de digna publicada, porque los compromisos públicos y los compromisos contractuales deben estar alineados.

Tabla de contenidos

Introducción: El DPA en su bandeja de entrada

El patrón habitual es familiar. Un responsable de negocio dice que el proveedor presenta un riesgo bajo porque es "solo software". Seguridad pregunta si el proveedor almacena datos de clientes. El departamento legal solicita el DPA. Nadie se pone de acuerdo sobre cuál es el riesgo real, por lo que el acuerdo se estanca.

Una buena revisión del DPA comienza descartando dos malos instintos. El primero es firmar el documento del proveedor tal como está porque el proyecto parece urgente. El segundo es corregir cada cláusula sin entender qué puntos son obligatorios por ley, cuáles son prácticas habituales del mercado y cuáles dependen de la arquitectura.

Por qué este documento es importante a nivel operativo

Un DPA decide cómo trabajará su equipo de manera conjunta cuando las cosas salgan mal, no solo cuando todo funcione bien. Si un encargado del tratamiento utiliza un nuevo subencargado, sufre un incidente o conserva los datos más tiempo de lo esperado, el DPA es el documento que determina si usted tiene capacidad de influencia o solo excusas.

Por eso los equipos maduros tratan el DPA como parte del Data Governance del proveedor, no solo como una corrección de contratos. Ingeniería de datos, seguridad, privacidad, compras y los propietarios de plataformas necesitan leerlo a través de sus propios enfoques.

Regla práctica: Si su equipo no puede explicar con un lenguaje sencillo qué puede hacer el proveedor con sus datos, el DPA no está listo para firmar.

Qué buscan primero los equipos inteligentes

Antes de que nadie modifique la redacción, confirme tres aspectos básicos:

  • Claridad de roles: ¿El proveedor actúa como encargado del tratamiento o bajo una función jurídica distinta?

  • Realismo de los flujos de datos: ¿Describe el contrato lo que el producto realmente hace, incluidos los accesos, el modelo de alojamiento y el de soporte?

  • Detalle ejecutable: ¿Son las obligaciones lo suficientemente específicas como para verificarlas mediante pruebas, registros, informes o materiales de auditoría?

Este último punto a menudo se pasa por alto. En la práctica, los contratos fallan cuando se basan en promesas generales sin una vía de verificación.

Qué es un acuerdo de procesamiento de datos

Un acuerdo de procesamiento de datos es el contrato vinculante que establece las reglas cuando una organización procesa datos personales en nombre de otra. El responsable del tratamiento decide por qué y cómo deben procesarse los datos personales. El encargado del tratamiento realiza ese trabajo siguiendo las instrucciones del responsable.

A diagram illustrating a data processing agreement between a data controller and a data processor.

Piense en él como el manual de funcionamiento para el tratamiento de datos delegado

La forma más sencilla de explicar un DPA es esta: está otorgando a otra empresa una autoridad limitada para gestionar datos sobre los cuales usted sigue siendo el responsable final. El DPA define los límites de esa autoridad.

Si el proveedor aloja un CRM, una plataforma de nóminas, una herramienta de soporte, un servicio de análisis o un entorno de datos en la nube que interactúa con datos personales en su nombre, el DPA le indica qué puede hacer, qué debe proteger, a quién más puede involucrar y cómo debe ayudar si un interesado o un regulador lo solicita.

La división entre responsable y encargado del tratamiento

Esta distinción suena legalista, pero tiene consecuencias prácticas.

Rol

Qué deciden

Principal responsabilidad práctica

Responsable del tratamiento

Fines y medios del procesamiento

Elige al proveedor, establece las instrucciones, verifica la Compliance

Encargado del tratamiento

Cómo realiza operativamente el servicio dentro de esas instrucciones

Protege los datos, cumple el contrato, apoya al responsable

Un responsable no puede delegar su responsabilidad solo porque un proveedor tenga buena reputación. Un encargado no puede aceptar instrucciones vagas y asumir que es problema de otro. Ambas partes necesitan un DPA que refleje el servicio real.

Qué se considera procesamiento en la vida real

El procesamiento no se limita al almacenamiento obvio o al análisis. Puede incluir el acceso durante el soporte, la gestión de copias de seguridad, el envío de alertas, la transformación, el enriquecimiento, la supervisión y los flujos de trabajo de eliminación. La pregunta práctica es si el proveedor gestiona datos personales en su nombre en alguna de esas actividades.

Por eso los ingenieros deben estar presentes. Los equipos legales suelen revisar la redacción. Los ingenieros saben si el producto copia filas, se ejecuta dentro de su entorno o solo ve metadatos. Esas diferencias importan.

