DPA con tu proveedor de IA: qué exigir según el RGPD en 2026

Si usas IA generativa con datos personales en tu empresa, necesitas un DPA firmado con cada proveedor (OpenAI, Anthropic, Google, Mistral, el que sea). No es opcional. Es lo que el Artículo 28 del RGPD exige al responsable del tratamiento (tú) cuando contrata a un encargado (el proveedor de IA).

Esta guía explica qué cláusulas debe tener el DPA, qué firma cada gran proveedor en abril 2026, y los errores típicos que dejan a empresas expuestas a sanciones AEPD. Encaja en el cluster IA y RGPD.

Qué es un DPA y por qué es obligatorio

DPA = Data Processing Agreement (en español: contrato o acuerdo de tratamiento de datos). Es el contrato que regula cómo el encargado del tratamiento (proveedor) maneja los datos personales del responsable (tu empresa).

El RGPD lo exige expresamente:

"Cuando se realice un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes... y dicho tratamiento se regirá por un contrato u otro acto jurídico..." — Art. 28.3 RGPD

Sin DPA, el tratamiento es ilegal. La AEPD ha sancionado este punto en varios casos. Si OpenAI o Anthropic procesa datos personales por ti sin DPA firmado, la responsabilidad es tuya, no suya.

Las 8 cláusulas obligatorias del Art. 28

El DPA, como mínimo, debe regular:

1. Objeto, duración y naturaleza del tratamiento

Qué tratamiento se hace, cuánto tiempo, con qué finalidad. Ejemplo: "tratamiento de prompts de usuarios y datos de conversación para generar respuestas mediante el modelo Claude".

2. Tipo de datos personales y categorías de interesados

Qué datos pasan al proveedor: emails, nombres, datos de empleados, datos de clientes, datos sensibles. Sobre quién: empleados, clientes, leads.

3. Obligaciones del responsable y del encargado

Cómo se comunican instrucciones, plazos para responder, rol del DPO.

4. Que el encargado solo trate los datos según instrucciones documentadas

El proveedor no puede usar tus datos para entrenar modelos, hacer ML interno, o cualquier finalidad distinta sin tu autorización explícita.

5. Confidencialidad

Personal del proveedor obligado a confidencialidad. Necesidad de NDAs internos.

6. Medidas de seguridad (Art. 32)

Cifrado en tránsito y reposo, control de accesos, logs, gestión de incidentes, backups. El DPA debe describirlas o referenciar un anexo técnico (TOMs — Technical and Organizational Measures).

7. Sub-encargados

Si el proveedor sub-contrata (ej: AWS para infra), debe avisarte y pedir autorización (general o específica). Lista de sub-encargados debe estar disponible.

8. Asistencia y devolución/eliminación

El proveedor te ayuda en derechos de los interesados (acceso, rectificación, supresión), notifica brechas en 24-72h, y al terminar el contrato devuelve o destruye los datos.

Adicional para IA: transferencias internacionales (si el proveedor está fuera del EEE) cubiertas con cláusulas contractuales tipo (SCCs) y evaluación de impacto Schrems II.

DPA estándar de los grandes proveedores

OpenAI

DPA disponible en openai.com/policies/data-processing-addendum. Lo firmas online vinculando tu organización.

Puntos a revisar:

• Sub-encargados: Microsoft Azure (data centers en EE.UU. y EU). Lista pública.

• Transferencias: SCCs incluidas. Schrems II: la UE-EE.UU. Data Privacy Framework está activo desde julio 2023; OpenAI está adherido.

• Zero Data Retention: solo en planes Enterprise/Team. En API consumer y ChatGPT Pro, los datos se retienen 30 días por defecto.

• Entrenamiento con tus datos: en API y Enterprise, OpenAI no entrena con tus datos por defecto. En consumer ChatGPT, sí, salvo que opt-out.

Anthropic

DPA en anthropic.com/legal/dpa o vía cuenta enterprise.

Puntos:

• Sub-encargados: AWS (US, EU, otras regiones), GCP, Cloudflare. Lista pública.

• Zero Data Retention: nativo en Claude API a nivel cuenta. No entrenan con tus inputs/outputs por defecto.

• Transferencias: SCCs + Data Privacy Framework. Datos pueden estar en US salvo que actives región europea.

Google (Gemini, Vertex AI)

DPA: a través del Google Cloud Service Specific Terms o ChatGPT-equivalente.

Puntos:

• Sub-encargados: Google Cloud + servicios Google (lista en docs).

• Residencia: Vertex AI permite anclar el procesamiento a regiones EU (europe-west1, etc.). Útil para minimizar transferencias.

• Entrenamiento: Google no entrena con datos de Workspace business / Vertex API por defecto.

Mistral

DPA via firma directa con Mistral (empresa francesa). Ventaja: datos pueden mantenerse 100% en territorio EU sin transferencias internacionales si usas su API directa.

Microsoft (Azure OpenAI)

DPA cubierto por el Microsoft Online Services DPA (disponible en su portal). Puntos:

• Datos no salen del data center seleccionado (puedes elegir EU North, EU West).

• Microsoft no entrena modelos OpenAI con tus datos.

• Sub-encargados: Microsoft + sub-procesadores comunes (CDN, soporte). Lista pública.

