Eventbrite

Centro de Ayuda

Anexo de procesamiento de datos (DPA) para procesadores y subprocesadores

Última actualización: 25 de agosto de 2021. Para obtener más información sobre los Términos legales de Eventbrite, echa un vistazo aquí.

En este artículo

  • Introducción
  • 1. Definiciones.
  • 2. Rol de las Partes y naturaleza de los Datos personales
  • 3. Cumplimiento del Proveedor.
  • 4. Transferencias internacionales de datos
  • 5. Garantías adicionales para la transferencia y el tratamiento de Datos personales desde el EEE, Suiza y el Reino Unido.  
  • 6. Confidencialidad y seguridad.
  • 7. Subprocesamiento.
  • 8. Cooperación y Derechos de los Sujetos de los datos.
  • 9. Auditoría.
  • 10. Infracción de datos.
  • 11. Eliminación o devolución de datos.
  • 12. Indemnidad
  • 13. Varios

Introducción

Este Anexo de procesamiento de datos ("DPA", del inglés Data Processing Addendum) regirá los servicios prestados a Eventbrite, Inc. y sus Afiliados ("Eventbrite") por ti ("tú", "tu" o "Proveedor") como un Procesador o Subprocesador (como se define a continuación) (los "Servicios"). Tú y Eventbrite os denominaréis aquí "Parte" y juntos "Partes". Este DPA complementa, se incorpora y permanecerá en vigor durante el plazo de cualquier acuerdo entre las Partes, incluido, entre otros, cualquier acuerdo ejecutado o de clic o, si corresponde, los Términos de uso de API de Eventbrite (el "Acuerdo"), la duración de los Servicios o el procesamiento de los Datos de Eventbrite, el que sea posterior (el "Plazo"). Sin limitar la generalidad de lo anterior, el tema, la naturaleza y el objetivo del procesamiento bajo este DPA es la prestación de los Servicios en virtud del Acuerdo, y las categorías de datos personales y las categorías de interesados son las necesarias para prestar los Servicios en virtud del Acuerdo, como se describe más detalladamente en el Acuerdo.

1. Definiciones.

Los términos en mayúscula utilizados pero no definidos en este DPA tendrán los mismos significados que los establecidos en el Acuerdo, si corresponde. Para los propósitos de este DPA:

1.1 "Afiliado" significa cualquier persona o entidad que controle o esté bajo el control de dicha entidad, ya sea en la fecha del Acuerdo o posteriormente. Para los propósitos de este DPA, "control" significa la propiedad o el control, directo o indirecto, de más del 20 % de las acciones con derecho a voto de una entidad, o la posesión del poder de dirigir la gestión y las políticas.

1.2 "Leyes de privacidad aplicables" significa todas las leyes y reglamentaciones de privacidad y protección de datos aplicables en cualquier parte del mundo, incluida, cuando corresponda, el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en relación con el tratamiento de Datos personales y la libre circulación de dichos datos (Reglamento General de Protección de Datos) ("RGPD"), la Directiva de la UE 2002/58/EC sobre privacidad y mensajes electrónicos (en todos los casos, según se enmiende, reemplace o sustituya), y la La Ley de Privacidad del Consumidor de California, Cal. Civ. Code § 1798.100 et seq. y sus reglamentos de aplicación (“CCPA”).

1.3 "Controlador" significa la persona física o jurídica o entidad que determina los propósitos y los medios del procesamiento de Datos personales. Controlador es también un "negocio", tal y como se define el término en la CCPA.

1.4 "Infracción de datos" significa una violación de la seguridad que conduce a la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación o acceso no autorizado, y todas las demás formas ilegales de procesamiento de los Datos de Eventbrite.

1.5 "Datos de Eventbrite" hace referencia a todos los datos, incluidos Datos personales, que se proporcionan al Proveedor o que el Proveedor ha recopilado y/o a los que ha accedido en nombre de Eventbrite y/o sus Afiliados en el transcurso de la prestación de los Servicios en virtud del Acuerdo. Cualquier Dato de Eventbrite que sea Datos Personales se denomina "Datos personales de Eventbrite".