Un DPA es la diferencia entre "asumimos que el proveedor se encargaba de esto" y "el contrato indica exactamente quién debe hacer qué".

Cuando los equipos omiten esa fundamentación técnica, firman contratos que describen un sistema muy diferente al que realmente está implementado.

Las ocho cláusulas obligatorias del DPA según el RGPD

En virtud del Artículo 28(3) del RGPD, un DPA es legalmente obligatorio y debe incluir explícitamente ocho disposiciones específicas, que incluyen instrucciones documentadas, confidencialidad, medidas de seguridad, reglas para subencargados, asistencia con los derechos de los interesados, soporte en caso de brechas, eliminación o devolución de datos, y derechos de auditoría, como se detalla en este resumen de requisitos DPA del Artículo 28.

A diagram outlining the eight mandatory Data Processing Agreement clauses required under GDPR Article 28(3) for processors.

El mínimo legal que no se puede ignorar

Si falta uno de estos elementos, el DPA no es simplemente débil, sino que puede incumplir la normativa. Ese es el problema base antes incluso de entrar en las preferencias de negociación.

Esto es lo que significa realmente cada cláusula en la práctica.

  1. Instrucciones documentadas únicamente
    El encargado del tratamiento no puede decidir por su cuenta dar otro uso a sus datos. Si quiere utilizar datos de clientes para el entrenamiento de modelos, análisis internos o mejoras de productos, esto debe estar expresamente autorizado o excluido.

  2. Obligaciones de confidencialidad
    Cualquier persona con acceso a los datos debe estar sujeta a un deber de confidencialidad. En la práctica, conviene que esto abarque a empleados, contratistas y personal de soporte, y no sea simplemente una promesa general de la empresa.

  3. Medidas de seguridad según el Artículo 32
    El DPA debe vincular los compromisos de seguridad con controles reales. Esto incluye control de acceso, cifrado, supervisión y gestión de incidentes. Si su equipo trabaja en varias regiones, también ayuda alinear esto con sus requisitos de residencia de datos.

  4. Autorización de subencargados de tratamiento
    Los proveedores rara vez operan solos. El alojamiento en la nube, las plataformas de soporte y los proveedores de infraestructura pueden situarse de forma indirecta en la cadena. El DPA necesita una regla para la autorización previa por escrito, la notificación y la transferencia de obligaciones contractuales.

Las cláusulas que definen las operaciones del día a día

Las cláusulas restantes resultan críticas una vez que el producto está en funcionamiento.

  • Asistencia con los derechos de los interesados: si alguien solicita el acceso, rectificación, supresión o limitación, el encargado debe ayudar al responsable a responder.

  • Soporte ante brechas y Evaluaciones de Impacto (EIPD): el encargado debe asistir en la respuesta ante brechas de seguridad y, cuando corresponda, en las evaluaciones de impacto relativas a la protección de datos.

  • Eliminación o devolución al finalizar el contrato: un contrato sin mecánicas claras de salida a menudo se convierte en un problema de retención de datos en el futuro.

  • Derechos de auditoría e información: se necesita alguna vía para verificar el cumplimiento, ya sea mediante documentos, informes o revisiones más profundas.

Si un encargado del tratamiento dice "confíe en nuestro equipo de seguridad" pero se resiste a proporcionar pruebas, el DPA se sostiene más en la confianza que en los hechos verificables.

Cómo es una buena redacción

Los DPAs más sólidos no se limitan a repetir la ley, sino que la ponen en práctica. Indican quién recibe las notificaciones de incidentes, cómo se comunican los cambios de subencargados y qué ocurre con las copias de seguridad al finalizar el contrato.

También se adaptan al contexto. Un proveedor de análisis sanitarios, uno de infraestructura Web3 y una plataforma de recursos humanos no necesitarán los mismos anexos ni el mismo proceso de revisión. Por eso, los equipos que operan en entornos altamente regulados adyacentes a menudo toman ideas de materiales específicos del sector, como esta guía de cumplimiento para empresas Web3, para luego adaptar la redacción contractual a su realidad real de procesamiento en lugar de depender de una plantilla genérica de SaaS.

Una lista de verificación práctica para redactar y revisar DPAs

La mayoría de los problemas de los DPAs no se deben a la falta de términos de moda. Provienen de un alcance vago, una redacción de seguridad imprecisa y términos que nadie puede ejecutar una vez firmado el acuerdo.

A checklist infographic outlining eight essential steps for drafting and reviewing data processing agreements efficiently.

