Flujo del DPA — cuándo, por qué y cómo

Cuándo necesitas legalmente un Contrato de Encargado, qué produce miniterms y cómo firmarlo con tus encargados.

Un Contrato de Encargado del Tratamiento (DPA, por sus siglas en inglés) es el contrato entre responsable y encargado que satisface el [GDPR art. 28]. miniterms genera un DPA en el plan de pago. Esta página cubre cuándo lo necesitas, qué contiene el documento generado y cómo firmarlo en la práctica con un encargado.

Cuándo necesitas legalmente un DPA

Necesitas un DPA siempre que tú (responsable) confíes datos personales a un tercero (encargado) que los trata por cuenta tuya. Escenarios típicos:

  • Un proveedor de alojamiento en la nube que almacena datos de tus clientes (AWS, Hetzner, OVH)
  • Un proveedor de envío de email (Resend, Mailgun)
  • Un proveedor de analítica que maneja identificadores de usuario
  • Una herramienta de soporte que ingiere mensajes de clientes
  • Un programador subcontratado con acceso a producción

No necesitas DPA para:

  • Vendedores de software puro que tú auto-hospedas (p. ej. un generador de sitios estáticos que nunca ve datos de usuario)
  • Herramientas que sólo manejan datos internos de tu empresa (p. ej. tu asesor para tu propia contabilidad — él mismo es responsable, no tu encargado)

Ante la duda, la pregunta es: "¿El tercero trata datos personales por cuenta mía, siguiendo mis instrucciones?" Si sí, hace falta DPA.

Qué genera miniterms

El DPA de miniterms está estructurado para satisfacer el [GDPR art. 28(3)] párrafo por párrafo. Incluye:

  1. Objeto y duración del tratamiento, derivado de tu perfil
  2. Naturaleza y finalidad del tratamiento
  3. Tipo de datos personales y categorías de interesados
  4. Obligaciones y derechos del responsable (tú)
  5. Obligaciones del encargado — art. 28(3), letras a) a h), cada una como cláusula separada:
    • Tratar sólo siguiendo instrucciones documentadas
    • Garantizar que las personas autorizadas se comprometen a confidencialidad
    • Adoptar todas las medidas exigidas por el art. 32 (seguridad del tratamiento)
    • Condiciones para subcontratar otro encargado (aprobación de subencargados)
    • Asistir al responsable con los derechos de los interesados
    • Asistir con las obligaciones de los arts. 32 a 36 (notificación de brechas, EIPD)
    • Suprimir o devolver los datos al final de los servicios
    • Poner a disposición la información necesaria para demostrar el cumplimiento + permitir auditorías
  6. Lista de subencargados — listado inicial con derecho a oponerse a cambios
  7. Anexo de medidas técnicas y organizativas (MTO)
  8. Mecanismo de transferencia internacional — Cláusulas Contractuales Tipo (SCCs) cuando el encargado está fuera del EEE

Cómo firmarlo en la práctica

Un DPA sólo te protege firmado. Flujo práctico:

  1. Genera el DPA en miniterms con tus datos pre-rellenados como responsable
  2. Identifica el DPA propio del encargado. La mayoría de proveedores grandes (AWS, Stripe, Resend, etc.) publican su propio DPA que debes firmar en su portal. En ese caso, no usas el DPA de miniterms con ese proveedor — aceptas el suyo.
  3. Para proveedores sin DPA publicado (contratistas pequeños, herramientas de nicho), exporta el DPA de miniterms, rellena los datos del encargado y envíalo para firma. Hoy no incluimos firma electrónica; usa la herramienta que prefieras (DocuSign, Signaturit, o incluso PDF firmado manualmente).
  4. Conserva el DPA firmado donde puedas producirlo a demanda. La AEPD puede pedirlo en una inspección.

Cuando el encargado propone su propio DPA

Los proveedores grandes suelen empujarte su propio DPA. Léelo antes de firmar. Cosas que comprobar:

  • La lista de subencargados se publica en un sitio estable y se comprometen a notificarte los cambios
  • Existen derechos de auditoría (aunque se ejerzan a través del informe de un tercero auditor)
  • Las medidas de seguridad se listan con concreción, no sólo como "estándar de la industria"
  • El mecanismo de transferencia internacional está al día — texto pre-Schrems-II es bandera roja

Si su DPA es sólido, fírmalo. El objetivo no es usar el DPA generado por miniterms en todas partes — el objetivo es tener un DPA firmado en archivo con cada encargado.

Esta página describe el flujo; no es asesoramiento legal sobre si un contrato concreto es suficiente para tu caso. Pide a un abogado que revise tu registro de DPAs si tratas datos de categorías especiales o a gran escala.

English