1.6 “Nuevas CCT de la UE” significa las Cláusulas contractuales tipo emitidas de acuerdo con la Decisión de aplicación de la Comisión (UE) 2021/914 de 4 de junio de 2021 sobre las cláusulas contractuales tipo para la transferencia de datos personales a terceros países en virtud del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

1.7 "Antiguas CCT de la UE" se refiere a las cláusulas contractuales tipo publicadas en virtud de la Decisión de la Comisión de la UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países con arreglo a la Directiva 95/46/EC del Parlamento Europeo y el Consejo (disponible a partir de la fecha de entrada en vigor en http://data.europa.eu/eli/dec/2010/87/2016-12-17).

1.8 "Datos personales" significa cualquier información relacionada con una persona física identificada o identificable; una persona identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social.

1.9 "Principios del Escudo de Privacidad" significa los Principios del Marco de Privacidad (complementados por los Principios Suplementarios) contenidos en el Anexo II de la Decisión de la Comisión Europea de 12 de julio de 2016 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección proporcionada por el Escudo de Privacidad (según se pueda enmendar, reemplazar o sustituir), cuyos detalles se pueden encontrar en www.privacyshield.gov/eu-us-framework.

1.10 "Procesador" significa una entidad que procesa Datos personales en nombre y de acuerdo con las instrucciones de un Controlador.

1.11 "Subprocesador" significa una entidad contratada por un Procesador que acepta recibir Datos personales del Procesador exclusivamente destinados a las actividades de procesamiento que se llevarán a cabo como parte de los Servicios.

1.12 "Proveedor" significa la persona o entidad que ha celebrado el Acuerdo con Eventbrite.

2. Rol de las Partes y naturaleza de los Datos personales

2.1 Para los propósitos de este DPA, Eventbrite puede actuar como Controlador, o puede actuar como Procesador de uno de sus clientes. Por lo tanto, el Proveedor reconoce que puede actuar como un Procesador de Eventbrite o un Subprocesador de Eventbrite. Cuando Eventbrite actúa como Procesador, Eventbrite está obligado contractualmente y/o en virtud de las Leyes de privacidad aplicables a ceder ciertas obligaciones relacionadas con la protección de datos a sus Subprocesadores designados. Por lo tanto, todas las obligaciones impuestas a los Procesadores en este DPA se aplicarán al Proveedor independientemente de si el proveedor actúa como Procesador o Subprocesador.

2.2 .La naturaleza, el propósito y el tema de las actividades de procesamiento de datos del Proveedor realizadas como parte de los Servicios se establecen en el Acuerdo. Los Datos personales que pueden procesarse pueden relacionarse con organizadores de eventos, asistentes, empleados, contratistas y contactos, y pueden incluir nombre, dirección de correo electrónico, información de facturación y pago, eventos reservados, organizados y atendidos, y cualquier otro Dato personal que pueda procesarse de conformidad con el Acuerdo.

3. Cumplimiento del Proveedor.

3.1 El Proveedor garantiza y se compromete a procesar los Datos personales de Eventbrite solo para los fines limitados y específicos establecidos en el Acuerdo y/o según lo instruido por escrito por Eventbrite (correo electrónico o de otro modo), salvo que la ley aplicable exija lo contrario. El Proveedor informará inmediatamente a Eventbrite si, en su opinión, una instrucción infringe las Leyes de privacidad aplicables.

3.2 El Proveedor no venderá Datos personales de Eventbrite ni procesará de cualquier otra manera Datos personales de Eventbrite para cualquier otro fin que no sea el específico establecido en el presente documento y de acuerdo con las leyes de privacidad aplicables Para evitar dudas, el Proveedor no procesará Datos personales de Eventbrite fuera de la relación comercial directa entre Eventbrite y el Proveedor. A efectos del presente apartado, "vender"· tendrá el significado establecido en las Leyes de privacidad aplicables .

3.3 El Proveedor certifica que entiende sus restricciones y obligaciones establecidas en este DPA y que las cumplirá.

4. Transferencias internacionales de datos

4.1 Eventbrite autoriza al Proveedor y a sus Subprocesadores a realizar transferencias internacionales de datos de Datos personales de Eventbrite de acuerdo con el presente DPA siempre que se respeten las Leyes de privacidad aplicables a dichas transferencias. Al aceptar el DPA, el Proveedor también acepta las Nuevas CCT de la UE, que Eventbrite ha prefirmado.

