Toda empresa SaaS que gestione datos de clientes necesita un Acuerdo de Tratamiento de Datos (ATD). Tanto si eres el que proporciona servicios SaaS como si utilizas herramientas de terceros, los ATD son legalmente obligatorios según el Artículo 28 del RGPD. Esta guía proporciona una plantilla de ATD completa y gratuita que puedes personalizar para tu negocio, junto con explicaciones de cada cláusula y cuándo necesitas uno.
¿Qué es un Acuerdo de Tratamiento de Datos?
Un Acuerdo de Tratamiento de Datos es un contrato legalmente vinculante entre un responsable del tratamiento (normalmente tu cliente) y un encargado del tratamiento (normalmente tú, el proveedor SaaS). Define cómo se manejarán los datos personales, qué medidas de seguridad existen y qué sucede cuando algo sale mal.
Según el Artículo 28 del RGPD, siempre que un responsable contrate a un encargado para tratar datos personales en su nombre, deben tener un contrato por escrito. Esto no es opcional—es un requisito legal con sanciones de hasta 20 millones de euros o el 4% de la facturación anual.
Responsable vs Encargado: ¿Cuál eres tú?
Eres Responsable del Tratamiento cuando:
- Decides por qué y cómo se tratan los datos personales
- Determinas qué datos recopilar
- Eres directamente responsable ante los interesados (tus usuarios)
Eres Encargado del Tratamiento cuando:
- Tratas datos en nombre de otra empresa
- Sigues sus instrucciones sobre el manejo de datos
- Los datos de los clientes de tus clientes fluyen a través de tu sistema
La mayoría de las empresas SaaS son ambas cosas:
- Responsable de los datos de sus propios usuarios/empleados
- Encargado cuando manejan los datos de sus clientes
¿Cuándo necesitas un ATD?
Necesitas tener un ATD en vigor cuando:
| Escenario | Ejemplo | ¿ATD necesario? |
|---|---|---|
| Un cliente usa tu SaaS | Un usuario sube contactos a tu CRM | Sí - tú eres el encargado |
| Usas una herramienta de terceros | Usas Stripe para pagos | Sí - ellos son tu encargado |
| Usas analítica | Google Analytics rastrea a tus usuarios | Sí - ellos son tu encargado |
| Usas servicios de email | SendGrid envía emails transaccionales | Sí - ellos son tu encargado |
| Datos internos de empleados | Tu propio sistema de RRHH | No - tratamiento interno |
Plantilla Gratuita de Acuerdo de Tratamiento de Datos
A continuación se presenta una plantilla de ATD completa y compatible con el RGPD. Cópiala, personaliza las secciones entre corchetes y úsala con tus clientes o proveedores.
ACUERDO DE TRATAMIENTO DE DATOS
Entre:
[NOMBRE DE LA EMPRESA] (“Responsable”) [Dirección] [País]
Y:
[NOMBRE DE TU EMPRESA] (“Encargado”) [Dirección] [País]
Fecha de entrada en vigor: [FECHA]
1. DEFINICIONES
1.1 “Datos Personales” significa cualquier información relativa a una persona física identificada o identificable tal como se define en el Artículo 4(1) del RGPD.
1.2 “Tratamiento” significa cualquier operación realizada sobre Datos Personales, incluyendo recogida, registro, organización, almacenamiento, adaptación, consulta, utilización, comunicación, supresión o destrucción.
1.3 “Interesado” significa la persona física identificada o identificable a la que se refieren los Datos Personales.
1.4 “Subencargado” significa cualquier tercero contratado por el Encargado para tratar Datos Personales en nombre del Responsable.
1.5 “Violación de Datos” significa una brecha de seguridad que ocasione la destrucción, pérdida, alteración, comunicación no autorizada o acceso accidental o ilícito a Datos Personales.
1.6 “RGPD” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
1.7 “Servicios” significa [DESCRIBE TU SERVICIO SAAS].
2. ALCANCE Y FINALIDAD DEL TRATAMIENTO
2.1 Naturaleza del Tratamiento: El Encargado tratará los Datos Personales únicamente con el fin de prestar los Servicios descritos en el acuerdo principal de servicios entre las partes.
