¿Qué es exactamente un DPA / contrato de encargado?

Contrato de encargado de tratamiento según el Art. 28 RGPD (alemán: AVV; inglés: DPA). Obligatorio siempre que un proveedor externo trate datos personales por tu cuenta — es decir, no como responsable independiente. Típico: hosting, email, CRM, contabilidad, IA, herramientas de marketing. El DPA debe contener 13 cláusulas obligatorias del Art. 28(3).

¿Quién cuenta como encargado — cuenta Microsoft 365?

Sí. Microsoft 365, Google Workspace, Dropbox, Slack, Sage, Retell AI, OpenAI, Anthropic, Telnyx, Mailgun, Cal.com y prácticamente cualquier SaaS es encargado en cuanto trata datos personales de tus clientes, empleados o leads. Todos los grandes proveedores publican un DPA — pero debes firmarlo activamente (aceptar los términos no basta).

¿Qué pasa si no hay DPA?

El Art. 28 RGPD es una obligación, no una recomendación. Multas: hasta 10M € o el 2% de la facturación global anual (Art. 83(4)). En la práctica, la falta de DPA es el hallazgo más frecuente de la AEPD en inspecciones. En una brecha del proveedor, compartes responsabilidad sin límite si no hay DPA.

¿Basta el DPA estándar del proveedor?

Normalmente sí, pero no automáticamente. Los DPA estándar suelen cubrir el Art. 28(3) en sustancia — pero dejan vagos la notificación de subencargados y los derechos de auditoría. Comprueba: (a) ¿están los subencargados listados por nombre y se notifican los cambios? (b) ¿tienes acceso a las medidas técnicas y certificaciones? (c) ¿está regulada la devolución o supresión con prueba al final del contrato?

¿Qué pasa si el proveedor está en EEUU?

Además del DPA necesitas un mecanismo de transferencia: EU-US Data Privacy Framework (para proveedores EEUU certificados), Cláusulas Contractuales Tipo (SCC 2021/914) o Normas Corporativas Vinculantes. Muchos grandes (Microsoft, Google, OpenAI) están certificados en el DPF — la vía más simple. Comprueba el estado en dataprivacyframework.gov.

¿Cómo ayuda Mandu Studios concretamente?

Desplegamos IA y herramientas de proceso con DPAs adecuados desde finales de 2024 — proveemos la cadena de DPAs (el nuestro contigo más todos los DPAs de subencargados). Bajo demanda: entrada en el registro de actividades RGPD, documentación de medidas técnicas, lista nominada de subencargados con notificación. 30 minutos de auditoría gratuita bastan para delimitar qué DPAs necesitas.

Autoevaluación DPA — Art. 28 RGPD

¿Tu contrato de encargado cumple las cláusulas obligatorias? 10 preguntas, 3 minutos, sin registro.

Toda empresa que usa servicios externos (Microsoft 365, Google Workspace, Sage, Telnyx, Retell, OpenAI, Mailgun) necesita un contrato de encargado de tratamiento (DPA) con cada proveedor según el Art. 28 del RGPD. Si falta, o falta alguna de las 13 cláusulas obligatorias del Art. 28(3), las multas llegan hasta 10M € o el 2% de la facturación global anual. Este chequeo repasa las obligaciones DPA clave — incluidas las dos trampas más habituales: subencargados y transferencia internacional.

01
¿Usas al menos un proveedor externo que trata datos personales por tu cuenta (hosting, email, CRM, contabilidad, IA, marketing)?
Casi todas las PYMES: sí. Microsoft 365, Google Workspace, Sage, Mailchimp, Telnyx, Retell — cada uno es un encargado.
RGPD Art. 4(8)
02
¿Tienes un DPA firmado (por escrito o electrónicamente) con CADA uno de esos proveedores?
Aceptar los términos no basta. El DPA debe ser un documento separado firmado activamente — habitualmente en el panel de admin del proveedor.
RGPD Art. 28(3)
03
¿El DPA especifica objeto, duración, naturaleza, finalidad del tratamiento, categorías de datos y categorías de interesados?
Detalle obligatorio en el anexo. Ningún template estándar lo cumple sin una descripción individualizada de tu caso.
RGPD Art. 28(3) frase 1
04
¿El DPA obliga al encargado a tratar los datos solo siguiendo tus instrucciones documentadas?
Cláusula central: el encargado no puede usar tus datos para fines propios. Excepción: obligación legal de comunicar a autoridades.
RGPD Art. 28(3)(a)
05
¿Todo el personal del proveedor con acceso a tus datos está sujeto a obligación de confidencialidad?
Estándar en cualquier DPA profesional. En la práctica: una confirmación única basta, no hace falta registrarla por acceso.
RGPD Art. 28(3)(b)
06
¿El DPA describe las medidas técnicas y organizativas del Art. 32 RGPD — o remite a un documento de seguridad auditable?
Cifrado, control de accesos, backup, respuesta a incidentes. Suele estar en un Anexo A del DPA o en un 'Security Addendum' separado.
RGPD Art. 28(3)(c) en relación con Art. 32
07
¿El DPA exige que los subencargados se incorporen solo con consentimiento previo, o con notificación y derecho a objetar?
La trampa más habitual: el proveedor usa AWS/GCP/Azure como subencargado sin decírtelo. El DPA debe incluir lista actual o mecanismo de notificación.
RGPD Art. 28(2) + Art. 28(3)(d)
08
¿El DPA obliga al encargado a ayudarte con las solicitudes de los interesados (acceso, supresión, portabilidad)?
RGPD Art. 15-22 — en la práctica: el proveedor debe ofrecer herramientas o un canal de contacto que te permita ejecutar una supresión en 30 días.
RGPD Art. 28(3)(e)
09
¿Al final del contrato está regulada la devolución O supresión de todos los datos personales incluidas copias — con prueba de supresión?
Una de las dos, a tu elección. Importante: una prueba escrita de supresión (incluso como email de confirmación) es obligatoria, no opcional.
RGPD Art. 28(3)(g)
10
Para proveedores fuera de la UE/EEE: ¿tienes un mecanismo de transferencia válido (EU-US DPF, Cláusulas Contractuales Tipo 2021/914, BCR o decisión de adecuación)?
Sin uno de estos mecanismos, la transferencia es ilícita tras Schrems II. Comprueba el estado DPF en dataprivacyframework.gov.
RGPD Art. 44-49

