Anexo de procesamiento de datos (DPA) para organizadores

• Información general y definiciones.
• 1. Aplicabilidad del DPA y alcance de las actividades de tratamiento de datos.
• 2. Cláusulas de tratamiento de datos.
• 3. Transferencias internacionales de datos.

Información general y definiciones.

Los términos de este DPA se incorporan a los Términos de servicio, Política de privacidad de Eventbrite o cualquier otro acuerdo de servicios aplicable entre tú y Eventbrite (el "Acuerdo").

Con respecto a las disposiciones relativas al Tratamiento de datos personales, en caso de conflicto entre el Acuerdo y este DPA, prevalecerán las disposiciones de este DPA. En caso de conflicto entre este DPA y cualquier otra disposición del Acuerdo entre tú y nosotros, este DPA controlará; excepto cuando el Organizador y Eventbrite hayan negociado individualmente términos de tratamiento de datos diferentes de este DPA y que cumplan con los requisitos de las Leyes de protección de datos aplicables en su totalidad, en cuyo caso prevalecerán esos términos negociados.

"CCPA" se refiere a la Ley de privacidad del consumidor de California (modificada por la Ley de derechos de privacidad de California) y la normativa asociada.

"Leyes de protección de datos" se refiere a todas las leyes o reglamentos aplicables relacionados con la privacidad, confidencialidad y seguridad de los Datos personales.

"Empresa," "Responsable del tratamiento de los datos," "Encargado del tratamiento de los datos," "Sujeto de datos," "Tratamiento," "Datos personales" y "Proveedor de servicios" tendrán los significados que se les atribuyen en las Leyes de protección de datos aplicables;.

"Infracción de seguridad de datos" se refiere a una infracción de la seguridad que conlleva la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado accidental o ilegal a los Datos personales procesados por Eventbrite en nombre del Organizador como parte del uso de los Servicios por parte del Organizador.

"Nuevas CCT de la UE" se refiere a las cláusulas contractuales tipo emitidas en virtud de la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 sobre las cláusulas contractuales tipo para la transferencia de datos personales a terceros países en virtud del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

"Servicios" se refiere a cualquier servicio proporcionado por Eventbrite al Organizador tal y como se define en los Términos de servicio de Eventbrite de cualquier acuerdo de servicios aplicable entre el Organizador y Eventbrite.

"Medidas de seguridad técnicas y organizativas" se refiere a las medidas de seguridad implementadas por Eventbrite apropiadas para el tipo de Datos personales que se procesan y los Servicios proporcionados por Eventbrite para proteger los Datos personales contra Tratamiento no autorizado o ilegal y contra pérdida accidental, destrucción, daño, alteración o divulgación.

"Anexo de CCT del Reino Unido" se refiere al Anexo sobre transferencia internacional de datos al Reino Unido a las Cláusulas Contractuales Tipo de Comisión Europea, versión B1.0 emitido por el Comisionado de Información del Reino Unido en virtud de la Sección 119A de la Ley de protección de datos del Reino Unido de 2018 y que entrará en vigor el 21 de marzo de 2022, actualizado, modificado o sustituido de vez en cuando.

1. Aplicabilidad del DPA y alcance de las actividades de tratamiento de datos.

1.1 Al utilizar los Servicios de Eventbrite, el Organizador actúa como Empresa y es un Responsable del tratamiento de los Datos personales asociados con una persona que utiliza los Servicios de Eventbrite, o en cuyo nombre se utilizan los Servicios de Eventbrite, para registrarse o comprar una entrada para asistir al evento de ese Organizador ("Consumidor"). El Organizador declara y garantiza que se han realizado las notificaciones necesarias y, si fuese necesario, se han obtenido los consentimientos necesarios relacionados con la recopilación de estos Datos personales del Consumidor y que el Organizador tiene el derecho de compartir dichos Datos personales con Eventbrite.

1.2 Cuando Eventbrite trate los Datos personales de los Consumidores en nombre del Organizador como parte de los Servicios, Eventbrite actuará como Encargado del tratamiento o Proveedor de servicios en la realización de este Tratamiento y el Organizador actuará como Responsable del tratamiento o Empresa. Esto incluye circunstancias en las que Eventbrite obtenga Datos personales como resultado de la prestación de sus servicios básicos de venta de entradas (por ejemplo, donde Eventbrite facilite la transmisión de correos electrónicos a Consumidores a petición de los Organizadores, procese pagos o proporcione informes y herramientas de eventos que aportarán a los Organizadores una mejor visión de la efectividad de los distintos canales de ventas).

