Una guía práctica de acuerdo de tratamiento de datos

Esta guía explica acuerdo de tratamiento de datos de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Un acuerdo de procesamiento de datos, generalmente llamado DPA, es el contrato que rige cómo un proveedor procesa datos personales en nombre de un cliente. Si su sitio web, producto SaaS, CRM, herramienta de análisis, plataforma de correo electrónico, proveedor de nube o servicio de soporte toca datos personales, necesita saber si se requiere un DPA.

Según GDPR, la regla básica está en el artículo 28: el procesamiento por parte de un procesador debe regirse por un contrato u otro acto legal que vincule al procesador con el controlador y establezca detalles clave sobre el procesamiento (GDPR Artículo 28).

¿Controlador, procesador o tercero?

El primer paso es el mapeo de roles.

Responsable del tratamiento: Decide por qué y cómo se procesan los datos personales. Una empresa que gestiona un sitio web y elige un proveedor de análisis suele ser el controlador de la analítica de sus visitantes.

Encargado del tratamiento: Procesa datos personales por cuenta del responsable del tratamiento y bajo sus instrucciones. Un proveedor de análisis que prioriza la privacidad, una herramienta de entrega de correo electrónico o un host en la nube pueden ser un procesador cuando solo utiliza datos para proporcionar el servicio contratado.

Responsable independiente: Decide sus propios fines. Algunas plataformas publicitarias y acuerdos de intercambio de datos pueden implicar funciones de controladores independientes en lugar de un simple procesamiento.

Las etiquetas de roles deben coincidir con la realidad, no con el lenguaje de marketing. Si un proveedor utiliza datos de clientes para su propia publicidad, enriquecimiento o elaboración de perfiles entre clientes, es posible que un procesador estándar DPA no describa la relación con precisión.

Lo que debe cubrir un GDPR DPA

El artículo 28 exige que el contrato trate:

• Objeto y duración del tratamiento.
• Naturaleza y finalidad del tratamiento.
• Tipo de datos personales.
• Categorías de interesados.
• Obligaciones y derechos del responsable del tratamiento.
• Procesamiento únicamente según instrucciones documentadas.
• Compromisos de confidencialidad.
• Medidas de seguridad.
• Reglas del subprocesador.
• Asistencia con los derechos de los interesados.
• Asistencia con obligaciones de seguridad, incumplimiento, DPIA y consulta.
• Eliminación o devolución de datos personales al finalizar los servicios.
• Información necesaria para demostrar el cumplimiento.
• Derechos de auditoría e inspección.

En términos prácticos, el DPA debería permitirle responder: ¿qué datos recibe el proveedor, por qué, dónde se almacenan, quién más los toca, cómo se protegen y qué sucede cuando finaliza el contrato?

Por qué los proveedores de análisis necesitan una revisión

Los proveedores de análisis pueden procesar datos personales incluso cuando los informes son agregados. Los datos pueden incluir direcciones IP, ID de cookies, información del dispositivo, rutas URL, referencias, parámetros de campaña, ubicación aproximada y eventos vinculados a la cuenta.

Para cada herramienta de análisis, pregunte:

• ¿Es el proveedor un encargado del tratamiento, un proveedor de servicios o un responsable del tratamiento independiente?
• ¿El proveedor combina datos de sus clientes?
• ¿Se utilizan cookies o identificadores persistentes?
• ¿Se utilizan los datos para publicidad o mejora del producto más allá del servicio contratado?
• ¿Dónde se alojan los datos?
• ¿Qué subprocesadores están involucrados?
• ¿Se pueden eliminar los datos sin procesar?
• ¿Qué configuraciones de retención están disponibles?
• ¿El proveedor proporciona un DPA?

La analítica que prioriza la privacidad reduce la huella de datos, pero es posible que aún se necesite un DPA si se procesa algún dato personal.