4.2 Con respecto a Datos personales de Eventbrite transferidos del Reino Unido para los que la legislación del Reino Unido (y no la ley de ninguna jurisdicción del Espacio Económico Europeo) rige el carácter internacional de la transferencia, y dicha ley permite el uso de las Antiguas CCT de la UE pero no el uso de las Nuevas CCT de la UE, las Antiguas CCT de la UE forman parte de este DPA y tienen prioridad sobre el resto de este DPA como se establece en las Antiguas CCT de la UE, hasta que el Reino Unido adopte nuevas Cláusulas contractuales tipo, en cuyo caso prevalecerán las nuevas Cláusulas contractuales tipo.  A efectos de las Antiguas CCT de la UE, se considerarán completadas de la siguiente manera:

  1. Los "exportadores" e "importadores" son las Partes y sus Afiliadas en la medida en que cualquiera de ellas esté involucrada en dicha transferencia, incluyendo las establecidas en el Anexo I.A de las Nuevas CCT de la UE.  

  2. La cláusula 9 de las Antiguos CCT de la UE especifica que la legislación del Reino Unido regirá las Antiguos CCT de la UE.

  3. El contenido del Apéndice 1 de las Antiguas CCT de la UE se recoge en el Anexo I.B de las Nuevas CCT de la UE.

  4. El contenido del Apéndice 2 de las Antiguas CCT de la UE se recoge en el Anexo II de las Nuevas CCT de la UE.

4.3 Con respecto a los Datos personales transferidos desde Suiza para los que la ley suiza (y no la ley de cualquier jurisdicción del Espacio Económico Europeo) rige la naturaleza internacional de la transferencia, las referencias al RGPD en la Cláusula 4 de las Nuevas CCT de la UE se modifican, en la medida en que sea legalmente necesario, para referirse a la Ley Federal de Protección de Datos de Suiza o su sucesora en su lugar, y el concepto de autoridad de supervisión incluirá al Comisionado Federal de Protección de Datos e Información de Suiza.

4.4 Con respecto a los Datos personales transferidos desde el Espacio Económico Europeo, se aplicarán las Nuevas CCT de la UE incorporadas en el presente documento, que forman parte de este DPA, y tienen prioridad sobre el resto de este DPA según lo establecido en las Nuevas CCT de la UE.  

  1. Cuando el Proveedor actúa como Procesador de Eventbrite, se aplicará el Módulo dos de las Nuevas CCT de la UE.  

  2. Cuando el Proveedor actúa como Subprocesador de Eventbrite, se aplicará el Módulo tres de las Nuevas CCT de la UE.

5. Garantías adicionales para la transferencia y el tratamiento de Datos personales desde el EEE, Suiza y el Reino Unido.  

En la medida en que el Proveedor procese Datos personales de Eventbrite de sujetos de datos ubicados en el Espacio Económico Europeo, Suiza o el Reino Unido o sujetos a las Leyes de privacidad aplicables, el Proveedor acepta las siguientes garantías para proteger dichos datos a un nivel equivalente al de las Leyes de privacidad aplicables:

5.1 El Proveedor y Eventbrite cifrarán todas las transferencias de los Datos personales entre ellos, y el Proveedor cifrará cualquier transferencia posterior que realice de dichos Datos personales, para evitar la adquisición de dichos datos por parte de terceros, como las autoridades gubernamentales que puedan acceder físicamente a los mecanismos de transmisión (por ejemplo, cables) mientras los datos están en transmisión.

5.2 El Proveedor declara y garantiza que:

  1. a la fecha de este contrato, no ha recibido ninguna directiva en virtud de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera de los Estados Unidos, codificada en 50 U.S.C. § 1881a ("Sección 702 de la FISA").

  2. no es elegible para que se le exija proporcionar información, instalaciones o asistencia en virtud de la sección 702 de la FISA; o que ningún tribunal ha considerado que el Proveedor sea el tipo de entidad elegible para recibir un proceso emitido en virtud de la sección 702 de la FISA: (i) un "proveedor de servicios de comunicaciones electrónicas" en el sentido de 50 U.S.C § 1881(b)(4) o (ii) un miembro de cualquiera de las categorías de entidades descritas en esa definición.

