Cuando contratas servicios que implican el tratamiento de datos personales de tus clientes o empleados (una herramienta de CRM, un proveedor de email marketing, un sistema de nóminas en la nube), legalmente necesitas un contrato de encargado de tratamiento, conocido internacionalmente como DPA (Data Processing Agreement). La IA puede ayudarte a redactar y revisar estos contratos, aunque siempre con revisión humana para documentos legalmente vinculantes.

Aviso legal: Este artículo es orientativo. Los contratos de protección de datos tienen implicaciones legales significativas. Para documentos que firmarás o harás firmar, consulta con un profesional especializado en protección de datos.

Cuándo necesitas un DPA

Necesitas un DPA (contrato de encargado de tratamiento bajo el Art. 28 RGPD) cuando:

  • Contratas un servicio de CRM que aloja datos de tus clientes (Salesforce, HubSpot)
  • Usas una plataforma de email marketing que almacena datos de tus suscriptores (Mailchimp, Klaviyo)
  • Contratas gestión de nóminas externalizada que accede a datos de empleados
  • Usas herramientas de análisis web que procesan datos de visitantes (Google Analytics)
  • Contratas servicios de soporte al cliente con acceso a datos de clientes
  • Usas herramientas de IA que procesan datos personales de tus clientes (ChatGPT Enterprise, Claude for Work)

En todos estos casos, tu empresa es el responsable del tratamiento y el proveedor es el encargado. El Art. 28 RGPD exige que esta relación quede regulada contractualmente.

Qué debe incluir un DPA (Art. 28 RGPD)

El artículo 28.3 del RGPD establece el contenido mínimo obligatorio:

  • El objeto y la duración del tratamiento
  • La naturaleza y la finalidad del tratamiento
  • El tipo de datos personales tratados
  • Las categorías de interesados
  • Las obligaciones y los derechos del responsable del tratamiento

Además, el encargado debe comprometerse específicamente a:

  • Tratar los datos solo según instrucciones documentadas del responsable
  • Garantizar la confidencialidad de las personas autorizadas a tratar los datos
  • Tomar las medidas de seguridad adecuadas (Art. 32 RGPD)
  • Respetar las condiciones para contratar a otro encargado (sub-encargados)
  • Ayudar al responsable en el ejercicio de derechos de los interesados
  • Ayudar con las obligaciones de seguridad, notificaciones de brechas y EIPD
  • Suprimir o devolver los datos al final del contrato
  • Proporcionar toda la información necesaria para demostrar el cumplimiento

Usar IA para redactar y revisar DPAs

La IA puede ayudarte de varias formas con los DPAs:

Generar un borrador de DPA

"Redacta un contrato de encargado de tratamiento (DPA) conforme al artículo 28 del RGPD para los siguientes supuestos: Responsable del tratamiento: [describe tu empresa y sector]. Encargado del tratamiento: [proveedor del servicio]. Servicio contratado: [describe el servicio]. Tipos de datos tratados: [lista de tipos de datos: nombre, email, datos de compra, etc.]. Categorías de interesados: [clientes / empleados / etc.]. El DPA debe estar redactado bajo derecho español, incluir todas las cláusulas requeridas por el Art. 28 RGPD, abordar la cuestión de sub-encargados, y cubrir el protocolo de notificación de brechas de seguridad."

Revisar un DPA recibido de un proveedor

"Revisa este DPA que me ha enviado un proveedor desde la perspectiva de mis obligaciones como responsable del tratamiento bajo el RGPD. Verifica: 1) Si incluye todos los elementos obligatorios del Art. 28.3 RGPD, 2) Si las instrucciones de tratamiento están suficientemente definidas, 3) Si las condiciones para sub-encargados son aceptables, 4) Si el protocolo de notificación de brechas cumple los plazos del RGPD (72 horas), 5) Cualquier cláusula que sea problemática o que conceda al encargado más permisos de los necesarios. DPA: [texto del DPA]"

