¿Qué pasa si un proveedor no me ofrece DPA?

Riesgo legal alto. No puedes legalmente compartir datos personales con un proveedor sin DPA. Si el proveedor es importante y no lo ofrece, hay tres opciones: (1) negociar un DPA bilateral con plantilla AEPD, (2) cambiar de proveedor a uno que sí lo ofrezca, (3) asumir el riesgo y documentarlo en tu análisis de riesgos. Lo correcto suele ser cambiar o forzar la firma.

¿Necesito DPA con autónomos y freelance que me hacen trabajos?

Depende. Si el freelance accede a datos personales que TÚ controlas (ej. acceso a tu CRM para hacer una limpieza, gestoría que ve datos de empleados), sí necesitas DPA . Si solo le pasas tu información de empresa o trabajos sin datos personales, no. Para freelances habituales, plantilla AEPD funciona y se firma una vez al año.

¿Vale el DPA online aceptado en un panel?

Sí, es plenamente válido. La AEPD acepta DPAs aceptados electrónicamente en consolas de proveedores (Google, HubSpot, Salesforce, AWS) como evidencia de contrato firmado. Lo importante es tener evidencia de la aceptación con fecha y cuenta que aceptó. Capturas de pantalla o PDFs descargados sirven.

¿El DPA caduca? ¿Cada cuánto se renueva?

El DPA está vinculado al contrato de servicio principal: dura mientras dure ese servicio. Pero el proveedor puede actualizarlo y exigir re-aceptación (cambios normativos, nuevos subencargados). Recomendable revisión anual del estado de DPAs como parte del registro de actividades. Cuando un SaaS notifica actualización por email, no ignorarla.

¿Qué hacer si un proveedor con DPA tiene una brecha?

El encargado debe notificar al responsable inmediatamente. Tu pyme debe evaluar si supone riesgo para los afectados y, si es así, notificar a AEPD en 72h y, en su caso, a los usuarios. El DPA cubre el reparto de responsabilidades: si el encargado fue negligente, puedes repercutirle daños (otra cosa es conseguir cobrarlos). El haber tenido DPA firmado limita TU responsabilidad ante el regulador.

¿Hay plantilla oficial de DPA en España?

La AEPD publica modelo de contrato de encargo en su web (aepd.es), descargable gratuitamente. Es válido para cualquier sector. Para transferencias internacionales fuera del EEE, la Comisión Europea publica las Cláusulas Contractuales Tipo (SCC) actualizadas en 2021. Son los dos documentos oficiales más usados.

¿Cuánto cuesta gestionar DPAs en una pyme?

Si los proveedores ofrecen DPA estándar online (la mayoría), el coste es tiempo de revisión y archivo : 4-12 horas/año en pyme típica. Si necesitas negociar DPAs bilaterales con proveedores raros o redactar plantillas propias para freelances, suma 600-2.500 € de abogado. La gestión recurrente la lleva el responsable de cumplimiento interno o el gestor administrativo.

Glosario · Regulación

¿Qué es un DPA y por qué tienes que firmarlo con cada proveedor SaaS?

Q: ¿Diferencia entre responsable y encargado del tratamiento?

El responsable es quien decide para qué y cómo se tratan los datos (tu pyme con tu CRM). El encargado es quien trata los datos siguiendo instrucciones del responsable (HubSpot procesa contactos de TU CRM en tu nombre). El DPA regula esta relación. Si dos empresas deciden conjuntamente la finalidad y los medios, son corresponsables y necesitan otro tipo de acuerdo (art. 26 RGPD).

Data Processing Agreement: el contrato de encargado de tratamiento que el RGPD exige firmar con cualquier proveedor que vea tus datos personales. Cláusulas y cómo gestionarlo.

Revisar DPAs de tu pyme

Actualizado mayo 2026

Definición

DPA: contrato obligatorio entre responsable y encargado del tratamiento.

Un DPA (Data Processing Agreement, o "contrato de encargado de tratamiento" en castellano) es el contrato que regula la relación entre el responsable del tratamiento (tu pyme, que decide qué hacer con los datos) y un encargado (cualquier proveedor que trate datos en tu nombre: Google, HubSpot, Mailchimp, AWS, una empresa de nóminas externa). Es obligatorio por el artículo 28 del RGPD.

