Enterprise

El Acuerdo de Tratamiento de Datos de GDPR, explicado

Alcance del procesamiento, subencargados, mecanismos de transferencia y ejecución: qué cubre el DPA y la ruta exacta que sigue tu equipo de privacidad para firmarlo.

El Acuerdo de Tratamiento de Datos de GDPR de Ciao es el contrato que rige cómo Ciao procesa datos personales en tu nombre: el alcance del procesamiento, los subencargados involucrados (incluidos los proveedores de modelo que operan bajo contratos de retención cero) y los mecanismos de transferencia aplicables. A diferencia de los proveedores que tratan el DPA como un añadido tardío, Ciao lo dirige a través de una ruta de compras definida para que tu equipo legal revise y ejecute documentos reales, no resúmenes.

Ideal paraRevisión de privacidad y DPOIncorporación de proveedor bajo GDPRDiligencia debida de subencargados

Publicado 2026-07-03 · Última actualización 2026-07-03

Por qué el DPA es donde se atascan las plataformas de IA

Para un equipo de privacidad europeo, o cualquier equipo que atienda a usuarios europeos, el DPA no es papeleo, es el control. Define qué puede hacer el encargado del tratamiento con los datos personales, qué subencargados los tocan, y con qué base legal cruzan fronteras los datos. Una plataforma de desarrollo con IA añade una capa que las plantillas antiguas de DPA nunca anticiparon: proveedores de modelo, sentados en la cadena de procesamiento, con su propio comportamiento de retención.

Aquí es donde se estancan muchas evaluaciones de herramientas de IA. La demo del producto va bien, luego la oficina de privacidad pide la lista de subencargados y los términos de retención del proveedor de modelo, y la respuesta del proveedor es un hilo de tickets de soporte. Pasan semanas. Los acuerdos, y los proyectos internos, mueren en esa brecha, no porque la respuesta fuera mala sino porque nadie la había escrito.

El enfoque de Ciao es hacer del DPA un artefacto de compras de primera clase. El acuerdo cubre el procesamiento que realiza Ciao para operar la plataforma, nombra las categorías de subencargados involucrados, y se sitúa junto a los compromisos que tus revisores querrán ver a su lado: el código del cliente no se usa para entrenar modelos, la inferencia se ejecuta bajo contratos de modelo de retención cero, y los informes SOC 2 Tipo II están disponibles bajo NDA.

Qué cubre el DPA

  • Alcance del procesamiento y roles — Qué procesa Ciao en tu nombre para operar la plataforma, en qué rol, y con qué propósito: el fundamento controlador-encargado sobre el que se construye tu evaluación de privacidad.
  • Subencargados — Las categorías de subencargados detrás de la plataforma (infraestructura de nube y proveedores de modelo entre ellos), con la lista actual mantenida como parte del conjunto de documentos del DPA que revisa tu equipo antes de firmar.
  • Proveedores de modelo dentro del marco — La capa de modelo se trata como parte de la cadena de procesamiento, no como una excepción a ella: la inferencia se ejecuta bajo contratos de modelo de retención cero, y el código del cliente no se usa para entrenar modelos.
  • Mecanismos de transferencia — Los mecanismos legales aplicables a cualquier transferencia transfronteriza se documentan en el acuerdo, así tu DPO evalúa lenguaje real en lugar de garantías.
  • Posturas de despliegue que reducen la pregunta — Desplegar en tu propia cuenta de AWS, Azure o GCP, una VPC privada, u on-prem bajo términos aparte mantiene los datos de la aplicación dentro de infraestructura que controlas, simplificando el análisis de residencia. Consulta la página de residencia de datos para esa dimensión.
  • Medidas de seguridad con evidencia detrás — Las medidas técnicas y organizativas referenciadas por el DPA se conectan a artefactos verificables: informes SOC 2 Tipo II bajo NDA y el paquete de seguridad a petición.

Cómo ejecutar el DPA

  1. 1. Solicita el conjunto de documentos

    Contacta con el equipo enterprise vía la página de contacto y pide el DPA junto al paquete de seguridad: están diseñados para revisarse juntos.

  2. 2. Revisa el alcance y los subencargados

    Tu equipo de privacidad mapea la descripción del procesamiento y la lista de subencargados contra tus registros de tratamiento y tu marco de riesgo.