Cómo funciona

01
10 preguntas sí/no
Cada pregunta corresponde a una cláusula obligatoria del Art. 28(3) RGPD o a una disposición flanqueante (Art. 32, Art. 44 ss.).
02
Semáforo de resultado
Verde = cumple. Amarillo = revisar. Rojo = brecha. Los rojos son obligaciones RGPD — prioritarios.
03
Sin captura de datos
Tus respuestas no salen del navegador. Sin envío, sin email, sin base de datos.

Preguntas frecuentes

¿Qué es exactamente un DPA / contrato de encargado?
Contrato de encargado de tratamiento según el Art. 28 RGPD (alemán: AVV; inglés: DPA). Obligatorio siempre que un proveedor externo trate datos personales por tu cuenta — es decir, no como responsable independiente. Típico: hosting, email, CRM, contabilidad, IA, herramientas de marketing. El DPA debe contener 13 cláusulas obligatorias del Art. 28(3).
¿Quién cuenta como encargado — cuenta Microsoft 365?
Sí. Microsoft 365, Google Workspace, Dropbox, Slack, Sage, Retell AI, OpenAI, Anthropic, Telnyx, Mailgun, Cal.com y prácticamente cualquier SaaS es encargado en cuanto trata datos personales de tus clientes, empleados o leads. Todos los grandes proveedores publican un DPA — pero debes firmarlo activamente (aceptar los términos no basta).
¿Qué pasa si no hay DPA?
El Art. 28 RGPD es una obligación, no una recomendación. Multas: hasta 10M € o el 2% de la facturación global anual (Art. 83(4)). En la práctica, la falta de DPA es el hallazgo más frecuente de la AEPD en inspecciones. En una brecha del proveedor, compartes responsabilidad sin límite si no hay DPA.
¿Basta el DPA estándar del proveedor?
Normalmente sí, pero no automáticamente. Los DPA estándar suelen cubrir el Art. 28(3) en sustancia — pero dejan vagos la notificación de subencargados y los derechos de auditoría. Comprueba: (a) ¿están los subencargados listados por nombre y se notifican los cambios? (b) ¿tienes acceso a las medidas técnicas y certificaciones? (c) ¿está regulada la devolución o supresión con prueba al final del contrato?
¿Qué pasa si el proveedor está en EEUU?
Además del DPA necesitas un mecanismo de transferencia: EU-US Data Privacy Framework (para proveedores EEUU certificados), Cláusulas Contractuales Tipo (SCC 2021/914) o Normas Corporativas Vinculantes. Muchos grandes (Microsoft, Google, OpenAI) están certificados en el DPF — la vía más simple. Comprueba el estado en dataprivacyframework.gov.
¿Cómo ayuda Mandu Studios concretamente?
Desplegamos IA y herramientas de proceso con DPAs adecuados desde finales de 2024 — proveemos la cadena de DPAs (el nuestro contigo más todos los DPAs de subencargados). Bajo demanda: entrada en el registro de actividades RGPD, documentación de medidas técnicas, lista nominada de subencargados con notificación. 30 minutos de auditoría gratuita bastan para delimitar qué DPAs necesitas.

¿Has detectado una brecha en tus DPAs?

30 minutos por teléfono. Gratis. Repasamos tu lista de proveedores y mostramos qué DPAs faltan o necesitan refuerzo.

Reservar auditoría gratuita

Autoevaluación DPA — Art. 28 RGPD

¿Usas al menos un proveedor externo que trata datos personales por tu cuenta (hosting, email, CRM, contabilidad, IA, marketing)?

¿Tienes un DPA firmado (por escrito o electrónicamente) con CADA uno de esos proveedores?

¿El DPA especifica objeto, duración, naturaleza, finalidad del tratamiento, categorías de datos y categorías de interesados?

¿El DPA obliga al encargado a tratar los datos solo siguiendo tus instrucciones documentadas?

¿Todo el personal del proveedor con acceso a tus datos está sujeto a obligación de confidencialidad?

¿El DPA describe las medidas técnicas y organizativas del Art. 32 RGPD — o remite a un documento de seguridad auditable?

¿El DPA exige que los subencargados se incorporen solo con consentimiento previo, o con notificación y derecho a objetar?

¿El DPA obliga al encargado a ayudarte con las solicitudes de los interesados (acceso, supresión, portabilidad)?

¿Al final del contrato está regulada la devolución O supresión de todos los datos personales incluidas copias — con prueba de supresión?

Para proveedores fuera de la UE/EEE: ¿tienes un mecanismo de transferencia válido (EU-US DPF, Cláusulas Contractuales Tipo 2021/914, BCR o decisión de adecuación)?