Con respecto a ciertos tratamientos de Datos personales de Consumidores, Eventbrite puede actuar como Responsable del tratamiento o Empresa, por ejemplo, cuando los Consumidores se hayan involucrado en aspectos de las Aplicaciones de Eventbrite más allá de aquellos relacionados con el evento del Organizador o cuando Eventbrite Trate los Datos personales de los Consumidores para realizar investigaciones y análisis que le permitan a Eventbrite mejorar sus productos y funciones así como para proporcionar recomendaciones dirigidas. En lo relativo a ese tratamiento, Eventbrite es un Responsable del tratamiento independiente, y no un Responsable del tratamiento conjunto con el Organizador.

En la medida en que Eventbrite trate los Datos personales como Responsable del tratamiento o Proveedor de servicios en nombre del Organizador, la Sección 2 de este DPA se aplicará, sin embargo, cuando Eventbrite actúe como Empresa o Responsable del tratamiento de los Datos personales de los Consumidores, el tratamiento de Eventbrite no estará sujeto a este DPA.

1.3 Los detalles sobre los Datos personales que tratará Eventbrite y las actividades de tratamiento que se realizarán en virtud del Acuerdo son los siguientes: (i) duración: según lo establecido en el Acuerdo; (ii) naturaleza, propósito y tema: para permitir que el Organizador organice y promueva eventos y gestione la venta de entradas mediante los Servicios de Eventbrite; (iii) categorías de datos: nombre, dirección de correo electrónico, información de facturación y pago, información relacionada con eventos reservados y atendidos, relación con el Organizador y cualquier otro Dato personal que el Organizador solicite a sus Consumidores; (iv) interesados: Consumidores.

2. Cláusulas de tratamiento de datos.

2.1 Siempre que Eventbrite trate Datos personales en nombre del Organizador, Eventbrite deberá:

2.1.1 Tratar los datos personales únicamente según las instrucciones documentadas del Organizador, a menos que la ley aplicable lo exija de otro modo. Eventbrite informará al Organizador de los requisitos legales antes de tratar Datos personales que no sean de conformidad con las instrucciones del Organizador, a menos que esa misma ley prohíba a Eventbrite hacerlo por motivos importantes de interés público. El Organizador se asegurará de que sus instrucciones cumplan con todas las leyes, regulaciones y normas aplicables a los Datos personales, y de que el tratamiento que Eventbrite realice de esos Datos personales no haga que Eventbrite infrinja ninguna ley, regulación ni norma aplicable, incluidas las Leyes de protección de datos. Eventbrite notificará al Organizador si, en su opinión, una instrucción infringe las Leyes de protección de datos aplicables. El Organizador indica a Eventbrite, y Eventbrite acepta, que trate Datos personales según sea necesario para llevar a cabo las obligaciones de Eventbrite bajo el Acuerdo y para ningún otro propósito, a menos que se especifique de otro modo en este DPA o sea necesario para cumplir la ley o cualquier otro precepto gubernamental vinculante. En el caso de que este DPA o cualquier acción que deba tomarse o tenerse en cuenta con relación a este DPA no satisfaga las obligaciones de alguna de las partes bajo las Leyes de protección de datos aplicables, las partes negociarán de buena fe una enmienda apropiada de este DPA;

2.1.2 Cumplir todas las disposiciones aplicables de las Leyes de Protección de Datos y proporcionar el mismo nivel de protección para Datos personales exigido al Organizador bajo las Leyes de protección de datos.  Eventbrite tratará los Datos personales únicamente como sea necesario para llevar a cabo las obligaciones de Eventbrite según el Acuerdo, o permitidas de otro modo por las Leyes de protección de datos. Sin perjuicio de lo anterior, Eventbrite no (i) "venderá" o "compartirá" los Datos personales, tal y como se definen estos términos en la CCPA; (ii) Eventbrite no conservará, utilizará ni divulgará dichos datos fuera de la relación comercial directa entre el Organizador y Eventbrite a menos que lo permitan las Leyes de Protección de Datos, o (iii) retendrá, usará o revelará los Datos Personales para cualquier fin distinto de los fines comerciales especificados en el presente DPA o permitidos de otro modo por las Leyes de Protección de Datos.  Eventbrite cumplirá todas las restricciones aplicables en virtud de las Leyes de Protección de datos sobre la combinación de datos personales con datos personales que Eventbrite reciba de, o en nombre de, otra persona o personas, o que Eventbrite recopile de cualquier interacción entre Eventbrite y cualquier individuo.

