Eventbrite

Centro de Ayuda

Apéndice sobre procesamiento de datos (DPA) para procesadores y subprocesadores

Última actualización: 25 de agosto de 2021. Para obtener más información sobre las condiciones legales de Eventbrite, consultá acá.

En este artículo

  • Introducción
  • 1. Definiciones.
  • 2. Rol de las Partes y naturaleza de los Datos personales.
  • 3. Cumplimiento del Proveedor.
  • 4. Transferencias internacionales de Datos
  • 5. Garantías adicionales para la Transferencia y Procesamiento de Datos personales desde el EEE. Suiza y Reino Unido.  
  • 6. Confidencialidad y seguridad.
  • 7. Subproceso.
  • 8. Cooperación y derechos de los sujetos de los datos.
  • 9. Auditoría
  • 10. Infracción de datos.
  • 11. Eliminación o devolución de datos.
  • 12. Indemnidad
  • 13. Varios

Introducción

Este Apéndice sobre procesamiento de datos ("DPA") regirá los servicios prestados a Eventbrite, Inc. y sus Afiliados ("Eventbrite") por usted ("usted" o "Proveedor") como un Procesador o Subprocesador (como se define a continuación) (los "Servicios"). Usted y Eventbrite de ahora en adelante serán referidos como "Parte" y en conjunto como "Partes". Este DPA complementa, se incorpora y permanecerá en vigor durante el plazo de cualquier acuerdo entre las Partes, incluido, entre otros, cualquier acuerdo ejecutado o de clic o, si corresponde, los Términos de uso de API de Eventbrite (el "Acuerdo"), la duración de los Servicios o el procesamiento de los Datos de Eventbrite, el que sea posterior (el "Plazo"). Sin perjuicio del carácter general de lo anteriormente señalado, el objeto, naturaleza y propósito del tratamiento, en virtud del presente DPA, es la prestación de los Servicios con arreglo al Acuerdo, y las categorías de datos personales y las categorías de interesados son las necesarias para proporcionar dichos Servicios con arreglo al Acuerdo, tal como se describen más detalladamente en el Acuerdo.

1. Definiciones.

Los términos en mayúscula utilizados pero no definidos en este DPA tendrán los mismos significados que los establecidos en el Acuerdo, si corresponde. Para los propósitos de este DPA:

1.1"Afiliado" significa cualquier persona o entidad que controle o esté bajo el control de dicha entidad, ya sea en la fecha del Acuerdo o posteriormente. A los efectos de este DPA, "control" significa propiedad o control, directa o indirectamente, de más del 20 % de las acciones con derecho a voto de una entidad, o cualquier otra capacidad de dirigir la administración y las políticas.

1.2 "Leyes de privacidad aplicables" significa todas las leyes y reglamentaciones de privacidad y protección de datos aplicables en cualquier parte del mundo, incluida, cuando corresponda, el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en relación con el tratamiento de Datos personales y la libre circulación de dichos datos (Reglamento General de Protección de Datos) ("RGPD"), la Directiva de la UE 2002/58/EC sobre privacidad y mensajes electrónicos (en todos los casos, según se enmiende, reemplace o sustituya) y la Ley de Privacidad del Consumidor de California, Cód. Civ. Cal. § 1798.100 et seq. y sus reglamentos de aplicación (“CCPA”).

1.3 "Controlador" significa la persona física o jurídica o entidad que determina los propósitos y los medios del procesamiento de Datos personales Controlador también es un “negocio,” según la definición de ese término en CCPA.

1.4 "Infracción de datos" significa una violación de la seguridad que conduce a la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación o acceso no autorizado, y todas las demás formas ilegales de procesamiento de los Datos de Eventbrite.

1.5 "Datos de Eventbrite" hace referencia a todos los datos, incluidos Datos personales, que se proporcionan al Proveedor o que el Proveedor ha recopilado y/o a los que ha accedido en nombre de Eventbrite y/o sus Afiliados en el transcurso de la prestación de los Servicios en virtud del Acuerdo. Todos los Datos de Eventbrite que sean Datos personales se denominan "Datos personales de Eventbrite".

1.6 “Nuevas CCS de la UE” significa las cláusulas contractuales tipo publicadas de conformidad con la Decisión de la Comisión (UE) 2021/914 el 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, de conformidad con la Directiva (UE) 2016/679 del Parlamento Europeo y del Consejo.

1.7 “Anteriores CCS de la UE” significa las cláusulas contractuales tipo publicadas de conformidad con la Decisión de la Comisión de la UE el 5 de febrero de 2010 para la transferencia de datos personales a los procesadores establecidos en terceros países de conformidad con la Directiva 95/46/EC del Parlamento Europeo y del Consejo (disponible desde ese fecha en http://datos.europa.eu/eli/dec/2010/87/2016-12-17).

1.8 "Datos personales" significa cualquier información relacionada con una persona física identificada o identificable; una persona identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social.

1.9 "Principios del Escudo de Privacidad" significa los Principios del Marco de Privacidad (complementados por los Principios Suplementarios) contenidos en el Anexo II de la Decisión de la Comisión Europea de 12 de julio de 2016 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección proporcionada por el Escudo de Privacidad (según se pueda enmendar, reemplazar o sustituir), cuyos detalles se pueden encontrar en www.privacyshield.gov/eu-us-framework.

