Si su empresa recopila información personal de los usuarios y recurre a un tercero para procesar los datos, necesitará un acuerdo de procesamiento de datos (APD) para evitar multas por incumplimiento en virtud de varios actos legislativos sobre privacidad en todo el mundo.
En pocas palabras, un acuerdo de tratamiento de datos es un contrato entre un recopilador de datos y los servicios de terceros que emplea para tratar los datos.
A continuación le explicaremos qué es un acuerdo de tratamiento de datos, qué aspecto tiene y por qué su empresa podría necesitar uno hoy en día debido a la nueva legislación sobre protección de datos.
- ¿Qué es un Acuerdo de Tratamiento de Datos (APD)?
- ¿Por qué son necesarias las APD?
- ¿Necesito un acuerdo de procesamiento de datos?
- ¿Cómo se crea una APD?
- ¿Qué debo incluir en mi APD?
- ¿Quién firma un APD?
- ¿Cuáles son las multas por no tener un APD?
- Ejemplos de acuerdos de procesamiento de datos
- Consejos para negociar un APD
- Acuerdo de procesamiento de datos FAQ
- Resumen
¿Qué es un Acuerdo de Tratamiento de Datos (APD)?
Un acuerdo de tratamiento de datos -también llamado adenda de tratamiento de datos o APD- es un contrato legal en el que se determinan los derechos y obligaciones de las partes implicadas en el tratamiento de datos.
La mayoría de las veces eso incluye su empresa y cualquier servicio de terceros que utilice.
Su empresa es el recopilador de datos, y cualquier empresa tercera que le ayude a recopilar o procesar datos sería el procesador de datos.
Un acuerdo de procesamiento de datos ayuda a garantizar a los usuarios que usted se está haciendo cargo del proceso de recopilación de datos, ya que verifica que los procesadores externos con los que trabaja tratan, manejan y almacenan su información de acuerdo con las leyes pertinentes.
¿Por qué son necesarias las APD?
Los acuerdos de procesamiento de datos son necesarios porque protegen a su empresa al obligar contractualmente a cualquier procesador externo con el que trabaje a cumplir la legislación pertinente sobre privacidad de datos.
Sin una APD en vigor, existe la posibilidad de que su empresa sea considerada responsable de las prácticas ilegales de tratamiento de datos por parte de terceros, en caso de que se produzcan.
Dicho esto, técnicamente no está obligado legalmente a utilizar un APD. Sin embargo, estos documentos suelen incluir cláusulas que cubren todas las directrices y requisitos establecidos por las distintas normativas sobre privacidad de datos, lo que facilita el cumplimiento de las mismas.
Estos acuerdos legales también ayudan a establecer las expectativas adecuadas de los clientes sobre la forma en que su empresa maneja su información personal.
Inicialmente, el uso de una APD para crear contratos legales era uno de los componentes críticos del cumplimiento del Reglamento General de Protección de Datos (rgpd).
Pero a partir de 2023, otros cinco estados de EE.UU. -California, Utah, Virginia, Colorado y Connecticut- empezaron a exigir contratos similares a los APD, estipulando que deben incluir cláusulas que cubran los siguientes componentes:
- Finalidad del tratamiento de datos
- Tipo de datos tratados
- Instrucciones de tratamiento de datos
- Duración de los derechos de tratamiento de datos
- Obligaciones de ambas partes.
En comparación, el artículo 28 de la rgpd exige que los responsables del tratamiento establezcan un contrato con sus encargados del tratamiento en el que se indique:
- Objeto y duración del tratamiento
- Naturaleza y finalidad del tratamiento
- Tipo de datos personales
- Categorías de interesados
- Obligaciones y derechos del responsable del tratamiento
Leyes que exigen APD
Todas las siguientes leyes y normativas sobre privacidad de datos exigen o exigirán a las empresas la creación de contratos con terceros encargados del tratamiento de datos, y el uso de un APD satisface esas obligaciones:
- Reglamento General de Protección de Datos (RGPD)
- Ley de protección de datos de 2018(Reino Unido rgpd)
- Ley de Privacidad del Consumidor de California(CCPA)
- Ley de Protección de Datos de los Consumidores de Virginia (CDPA)
- Ley General de Protección de Datos de Brasil(LGPD)
- Ley tailandesa de protección de datos personales(PDPA)
- Ley de Protección de Datos Personales de los EAU(PDPA)
- Ley de Protección de Datos Personales de Sudáfrica(POPIA)
- Colorado Privacy Act(CPA) - en vigor el 1 de julio de 2023
- Ley de Privacidad de Datos Personales y Vigilancia en Línea de Connecticut(CTDPA) - en vigor el 1 de julio de 2023
- Ley de Privacidad del Consumidor de Utah(UCPA) - en vigor el 31 de diciembre de 2023
La mayoría de estas normativas tienen un alcance extraterritorial, por lo que pueden aplicarse a su empresa aunque se encuentre fuera de sus límites territoriales tradicionales.
