Un DPA (Data Processing Agreement), en español acuerdo —o contrato— de tratamiento de datos, es el documento contractual exigido por el artículo 28 del RGPD en cuanto un responsable del tratamiento encomienda el tratamiento de datos personales a un encargado del tratamiento (por ejemplo, un editor de software SaaS, un proveedor de alojamiento o un prestador de servicios).
El DPA regula jurídicamente esta relación. El artículo 28.3 exige que precise el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos y las categorías de personas afectadas, así como las obligaciones de las partes. El encargado del tratamiento se compromete, en particular, a tratar los datos únicamente siguiendo instrucciones documentadas del responsable, a garantizar la confidencialidad, a aplicar medidas de seguridad (artículo 32), a recurrir a un subencargado solo con autorización, a asistir al responsable en relación con los derechos de las personas y a suprimir o devolver los datos al término de la prestación.
En la práctica, todo proveedor serio de servicios digitales pone un DPA a disposición de sus clientes: es una pieza clave del cumplimiento y un punto de atención a la hora de elegir una herramienta. Formaliza la cadena de responsabilidad entre el cliente y su prestador, y va de la mano de la eventual designación de un delegado de protección de datos (DPO).