2.1.3 Disponer de medidas de seguridad técnicas y organizativas que incluyan, entre otras, las descritas aquí: https://www.eventbrite.es/security/;

2.1.4 Notificar al Organizador en caso de una Infracción de seguridad de datos sin demoras indebidas, a menos que lo prohíba la ley o así lo establezca una autoridad de protección de datos o a cargo de garantizar el cumplimiento de la ley. En caso de una Infracción de la seguridad de los datos, Eventbrite puede, a su entera discreción, emitir una notificación de infracción de datos a los interesados afectados directamente. Cuando Eventbrite no proporcione esta notificación, Eventbrite proporcionará asistencia razonable, cuando así lo exijan las Leyes de protección de datos aplicables y a petición del Organizador, para permitir que el Organizador cumpla sus obligaciones de infracción de datos como Responsable del tratamiento o Empresa;

2.1.5 Garantizar que su personal esté sujeto a obligaciones vinculantes de confidencialidad con respecto a los Datos personales de Consumidores Tratados por Eventbrite en nombre del Organizador;

2.1.6 Imponer obligaciones a sus subencargados que tengan acceso a Datos personales que sean iguales o equivalentes a las establecidas en esta Sección 2 mediante un contrato por escrito, y seguirá siendo responsable ante el Organizador de cualquier falta por parte de un subencargado en el cumplimiento de sus obligaciones en relación con los Datos personales;

2.1.7 Proporcionar asistencia razonable al Organizador para responder a solicitudes de derechos conforme a las Leyes de protección de datos aplicables, reclamaciones u otras comunicaciones recibidas de cualquier autoridad de protección de datos o Consumidor que sea el sujeto de cualquier Dato personal tratado por Eventbrite en nombre del Organizador. En caso de que un Consumidor presente una solicitud de eliminación de Datos personales a Eventbrite, el Organizador por la presente instruye y autoriza a Eventbrite a eliminar o anonimizar los Datos personales del Consumidor en nombre del Organizador;  En caso necesario, el Organizador informará a Eventbrite de cualquier otra solicitud de derechos individuales que Eventbrite deba cumplir, y proporcionará la información necesaria para que Eventbrite cumpla la solicitud.;

2.1.8Tras la solicitud por escrito del Organizador, pondrá a disposición del Organizador toda la información razonablemente necesaria para demostrar su cumplimiento con las obligaciones establecidas en esta Sección 2, proporcionará asistencia razonable para evaluaciones de impacto de privacidad y datos, y para consultas relacionadas a las autoridades de protección de datos, y permitirá y cooperará con cualquier auditoría. Cualquier auditoría in situ deberá: (i) permitirse solo con previa notificación razonable a Eventbrite; (ii) quedar sujeta a compromisos de confidencialidad apropiados; y (iii) limitarse a una vez cada tres (3) años y solo para evaluar una sospecha de deficiencia específica después de agotar todos los demás medios razonables; y

2.1.9 Excepto para aquellos Datos personales con respecto a los que Eventbrite actúa como Responsable del tratamiento o Empresa, devolver, eliminar o destruir (a elección del Organizador) los Datos personales de los Consumidores y copias de los mismos en nombre del Organizador y a petición de este (a menos que la ley aplicable requiera el almacenamiento de dichos Datos personales).

2.2 Por el presente documento, el Organizador da su consentimiento y autoriza a Eventbrite a divulgar o transferir Datos personales o permitir el acceso a Datos personales a los subencargados actuales de Eventbrite (es decir, los citados en el sitio web de Eventbrite en la Fecha de entrada en vigor de este DPA o del Acuerdo, la que sea posterior) ("Subencargados actuales") para que traten los Datos personales en nombre del Organizador.

2.3 Por el presente documento, el Organizador da su consentimiento para que Eventbrite designe subencargados adicionales y de sustitución ("Subencargados de sustitución") para tratar Datos personales en su nombre. Eventbrite: notificará al Organizador la identidad de los Subencargados de sustitución (i) por correo electrónico cuando el Organizador haya optado por recibir este tipo de notificaciones por correo electrónico y (ii) mediante la actualización del sitio web de Eventbrite (el Organizador tiene la responsabilidad de comprobar y revisar de forma periódica el sitio web de Eventbrite en busca de este tipo de cambios). Los Organizadores interesados en recibir notificaciones por correo electrónico acerca de los Subencargados de sustitución deben darse de alta en y suscribirse a este servicio mediante el uso de este formulario (el Organizador es el único responsable de asegurarse de que sus datos de contacto sean precisos en todo momento). Eventbrite también ofrecerá al Organizador la oportunidad de oponerse a dichos cambios producidos después de la Fecha de entrada en vigor del Acuerdo, en virtud de lo establecido en términos indicados a continuación en la Sección 2.4 del presente DPA.

