Gestión de Proveedores14 min de lectura

Cómo elaborar un DPA (Acuerdo de Tratamiento de Datos) que realmente proteja a su organización

Equipo Confidata·
Compartir

La Ley N° 21.719 establece que el encargado del tratamiento debe operar conforme a las instrucciones del responsable. El instrumento que formaliza esas instrucciones — y que establece todas las obligaciones de privacidad entre responsable y encargado — es el DPA (Data Processing Agreement) o Acuerdo de Tratamiento de Datos.

A pesar de la exigencia de la Ley N° 21.719, muchas organizaciones llegan a una auditoría o al proceso de due diligence de un cliente con una de estas dos situaciones: sin DPA con sus encargados del tratamiento, o con un DPA genérico que no ofrece protección real. Este artículo explica qué diferencia a un DPA eficaz de un documento meramente formal.

Qué es el DPA y por qué no es el contrato de servicios

El DPA no es el contrato de prestación de servicios. El contrato de servicios regula la relación comercial — alcance, precio, plazo, penalidades. El DPA regula la relación de protección de datos — cómo se tratarán los datos personales, con qué controles, bajo qué instrucciones y con qué obligaciones de compliance.

Los dos documentos pueden coexistir de distintas formas:

  • DPA como documento separado: firmado paralelamente al contrato de servicios, con referencia cruzada entre ambos
  • DPA como anexo al contrato de servicios: incorporado como addendum específico de protección de datos
  • DPA integrado al contrato de servicios: cláusulas de protección de datos en el cuerpo principal del contrato (funciona, pero dificulta actualizaciones)

La opción más práctica para proveedores con múltiples clientes es el DPA como documento separado estandarizado — que puede personalizarse para cada relación específica.

Lo que exige la Ley 21.719: la base legal del DPA

La Ley N° 21.719 establece en su Art. 14 bis las obligaciones del encargado del tratamiento: debe realizar el tratamiento de datos siguiendo las instrucciones del responsable, y no puede utilizarlos para fines propios ni distintos a los establecidos contractualmente.

El Art. 14 quinquies exige que los agentes de tratamiento adopten medidas de seguridad técnicas y organizacionales proporcionales al riesgo del tratamiento.

La Ley N° 21.719 establece además la responsabilidad solidaria del encargado cuando incumpla la legislación o las instrucciones del responsable, lo que crea incentivos concretos para que el encargado disponga de controles reales.

Estos elementos, combinados, crean la estructura de la relación entre responsable y encargado — y el DPA es el instrumento que hace esa estructura concreta y ejecutable.

Nota: La Ley N° 21.719 no prescribe un formato específico de DPA. Diferentemente del RGPD europeo, que prevé Cláusulas Contractuales Estándar (CCE) para transferencias internacionales, la Ley N° 21.719 deja a las partes libres para estructurar el acuerdo — con la condición de que cubra el contenido necesario para demostrar cumplimiento del principio de responsabilidad.

Estructura esencial del DPA: lo que no puede faltar

1. Identificación de las partes y los roles

Identificar claramente quién es el responsable y quién es el encargado del tratamiento — con RUT, razón social y la declaración explícita del rol de cada parte conforme a la Ley N° 21.719. Si hubiera subencargados (terceros contratados por el encargado), deben mencionarse.

2. Objeto del tratamiento

Describir con precisión qué servicio o actividad involucra el tratamiento de datos personales. Debe ser específico — no "soporte de TI" sino "hospedaje y mantenimiento del sistema de CRM que contiene datos de clientes de la empresa contratante."

3. Duración del tratamiento

Plazo de vigencia del DPA, vinculado al contrato de servicios principal. Debe incluir disposiciones sobre qué ocurre con los datos al término: devolución al responsable o destrucción segura, con plazo definido.

4. Naturaleza, finalidad y categorías de los datos

Esta es una de las cláusulas más descuidadas — y la más importante para la conformidad.

Naturaleza: cómo se realiza el tratamiento (almacenamiento, procesamiento, análisis, transmisión)

Finalidad: para qué finalidad específica el encargado trata los datos (únicamente para prestar el servicio contratado — no para otras finalidades propias del encargado)

Categorías de datos personales: qué tipos de datos tendrá acceso el encargado (nombre, RUT, correo, datos financieros, etc.)

Categorías de titulares: quiénes son los titulares de los datos (clientes de la empresa, colaboradores, socios comerciales, etc.)