2.2 Tipos de Datos Personales: Los Datos Personales tratados en virtud de este Acuerdo incluyen:
-
[Información de contacto (nombre, email, teléfono)]
-
[Credenciales de cuenta]
-
[Datos de uso y analítica]
-
[Información de pago]
-
[Cualquier otra categoría específica de tu servicio]
2.3 Categorías de Interesados: Los Interesados incluyen:
-
[Clientes del Responsable]
-
[Empleados del Responsable]
-
[Contactos comerciales del Responsable]
-
[Cualquier otra categoría específica de tu servicio]
2.4 Duración: El tratamiento continuará durante la vigencia del acuerdo de Servicios, salvo que se termine antes de conformidad con este Acuerdo.
3. OBLIGACIONES DEL ENCARGADO
3.1 Instrucciones: El Encargado deberá:
-
Tratar los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable
-
Informar inmediatamente al Responsable si una instrucción infringe el RGPD u otra legislación de protección de datos
-
No tratar los Datos Personales para ningún fin distinto a la prestación de los Servicios
3.2 Confidencialidad: El Encargado garantizará que las personas autorizadas para tratar Datos Personales:
-
Se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad apropiada
-
Traten los Datos Personales únicamente siguiendo instrucciones del Responsable
3.3 Medidas de Seguridad: El Encargado implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
-
Cifrado de Datos Personales en tránsito y en reposo
-
Capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de tratamiento
-
Capacidad para restaurar la disponibilidad y el acceso a los Datos Personales de forma oportuna en caso de incidente
-
Pruebas y evaluación periódicas de las medidas de seguridad
3.4 Subtratamiento: El Encargado deberá:
-
No contratar a otro encargado sin la autorización previa específica o general por escrito del Responsable
-
Cuando se otorgue autorización general, informar al Responsable de cualquier cambio previsto en relación con la incorporación o sustitución de subencargados, dando al Responsable la oportunidad de oponerse
-
Garantizar que cualquier subencargado esté vinculado por las mismas obligaciones de protección de datos establecidas en este Acuerdo
-
Seguir siendo plenamente responsable del cumplimiento de las obligaciones del subencargado
3.5 Derechos de los Interesados: El Encargado asistirá al Responsable en la respuesta a las solicitudes de los Interesados que ejerzan sus derechos en virtud del RGPD, incluyendo:
-
Derecho de acceso (Artículo 15)
-
Derecho de rectificación (Artículo 16)
-
Derecho de supresión (Artículo 17)
-
Derecho a la limitación del tratamiento (Artículo 18)
-
Derecho a la portabilidad de los datos (Artículo 20)
-
Derecho de oposición (Artículo 21)
3.6 Notificación de Violaciones de Datos: El Encargado deberá:
-
Notificar al Responsable sin dilación indebida, y en cualquier caso en un plazo de 48 horas, tras tener conocimiento de una Violación de Datos
-
Proporcionar información suficiente para permitir al Responsable cumplir con sus obligaciones en virtud de los Artículos 33 y 34 del RGPD
-
Asistir al Responsable en la investigación, mitigación y corrección de la Violación de Datos
3.7 Evaluaciones de Impacto de Protección de Datos: El Encargado asistirá al Responsable en las evaluaciones de impacto de protección de datos y las consultas previas con las autoridades de control cuando sea necesario.
3.8 Derechos de Auditoría: El Encargado deberá:
-
Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del Artículo 28 del RGPD
-
Permitir y contribuir a las auditorías e inspecciones realizadas por el Responsable o un auditor designado por el Responsable
-
Proporcionar informes de auditoría de auditores terceros reconocidos (p. ej., SOC 2, ISO 27001) como alternativa a las auditorías presenciales cuando sea apropiado
4. OBLIGACIONES DEL RESPONSABLE
4.1 El Responsable garantiza que:
-
Tiene una base legal para el tratamiento de los Datos Personales
-
Ha proporcionado las notificaciones adecuadas a los Interesados
-
Ha obtenido los consentimientos necesarios
-
Sus instrucciones al Encargado cumplen con la legislación aplicable de protección de datos
4.2 El Responsable deberá:
-
Proporcionar al Encargado toda la información necesaria para que el Encargado pueda cumplir sus obligaciones
-
Responder con prontitud a cualquier consulta del Encargado relativa a las instrucciones de tratamiento
5. TRANSFERENCIAS INTERNACIONALES DE DATOS
5.1 El Encargado no transferirá Datos Personales a ningún país fuera del Espacio Económico Europeo (EEE) a menos que:
-
El país de destino cuente con una decisión de adecuación de la Comisión Europea; o
-
Se hayan establecido garantías adecuadas según lo especificado en el Artículo 46 del RGPD; o
-
Sea aplicable una excepción conforme al Artículo 49 del RGPD
5.2 Cuando se realicen transferencias a subencargados fuera del EEE, el Encargado garantizará que se hayan establecido Cláusulas Contractuales Tipo (CCT) o garantías equivalentes.
