Introducción a los DPA
El Data Processing Agreement (DPA) o Encargo de Tratamiento es el contrato que regula cómo un proveedor externo maneja los datos personales en nombre del responsable del tratamiento. Este contrato garantiza que los datos se procesen conforme a la legislación vigente.
Requisitos legales
- Identificación del responsable y del encargado
- Definición clara de las finalidades del tratamiento
- Obligaciones de confidencialidad y seguridad
- Derechos de auditoría y supervisión
- Subcontratación y control de terceros
- Duración del contrato y tratamiento de datos tras finalización
Estructura del contrato
Un contrato AVV/DPA completo debe incluir:
- Datos de las partes
- Objeto y finalidad del encargo
- Descripción de los tipos de datos y categorías de interesados
- Duración del tratamiento
- Medidas técnicas y organizativas de seguridad
- Procedimientos en caso de violación de datos
- Derechos y obligaciones de ambas partes
Mejores prácticas
- Revisar los DPA periódicamente y tras cambios de proveedores
- Incluir cláusulas específicas sobre subcontratistas
- Documentar aprobaciones internas y procesos de firma
- Integrar el DPA dentro del Registro de Actividades de Tratamiento
FAQ – Preguntas frecuentes
¿Todos los proveedores necesitan un DPA?
Sí, cualquier tratamiento de datos personales realizado por un tercero debe estar regulado por un DPA.
¿Se puede usar un modelo estándar?
Se puede, pero debe adaptarse a la normativa suiza y a las particularidades del proveedor.
¿Con qué frecuencia se revisa un DPA?
Al menos una vez al año y siempre que se produzcan cambios relevantes en los procesos o proveedores.