Las obligaciones contractuales específicas también varían ligeramente, así que haga clic en los enlaces para saber más sobre cómo afecta cada legislación al contenido de sus APD.
¿Necesito un acuerdo de procesamiento de datos?
Es posible que necesite un acuerdo de tratamiento de datos para evitar sanciones por incumplimiento de cualquiera de las leyes de protección de datos enumeradas anteriormente.
rgpd, por ejemplo, se aplica a cualquier sitio web o aplicación que recopile información personal y tenga visitantes de la Unión Europea (UE).
De acuerdo con el artículo 83 de rgpd, las empresas que no sigan las prescripciones se arriesgan a pagar multas de hasta 20 millones de dólares o el 4% de los ingresos globales, la cantidad que sea mayor.
Para evitar esos riesgos, siga las directrices de cumplimiento de rgpd , incluida la preparación de un acuerdo de tratamiento de datos.
La CCPA modificada también exige un contrato si una empresa revela datos personales del usuario a contratistas, proveedores de servicios y terceros.
A continuación definiremos estos términos y explicaremos su relación con las APD.
Contratistas y proveedores de servicios
Debido a las enmiendas de la Ley de Derechos de Privacidad de California(CPRA) a la CCPA, cualquier entidad que procese información personal en nombre de una empresa o reciba información personal de consumidores con fines comerciales debe tener un contrato escrito. Puede cumplir esta directriz utilizando un DPA.
Pero hay una diferencia entre cómo define la CCPA a los contratistas y a los proveedores de servicios.
Legalmente, la definición de contratista es más amplia que la de proveedor de servicios. Incluye a cualquier persona a la que una empresa ponga a disposición información personal de los consumidores con fines comerciales.
Por otro lado, un proveedor de servicios es simplemente una entidad que "procesa información" para una empresa.
Según la CCPA modificada, los contratistas deben certificar su comprensión de los requisitos contractuales.
Estos contratos exigen secciones que:
- Prohibir que se venda o comparta la información personal
- Prohibir la retención, uso o divulgación de información personal fuera de la relación comercial directa entre el contratista y la empresa.
- Prohibir la combinación de información personal procedente de distintas fuentes
- Notificar a la empresa los subprocesadores
- Obligar a los subencargados del tratamiento mediante contrato escrito a las mismas obligaciones de tratamiento
- Obliga a ambas partes mediante disposiciones a supervisar su propio cumplimiento legal
Los contratistas también deben recibir información personal directamente de la empresa, mientras que los proveedores de servicios pueden recibir información personal en nombre de la empresa.
Esto implica que las empresas tienen un mayor control sobre los contratistas que sobre los proveedores de servicios, lo que se ve reforzado por la obligación de que los contratistas demuestren su comprensión de los requisitos contractuales legales.
Terceros
Según la CCPA, un tercero es cualquier entidad que no sea la empresa original con la que el consumidor interactúa intencionadamente y que recoge su información personal como parte de su interacción con la empresa original.
Esto significa que los proveedores de servicios y los contratistas se consideran legalmente terceros de la empresa.
Según la CCPA, los contratos deben incluir disposiciones que afirmen que las protecciones relativas a las limitaciones de uso y las normas de privacidad siguen vigentes para la información personal a lo largo de toda la cadena de suministro.
Estos contratos también deben permitir cierto nivel de diligencia debida por parte de la empresa para ayudar a garantizar que el procesamiento por parte de terceros sigue siendo coherente con las nuevas obligaciones de la CPRA que modificaron la CCPA.
Los terceros, a su vez, deben notificar a la empresa si ya no puede cumplir sus obligaciones CCPA modificadas y conceder a la empresa el derecho a tomar "medidas razonables y apropiadas" para remediar el uso no autorizado de información personal en tales casos.
¿Cómo se crea una APD?
Es posible que su empresa trabaje con varios terceros para el tratamiento de datos y necesite varios APD, así que hablemos de las siguientes formas de realizar estos contratos:
- Acudir a un profesional del Derecho
- Pruebe una solución gestionada
- Personalice una plantilla descargable gratuita
- Hazlo tú mismo y redacta el contrato tú mismo
Buscar asistencia jurídica
Si usted es una gran empresa que maneja muchos datos de usuarios, su mejor opción es buscar un equipo jurídico que le ayude a redactar un APD.