Sin DPA firmado con un proveedor que trata tus datos, la relación es ilegal. La AEPD ha sancionado por esto a numerosas empresas: aunque el dato esté técnicamente bien protegido por el proveedor, la falta del contrato es una infracción autónoma. Si además el proveedor sufre una brecha, tu pyme responde frente al usuario por no haber documentado la relación.

El DPA puede tomar distintas formas: contrato firmado bilateralmente (clásico), cláusulas online aceptadas en el panel del SaaS (el caso de Google, HubSpot, Mailchimp — basta con marcar la casilla en la consola), o cláusulas contractuales tipo aprobadas por la Comisión Europea (Standard Contractual Clauses, SCC) para transferencias internacionales. En 2026 casi todos los SaaS grandes ofrecen DPA online; basta con descargarlo, archivarlo y, si hay versión actualizada, re-aceptarlo.

Para una pyme española, gestionar DPAs significa: (1) inventario de todos los proveedores que tocan datos personales, (2) firmar/aceptar DPA con cada uno, (3) archivar evidencia y (4) revisar anualmente. No es complejo, pero hay que hacerlo y mantenerlo. La AEPD lo pide en cualquier inspección o respuesta a denuncia.

Cláusulas mínimas

Las nueve cláusulas obligatorias de un DPA según RGPD art. 28

Lo que cualquier DPA debe incluir. Si falta alguna, el contrato no es válido.

Objeto, duración y naturaleza del tratamiento

Qué hace el encargado con los datos, finalidad concreta, duración del tratamiento (vinculada al contrato principal de servicio), naturaleza (almacenamiento, procesamiento, envío).

Tipo de datos y categorías de interesados

Especificar qué datos se tratan (nombre, email, teléfono, etc.) y a quién pertenecen (clientes, empleados, leads). Si hay categorías especiales (salud, religión, biometría), declararlo expresamente.

Obligación de seguir instrucciones del responsable

El encargado solo trata datos siguiendo instrucciones documentadas del responsable. No puede usarlos para fines propios (publicidad propia, mejora de su producto agregado, venta).

Confidencialidad del personal del encargado

Empleados del encargado con acceso a datos deben estar sometidos a deber de confidencialidad (cláusulas contractuales o estatutarias).

Medidas de seguridad (RGPD art. 32)

Cifrado en tránsito y reposo, control de accesos, copias de seguridad, auditorías. Nivel proporcional al riesgo. ISO 27001/SOC 2 son evidencias habituales.

Régimen de subencargados

Si el encargado subcontrata (ej. Mailchimp usa AWS), debe informarlo y obtener autorización del responsable. Lista pública de subencargados es práctica habitual en grandes SaaS.

Asistencia para responder a derechos

El encargado ayuda al responsable a responder solicitudes de derechos (acceso, supresión, portabilidad) y a evaluar impacto si hace falta DPIA.

Notificación de brechas

El encargado notifica al responsable cualquier brecha de seguridad sin dilación indebida (típicamente <24h). El responsable tiene 72h para notificar a AEPD desde que tiene conocimiento.

Devolución o supresión al final del contrato

Al terminar el servicio, el encargado devuelve o elimina los datos (a elección del responsable) y certifica la supresión. Plazo típico: 30-90 días tras fin de contrato.

Proveedores típicos

Cómo gestionar DPA con los proveedores más comunes en pyme

Lo que cada SaaS ofrece y dónde buscarlo. Datos actualizados mayo 2026.

Google Workspace y Google Ads

Aceptación online en Google Admin Console > Configuración de la cuenta > Modificadores y términos. Incluye SCC para transferencias EEUU. Una sola firma cubre Gmail, Drive, Meet, Ads, GA4.

HubSpot, Salesforce, Pipedrive

CRMs grandes ofrecen DPA online en panel de administración (sección Legal o Privacy). HubSpot tiene DPA pre-firmado descargable. Salesforce requiere aceptación expresa en consola.

Mailchimp, ActiveCampaign, Brevo

Plataformas de email tienen DPA accesible desde Account > Privacy. Activación en algunos casos requiere plan de pago. Verificar que las SCC para transferencias internacionales estén firmadas.

AWS, Azure, Google Cloud

Hyperscalers ofrecen DPA estándar firmable en consola. Para entidades financieras (DORA) hay versiones reforzadas. Importante revisar región de los datos (EU-only vs global) en la configuración.