Para evitar dudas, cualquier derecho de rescisión disponible en este documento solo se aplicará en el caso de objeciones a Subencargados de sustitución designados después de la Fecha de entrada en vigor de este DPA que no se subsanen de acuerdo con los términos del presente documento, y no se aplicarán en relación con Subencargados actuales.

2.4 El Organizador presentará cualquier objeción al nombramiento de Subencargados de sustitución dentro de los diez (10) días posteriores a la publicación por parte de Eventbrite de los cambios en su sitio web. El organizador deberá enviar su objeción a privacy@eventbrite.com con la línea de asunto 'Objection to Replacement Sub-Processor'.

Siempre y cuando la objeción del Organizador: (i) se refiera a la capacidad del Subencargado de sustitución para permitir que Eventbrite cumpla materialmente con sus obligaciones de protección de datos en virtud de este DPA; y (ii) incluya suficientes detalles para respaldar su objeción y proporcione ejemplos específicos, Eventbrite hará los esfuerzos comercialmente razonables para revisar y responder a la objeción del Organizador dentro de los treinta (30) días posteriores a la recepción de la objeción del Organizador con el método de reconciliación determinado por Eventbrite.

Si Eventbrite determina a su exclusivo criterio que no puede aceptar razonablemente la objeción del Organizador, con la notificación de Eventbrite, el Organizador puede optar por rescindir el Acuerdo mediante notificación por escrito a Eventbrite y cumpliendo con los términos del presente documento, que será el único y exclusivo recurso del Organizador. Sin limitar la generalidad de lo anterior, el derecho de rescisión del Organizador conforme a esta Sección 2.4 se considerará un derecho de rescisión adicional del Organizador en virtud de la Sección "Duración y Terminación" del Acuerdo (si corresponde) y si se ejerce se considerará una rescisión de conformidad con tal Sección. Dicha notificación por escrito debe enviarse a legal@eventbrite.com y debe referirse específicamente a esta Sección 2.4 del DPA. El día en que Eventbrite reciba una notificación de rescisión por escrito del Organizador en virtud de esta Sección 2.4 se denominará "Fecha de objeción" en este DPA. En caso de que el Organizador decida rescindir el Acuerdo como resultado de un Subencargado de sustitución, nada en esta Sección 2 eximirá al Organizador de ninguna de sus obligaciones de pago y/o reembolso a Eventbrite en virtud del Acuerdo.

Sin limitar los demás derechos y recursos de Eventbrite, si el Organizador rescinde el Acuerdo de conformidad con esta Sección 2.4, el Organizador abonará inmediatamente a Eventbrite (1) todos los importes acumulados y adeudados a Eventbrite, incluidas, entre otras, las obligaciones de pagar y/o abonar a Eventbrite tarifas, pagos de patrocinio, anticipos y/o pagos anticipados de Tarifas de registro de eventos, ya que dichos términos se definen en el Acuerdo y solo en la medida aplicable al Organizador, (2) si el Acuerdo incluye un número mínimo de entradas que el Organizador deba vender, una cantidad mínima de Tarifas de registro de eventos o Tarifas de servicio de Eventbrite que deben procesarse (cada umbral de ventas o procesamiento, un "Umbral mínimo") y/o el requerimiento de pagar a Eventbrite la porción de Tarifas de servicio que Eventbrite habría recibido en caso de haberse alcanzado un Umbral mínimo, por lo que el Organizador acepta pagar a Eventbrite una cantidad igual a (x) la cantidad que Eventbrite habría recibido en Tarifas de servicio en caso de que se hubiera alcanzado el Umbral mínimo en cada año del plazo hasta la fecha de dicha rescisión (con dicho Umbral mínimo prorrateado en cualquier año parcial del Plazo), menos (y) la cantidad que Eventbrite realmente recibió en Tarifas de servicio atribuible a las ventas del Organizador durante el Plazo hasta la fecha de dicha rescisión; y (3) el 80 % de las tarifas previstas que Eventbrite habría ganado durante el resto del Plazo si el Acuerdo no se hubiera rescindido con respecto a (x) eventos a la venta en el Sitio en la Fecha de objeción, y (y) cualquier evento futuro contemplados en el Acuerdo que se prevé que entren en vigor dentro de los noventa (90) días posteriores a la Fecha de objeción.