5.3 Mecanismos de transferencia actualmente en uso: [Enumera los países fuera del EEE donde se tratan datos y las garantías establecidas]
6. SUBENCARGADOS
6.1 El Responsable otorga autorización [general/específica] al Encargado para contratar subencargados.
6.2 Subencargados actuales: El Encargado utiliza actualmente los siguientes subencargados:
| Subencargado | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| [AWS/GCP/Azure] | Alojamiento en la nube | [Ubicación] | [CCT/Adecuación] |
| [Stripe] | Procesamiento de pagos | [Ubicación] | [CCT/Adecuación] |
| [SendGrid] | Envío de emails | [Ubicación] | [CCT/Adecuación] |
| [Añadir otros] | [Finalidad] | [Ubicación] | [Garantías] |
6.3 El Encargado mantendrá una lista actualizada de subencargados en [URL] y notificará al Responsable de cualquier cambio con [30] días de antelación antes de contratar un nuevo subencargado.
6.4 El Responsable podrá oponerse a un nuevo subencargado en un plazo de [15] días desde la notificación. Si no se puede resolver una objeción razonable, cualquiera de las partes podrá dar por terminados los Servicios afectados.
7. CONSERVACIÓN Y SUPRESIÓN DE DATOS
7.1 Tras la finalización de los Servicios o a solicitud del Responsable, el Encargado deberá:
-
Devolver todos los Datos Personales al Responsable en un formato de uso común y lectura mecánica; o
-
Suprimir todos los Datos Personales y certificar dicha supresión por escrito
7.2 El Encargado podrá conservar Datos Personales únicamente cuando lo exija la legislación aplicable, y deberá informar al Responsable de dicho requisito.
7.3 Período de conservación: Los Datos Personales se conservarán durante la vigencia del acuerdo de Servicios más [30/60/90] días, salvo instrucción contraria del Responsable.
8. RESPONSABILIDAD E INDEMNIZACIÓN
8.1 Cada parte será responsable de los daños causados por un tratamiento que infrinja el RGPD o este Acuerdo, de conformidad con el Artículo 82 del RGPD.
8.2 El Encargado indemnizará al Responsable por cualquier reclamación, daño o pérdida derivada del incumplimiento de este Acuerdo o del RGPD por parte del Encargado.
8.3 La responsabilidad total del Encargado en virtud de este Acuerdo no excederá [importe o referencia a los límites del acuerdo principal].
9. VIGENCIA Y TERMINACIÓN
9.1 Este Acuerdo permanecerá en vigor durante la vigencia del acuerdo de Servicios entre las partes.
9.2 Cualquiera de las partes podrá resolver este Acuerdo:
-
Tras la terminación del acuerdo de Servicios
-
Por incumplimiento grave de la otra parte que no se subsane en un plazo de [30] días tras notificación por escrito
-
Si así lo exige la legislación aplicable o una orden regulatoria
9.3 Las Secciones 7 (Conservación y Supresión de Datos), 8 (Responsabilidad), y cualquier disposición que por su naturaleza deba sobrevivir, sobrevivirán a la terminación.
10. DISPOSICIONES GENERALES
10.1 Legislación Aplicable: Este Acuerdo se regirá por la legislación de [País/Estado].
10.2 Resolución de Conflictos: Cualquier conflicto se resolverá mediante [arbitraje/tribunales de País/Estado].
10.3 Modificaciones: Este Acuerdo solo podrá modificarse por escrito y con la firma de ambas partes.
10.4 Acuerdo Completo: Este Acuerdo constituye el acuerdo íntegro entre las partes en relación con el tratamiento de datos y sustituye a todos los acuerdos anteriores sobre esta materia.