Verificar que un DPA existente sigue siendo válido

"Tenemos un DPA firmado en [año] con un proveedor de [tipo de servicio]. ¿Hay requisitos legales posteriores a esa fecha bajo el RGPD, la jurisprudencia del TJUE o directrices del EDPB (Comité Europeo de Protección de Datos) que podrían requerir actualizar este DPA? Especialmente en lo relativo a transferencias internacionales de datos y medidas de seguridad. Aquí está el DPA: [texto]"

Cláusulas de protección de datos con clientes

Si tu empresa trata datos personales de los clientes de tus clientes (eres un proveedor de servicios que actúa como encargado), también necesitas que la relación quede documentada. La IA puede ayudarte a generar las cláusulas de protección de datos que debes incluir en tus contratos de servicio:

"Redacta las cláusulas de protección de datos que debo incluir en mis contratos de servicio como [describe tu empresa: agencia de marketing / gestoría / proveedor de software / etc.]. Mis clientes me confían datos de sus propios clientes para [describe para qué: gestionar campañas de email / hacer la contabilidad / etc.]. Las cláusulas deben cumplir el Art. 28 RGPD, ser equilibradas para ambas partes, y cubrir: instrucciones de tratamiento, confidencialidad, medidas de seguridad, sub-contratistas y devolución de datos al terminar el servicio."

DPA con proveedores de herramientas de IA

Si usas herramientas de IA con datos de clientes, necesitas DPA específicos. Los principales proveedores tienen DPAs disponibles:

OpenAI (ChatGPT Teams/Enterprise)

  • OpenAI ofrece un DPA estándar para sus planes Teams y Enterprise
  • El DPA cubre el tratamiento de datos enviados a través de la API o de ChatGPT Teams
  • Incluye Cláusulas Contractuales Tipo (CCT) para transferencias a EE.UU.
  • Disponible en el panel de administración de la cuenta o bajo petición al soporte

Anthropic (Claude for Work / API)

  • Anthropic ofrece DPA para usuarios de la API y planes empresariales
  • Los datos enviados a la API no se usan para entrenamiento por defecto
  • Incluye CCT para transferencias internacionales

Google (Gemini for Workspace / Cloud AI)

  • Google Workspace incluye un DPA como parte del acuerdo del servicio
  • Para Google Cloud AI services, el DPA de Google Cloud aplica
  • Cubre procesamiento de datos en la UE cuando se configura correctamente

Microsoft (Copilot / Azure OpenAI)

  • Microsoft incluye términos de procesamiento de datos en el acuerdo de servicios
  • Azure OpenAI service tiene garantías adicionales: datos no usados para entrenamiento, opción de procesamiento en Europa
  • Para M365 Copilot, los términos de procesamiento de datos están en el Microsoft Products and Services Agreement

Herramientas y recursos

Plantillas oficiales

  • AEPD (España): La Agencia Española de Protección de Datos publica guías y modelos orientativos para contratos de encargado de tratamiento en su web oficial
  • EDPB (Europa): El Comité Europeo de Protección de Datos publica directrices sobre contratos y relaciones entre responsable y encargado
  • Cláusulas Contractuales Tipo: La Comisión Europea ha publicado CCT estándar para transferencias internacionales, actualizadas en 2021

Herramientas digitales

  • ChatGPT / Claude: Para generar y revisar borradores de DPA como se describe en este artículo
  • Iubenda: Genera políticas de privacidad y contratos de encargado de tratamiento semi-automatizados
  • DataGuard: Plataforma de gestión de privacidad con generación automática de documentación RGPD
  • OneTrust: Para empresas grandes que necesitan gestión integral del ciclo de vida de los DPAs
Lista de verificación DPA: Antes de contratar cualquier servicio que trate datos personales de tus clientes: 1) Pregunta si tienen DPA disponible. 2) Si no lo tienen, es una señal de alarma sobre su madurez en protección de datos. 3) Si tienen DPA, revísalo con los criterios de este artículo o con la ayuda de la IA. 4) Asegúrate de que cubre las transferencias internacionales si el proveedor está fuera de la UE. 5) Guarda una copia firmada del DPA.