Definición

DPA

Data Processing Agreement

Contrato entre una empresa (responsable de datos) y un proveedor que procesa esos datos por cuenta de ella (encargado del tratamiento). Formaliza finalidad, medidas de seguridad, retención y manejo de incidentes. Es uno de los pilares del cumplimiento en regímenes modernos de protección de datos.

Un Data Processing Agreement (DPA) — acuerdo de tratamiento de datos — es el contrato que formaliza la relación entre dos partes cuando una procesa datos personales por cuenta de la otra. La parte que decide la finalidad del tratamiento es el responsable; la parte que ejecuta el procesamiento es el encargado del tratamiento. El DPA describe qué datos se tratan, para qué, durante cuánto tiempo, qué medidas de seguridad aplican y qué pasa cuando termina la relación.

Por qué importa en Chile

Hasta noviembre de 2026 rige la Ley 19.628. Desde el 1 de diciembre de 2026 entra en vigencia la Ley 21.719, que reforma integralmente el régimen y exige formalizar por escrito la relación responsable-encargado. En la práctica, cualquier empresa que use proveedores SaaS para tratar datos personales (operación, RRHH, contabilidad, comunicaciones, almacenamiento) necesita DPA con cada uno antes de esa fecha.

Qué debe contener un DPA

Identificación de las partes y de los datos tratados.
Finalidad del tratamiento y limitación de uso.
Duración del contrato y políticas de retención.
Medidas técnicas y organizativas de seguridad.
Procedimiento para responder solicitudes de los titulares.
Manejo y notificación de incidentes de seguridad.
Subencargados (si el proveedor delega en terceros).
Devolución o eliminación de datos al finalizar la relación.

headQ y DPA

headQ ofrece DPA disponible para clientes Enterprise, formalizando su rol como encargado del tratamiento. Si tu empresa todavía no tiene DPA con sus proveedores SaaS críticos, es una conversación que conviene tener antes del 1 de diciembre de 2026, no después.

¿Quieres ver cómo lo resuelve headQ en la práctica?

Ver política de privacidad