Comience con la realidad del procesamiento, no con la plantilla

Antes de revisar las cláusulas, defina el servicio:

  • Qué datos se ven afectados: identifique si el proveedor gestiona registros de clientes, datos de empleados, registros de logs, solicitudes de soporte o únicamente metadatos técnicos.

  • Hacia dónde se mueven los datos: confirme si los datos se copian, se guardan en caché, se exportan, se accede a ellos de forma remota o se mantienen por completo en su entorno.

  • Quién los toca: incluya equipos internos, subencargados, vías de acceso para soporte y herramientas de administración.

Este ejercicio evita un fallo habitual: que los equipos negocien correcciones en un documento que, de entrada, no describe el producto de forma correcta.

La lista de verificación de revisión que usaría en la práctica

Utilice esto como una revisión operativa, no solo como un control legal.

  • La descripción del procesamiento es específica: el DPA debe identificar la naturaleza y la finalidad del procesamiento con suficiente detalle para que un revisor de seguridad pueda validarlo.

  • El alcance de los datos personales está delimitado: las categorías de datos y de interesados no deben ser tan amplias que autoricen más de lo que el servicio requiere.

  • La redacción de seguridad es verificable: busque referencias a controles concretos, procedimientos documentados y pruebas disponibles.

  • El proceso para subencargados es viable: los plazos de notificación, las vías de oposición y las obligaciones transferidas deben ser lo suficientemente claros para poder gestionarse.

  • Se asigna el soporte para solicitudes de interesados: alguien debe ser responsable de la recepción de solicitudes, el escalado y el soporte de respuesta.

  • La gestión de brechas es operativamente creíble: los activadores de avisos, los canales de comunicación y el contenido mínimo deben ser viables bajo presión.

  • Los términos de salida son explícitos: la devolución de datos, la supresión, las copias residuales y la gestión de copias de seguridad de datos no deben dejarse para un seguimiento informal.

  • Los derechos de auditoría están equilibrados: requiere derechos de verificación, pero acordes al modelo de servicio y nivel de riesgo.

Dónde deberían presionar los equipos más allá del mínimo indispensable

La ley le ofrece una base mínima. La gestión de riesgos a menudo requiere más.

Una revisión madura se pregunta si el tratamiento de la responsabilidad coincide con la sensibilidad de los datos, si los anexos de seguridad están actualizados y si los responsables de cada área conocen sus obligaciones. En entornos con una alta carga de recursos humanos, por ejemplo, muchas de estas mismas preguntas de revisión aparecen en recursos operativos más amplios como esta ultimate data protection guide for HR leaders, aunque el redactado del contrato todavía deba adaptarse a la relación con el proveedor.

Prueba de funcionamiento: Si su responsable de seguridad, asesor de privacidad y propietario de la plataforma interpretasen una cláusula de tres formas diferentes, vuelva a redactarla antes de la firma.

Negociación de su DPA: El enfrentamiento por auditorías y seguridad

La mayoría de las negociaciones de los DPAs no se rompen por la existencia de derechos de auditoría. Se rompen por lo que significa una auditoría en la práctica.

A comparative chart outlining the Controller's pros and Processor's cons regarding data processing agreement audit clauses.

Los responsables del tratamiento quieren una verificación directa. Los encargados de tratamiento quieren un modelo de revisión escalable que no permita a cada cliente realizar una evaluación a medida en sus operaciones en vivo. Ambas posturas son comprensibles. El problema surge cuando cada parte trata su preferencia como la única respuesta conforme a la ley.

Por qué la cláusula de auditoría causa tanta fricción

Aproximadamente el 80% de las negociaciones de DPAs se estancan en la cláusula de auditoría, y un compromiso práctico consiste en que los encargados del tratamiento proporcionen certificaciones como SOC 2 o ISO por adelantado, reservando las auditorías presenciales solo para casos de insuficiencia documentada, según este análisis de de puntos de fricción comunes en DPAs.

Ese compromiso funciona porque separa la garantía rutinaria del escalado excepcional. El responsable obtiene pruebas valiosas rápidamente. El encargado evita una disrupción operativa constante.

Un modelo de negociación viable

He comprobado que esta estructura destraba los acuerdos sin anular los derechos del responsable:

Asunto

Preocupación del responsable

Preocupación del encargado

Compromiso práctico

Garantía rutinaria

Necesidad de prueba de cumplimiento

Demasiadas auditorías a medida

Compartir primero certificaciones, resúmenes y documentación de seguridad

Inspección más profunda

Necesidad de recurso si las pruebas son débiles

Las revisiones presenciales son disruptivas

Permitir auditorías dirigidas en caso de insuficiencia documentada o incidentes

Alcance y plazos

Necesidad de acceso oportuno

Las solicitudes abiertas agotan a los equipos

Definir plazos de notificación, frecuencia, alcance y confidencialidad

Este enfoque también se alinea mejor con el funcionamiento de los programas de seguridad modernos. Muchos riesgos pueden validarse mediante pruebas de controles, gobernanza de accesos, artefactos de pruebas y materiales de registro, en lugar de visitas físicas repetidas. Los equipos que crean estructuras sólidas con database monitoring and auditing techniques suelen tener una base mucho mejor para estas conversaciones porque pueden demostrar la trazabilidad en lugar de depender únicamente de promesas.

