Acuerdo de Tratamiento de Datos (DPA)
¿Qué es Acuerdo de Tratamiento de Datos (DPA)?
Acuerdo de Tratamiento de Datos (DPA)Contrato exigido por el articulo 28 del RGPD entre un responsable y un encargado del tratamiento cuando los datos personales se tratan por cuenta del responsable.
El Acuerdo de Tratamiento de Datos (DPA) es el contrato escrito que exige el articulo 28 del Reglamento General de Proteccion de Datos de la UE (Reglamento 2016/679) cuando un responsable contrata a un encargado para tratar datos personales por su cuenta. Debe especificar el objeto, la duracion, la naturaleza y la finalidad del tratamiento, las categorias de datos e interesados y las instrucciones del responsable. El DPA debe obligar a tratar solo siguiendo instrucciones documentadas, garantizar confidencialidad, implementar medidas de seguridad adecuadas (art. 32), asistir en los derechos del interesado y la notificacion de brechas, permitir auditorias, regular la subcontratacion y prever la devolucion o supresion de los datos al finalizar los servicios. Deberes similares existen en el RGPD del Reino Unido y en muchas leyes no europeas (LGPD, CPRA, PIPEDA).
● Ejemplos
- 01
Un responsable firma un DPA con un proveedor de nube antes de almacenar datos de clientes en su infraestructura.
- 02
Un proveedor SaaS publica una plantilla estandar de DPA que referencia las clausulas tipo de la UE de 2021 para transferencias internacionales.
● Preguntas frecuentes
¿Qué es Acuerdo de Tratamiento de Datos (DPA)?
Contrato exigido por el articulo 28 del RGPD entre un responsable y un encargado del tratamiento cuando los datos personales se tratan por cuenta del responsable. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Acuerdo de Tratamiento de Datos (DPA)?
Contrato exigido por el articulo 28 del RGPD entre un responsable y un encargado del tratamiento cuando los datos personales se tratan por cuenta del responsable.
¿Cómo funciona Acuerdo de Tratamiento de Datos (DPA)?
El Acuerdo de Tratamiento de Datos (DPA) es el contrato escrito que exige el articulo 28 del Reglamento General de Proteccion de Datos de la UE (Reglamento 2016/679) cuando un responsable contrata a un encargado para tratar datos personales por su cuenta. Debe especificar el objeto, la duracion, la naturaleza y la finalidad del tratamiento, las categorias de datos e interesados y las instrucciones del responsable. El DPA debe obligar a tratar solo siguiendo instrucciones documentadas, garantizar confidencialidad, implementar medidas de seguridad adecuadas (art. 32), asistir en los derechos del interesado y la notificacion de brechas, permitir auditorias, regular la subcontratacion y prever la devolucion o supresion de los datos al finalizar los servicios. Deberes similares existen en el RGPD del Reino Unido y en muchas leyes no europeas (LGPD, CPRA, PIPEDA).
¿Cómo defenderse de Acuerdo de Tratamiento de Datos (DPA)?
Las defensas contra Acuerdo de Tratamiento de Datos (DPA) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Acuerdo de Tratamiento de Datos (DPA)?
Nombres alternativos comunes: Adenda de Tratamiento de Datos, Contrato del articulo 28, Acuerdo de Procesamiento.
● Términos relacionados
- compliance№ 440
RGPD
Reglamento General de Protección de Datos de la Unión Europea que regula el tratamiento de datos personales de personas en la UE y el EEE.
- compliance№ 974
SCC
Las Clausulas Contractuales Tipo son modelos aprobados por la Comision Europea que proporcionan garantias conformes al RGPD para las transferencias de datos personales fuera del EEE.
- compliance№ 357
DPF
Marco de Privacidad de Datos UE-EE. UU., mecanismo de adecuacion adoptado en julio de 2023 que sustituye al Privacy Shield para las transferencias transatlanticas de datos personales.
- privacy№ 856
Privacidad desde el diseño
Enfoque de ingeniería y gobierno que integra la privacidad en sistemas, procesos y configuraciones por defecto desde las primeras fases de diseño, en lugar de añadirla más tarde.
● Véase también
- № 228CPRA