Acuerdo de Tratamiento de Datos (DPA)

Un Acuerdo de Tratamiento de Datos (DPA) es el contrato exigido por el artículo 28 del RGPD siempre que un tercero (un encargado del tratamiento) gestiona datos personales en nombre de un responsable del tratamiento (el editor). En un sistema de comentarios, cada comentario, cuenta de lector, voto y decisión de moderación constituye un dato personal, por lo que un DPA es obligatorio, no opcional.

Qué cubre un DPA al nivel de Logora

• Objeto, duración y finalidad del tratamiento.
• Categorías de interesados (suscriptores, lectores anónimos) y tipos de datos (información de la cuenta, comentarios, IP, datos de comportamiento).
• Medidas de seguridad (cifrado en reposo y en tránsito, controles de acceso, auditoría).
• Lista de subencargados con notificación y derecho de oposición antes de cualquier cambio (los de Logora: alojamiento en OVH, Mistral AI, DeepL).
• Obligaciones de confidencialidad para todo el personal con acceso a los datos.
• Gestión de los derechos de los interesados: acceso, rectificación, supresión, portabilidad.
• Notificación de brechas de seguridad en un plazo de 72 horas.
• Derechos de auditoría para el responsable del tratamiento.
• Fin del contrato: devolución o supresión de los datos personales.

Cómo gestiona Logora los DPA

Logora firma por defecto un DPA conforme al artículo 28 en cada contrato enterprise. La plantilla ha sido revisada por los DPO de Der Spiegel, Sud Ouest, Milenio y Krone. Se aceptan modificaciones bilaterales, pero el estándar legal está listo de fábrica, lo que elimina semanas de idas y venidas habituales con proveedores estadounidenses que operan bajo Cláusulas Contractuales Tipo.

Consulta RGPD para conocer el marco más amplio y Schrems II para la cuestión relacionada de las transferencias transatlánticas.