Solución Gestionada
Uno de los métodos más rápidos y sencillos para crear un APD es utilizar una solución gestionada, como un generador de acuerdos de procesamiento de datos.
Si bien es probable que tenga que pagar una pequeña cuota mensual o anual para utilizar una solución gestionada, elimina todas las conjeturas y la confusión de hacer este contrato técnico.
Todo lo que tiene que hacer es responder a unas sencillas preguntas sobre su empresa y la entidad de terceros, y generará un APD conforme a sus respuestas.
Plantilla
Si quiere elaborar un APD sin gastarse un céntimo, pruebe a utilizar una plantilla de acuerdo de tratamiento de datos que puede descargarse gratuitamente.
Utilizar una plantilla requiere más tiempo y esfuerzo que una solución gestionada, pero una plantilla bien redactada tendrá parte de la redacción inicial, el formato y las cláusulas estándar ya preparadas para usted.
Hágalo Usted Mismo
También puede hacerlo usted mismo y redactar sus propios acuerdos de tratamiento de datos.
Se trata de una opción difícil, pero factible siempre que se tengan los conocimientos técnicos, las habilidades y el conocimiento de la legislación sobre privacidad de datos adecuados.
Si decides seguir este camino, lee el resto de esta guía para obtener consejos sobre lo que debes incluir en tu acuerdo.
¿Qué debo incluir en mi APD?
Los detalles concretos de su acuerdo de tratamiento de datos dependen de las leyes de protección de la intimidad que deba cumplir, pero la mayoría de ellos recogen toda la información siguiente:
Si incluye todos los detalles anteriores, su APD debería cumplir los requisitos legales establecidos por la mayoría de las legislaciones sobre privacidad de datos de todo el mundo. Sin embargo, en la siguiente sección, enumeraremos brevemente los requisitos de rgpd para los contratos, que presentan algunas directrices más estrictas.
¿Qué exige una APD de rgpd ?
Según el artículo 28, apartado 3, de rgpd, hay ocho puntos importantes que debe incluir en su acuerdo de tratamiento de datos:
- Los encargados del tratamiento deben comprometerse a tratar los datos únicamente siguiendo instrucciones escritas del responsable del tratamiento.
- Las dos partes deben acordar la confidencialidad jurada de los implicados en el tratamiento de datos.
- Debe enumerar todas las medidas que garantizan la seguridad de los datos personales.
- Usted, el responsable del tratamiento, debe asegurarse de que las funciones delegadas del encargado del tratamiento no se subcontratan a otro encargado sin el conocimiento y consentimiento del responsable del tratamiento.
- El encargado del tratamiento debe ayudarle a usted, el responsable del tratamiento, a cumplir con la rgpd en lo que respecta a sus compromisos con los derechos de los interesados.
- El encargado del tratamiento debe asistirle a usted, el responsable del tratamiento, en el cumplimiento de las obligaciones relativas al cumplimiento de rgpd, a saber, el artículo 32 (Seguridad del tratamiento) y el artículo 36 (Consulta previa).
- Una vez finalizados los servicios, o cuando los datos le hayan sido devueltos a usted, el responsable del tratamiento, el encargado del tratamiento deberá comprometerse a eliminar todos los datos personales.
- Como responsable del tratamiento, tiene derecho a auditar al encargado del tratamiento, que deberá facilitar toda la información pertinente, en caso necesario.
Esto puede parecer mucho, pero en la siguiente sección hemos esbozado algunos ejemplos de acuerdos de tratamiento de datos de la vida real para que le sirvan de inspiración a la hora de redactar su contrato.
También puede consultar las plantillas en el sitio web oficialrgpd .
¿Quién firma un APD?
Para que su APD sea jurídicamente vinculante, tanto el responsable del tratamiento(es decir, su empresa) como el encargado del tratamiento(es decir, el tercero) deben firmar el acuerdo de tratamiento de datos y cualquiera de sus subencargados.
Así que, en la siguiente sección, vamos a hablar de cómo saber si merece la pena firmar el APD que le han presentado desde ambas perspectivas o si primero deberían celebrarse más negociaciones.
Firma de un APD como responsable del tratamiento de datos
Si su empresa contrata a un tercero para tratar datos, debe crear y firmar un APD como responsable del tratamiento.
Antes de firmar un acuerdo de tratamiento de datos como responsable del tratamiento, asegúrese de que cumple las siguientes normas:
- Indica claramente cómo puede utilizar el encargado del tratamiento los datos personales
- Asegurarse de que el procesador puede proteger los datos y responder rápidamente si surgen problemas.