  3. 3. Evalúa la capa de modelo

    Revisa los compromisos de retención cero y sin entrenamiento como parte del mismo ejercicio; si traes tus propias claves o endpoints de modelo, tus términos de proveedor existentes encajan en el análisis.

  4. 4. Resuelve preguntas con una contraparte

    Las preguntas de DPA se dirigen al equipo enterprise como parte de las compras: un proceso nombrado, no un foro comunitario.

  5. 5. Ejecuta y archiva

    El DPA firmado se convierte en parte de tu expediente de proveedor junto al informe SOC 2 Tipo II revisado bajo NDA, dándole a tus auditores un único conjunto de evidencia coherente.

Notas de verificación y comerciales

Una página como esta no puede sustituir al propio acuerdo, y no lo intenta: el DPA, la lista de subencargados y los términos de manejo de datos son documentos que tu equipo legal lee completos durante las compras. Lo que esta página promete es la ruta: solicitud vía la página de contacto, revisión con una contraparte enterprise nombrada, ejecución como parte del acuerdo. La ejecución del DPA está incluida en las compras enterprise en lugar de venderse por separado; los programas de producción serios empiezan en 10.000 USD al año. Nada aquí es asesoría legal: es una descripción del flujo de trabajo y los documentos, para las personas cuyo trabajo es evaluarlos.

Un consejo práctico de equipos que han llevado esta revisión rápidamente: paraleliza. Envía el DPA a privacidad, el informe SOC 2 Tipo II a seguridad y los términos comerciales a compras en la misma semana; el conjunto de documentos está diseñado para que las tres revisiones no se bloqueen entre sí, y el equipo enterprise puede atender los tres hilos a la vez.

La lista de verificación del revisor de DPA, mapeada

Pregunta del revisorDónde vive la respuesta
¿Qué procesamiento realiza el proveedor?Alcance del procesamiento en el DPA
¿Quiénes son los subencargados?Lista de subencargados en el conjunto de documentos del DPA
¿Los proveedores de modelo retienen o entrenan con nuestros datos?Contratos de modelo de retención cero; sin entrenamiento sobre código del cliente: términos contractuales
¿Qué mecanismos de transferencia aplican?Disposiciones de transferencia en el DPA
¿Qué medidas de seguridad respaldan esto?Informe SOC 2 Tipo II bajo NDA; paquete de seguridad a petición
¿Dónde corren físicamente los datos de la aplicación?Postura de despliegue: nube de Ciao, tu cuenta de nube, VPC privada, u on-prem bajo términos aparte

Preguntas frecuentes

¿Cómo obtenemos el DPA?

Solicítalo vía la página de contacto como parte de una conversación enterprise. Llega con el paquete de seguridad y los términos de manejo de datos para que tus revisiones de privacidad y seguridad puedan correr en paralelo en lugar de en secuencia.

¿Los proveedores de modelo aparecen listados como subencargados?

La capa de modelo se documenta como parte de la cadena de procesamiento en el conjunto de documentos del DPA, junto con los compromisos que más importan: la inferencia se ejecuta bajo contratos de modelo de retención cero, y el código del cliente no se usa para entrenar modelos.

¿Cómo se comunican los cambios de subencargados?

El mecanismo de notificación se define en el propio DPA; tu equipo revisa los términos exactos durante las compras en lugar de depender de una paráfrasis aquí. La lista actual de subencargados es parte del conjunto de documentos que recibes.

¿Desplegar en nuestra propia nube cambia el análisis del DPA?

Lo reduce. Cuando la aplicación corre en tu propia cuenta de AWS, Azure o GCP, una VPC privada, u on-prem bajo términos aparte, los datos de la aplicación permanecen dentro de infraestructura que controlas, lo que simplifica las preguntas de residencia y transferencia que tiene que responder tu DPO.

¿Puede nuestra asesoría legal externa revisarlo antes de comprometernos comercialmente?

Sí. El DPA y el paquete de seguridad se comparten durante las compras precisamente para que la revisión legal ocurra antes de la firma, junto al informe SOC 2 Tipo II bajo NDA. Involucra a tu asesoría tan pronto como quieras: los documentos están listos para ellos.

Páginas relacionadas

Consigue el paquete de seguridad.

DPA de GDPR: alcance, subencargados, firma | Ciao