Volumen estimado: número aproximado de titulares cuyos datos procesará el encargado

5. Obligaciones y derechos del responsable

  • Proporcionar al encargado solo los datos necesarios para el servicio (principio de minimización)
  • Garantizar que existe base de licitud documentada para el tratamiento
  • Proporcionar instrucciones claras y lícitas al encargado
  • Verificar periódicamente el cumplimiento de las obligaciones del encargado
  • Notificar al encargado sobre cualquier cambio en las instrucciones

6. Obligaciones del encargado

Esta es la sección más extensa del DPA — y donde están las protecciones concretas para el responsable.

6.1 Tratar solo conforme a instrucciones El encargado solo puede tratar los datos personales conforme a las instrucciones documentadas del responsable — nunca para finalidades propias ni de terceros. Incluye obligación de notificar al responsable si considera que alguna instrucción viola la legislación.

6.2 Confidencialidad Garantizar que las personas con acceso a los datos personales estén sujetas a una obligación de confidencialidad — ya sea contractual o legal.

6.3 Medidas de seguridad Implementar y mantener medidas técnicas y organizacionales de seguridad apropiadas al riesgo. El DPA debe ser específico sobre el nivel mínimo exigido — no solo "medidas adecuadas" (frase vaga que no protege a nadie).

Ejemplos de especificidad:

  • Cifrado de datos en reposo y en tránsito
  • Control de acceso basado en roles (RBAC)
  • Autenticación multifactor para accesos a sistemas con datos del responsable
  • Copia de seguridad con periodicidad definida
  • Política de gestión de parches y actualizaciones de seguridad

6.4 Subencargados Condiciones para que el encargado subcontrate terceros con acceso a los datos:

  • Autorización previa del responsable (específica o general con derecho de objeción)
  • Imposición al subencargado de las mismas obligaciones del DPA
  • Responsabilidad del encargado por los actos del subencargado ante el responsable

6.5 Apoyo al ejercicio de derechos de los titulares El encargado debe cooperar con el responsable en la atención a los derechos de los titulares (acceso, rectificación, supresión, portabilidad). Como el responsable es quien debe responder a los titulares, el encargado debe proporcionar las informaciones y ejecutar las acciones técnicas necesarias dentro de un plazo definido en el DPA.

6.6 Cooperación con la autoridad regulatoria Si la Agencia de Protección de Datos Personales realiza una fiscalización o solicita información relacionada con el tratamiento realizado por el encargado, este debe cooperar plenamente con el responsable para responder al regulador.

6.7 Auditorías El responsable tiene derecho a realizar — o contratar a un tercero para realizar — auditorías al encargado para verificar el cumplimiento del DPA. El DPA debe definir preaviso mínimo, frecuencia máxima y procedimiento para la conducción de las auditorías.

7. Notificación de incidentes de seguridad

Esta cláusula es crítica y frecuentemente está mal redactada.

El DPA debe establecer:

  • Obligación del encargado de notificar al responsable sin demora indebida tras tomar conocimiento de cualquier incidente de seguridad que pueda afectar los datos del responsable
  • Plazo máximo para la notificación (recomendado: 24 a 48 horas tras el conocimiento — para dar tiempo al responsable a cumplir el plazo de 72 horas preferentes del Art. 14 sexies de la Ley N° 21.719)
  • Contenido mínimo de la notificación: naturaleza del incidente, datos y titulares afectados, medidas adoptadas, contacto del responsable del encargado
  • Obligación de cooperación en la investigación y elaboración del informe para la Agencia

8. Transferencia internacional de datos

Si el encargado procesa datos en otros países (servidores en el extranjero, subencargados internacionales), el DPA debe contemplar:

  • Qué países están involucrados
  • Las garantías aplicadas (decisión de adecuación, cláusulas contractuales estándar u otros mecanismos conforme a la Ley N° 21.719)

9. Devolución y destrucción de datos al término

Al término de la relación contractual, el encargado debe:

  • Devolver al responsable todos los datos personales recibidos, o
  • Destruir de forma segura todos los datos, con plazo definido (generalmente 30 a 60 días tras el término)
  • Entregar al responsable un certificado o declaración formal de destrucción

10. Responsabilidad e indemnización

Cláusula que define la responsabilidad del encargado por los daños derivados del incumplimiento del DPA — y el procedimiento de notificación y resolución de disputas. Debe ser consistente con el régimen de responsabilidad solidaria de la Ley N° 21.719.

Errores comunes en el DPA

Error 1: DPA genérico sin especificación de los datos

El DPA que dice solo "datos personales de los clientes" sin especificar categorías, volumen o finalidad es inútil para efectos de conformidad. La Agencia de Protección de Datos Personales — y cualquier auditor — requerirá especificidad.