Los anexos de seguridad importan tanto como los derechos de auditoría

La cláusula de auditoría suele acaparar la atención, pero el anexo de seguridad suele merecer una revisión más exhaustiva. Un anexo creíble debe abordar el cifrado en reposo y en tránsito, pruebas de seguridad periódicas como pruebas de penetración y escaneos de vulnerabilidades, procedimientos documentados de respuesta ante brechas, obligaciones transferidas a subencargados, cadenas de autorización para transferencias que incluyan cláusulas contractuales tipo (SCC) y pistas de auditoría para actividades de acceso y procesamiento de datos, como se describe en esta descripción práctica de las especificaciones de seguridad de un DPA.

Ahí es donde la revisión técnica externa puede resultar de ayuda. Si un proveedor afirma disponer de medidas de seguridad sólidas en un entorno regulado, servicios independientes como Affordable Pentesting HIPAA services pueden ayudar a los equipos a comprobar si los controles descritos en los contratos se reflejan en la práctica real de seguridad.

No negocie una cláusula de auditoría exótica para acabar aceptando un anexo de seguridad pobre. En el anexo es donde reside la mayor parte del riesgo real.

DPAs para plataformas en bases de datos como digna

Muchos equipos siguen asumiendo que todas las herramientas de datos necesitan la misma estructura de DPA. Esa suposición se desmorona cuando se analiza la arquitectura.

A diagram illustrating why Data Processing Agreements are generally not needed for in-database platforms like Digna.

La pregunta inicial que la mayoría de las plantillas ignoran

Si una plataforma se ejecuta dentro de su entorno, no exporta filas y el proveedor no accede a los conjuntos de datos de producción, ¿está ante el mismo modelo de encargado de tratamiento que una plataforma SaaS convencional que copia y aloja datos de clientes en su propia nube?

A menudo, no. Y esa distinción es importante. Un vacío habitual en la cobertura de DPAs es el tratamiento de herramientas que no procesan PII, y el 60% de las empresas asumen erróneamente que se necesita un DPA para todas las herramientas de datos, mientras que las plataformas en las que el proveedor no accede a los conjuntos de datos de producción a menudo se gestionan de forma inadecuada mediante plantillas genéricas, según se destaca en este debate sobre cuestiones de aplicabilidad de los DPAs.

El problema no es que un DPA sea siempre malo o innecesario. El problema es que el análisis legal y operativo varía cuando la arquitectura del proveedor cambia.

Por qué la ejecución en la base de datos cambia el modelo de riesgo

Los DPAs tradicionales de SaaS se diseñan en torno a un modelo de transferencia. Los datos salen de su entorno. El proveedor los almacena o procesa en una infraestructura que controla. Esto genera obligaciones obvias en el DPA relativas al acceso, el almacenamiento, los subencargados, los mecanismos de transferencia y la eliminación de datos.

Los sistemas integrados en las bases de datos funcionan de otra manera. La lógica se ejecuta allí donde ya residen los datos. Esto puede reducir significativamente el rol del proveedor si este no accede a los registros subyacentes ni los extrae.

Esto es especialmente importante en casos de uso de Observability y calidad. La detección de anomalías de datos es el proceso de identificar puntos de datos que se desvían de manera significativa de los patrones o tendencias esperados dentro de un conjunto de datos, como se describe en esta definición de detección de anomalías. Las plataformas modernas a menudo utilizan la detección de anomalías basada en IA, que aplica machine learning para identificar patrones inusuales sin depender únicamente de reglas estáticas, tal como se explica en este resumen de la detección de anomalías con IA. Un método común es el aprendizaje no supervisado, que identifica desviaciones a partir de los patrones descubiertos sin requerir datos etiquetados, según este resumen de técnicas de detección de anomalías. En la práctica, esto permite que un sistema de monitoreo aprenda el comportamiento normal y detecte rápidamente cambios inusuales en grandes volúmenes de datos, que es el valor central que se describe en este explicativo de detección de anomalías por IA.

