Un DPA (Data Processing Agreement, o contrato de tratamiento de datos) es el acuerdo que regula cómo un proveedor trata los datos personales que tu empresa le encarga. Es una de las exigencias más pasadas por alto de la Ley 19.628 (mod. Ley 21.719).
¿Cuándo necesitas un DPA?
Siempre que un tercero acceda a datos personales de tus clientes o trabajadores: el CRM, el software de RR.HH., la plataforma de email marketing, el hosting, los servicios en la nube, etc. Todos ellos son encargados de tratamiento.
¿Qué pasa si no lo tienes?
Tu empresa se convierte en responsable solidario. Si el proveedor sufre una brecha o usa mal los datos, la responsabilidad —y la multa— llega a quien lo contrató.
¿Qué debe contener un DPA?
- El objeto y la duración del tratamiento.
- Las finalidades autorizadas (y la prohibición de usarlos para otra cosa).
- Las medidas de seguridad que el proveedor debe aplicar.
- La obligación de notificar brechas.
- Qué ocurre con los datos al terminar el contrato.
Recomendación
Haz un inventario de todos los proveedores que acceden a datos y verifica cuáles tienen un DPA firmado. Es uno de los puntos que más rápido reduce tu exposición legal.
Privium Chile te ayuda a cumplir
Diagnóstico, implementación y acompañamiento para la Ley 19.628 (mod. Ley 21.719). Agenda una conversación gratuita.
Agendar diagnóstico gratuito