  3. no es el tipo de proveedor que puede ser objeto de una recopilación previa (recopilación "masiva") de conformidad con el artículo 702 de la FISA, tal como se describe en los apartados 62 y 179 de la sentencia del Tribunal de Justicia de la UE en el asunto C-311/18, Comisario de Protección de Datos contra Facebook Ireland Limited y Maximillian Schrems ("Schrems II"), y que, por lo tanto, el único proceso del artículo 702 de la FISA que podría recibir, si es un "proveedor de servicios de comunicación electrónica" en el sentido del artículo 50 U. S.C § 1881(b)(4), se basaría en un "selector específico", es decir un identificador que es único para el punto final de las comunicaciones sujetas a vigilancia.

  4. El Proveedor nunca cumplirá con ninguna solicitud en virtud de la Sección 702 de la FISA para la vigilancia masiva, es decir, una demanda de vigilancia en la que no se identifique un identificador de cuenta objetivo a través de un "selector objetivo" específico (un identificador que es único para el punto final objetivo de las comunicaciones sujetas a la vigilancia).

  5. El Proveedor utilizará todos los mecanismos legales razonablemente disponibles para impugnar cualquier demanda de acceso a los datos a través del proceso de seguridad nacional que reciba, así como cualquier disposición de no divulgación adjunta. 

  6. El Proveedor no tomará ninguna medida en virtud de la Orden Ejecutiva 12333 de los Estados Unidos.

  7. A intervalos de 6 meses o con mayor frecuencia si lo permite la ley, el Proveedor creará un informe de transparencia que pondrá a disposición de Eventbrite indicando los tipos de demandas legales vinculantes para los datos personales que ha recibido, incluidas las órdenes y directivas de seguridad nacional, que incluirán cualquier proceso emitido en virtud de la Sección 702 de la FISA. 

  8. El Proveedor notificará sin demora a Eventbrite si el Proveedor no puede seguir cumpliendo las Cláusulas Contractuales Tipo aplicables o las cláusulas de esta Sección.  El Proveedor no estará obligado a proporcionar a Eventbrite información específica sobre los motivos por los que no puede seguir cumpliendo, si proporcionar dicha información está prohibido por la legislación aplicable.  Dicho aviso dará derecho a Eventbrite a finalizar el Acuerdo (o, a opción de Eventbrite, las declaraciones de trabajo afectadas, los formularios de pedido y documentos similares en virtud de este) y recibir un pronto reembolso prorrateado de cualquier monto prepago en virtud de este.  Esto es sin perjuicio de los demás derechos y recursos de que dispone Eventbrite con respecto a un incumplimiento del Acuerdo.

6. Confidencialidad y seguridad.

6.1 El Proveedor se asegurará de que cualquier persona que autorice a procesar los Datos de Eventbrite (incluido el personal, los agentes y los subcontratistas del Proveedor) esté sujeta a un deber de confidencialidad.

6.2 El Proveedor se asegurará de que implementa y mantiene durante todo el periodo del Acuerdo, o la duración de sus servicios a Eventbrite como Procesador o Subprocesador, las medidas técnicas y organizativas apropiadas para proteger los Datos de Eventbrite, incluida la protección contra Infracciones de datos. Dichas medidas incluirán, como mínimo, las especificadas en el Anexo II de las Nuevas CCT de la UE.

7. Subprocesamiento.

El Proveedor notificará a Eventbrite sobre cualquier Subprocesador que utilice con respecto a los Datos personales de Eventbrite, y el Proveedor deberá:

  1. asegurarse de que cualquier Subprocesador esté obligado contractualmente por escrito a proporcionar al menos el mismo nivel de protección que exige este DPA, y que cumpla con las Leyes de privacidad aplicables;

  2. ser totalmente responsable ante Eventbrite de los actos y omisiones de cualquier Subprocesador como si fueran actos u omisiones del propio Proveedor; y

  3. proporcionar a Eventbrite los detalles de cualquier Subprocesador designado, a solicitud.