- Compruebe que el alcance de la recogida de datos se ajusta a la base jurídica que tiene para tratarlos.
- Considerar y planificar las transferencias internacionales de datos
Se trata de medidas vitales porque, en virtud de normativas como la rgpd, el responsable del tratamiento -es decir, su empresa- es considerado responsable si un procesador de datos provoca una violación de la seguridad, incluso si el error ha sido suyo.
Si duda de las prácticas de seguridad o de la integridad de los terceros procesadores con los que vaya a contratar, reconsidere la relación o reelabore el acuerdo.
Firma de un APD como encargado del tratamiento de datos
Si usted es un encargado del tratamiento de datos, debe comprender igualmente los pormenores de los acuerdos de tratamiento de datos, ya que firmará muchos de estos contratos para realizar su trabajo.
A la hora de firmar un APD como encargado del tratamiento de datos, hay que tener en cuenta algunas cosas para asegurarse de que el contrato es adecuado, como:
- Compruebe que todas las leyes de protección de datos aplicables a su empresa se tienen en cuenta en el contrato.
- Asegúrese de que puede cumplir adecuadamente todos los requisitos de seguridad y protección
- Mantener los datos personales actualizados y exactos
- Preparar un procedimiento para que los consumidores puedan hacer valer su derecho a la intimidad
- Asegúrese de que todos sus subprocesadores también firman y pueden cumplir lo estipulado en la DPA.
La responsabilidad del procesador de datos es almacenar y manejar adecuadamente la información personal del consumidor de acuerdo con la DPA y cualquier ley de privacidad de datos aplicable. También debe comprobar que sus subencargados del tratamiento puedan hacer lo mismo.
¿Cuáles son las multas por no tener un APD?
No crear un APD que cumpla las normas puede acarrear el pago de cuantiosas multas, la pérdida de la confianza de sus consumidores y, posiblemente, penas de cárcel.
A continuación se muestra una tabla comparativa de las posibles sanciones de algunas leyes de protección de datos que estipulan requisitos contractuales entre responsables y encargados del tratamiento.
| Ley de protección de datos | Sanciones por incumplimiento |
| Reglamento General de Protección de Datos (RGPD) |
|
| Ley de protección de datos de 2018(Reino Unido rgpd) |
|
| Ley de Privacidad del Consumidor de California(CCPA) |
|
| Ley de Protección de Datos de los Consumidores de Virginia(CDPA) |
|
| Ley General de Protección de Datos de Brasil(LGPD) |
|
| Ley tailandesa de protección de datos personales(PDPA) |
|
| Ley de Protección de Datos Personales de los EAU(PDPA) |
|
| Ley sudafricana de protección de datos personales(POPIA) |
|
| Colorado Privacy Act(CPA) - en vigor el 1 de julio de 2023 |
|
| Ley de Privacidad de Datos Personales y Vigilancia en Línea de Connecticut(CTDPA) - en vigor el 1 de julio de 2023 |
|
| Ley de Privacidad del Consumidor de Utah(UCPA) - en vigor el 31 de diciembre de 2023 |
|
Los riesgos no merecen la pena, cuente con una APD eficaz y conforme para proteger los datos personales de sus consumidores y la integridad de su empresa.
Ejemplos de acuerdos de procesamiento de datos
Veamos un par de ejemplos de acuerdos de tratamiento de datos para ver cómo otras empresas cumplen los requisitos de la normativa sobre privacidad de datos, como la rgpd y la CCPA modificada.
Ejemplo 1: Acuerdo de procesamiento de datos de LinkedIn
El primer ejemplo de acuerdo de tratamiento de datos que vamos a examinar procede del sitio web de redes profesionales LinkedIn.
A continuación, puede ver una captura de pantalla de cómo organizan su acuerdo mediante un sencillo índice.
Nos gusta su estructura lógica, ya que ayuda a ambas partes a comprobar que cubre todas las estipulaciones y directrices necesarias.
También definen claramente todos los términos de su acuerdo, como se muestra en la siguiente captura de pantalla. Es una idea excelente porque aclara cualquier confusión y limita las posibilidades de malinterpretación.
Más adelante en el acuerdo, utilizan tablas para comunicar qué categorías de datos personales se transfieren de responsable a responsable en comparación con los datos que se transfieren del responsable al encargado del tratamiento.
Como se muestra a continuación, esto organiza la información compleja con claridad, lo que ayuda a garantizar que todas las partes que firman el acuerdo entienden los términos.
Ejemplo 2: Acuerdo de procesamiento de datos de Yahoo
A continuación, echemos un vistazo a la DPA de Yahoo. En la siguiente captura de pantalla, observe que evitan utilizar grandes muros de texto, lo que facilita su lectura y comprensión.