Errores típicos que ven los abogados

"Firma click-through y listo"

El DPA "estándar" del proveedor cubre el caso genérico. Tu caso particular (sector, datos sensibles, países de residencia, retención exigida) puede requerir anexos específicos. Para datos sanitarios o financieros, casi siempre necesitas adendas.

No revisar la lista de sub-encargados

Si OpenAI sub-contrata a un proveedor en India y nunca lo viste, técnicamente has consentido transferencia a un tercer país sin garantías adecuadas. Revisa la lista y guarda evidencia escrita de aceptación.

Confiar en "we don't train on your data" sin verificarlo en el DPA

Si la cláusula no está en el DPA firmado, no es vinculante. Marketing dice una cosa, contrato dice otra. El contrato manda.

Olvidar el AI Act

Desde febrero 2025 el AI Act exige obligaciones extra para sistemas de IA de alto riesgo: documentación, registros, supervisión humana. Si tu uso cae en alto riesgo (ver AI Act en España), tu DPA debe complementarse con cláusulas de cumplimiento AI Act.

No acordar gestión de brechas

El DPA debe especificar plazo de notificación de brechas. RGPD da al responsable 72h para notificar a la AEPD; tu encargado debe avisarte mucho antes (24h es estándar). Si no, no puedes cumplir.

No validar TOMs reales

Pedir al proveedor un certificado SOC 2 / ISO 27001 reciente. El DPA dice "medidas adecuadas"; los certificados lo demuestran.

Checklist mínimo antes de firmar

Imprime esto:

• DPA firmado por la entidad correcta (proveedor, no reseller).

  
  

• Cláusula explícita: el proveedor no usa tus datos para entrenar.

  
  

• Lista actualizada de sub-encargados, con países.

  
  

• SCCs incluidas si hay transferencia internacional.

  
  

• Plazo de notificación de brechas ≤24-48h.

  
  

• Right to audit (poder auditar al proveedor) o equivalente vía certificación.

  
  

• Plazo y forma de devolución/eliminación al terminar contrato.

  
  

• Anexo técnico (TOMs) con medidas concretas.

  
  

• Si datos sensibles: cláusulas reforzadas (cifrado adicional, accesos restringidos).

  
  

Si falta cualquiera de estos puntos, no firmes sin anexo.

Ver el checklist completo de proveedor IA RGPD para guía paso a paso.

DPA en la práctica: pasos para empresas pequeñas

Si tu empresa tiene <50 empleados y no tienes DPO interno:

1. Inventario: lista qué proveedores de IA usas (incluye los que usan tus empleados sin saberlo — Copilot, ChatGPT, etc.).

2. Categorización de datos: para cada uno, qué tipo de datos personales se procesan.

3. Firma DPAs estándar: la mayoría de grandes ofrecen self-service. No hace falta abogado para casos básicos.

4. Documenta todo: guarda los DPAs firmados, listas de sub-encargados, fechas. AEPD pedirá esto en una inspección.

5. Para casos sensibles (sanitario, financiero, RR.HH. con datos especiales): consulta abogado especialista.

Casos donde un DPA estándar no basta

• Datos especiales (Art. 9 RGPD): salud, biometría, opiniones políticas, sindicación. Necesitas cláusulas reforzadas y normalmente AIPD (Art. 35).

• Menores de 14 años: consentimiento parental, restricciones específicas.

• Sector regulado: sanidad (Ley 41/2002), banca (PCI DSS), educación. Combinar RGPD con normativa sectorial.

• Datos protegidos por secreto profesional: abogados, notarios, médicos. Restricciones extra.

En estos casos, el DPA del proveedor es punto de partida, no destino.

Qué pasa si tu proveedor cambia el DPA unilateralmente

Pasa con frecuencia: OpenAI o Google actualizan términos. El RGPD permite que el encargado proponga cambios, pero tú (responsable) debes consentirlos. Si los cambios reducen las garantías, puedes rechazarlos y rescindir.

Truco práctico: configura alertas para los términos del proveedor (RSS feed, página /policies). Revisa al menos cada 6 meses.

Conclusión

Un DPA bien firmado y revisado es la diferencia entre un uso de IA RGPD-compliant y una sanción de la AEPD esperando a pasar. Los grandes proveedores ofrecen DPAs decentes — pero decentes ≠ adaptados a tu caso. Imprime el checklist, revisa antes de firmar, y para casos sensibles consulta abogado.

Para profundizar:

• IA y RGPD: guía completa — pillar del cluster.

• Checklist de proveedor IA RGPD — paso a paso.

• ChatGPT y RGPD — caso específico OpenAI.

• Zero Data Retention en IA — cláusula clave del DPA.

• AI Act España — complemento al RGPD.

Fuentes verificadas

• Reglamento General de Protección de Datos, Art. 28 — texto oficial UE.

• OpenAI Data Processing Addendum — DPA oficial.

• Anthropic legal: DPA — DPA oficial.

• EDPB Recommendations 01/2020 on supplementary measures — guía oficial transferencias.

• AEPD: Modelos de contrato encargado del tratamiento — modelos oficiales AEPD.

• Datos verificados el 29 de abril de 2026.