Un Acuerdo de tratamiento de datos (DPA) es el contrato exigido por el Artículo 28 del RGPD entre un responsable del tratamiento y un encargado, que establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, así como las obligaciones y los derechos de ambas partes.
Un Data Processing Agreement, abreviado DPA, es un contrato jurídicamente vinculante entre un responsable del tratamiento y un encargado del tratamiento que regula cómo se manejan los datos personales. Bajo el Artículo 28 del RGPD, el responsable solo debe utilizar encargados que ofrezcan garantías suficientes de medidas técnicas y organizativas apropiadas, y la relación debe regirse por un contrato u otro acto jurídico. El DPA debe especificar el objeto y la duración del tratamiento, la naturaleza y la finalidad, el tipo de datos personales, las categorías de interesados y las instrucciones documentadas del responsable. Sin un DPA válido, la propia contratación de un encargado constituye una infracción del RGPD.
En hostelería, el hotel suele ser el responsable de los datos del huésped y firma DPA con todos los encargados que contrate: el proveedor del PMS, el motor de reservas, el proveedor de email, la herramienta de analítica, el BSP de WhatsApp y cualquier plataforma de mensajería al huésped. Cada DPA debe reflejar los flujos reales de datos entre las partes, enumerar los subencargados, exponer las medidas de seguridad, definir los plazos de notificación de brechas y aclarar cómo se atienden los derechos de los interesados, como el acceso, la rectificación y la supresión. Los hoteles que integren un CRM o un asistente de IA deben solicitar un DPA antes de compartir cualquier dato de producción.
Un DPA no es una formalidad. Define quién es responsable cuando algo va mal, qué puede y qué no puede hacer el encargado con los datos y con qué rapidez debe notificarse al hotel un incidente. Las plantillas genéricas son un mal sustituto de un DPA adaptado al tratamiento real, en particular cuando las funcionalidades de IA generan datos derivados como resúmenes de conversaciones o insights del huésped. El DPA también debe alinearse con el aviso de privacidad propio del hotel y con las obligaciones aplicables de cumplimiento del RGPD.
Viqal proporciona un DPA estándar a todos los clientes, disponible en /data-processing-agreement. El acuerdo formaliza la relación responsable-encargado, enumera los subencargados utilizados para prestar el servicio, describe las medidas técnicas y organizativas vigentes y establece las obligaciones de notificación de brechas y devolución de datos. Combinado con la bandeja de entrada de equipo basada en roles de Viqal, la retención configurable y los controles de cifrado, el DPA proporciona a los hoteles una base contractual clara para utilizar la automatización de mensajería al huésped impulsada por IA a escala.
El Artículo 28 del RGPD exige un DPA siempre que un responsable contrate a un encargado para tratar datos personales en su nombre. Para los hoteles de la UE o aquellos que tratan datos de residentes en la UE, esto significa que se requiere un DPA con cada proveedor que toque datos del huésped, incluidos PMS, CRM, herramientas de email, BSP y plataformas de mensajería.
El Artículo 28(3) enumera los elementos obligatorios: objeto y duración, naturaleza y finalidad del tratamiento, tipo de datos personales y categorías de interesados, instrucciones del responsable, obligaciones de confidencialidad, medidas de seguridad, normas sobre subencargados, soporte a los derechos de los interesados, notificación de brechas y disposiciones para la devolución o supresión de los datos al finalizar el contrato.
No. Una política de privacidad es un aviso del responsable a los interesados que explica cómo se tratan sus datos. Un DPA es un contrato entre el responsable y el encargado que regula el manejo operativo de esos datos. Los dos documentos sirven a audiencias y finalidades jurídicas distintas.
Quien firme el DPA con el encargado es el responsable de los datos personales. Para un hotel independiente, esa figura es la propia propiedad; para un hotel gestionado o franquiciado, depende de qué entidad decida los medios y las finalidades del tratamiento. Una asignación clara de la responsabilidad como controller es el primer paso antes de negociar el DPA.
Un encargado solo puede contratar subencargados con la autorización del responsable, ya sea específica o general. El DPA debe enumerar los subencargados actuales o incluir un proceso para notificar los cambios al responsable, y el encargado sigue siendo plenamente responsable del cumplimiento del subencargado de las mismas obligaciones.
Viqal publica su DPA estándar en viqal.com/data-processing-agreement. Los hoteles pueden revisarlo y firmarlo como parte del onboarding, y son posibles enmiendas a medida para clientes enterprise con requisitos específicos.
-min.avif)