Meta Ads, LinkedIn Ads, X Ads

Plataformas publicitarias tienen Data Processing Terms aceptados al crear cuenta de empresa. Para uso avanzado (Custom Audiences, Conversion API) hay anexos adicionales que firmar.

Stripe, PayPal, Redsys

Procesadores de pago son responsables conjuntos en muchos casos (no solo encargados). El régimen jurídico es más complejo. Aceptación de términos al crear cuenta cubre el grueso; revisar si tienes alto volumen.

Transferencias internacionales

DPA y datos fuera de la Unión Europea: el matiz crítico.

Cuando un proveedor está fuera del EEE (EEUU, Reino Unido, India, etc.), el DPA solo no basta: se necesitan garantías adicionales para la transferencia internacional. Las dos vías principales son: (1) decisión de adecuación de la Comisión Europea (Reino Unido, Suiza, países declarados con nivel equivalente), o (2) Cláusulas Contractuales Tipo (SCC) firmadas + medidas técnicas adicionales (cifrado, pseudonimización).

Para EEUU: desde julio 2023 está en vigor el EU-US Data Privacy Framework, sucesor del Privacy Shield. Las empresas estadounidenses certificadas bajo este marco se consideran "adecuadas" y la transferencia es legal sin SCC adicionales. Google, Microsoft, Amazon, HubSpot, Mailchimp, OpenAI están certificadas. Es importante verificar la certificación en dataprivacyframework.gov antes de asumirla.

Para sectores muy regulados (sanidad, banca, defensa) muchas pymes están moviendo proveedores a alternativas europeas: OVHcloud, Scaleway, Hetzner (cloud), Brevo, Sendinblue (email), Matomo (analítica), Mistral (LLMs). Reducen exposición a riesgos de transferencias y simplifican auditorías. Coste similar o ligeramente superior.

Esto se relaciona con Consent Mode v2, AEPD y arquitectura edge computing con datos en región. En Magnetia revisamos cumplimiento de DPAs como parte estándar de proyectos de CRO web. Hablar es gratis: contacto.

Errores comunes

Cinco errores típicos al gestionar DPAs

No firmar DPA con proveedores aceptando que ya está implícito

Aceptar términos generales de un SaaS no equivale a aceptar DPA. Hay que buscar específicamente el documento o cláusula DPA y firmarlo. Muchos SaaS lo separan del Terms of Service.

No tener inventario de proveedores

Mailchimp, HubSpot, Slack, Zoom, Dropbox, Asana, Notion, Loom, Calendly, Stripe... cada pyme tiene 15-40 proveedores SaaS. Sin inventario actualizado, es imposible asegurar que todos los DPAs están firmados.

No archivar las evidencias

DPA aceptado online sin descarga ni captura: si AEPD pide evidencia, no tienes nada. Hay que descargar PDF firmado o hacer captura con fecha. Repositorio centralizado (Drive, gestor documental).

Olvidar versiones nuevas del DPA

Los SaaS actualizan DPAs (nuevas SCC, cambios regulatorios). Cuando notifican cambio, hay que volver a aceptar. Muchas pymes ignoran emails de privacidad de sus SaaS y se quedan con DPA caducados.

No revisar subencargados

HubSpot subcontrata a AWS, AWS a otros. La cadena de subencargados está publicada por los grandes SaaS. Revisar al menos una vez al año si la lista cambia y si introduce algún proveedor problemático.

Preguntas frecuentes

Dudas que nos hacéis llegar

El responsable es quien decide para qué y cómo se tratan los datos (tu pyme con tu CRM). El encargado es quien trata los datos siguiendo instrucciones del responsable (HubSpot procesa contactos de TU CRM en tu nombre). El DPA regula esta relación. Si dos empresas deciden conjuntamente la finalidad y los medios, son corresponsables y necesitan otro tipo de acuerdo (art. 26 RGPD).

45 min, sin compromiso

¿Tienes DPA firmado con todos tus proveedores?

Revisamos tu inventario de proveedores SaaS, identificamos gaps de DPA y te ayudamos a cerrarlos. Plantilla de gestión documental incluida.

Reservar revisión DPAs Ver Kit Consulting IA →