En este artículo vemos en qué consiste un Acuerdo de Procesamiento de Datos, quiénes forman parte de este contrato y qué derechos y responsabilidades otorga a cada una de las partes.
En este artículo hablamos de:
¿Qué es un Acuerdo de Procesamiento de datos?
El Acuerdo de Procesamiento de Datos, o DPA para abreviar, es un contrato legalmente vinculante entre una empresa y un tercero procesador de datos, destinado a regular la privacidad de los datos en lo que respecta al cumplimiento de la RGPD.
Este acuerdo regula la manera en que el procesador de datos gestiona la información perteneciente al cliente, esto es, al controlador de datos, así como los derechos y responsabilidades de cada uno de ellos.
¿Quiénes forman parte de este acuerdo?
Como decimos, el acuerdo se firma entre dos partes. Una, el cliente, también llamado controlador de datos. Otro, la empresa encargada de la gestión de la información del cliente, o procesador de datos.
Controlador de datos
Se denomina controlador de datos al cliente que solicita la gestión de su información a un tercero. Mediante el Acuerdo de Procesamiento de Datos, éste cede a otra empresa la gestión de sus datos, estableciendo la manera en que dichos datos serán gestionados.
Procesador de datos
Por su parte, el procesador de datos es la persona física o jurídica encargada de la gestión de los datos del cliente. Ha de realizar esta gestión de forma diligente, de acuerdo a las indicaciones del controlador, y poniendo en marcha las medidas técnicas y organizativas pertinentes para garantizar la seguridad e integridad de la información.
Obligaciones que establece el Acuerdo de Procesamiento de Datos o APD
El Acuerdo de Procesamiento de Datos o DPA establece una serie de responsabilidades, tanto para el procesador como para el controlador de datos, las cuales pasamos a ver a continuación.
Para el procesador de datos
El procesador de datos debe gestionar la información de acuerdo a las instrucciones del controlador de datos, a los términos de aplicación del servicio y cumpliendo con las leyes de protección de datos nacionales y europeas, principalmente el RGPD (Reglamento General de Protección de Datos), la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales) y la LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico).
Asimismo, otra de sus responsabilidades es proporcionar al cliente soluciones adecuadas para que pueda desarrollar su negocio a través del uso del servicio. Por ejemplo, rastreando la manera en que el controlador utiliza el servicio para hacerle sugerencias y proponer soluciones y servicios relevantes.
Por otra parte, el procesador de datos está obligado a adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de la información que maneja del cliente.
En relación con el párrafo anterior, el procesador de datos ha de informar al cliente si se produce cualquier brecha de seguridad o si se recibe una solicitud de datos por parte de un tercero. El procesador solo puede responder la solicitud de acceso a datos una vez que el controlador haya dado permiso para ello.
Para el controlador de datos
El controlador de datos o cliente ha de prestar su consentimiento expreso para que el procesador gestione sus datos personales a la hora de utilizar el servicio. Este consentimiento puede ser revocado en cualquier momento. En caso de que el consentimiento sea revocado, el acuerdo se dará por finalizado y el procesador no podrá seguir gestionando su información personal ni ofreciendo el servicio.
El cliente es el responsable de garantizar la veracidad, precisión e integridad de la información gestionada por el procesador de datos. En este sentido, también debe llevar un registro con las categorías de datos personales que procesa y que serán cedidos al procesador.
Al establecer el Acuerdo de Procesamiento de Datos, tanto el controlador como el procesador se comprometen a cumplir con los requisitos sobre la obtención de los permisos pertinentes de las autoridades públicas para el procesamiento de información personal, así como de divulgación a dichas autoridades, de acuerdo a la normativa de protección de datos vigente.
¿Cuánto dura este acuerdo?
El Acuerdo será válido mientras el controlador de datos siga usando la aplicación del servicio y siga manteniendo su consentimiento para que el procesador de datos gestione su información personal, o el Acuerdo de Procesamiento sea sustituido por otro DPA.
¿Qué ocurre con los datos una vez que finaliza el acuerdo?
Una vez que el acuerdo termina, el procesador de datos debe eliminar todos los datos personales relativos al cliente, salvo aquellos que sea necesario mantener, debidamente bloqueados, a solicitud de las autoridades pertinentes para su posible uso en procedimiento judiciales.
Por su parte, el controlador de datos tiene derecho a recuperar todos los datos cedidos para el uso del servicio. En caso de que el controlador solicite asistencia al procesador para la recuperación de dichos datos, los costes serán acordados entre las partes, teniendo en cuenta la complejidad del proceso y el tiempo requerido.
Ejemplo de Acuerdo de Procesamiento de datos
Para terminar, te dejamos un modelo de Acuerdo de Procesamiento de Datos estándar para que lo puedas usar en tu empresa. Se trata de un ejemplo genérico que puedes modificar a tu gusto según las condiciones particulares de tu servicio:
En definitiva, este acuerdo supone un mecanismo para determinar la manera en que una de las partes, el procesador de datos, debe gestionar los datos personales que un cliente o controlador, le cede como consecuencia del uso de su servicio.