8. Cooperación y Derechos de los Sujetos de los datos.

El Proveedor proporcionará toda la asistencia que Eventbrite requiera razonablemente para permitir que Eventbrite:

  1. responda, cumpla o resuelva cualquier solicitud de derechos, pregunta o queja recibida por Eventbrite (o un cliente de Eventbrite) de:

    1. cualquier individuo vivo cuyos Datos personales sean procesados por el Proveedor en nombre de Eventbrite; o

    2. cualquier autoridad de protección de datos designada formalmente; y

  2. cumpla (y demuestre cumplimiento con) sus obligaciones en virtud de las Leyes de privacidad aplicables. En el caso de que dicha solicitud, pregunta o queja en virtud de esta Sección 5 se haga directamente al Proveedor, el Proveedor deberá informar a Eventbrite proporcionando todos los detalles de la misma.

9. Auditoría.

Con una notificación por escrito con la antelación razonable, el Proveedor acuerda proporcionar a Eventbrite (o sus auditores designados) toda la información que Eventbrite considere razonablemente necesaria para que Eventbrite audite el cumplimiento por parte del Proveedor de los requisitos de este DPA, incluida la finalización de cuestionarios de auditoría, disposición de políticas de seguridad y resúmenes de evaluaciones de cumplimiento con cualquier estándar de la industria (como ISO 27001, SSAE 16 SOC II), pruebas de penetración y escaneos de vulnerabilidad.

10. Infracción de datos.

En el caso de una Infracción de datos, el Proveedor realizará solo las siguientes acciones (a menos que Eventbrite lo autorice):

10.1 notificar inmediatamente a Eventbrite sin demoras indebidas (y a más tardar dentro de las 48 horas posteriores a tener conocimiento de la Infracción de datos) y proporcionar a Eventbrite una descripción razonablemente detallada de la Infracción de datos, el tipo de datos que fueron objeto de la Infracción de datos y la identidad de cada persona afectada tan pronto como dicha información pueda ser recopilada o esté disponible, así como cualquier otra información que Eventbrite pueda solicitar razonablemente en relación a la Infracción de datos; e

10.2 investigar inmediatamente (y a más tardar dentro de las 48 horas posteriores a tener conocimiento de la Infracción de datos) la Infracción de datos, hacer esfuerzos razonables para mitigar los efectos y daños de la Infracción de datos de acuerdo con sus obligaciones en virtud de la Sección 3 (Confidencialidad y seguridad) anterior, y proporcionar cualquier otra asistencia que Eventbrite pueda solicitar razonablemente en relación con la Infracción de datos.

11. Eliminación o devolución de datos.

Al finalizar o expirar este DPA, el Proveedor deberá (a elección de Eventbrite) destruir o devolver a Eventbrite todos los Datos de Eventbrite (incluidas todas las copias de los Datos de Eventbrite) en su posesión o control (incluidos los Datos de Eventbrite subcontratados a un tercero para su procesamiento), a menos que alguna ley aplicable requiera que el Proveedor retenga los Datos de Eventbrite.

12. Indemnidad

El Proveedor indemnizará, mantendrá indemnizado y mantendrá indemne a Eventbrite, sus clientes, funcionarios, directores, empleados, agentes, representantes y Afiliados (cada uno una "Parte indemnizada") de y en contra de todas las pérdidas, daños y costes de terceros (incluidos los honorarios legales razonables y gastos), gastos y responsabilidad que una Parte indemnizada pueda sufrir o en los que pueda incurrir como resultado del incumplimiento por parte del Proveedor de los requisitos de este DPA.

13. Varios

Excepto por los cambios realizados por este DPA, el Acuerdo o cualquier otro acuerdo relacionado con los Servicios se mantienen sin cambios y en pleno vigor y efecto.

Con respecto a las disposiciones relativas al tratamiento de Datos personales, en caso de conflicto entre el Acuerdo y este DPA, prevalecerán las disposiciones de este DPA. En caso de conflicto entre este DPA y cualquier otra disposición del Acuerdo entre usted y nosotros, prevalecerá este DPA; excepto cuando usted y Eventbrite hayan negociado individualmente términos de procesamiento de datos diferentes de este DPA y que cumplan los requisitos de la Ley de protección de datos aplicables en su totalidad, en cuyo caso prevalecerán esos términos negociados.

¿Tiene más preguntas?