10.5 Divisibilidad: Si cualquier disposición fuera declarada inválida, las disposiciones restantes continuarán en plena vigencia.
FIRMAS
Responsable:
Nombre: **____** Cargo: **____** Fecha: **____** Firma: ****____****
Encargado:
Nombre: **____** Cargo: **____** Fecha: **____** Firma: ****____****
Cómo Personalizar Esta Plantilla
Paso 1: Identifica Tu Rol
Primero, determina si eres el responsable o el encargado en la relación:
- Si los clientes usan tu SaaS → Tú eres el encargado, tu cliente firma como responsable
- Si estás usando un proveedor → Tú eres el responsable, el proveedor firma como encargado
Paso 2: Define los Detalles del Tratamiento
La Sección 2 requiere información específica sobre tu tratamiento:
Tipos de Datos Personales: Enumera exactamente qué datos fluyen a través de tu sistema:
- Información de contacto (nombre, email, teléfono)
- Datos de cuenta (nombre de usuario, hashes de contraseñas)
- Datos de uso (registros, analítica)
- Datos de contenido (archivos, mensajes, lo que los usuarios suban)
- Datos de pago (si aplica)
Categorías de Interesados: ¿A quién pertenecen los datos?
- Los clientes de tu cliente
- Los empleados de tu cliente
- Usuarios finales de tu plataforma
Paso 3: Documenta Tus Subencargados
La Sección 6 requiere transparencia sobre los servicios de terceros. Los subencargados comunes en SaaS incluyen:
| Categoría | Proveedores comunes |
|---|---|
| Alojamiento en la nube | AWS, Google Cloud, Azure, DigitalOcean |
| Base de datos | MongoDB Atlas, Supabase, PlanetScale |
| SendGrid, Mailgun, Postmark, AWS SES | |
| Pagos | Stripe, PayPal, Paddle |
| Analítica | Mixpanel, Amplitude, PostHog |
| Seguimiento de errores | Sentry, Bugsnag, LogRocket |
| Soporte al cliente | Intercom, Zendesk, Crisp |
Paso 4: Establece las Garantías de Transferencia
Si algún subencargado está fuera del EEE:
- Empresas de EE.UU.: Comprueba si tienen certificación del Marco de Privacidad de Datos
- Otros países: Necesitarás Cláusulas Contractuales Tipo (CCT)
- Reino Unido: Cubierto por la decisión de adecuación del Reino Unido
Paso 5: Personaliza las Medidas de Seguridad
La Sección 3.3 debe reflejar tus prácticas de seguridad reales:
- Cifrado: TLS 1.3 en tránsito, AES-256 en reposo
- Controles de acceso: Acceso basado en roles, MFA
- Monitorización: Registro de actividad, detección de intrusiones
- Copias de seguridad: Frecuencia, retención, pruebas
Errores Comunes en los ATD que Debes Evitar
Error 1: Usar una Plantilla Genérica Sin Personalización
Problema: Copiar y pegar una plantilla sin completar los datos específicos deja vacíos que los reguladores detectarán.
Solución: Completa cada sección entre corchetes. Si algo no aplica, indica explícitamente “No aplicable” en lugar de eliminarlo.
Error 2: No Enumerar Todos los Subencargados
Problema: Olvidarse de esa herramienta de analítica o rastreador de errores que añadiste hace meses.
Solución: Audita cada servicio de terceros que toque datos de usuario:
- Revisa tu package.json en busca de SDKs de SaaS
- Revisa tus variables de entorno en busca de claves API
- Escanea tus DNS en busca de scripts de terceros
Error 3: Prometer Tiempos de Respuesta Poco Realistas
Problema: Comprometerse a notificar una violación en 24 horas cuando no tienes monitorización 24/7.
Solución: Establece plazos realistas que puedas cumplir realmente. 48-72 horas es el estándar para la notificación de violaciones al responsable.
Error 4: Falta de Firma
Problema: Los acuerdos por email o PDFs sin firmar pueden no cumplir el requisito de “contrato por escrito”.