Error 2: No incluir cláusula de subencargados

Muchos proveedores subcontratan partes del servicio — hospedaje en la nube, soporte técnico, procesamiento de pagos. Sin cláusula de subencargados, el responsable pierde visibilidad sobre toda la cadena de tratamiento de los datos.

Error 3: Plazo de notificación de incidente incompatible con la ley

Un DPA que le da al encargado 10 días para notificar al responsable sobre incidentes es inútil: el responsable tiene 72 horas preferentes para notificar a la Agencia (Art. 14 sexies, Ley N° 21.719). El plazo del encargado debe ser significativamente menor que el del responsable.

Error 4: Cláusula de auditoría sin mecanismo real

"El responsable tiene derecho a realizar auditorías" — sin plazo de preaviso, sin definición de alcance, sin obligación de cooperación del encargado. En la práctica, el encargado puede imposibilitar cualquier auditoría sin incumplir formalmente el DPA.

Error 5: No tener DPA e incluir "cláusulas de privacidad" en el contrato de servicios

Algunas organizaciones insertan un párrafo de "protección de datos" en el contrato de servicios y consideran el requisito satisfecho. Ese párrafo raramente cubre todos los elementos necesarios y frecuentemente no ofrece protección real.

Error 6: Olvidar el DPA al renovar el contrato

El DPA debe revisarse cuando el contrato se renueva — especialmente si el alcance del servicio cambió, si se comparten nuevas categorías de datos o si hubo un cambio regulatorio relevante.

DPA con proveedores europeos: el RGPD como referencia

Si su organización contrata proveedores europeos que procesan datos de titulares chilenos, o si usted es un proveedor europeo prestando servicios a clientes chilenos, la relación puede involucrar tanto la Ley N° 21.719 como el RGPD.

El RGPD prevé explícitamente la exigencia de DPA en su Art. 28 — con contenido obligatorio muy similar al que describimos arriba. Para transferencias de datos desde la UE hacia Chile, el RGPD exige garantías específicas, como las Cláusulas Contractuales Estándar (CCE) publicadas por la Comisión Europea.

Punto práctico: La Ley N° 21.719 fue diseñada con estándares compatibles con el sistema europeo, lo que facilita la operación en ambos mercados. Cuando el proveedor europeo ya dispone de su modelo de DPA basado en el RGPD, ese documento generalmente cubre también las exigencias de la Ley N° 21.719 — ya que el RGPD es más detallado en varios aspectos. La revisión jurídica debe verificar los puntos específicos de la Ley N° 21.719 que eventualmente no estén cubiertos, especialmente los plazos de notificación de incidentes adaptados al plazo de 72 horas de la Agencia chilena.

Template vs. DPA personalizado: cuándo usar cada uno

Template estandarizado tiene sentido cuando:

  • El volumen de proveedores es alto y el riesgo es homogéneo (proveedores de software SaaS con bajo volumen de datos)
  • La organización quiere agilidad en el onboarding de proveedores de bajo riesgo

DPA personalizado es necesario cuando:

  • El proveedor trata datos sensibles o gran volumen de datos personales
  • El tratamiento involucra transferencia internacional de datos
  • El alcance del servicio es complejo e involucra múltiples categorías de datos
  • El proveedor tiene una posición de negociación fuerte y propone su propio modelo de DPA

En la práctica, la mayoría de las organizaciones adopta un template base robusto que se personaliza según el perfil de riesgo del proveedor — con el equipo jurídico involucrado en las negociaciones de alto riesgo.

Conclusión: el DPA que protege es el que es específico y ejecutable

Un DPA eficaz no es aquel que cubre todos los temas con lenguaje vago — es aquel que especifica con claridad las obligaciones del encargado de forma que cualquier incumplimiento sea identificable y accionable.

Para el Delegado de Protección de Datos, el DPA es también la herramienta que demuestra a la Agencia que la organización cumplió su obligación de verificar las instrucciones y controlar el tratamiento realizado por terceros. Sin DPAs adecuados, la responsabilidad solidaria contemplada en la Ley N° 21.719 se convierte en un riesgo real e inmediato.

La documentación del programa de proveedores — inventario, due diligence, DPAs — debe estar organizada y disponible para demostrar conformidad con el principio de responsabilidad de la Ley N° 21.719.

Confidata incluye módulo de gestión de proveedores con inventario, seguimiento de DPAs y alertas de vencimiento — facilitando la demostración de conformidad ante la Agencia de Protección de Datos Personales.

Compartir
#DPA Ley 21.719#acuerdo tratamiento datos#contrato encargado responsable#DPA modelo Chile#acuerdo procesamiento datos

Artículos relacionados

Cómo gestionar proveedores y encargados conforme a la Ley 21.719Gestión de Proveedores · 13 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista