1. Ámbito y Definición de Funciones
Este Acuerdo de Tratamiento de Datos ('DPA') se incorpora al contrato entre IEC ('Encargado del Tratamiento') y el miembro institucional ('Responsable del Tratamiento') y forma parte de él. Se aplica cuando el Responsable del Tratamiento utiliza la plataforma de IEC para tratar datos personales de sus empleados, contactos, contrapartes de operaciones u otras personas e instruye a IEC para que trate dichos datos por cuenta del Responsable. Este DPA pretende cumplir los requisitos del artículo 28(3) del GDPR y las disposiciones equivalentes de la 152-FZ. En todos los demás aspectos, IEC actúa como responsable del tratamiento independiente de los datos de los miembros según se describe en la Política de Privacidad.
2. Instrucciones del Responsable del Tratamiento
IEC tratará los datos personales únicamente siguiendo instrucciones documentadas del Responsable del Tratamiento, también en lo relativo a las transferencias de datos personales a un tercer país. Las instrucciones del Responsable del Tratamiento se establecen en el Anexo A de este DPA (Instrucciones de Tratamiento). IEC informará al Responsable del Tratamiento si, en su opinión, una instrucción infringe la legislación de protección de datos aplicable. IEC no estará obligada a seguir instrucciones que le exijan infringir la legislación aplicable.
3. Obligaciones del Encargado del Tratamiento
IEC se compromete a:
- (a) tratar los datos personales únicamente para los fines descritos en el Anexo A y de ningún otro modo
(b) garantizar que las personas autorizadas a tratar los datos estén sujetas a obligaciones de confidencialidad
(c) aplicar las medidas técnicas y organizativas de seguridad descritas en el Anexo B
(d) respetar las condiciones para recurrir a subencargados del tratamiento descritas en la Cláusula 5
(e) asistir al Responsable del Tratamiento en la atención de las solicitudes de ejercicio de derechos de los interesados dentro de los plazos aplicables
(f) asistir al Responsable del Tratamiento en la realización de las Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) cuando sean necesarias
(g) poner a disposición toda la información necesaria para demostrar el cumplimiento del artículo 28 del GDPR
(h) permitir y contribuir a las auditorías e inspecciones realizadas por el Responsable del Tratamiento o en su nombre.
4. Medidas de Seguridad
IEC implementa las siguientes medidas técnicas y organizativas de seguridad (TOM) para proteger los datos personales tratados por cuenta de los Responsables del Tratamiento:
- (a) Cifrado — AES-256 en reposo; TLS 1.3 en tránsito
(b) Controles de acceso — control de acceso basado en roles (RBAC); MFA obligatoria para todas las cuentas del personal; principio de mínimo privilegio
(c) Supervisión — SIEM (gestión de información y eventos de seguridad) con alertas 24/7
(d) Respuesta a incidentes — plan documentado de respuesta a incidentes; notificación al Responsable del Tratamiento en un plazo de 24 horas desde el descubrimiento de una violación
(e) Seguridad física — los centros de datos cumplen con la ISO 27001 o equivalente
(f) Personal — verificación de antecedentes del personal con acceso a datos personales; formación obligatoria en protección de datos (anual)
(g) Gestión de vulnerabilidades — pruebas de penetración anuales por terceros; análisis de vulnerabilidades mensuales.
5. Subencargados del Tratamiento
El Responsable del Tratamiento otorga una autorización general para que IEC recurra a subencargados del tratamiento, sujeto a que:
- (a) IEC imponga a los subencargados obligaciones equivalentes a las del GDPR
(b) IEC mantenga una lista actualizada de subencargados en /legal/subprocessors
(c) IEC notifique al Responsable del Tratamiento con al menos 30 días de antelación antes de recurrir a un nuevo subencargado o de modificar sustancialmente uno existente
(d) el Responsable del Tratamiento tenga derecho a oponerse a nuevos subencargados en un plazo de 14 días desde la notificación. Si el Responsable del Tratamiento se opone e IEC no puede atender la objeción, cualquiera de las partes podrá resolver este DPA con un preaviso de 30 días por escrito. IEC seguirá siendo responsable ante el Responsable del Tratamiento por los actos y omisiones de los subencargados como si los hubiera realizado IEC directamente.
6. Derechos de los Interesados y Notificación de Violaciones
Cuando IEC reciba una solicitud de un interesado en relación con datos tratados conforme a este DPA, IEC lo notificará sin demora al Responsable del Tratamiento y cooperará para que el Responsable pueda atender la solicitud. Notificación de violaciones: IEC notificará al Responsable del Tratamiento sin dilación indebida y, en cualquier caso, en un plazo de 24 horas desde que tenga conocimiento de una violación de la seguridad de los datos personales que afecte a los datos tratados conforme a este DPA, facilitando la información exigida por el artículo 33(3) del GDPR. IEC cooperará plenamente con el Responsable del Tratamiento en relación con cualquier investigación regulatoria o acción de aplicación.
Versionado del documento y reaceptación
Este documento se actualizó por última vez el Nov 1, 2025. IEC mantiene un archivo versionado de todas las versiones anteriores. Cuando un cambio sustancial afecte a los derechos u obligaciones de los miembros existentes, se les notificará por correo electrónico al menos 14 días antes de que el cambio entre en vigor. El uso continuado de la plataforma tras la fecha de entrada en vigor constituye la aceptación de los términos actualizados. Para solicitar una versión anterior, escribe a legal@internationalenergyclub.org.