Subencargados y Transferencias Internacionales

La mayoría de los proveedores de SaaS dependen de subprocesadores: hosts en la nube, proveedores de correo electrónico, herramientas de soporte, servicios de monitoreo y sistemas de pago. Un DPA debe indicar si se permiten subprocesadores, cómo se notifica a los clientes sobre los cambios y cómo funcionan las objeciones.

Las transferencias internacionales necesitan una atención especial. Si los datos personales se mueven fuera del EEE o UK, los equipos pueden necesitar cláusulas contractuales estándar, evaluaciones de riesgo de transferencia, medidas complementarias u otro mecanismo de transferencia válido. El DPA no siempre es suficiente por sí solo.

Una lista de verificación de revisión de proveedores

Antes de aprobar una herramienta:

1. Identificar qué datos personales recibe la herramienta.
2. Confirme el rol del proveedor.
3. Revise el DPA y los subprocesadores.
4. Verifique la región de alojamiento y el mecanismo de transferencia.
5. Revise la documentación de seguridad.
6. Establecer límites de retención.
7. Desactive el intercambio de datos innecesarios.
8. Confirme la eliminación/exportación de flujos de trabajo.
9. Documentar el propósito comercial.
10. Agregue la herramienta al aviso de privacidad si es necesario.

Errores comunes DPA

• Firmar un DPA pero nunca configurar el producto de forma segura.
• Ignorar propiedades de eventos y parámetros de URL que contienen datos personales.
• Asumir que el DPA de un proveedor estadounidense resuelve automáticamente el riesgo de transferencia desde la UE.
• No revisar los subprocesadores.
• Mantener los datos analíticos sin procesar para siempre.
• Permitir que las agencias agreguen herramientas fuera de la contratación.
• Tratar a todos los proveedores como procesadores cuando algunos son controladores independientes.

Un DPA no es papeleo que deba archivarse. Es el manual de funcionamiento de una relación de datos. Cuanto más priorice la privacidad su pila, más fácil será explicar, asegurar y finalizar limpiamente esa relación.

Cómo revisar un análisis DPA

Para los proveedores de análisis, compare el DPA con la carga útil del evento real. Un contrato puede decir que el procesador sigue instrucciones, pero la implementación aún puede enviar URL completas, identificadores, direcciones IP, términos de búsqueda o ID de clics en anuncios. Los requisitos del procesador del artículo 28 del GDPR son la base: instrucciones documentadas, confidencialidad, seguridad, controles del subprocesador, asistencia con derechos, eliminación o devolución, auditorías y límites de responsabilidad claros.

Haga cinco preguntas prácticas. ¿Puede el proveedor utilizar datos para su propio producto, evaluación comparativa, publicidad o capacitación en inteligencia artificial? ¿Dónde se alojan los datos y qué subprocesadores pueden acceder a ellos? ¿Qué tan rápido se pueden eliminar los datos después de la terminación? ¿Los registros de soporte e ingeniería están cubiertos por los mismos términos? ¿Coincide el DPA con el aviso de privacidad pública y la página de seguridad? Si la respuesta depende de una promesa de venta, inclúyala en el contrato o reduzca los datos enviados. Un proveedor de análisis que priorice la privacidad debería acortar esta revisión porque el servicio se basa en datos limitados y específicos para un propósito en lugar de perfiles de comportamiento amplios.

DPA Lista de verificación de revisión

Compare el DPA con la carga útil de análisis real. El contrato debe cubrir instrucciones documentadas, confidencialidad, seguridad, subprocesadores, transferencias internacionales, asistencia con derechos, eliminación o devolución, derechos de auditoría y aviso de incidentes, pero esas cláusulas solo ayudan si la implementación evita datos personales innecesarios.

Antes de firmar, pruebe si las URL completas, las cadenas de consulta, las direcciones IP, los ID, los valores de los formularios o los parámetros de la campaña podrían exponer datos personales. Si un proveedor puede reutilizar datos para publicidad, evaluación comparativa, capacitación en inteligencia artificial o mejora de productos no relacionados, aclare la función y los límites por escrito o reduzca los datos enviados.