Nos gusta que el documento esté bien organizado y que los títulos claros a la izquierda faciliten la navegación por las secciones.
A continuación, vea con qué sencillez redactan su cláusula explicando sus obligaciones en relación con la legislación europea sobre privacidad.
Encontrar el equilibrio entre un lenguaje claro y una redacción conforme a la ley resulta complicado, así que utilice la DPA de Yahoo como ejemplo de cómo hacerlo con éxito.
Ejemplo 3: Acuerdo de tratamiento de datos de Mailchimp
Por último, veamos el acuerdo de tratamiento de datos del servicio de marketing por correo electrónico Mailchimp.
Hacen un gran trabajo combinando y comunicando los requisitos contractuales del tratamiento de datos de diferentes actos legislativos, un difícil ejercicio de equilibrismo.
En concreto, el anexo C de la DPA aclara sus obligaciones y requisitos contractuales en los diferentes términos utilizados por las jurisdicciones a las que están sujetos -California y Canadá-, además de la rgpd.
A continuación, consulte su información relativa al tratamiento de datos en California.
A continuación, compárelo con su información relativa al tratamiento de datos canadiense.
Hacer referencia directa a las leyes de protección de datos es una buena forma de asegurarse de que cumple todas las directrices y requisitos legales. Considera la posibilidad de hacer lo mismo en tus acuerdos de procesamiento de datos.
Consejos para negociar un APD
Al negociar un acuerdo de procesamiento de datos, debe asegurarse de que la política cumple adecuadamente todas las leyes de privacidad de datos y establece condiciones comerciales favorables.
Para crear con éxito una APD que haga ambas cosas, recomendamos los siguientes pasos:
Acuerdo de procesamiento de datos FAQ
A continuación, consulte las preguntas más frecuentes que recibimos sobre los acuerdos de tratamiento de datos.
¿Son obligatorias las APD?
No, técnicamente, los acuerdos de tratamiento de datos no son legalmente obligatorios, pero ayudan a las empresas a cumplir las obligaciones contractuales con terceros encargados del tratamiento, tal como se establece en leyes de protección de datos como rgpd, la CCPA modificada y la CDPA.
¿Es un Acuerdo de Tratamiento de Datos un contrato?
Sí, un acuerdo de tratamiento de datos es un contrato jurídicamente vinculante entre una empresa y un tercero encargado del tratamiento de datos. En él se explican los derechos y obligaciones de cada parte en relación con los datos personales de los usuarios.
¿Cuál es la diferencia entre un acuerdo de tratamiento de datos y un acuerdo de intercambio de datos?
Un acuerdo de intercambio de datos suele celebrarse entre dos responsables del tratamiento de datos -es decir, empresas- y describe qué ocurre con los datos en cada fase, cómo se comparten y cómo se utilizan.
En cambio, un acuerdo de tratamiento de datos es un contrato entre un responsable del tratamiento y un encargado del tratamiento en el que se establecen medidas de seguridad y protección y se limita el uso que el tercero puede hacer de los datos.
¿Cuál es la diferencia entre un Acuerdo de Tratamiento de Datos y una Política de Privacidad?
Un acuerdo de tratamiento de datos es un contrato entre una empresa y cualquier tercero encargado del tratamiento de datos para garantizar que los datos personales de los usuarios se almacenan de forma segura y se utilizan respetando los derechos de los consumidores.
Por el contrario, una política de privacidad explica a sus usuarios qué datos recopila, utiliza y procesa y cuál es su fundamento jurídico para hacerlo.
¿Cómo se crea una APD?
Puede crear un acuerdo de tratamiento de datos utilizando una solución gestionada, como un generador de APD, descargando y personalizando una plantilla descargable gratuita o redactando el documento usted mismo.
Resumen
Contar con un APD es un componente crítico del cumplimiento de la privacidad de datos bajo múltiples leyes, incluyendo la rgpd, la CCPA modificada por la CPRA, y más.
Este contrato jurídicamente vinculante le ayuda a evitar cuantiosas multas, al tiempo que refuerza la confianza de sus clientes al demostrar que tanto usted como su(s) procesador(es) de datos son responsables y dignos de confianza.
Tanto si opta por buscar asesoramiento jurídico, redactar uno usted mismo, utilizar una plantilla o acceder a un generador de acuerdos de procesamiento de datos, asegúrese de que sus contratos cumplen todas las leyes de privacidad de datos pertinentes, limitan adecuadamente sus responsabilidades y verifican que cualquier procesador externo con el que se asocie está cualificado para proteger y almacenar adecuadamente la información personal de sus consumidores.