Solución: Usa firmas electrónicas adecuadas (DocuSign, PandaDoc) o firmas físicas. Conserva copias.
Error 5: No Actualizar Cuando las Cosas Cambian
Problema: Tu ATD lista 3 subencargados pero ahora usas 15.
Solución: Establece un recordatorio trimestral para revisar y actualizar las listas de subencargados. Notifica a los clientes de los cambios.
Cuando Tu Cliente Solicita Su ATD
Los clientes empresariales a menudo te enviarán su ATD en lugar de aceptar el tuyo. Aquí te explicamos cómo gestionarlo:
Lista de Verificación para la Revisión
- Límites de responsabilidad: Asegúrate de que sean razonables y coincidan con la cobertura de tu seguro
- Derechos de auditoría: Las auditorías presenciales son costosas; ofrece informes SOC 2/ISO 27001 como alternativa
- Plazos de notificación de violaciones: Asegúrate de que puedes cumplir el plazo
- Indemnización: Evita la indemnización ilimitada; establece un límite
- Aprobación de subencargados: La autorización general es más fácil que la aprobación específica por proveedor
Señales de Alerta para Negociar
- Responsabilidad ilimitada: Tu responsabilidad debe tener un límite, normalmente vinculado a las tarifas pagadas
- Notificación inmediata de violaciones: 24 horas o menos suele ser poco realista
- Auditorías presenciales obligatorias: Ofrece informes de auditoría de terceros en su lugar
- Prohibición de todos los subencargados: Esto es impracticable para cualquier SaaS
Plantilla de Respuesta para Negociación
“Gracias por enviar su ATD. Lo hemos revisado y nos gustaría discutir algunos puntos:
- La Sección X limita la responsabilidad a [ilimitada]. Proponemos limitar esto a [12 meses de tarifas pagadas], en consonancia con nuestra cobertura de seguro.
- La Sección Y requiere notificación de violaciones en 24 horas. Nuestro proceso de respuesta a incidentes puede lograr de forma fiable una notificación en 48 horas. Podemos comprometernos con este plazo.
- La Sección Z requiere auditorías presenciales anuales. Mantenemos la certificación SOC 2 Tipo II y podemos proporcionar el informe más reciente. Proponemos esto como una alternativa equivalente.
Estaremos encantados de discutir estos puntos cuando les convenga.”
Automatiza la Generación de ATD con GDPR.Direct
Crear y gestionar ATD manualmente consume mucho tiempo, especialmente a medida que escalas. GDPR.Direct automatiza todo el proceso:
Generación Instantánea de ATD
Responde unas pocas preguntas sobre tu tratamiento de datos y GDPR.Direct genera un ATD completo y personalizado listo para firmar.
Registro de Subencargados
Mantén una única fuente de verdad para todos tus subencargados. GDPR.Direct notifica automáticamente a los clientes cuando añades o cambias proveedores.
Control de Versiones
Rastrea cada versión de tu ATD y qué clientes han firmado cada versión. Esencial para auditorías de cumplimiento.
Autoservicio para Clientes
Ofrece a los clientes empresariales un portal para ver tu ATD, lista de subencargados y documentación de seguridad sin intercambios de emails.
Empieza Gratis
Genera tu primer ATD en minutos en app.gdpr.direct. Sin necesidad de tarjeta de crédito.
Resumen
Un Acuerdo de Tratamiento de Datos es un requisito legal para cualquier empresa SaaS que maneje datos de clientes. Usa la plantilla anterior como punto de partida, personalízala para tus actividades de tratamiento específicas y mantenla actualizada a medida que tu stack evoluciona.
Puntos clave:
- Cada relación de encargado necesita un ATD—tanto cuando eres el encargado como cuando usas servicios de terceros
- Sé específico sobre los tipos de datos, finalidades y subencargados
- Establece compromisos realistas que puedas cumplir realmente
- Mantenlo actualizado a medida que tu infraestructura cambia
Para empresas SaaS en crecimiento, automatizar la gestión de ATD con una herramienta como GDPR.Direct ahorra tiempo y reduce el riesgo de incumplimiento. Concéntrate en construir tu producto mientras nosotros nos encargamos del papeleo.