Desde el punto de vista contractual, no obstante, la pregunta clave es más acotada que el método técnico: ¿procesa el proveedor datos personales en su nombre o el software se ejecuta dentro de su entorno sin que el proveedor tenga acceso a dichos datos?

Qué revisar en lugar de recurrir por defecto a un DPA de SaaS genérico

Para las herramientas integradas en bases de datos, la revisión del contrato debe centrarse en cuestiones alineadas con su arquitectura:

  • Modelo de acceso del proveedor: ¿Puede el proveedor ver filas de producción durante las actividades de soporte, resolución de problemas o recopilación de telemetría?

  • Tratamiento de metadatos: ¿Exporta la plataforma detalles de esquemas, métricas, alertas o registros que de algún modo podrían calficarse como datos personales?

  • Administración remota: ¿Existen mecanismos de acceso de emergencia y quién los aprueba?

  • Límite de ejecución: ¿Permanece toda la computación dentro del entorno controlado por el cliente?

  • Perfil de salida: ¿Los resultados son agregados, estadísticos o están desvinculados de algún modo de datos personales directos a nivel de fila?

Es posible que una herramienta siga necesitando términos contractuales de protección de datos para metadatos, canales de soporte o acceso administrativo limitado. Pero eso difiere de aplicar a ciegas el mismo DPA que utilizaría para un SaaS convencional que aloja datos de clientes.

Una postura de cumplimiento más inteligente

La respuesta práctica para estas plataformas no suele ser "no usar nunca un DPA", sino "utilizar el documento adecuado para el procesamiento de datos real". En ocasiones, bastará con un DPA más acotado. En otras, serán suficientes unas condiciones de seguridad y acceso sólidas en el acuerdo principal, junto con un anexo de privacidad limitado.

Por ello, los equipos que evalúan arquitecturas modernas de Observability deben revisar el modelo de producto en sí, y no limitarse a la lista de verificación de compras. Un enfoque de plataforma de calidad de datos en base de datos cambia la forma en que se mueven los datos, dónde reside el riesgo y qué debe cubrir un contrato razonable.

Si el proveedor nunca accede a los conjuntos de datos de producción, su contrato debería reflejar esa realidad en lugar de simular que el servicio funciona como el de un encargado de tratamiento tradicional.

Conclusión: El DPA como un activo estratégico

Los mejores equipos no tratan un acuerdo de procesamiento de datos como un obstáculo legal. Lo usan como una herramienta de control.

Un DPA sólido aporta transparencia a la relación con el proveedor. Aclara instrucciones, restringe el acceso, establece las expectativas en caso de incidentes, regula a los subencargados y ofrece a su equipo una vía para comprobar que el contrato coincide con el sistema que está adquiriendo. Por eso, la calidad del acuerdo importa más que el simple hecho de tener uno firmado.

También da buenos resultados dejar de tratar a todos los proveedores por igual. Una plataforma SaaS tradicional que aloja datos de clientes requiere un tipo de escrutinio determinado. Una herramienta integrada en base de datos que no tiene acceso a los conjuntos de datos de producción puede requerir un enfoque contractual complemente distinto. Si su equipo no percibe esa diferencia de arquitectura, generará una carga administrativa legal innecesaria o dejará un riesgo real sin documentar adecuadamente.

La postura práctica es directa. Conozca las cláusulas obligatorias. Presione para conseguir un lenguaje que sea útil operativamente. Negocie los derechos de auditoría pensando en las pruebas reales, no en las formalidades. Y evalúe siempre el papel frente al diseño técnico.

Así es como un DPA pasa a ser de utilidad. No como un PDF firmado relegado a un repositorio de contratos, sino como una pieza activa de su modelo de Data Governance.


Digna website landing page showcasing their next-generation platform for data quality and observability with navigation and action buttons.

Si su equipo está evaluando herramientas modernas de calidad de datos y Observability, merece la pena examinar de cerca a digna. Está diseñada para la ejecución en base de datos, detección de anomalías, validación, monitoreo de puntualidad y seguimiento de esquemas dentro de entornos controlados por el cliente, lo que la hace de especial interés para organizaciones que buscan una supervisión de datos sólida sin ampliar el acceso de terceros a sus conjuntos de datos de producción.

Compartir en X
Compartir en X
Compartir en Facebook
Compartir en Facebook
Compartir en LinkedIn
Compartir en LinkedIn

Conoce al equipo detrás de la plataforma

Un equipo de expertos en IA, datos y software con sede en Viena respaldado

por un rigor académico y experiencia empresarial.

Conoce al equipo detrás de la plataforma

Un equipo de expertos en IA, datos y software con sede en Viena respaldado
por un rigor académico y experiencia empresarial.

Producto

Integraciones

Recursos

Empresa