2.5 Eventbrite certifica por el presente documento que comprende las restricciones y obligaciones establecidas en el presente DPA y que las cumplirá. Eventbrite notificará al Organizador si Eventbrite determina que ya no puede cumplir las obligaciones que le incumben en virtud de las Leyes de protección de datos.

2.6 El Organizador tendrá derecho, previo aviso con catorce (14) días laborables de antelación, a tomar las medidas razonables y adecuadas para detener y remediar cualquier uso no autorizado de Datos personales por parte de Eventbrite.

3. Transferencias internacionales de datos.

3.1 El Organizador acepta que Eventbrite podría transferir Datos personales de Consumidores a varias ubicaciones en relación con la prestación de los Servicios. Las transferencias se realizarán conforme a los mecanismos de transferencia legalmente en vigor según lo requerido por las Leyes de protección de datos aplicables. El mecanismo de transferencia exclusivo de Eventbrite para datos exportados del Espacio Económico Europeo (EEE), el Reino Unido y Suiza es el uso de las Cláusulas Contractuales Tipo, que han sido prefirmadas por los registros de cumplimiento de Eventbrite para Organizadores. Para realizar transferencias desde el Reino Unido, Eventbrite ha incorporado también el Anexo CCT del Reino Unido en la sección 3.2 de este DPA.

3.2 Transferencias del Reino Unido. Con respecto a Datos personales de Eventbrite transferidos del Reino Unido para los que la legislación del Reino Unido (y no la ley de ninguna jurisdicción del Espacio Económico Europeo) rige el carácter internacional de la transferencia, el Anexo CCT del Reino Unido forma parte de este DPA y tiene prioridad sobre el resto de este DPA como se establece en el Anexo CCT del Reino Unido, a menos que el Reino Unido emita actualizaciones al Anexo CCT del Reino Unido, en cuyo caso prevalecerá el Anexo CCT del Reino Unido. Los términos no definidos con mayúscula utilizados en esta disposición se ajustarán a las definiciones que figuran en el Anexo CCT del Reino Unido. El Organizador acepta suscribir el Anexo CCT del Reino Unido, que se incorpora al presente DPA por esta referencia y se completa como sigue:

1. En la Tabla 1, los datos de las Partes serán los que figuran en el Anexo I de las Nuevas CCT de la UE según lo ejecutado por las Partes en virtud del presente DPA.

2. En la Tabla 2, las CCT de la UE Aprobadas serán las Nuevas CCT de la UE según lo ejecutado por las Partes en virtud del presente DPA.

3. En la Tabla 3, el Apéndice 1A y el Apéndice 1B serán los establecidos en el Apéndice I de las Nuevas CCT de la UE según lo ejecutado por las Partes en virtud del presente DPA.

4. La Tabla 3, Apéndice II será la establecida en el Apéndice II de las Nuevas CCT de la UE según lo ejecutado por las Partes en virtud del presente DPA.

5. En la Tabla 4, cualquiera de las partes puede poner fin a este DPA según lo establecido en la Sección 19 del Anexo CCT del Reino Unido.

3.3. Transferencias de Suiza. Con respecto a los Datos personales transferidos desde Suiza para los que la ley suiza (y no la ley de cualquier jurisdicción del Espacio Económico Europeo) rige la naturaleza internacional de la transferencia, (i) las referencias al RGPD en la Cláusula 4 de las Nuevas CCT de la UE se modifican, en la medida en que sea legalmente necesario, para referirse a la Ley Federal de Protección de Datos de Suiza o su sucesora en su lugar, y el concepto de autoridad de supervisión incluirá al Comisionado Federal de Protección de Datos e Información de Suiza; (ii) de acuerdo con tal modificación, se aplicarán las Nuevas CCT de la UE incorporadas como referencia en el presente documento, que forman una parte de este DPA, y tienen prioridad sobre el resto de este DPA en la medida en que haya conflicto.

3.4. Transferencias del EEE. Con respecto a los Datos personales transferidos desde el Espacio Económico Europeo, se aplicarán las Nuevas CCT de la UE incorporadas en el presente documento y formarán parte de este DPA. En caso de conflicto entre cualquier disposición de las Nuevas CCT de la UE y cualquier disposición de este DPA, las Nuevas CCT de la UE controlarán la extensión de los conflictos.