1.10 "Procesador" significa una entidad que procesa Datos personales en nombre y de acuerdo con las instrucciones de un Controlador.

1.11 "Subprocesador" significa una entidad contratada por un Procesador que acepta recibir Datos personales del Procesador exclusivamente destinados a las actividades de procesamiento que se llevarán a cabo como parte de los Servicios.

1.12 "Proveedor" significa la persona o entidad que ha celebrado el Acuerdo con Eventbrite.

2. Rol de las Partes y naturaleza de los Datos personales.

2.1 Para los propósitos de este DPA, Eventbrite puede actuar como Controlador o puede actuar como Procesador de uno de sus clientes. Por lo tanto, el Proveedor comprende que puede actuar como un Procesador de Eventbrite o un Subprocesador de Eventbrite. Cuando Eventbrite actúa como Procesador, Eventbrite está obligado contractualmente y/o en virtud de las Leyes de privacidad aplicables a ceder ciertas obligaciones relacionadas con la protección de datos a sus Subprocesadores designados. Por lo tanto, todas las obligaciones impuestas a los Procesadores en este DPA se aplicarán al Proveedor independientemente de si el proveedor actúa como Procesador o Subprocesador.

2.2 La naturaleza, el propósito y el tema de las actividades de procesamiento de datos del Proveedor realizadas como parte de los Servicios se establecen en el Acuerdo. Los Datos personales que pueden procesarse pueden relacionarse con organizadores de eventos, participantes, empleados, contratistas y contactos, y pueden incluir nombre, dirección de correo electrónico, información de facturación y pago, eventos reservados, eventos organizados, eventos asistidos, y cualquier otro Dato personal que pueda procesarse de conformidad con el Acuerdo.

3. Cumplimiento del Proveedor.

3.1 El Proveedor garantiza y se compromete a procesar los Datos personales de Eventbrite solo para los fines limitados y específicos establecidos en el Acuerdo y/o según lo instruido por escrito por Eventbrite (correo electrónico o de otro modo), salvo que la ley aplicable exija lo contrario. El Proveedor informará inmediatamente Eventbrite si, en su opinión, una instrucción infringe las Leyes de privacidad aplicables.

3.2 El Proveedor no venderá Datos personales de Eventbrite ni procesará Datos personales de Eventbrite salvo para los fines específicos establecidos en este Acuerdo y de conformidad con las Leyes de privacidad aplicables. Para evitar confusiones, el Proveedor no procesará Datos personales de Eventbrite por fuera de la relación comercial de Eventbrite y el Proveedor. A efectos de este apartado, “vender” tendrá el significado establecido en las Leyes de privacidad aplicables .

3.3 El Proveedor certifica que comprende las restricciones y obligaciones establecidas en este DPA y que las cumplirá.

4. Transferencias internacionales de Datos

4.1 Eventbrite autoriza al Proveedor y sus Subprocesadores a transferir Datos personales de Eventbrite internacionalmente de acuerdo con este DPA siempre que se respeten las Leyes de privacidad aplicables para dichas transferencias. Al aceptar este DPA, el Proveedor también acepta las Nuevas CCS de la UE previamente firmadas por Eventbrite.

4.2 Con respecto a los Datos personales de Eventbrite transferidos desde el Reino Unido para los que la ley del Reino Unido (y no la ley de ninguna jurisdicción del Espacio Económico Europeo) regula la naturaleza internacional de la transferencia, y dicha ley permite el uso de las Anteriores CCS de la UE pero no la utilización de las Nuevas CCS de la UE, las Anteriores CCS de la UE forman parte de este DPA y tienen prioridad sobre el resto de este DPA según lo establecido en las Anteriores CCS de la UE, hasta que el Reino Unido adopte las nuevas Cláusulas contractuales tipo, en cuyo caso las nuevas Cláusulas contractuales tipo regirán.  A efectos de las Anteriores CCS de la UE, se considerán completas de la siguiente forma:

  1. Los “exportadores” e “importadores” son las Partes y sus Afiliados en la medida en que alguno de ellos participe en dichas transferencias, incluidos aquellos establecidos en el Anexo I.A de las Nuevas CCS de la UE.  

  2. La Cláusula 9 de las Anteriores CCS de la UE especifica que la ley del Reino Unido regulará las Anteriores CCS de la UE.

  3. El contenido del Apéndice 1 de las Anteriores CCS de la UE se establece en el Anexo I.B de las Nuevas CCS de la UE.

  4. El contenido del Apéndice 2 de las Anteriores CCS de la UE se establece en el Anexo II de las Nuevas CCS de la UE.

4.3 Con respecto a los Datos personales de Eventbrite transferidos desde Suiza para los que la ley de Suiza (y no la ley de ninguna jurisdicción del Espacio Económico Europeo) regula la naturaleza internacional de la transferencia, las referencias al GDPR en la Cláusula 4 de las nuevas CCS de la UE están modificadas, en la medida que sea legalmente requerido, para referirse a la Ley Federal Suiza de Protección de Datos o su sucesora, y el concepto de autoridad supervisora incluirá el Comisario Federal de Protección de Datos e Información de Suiza.

4.4 Con respecto a los Datos personales transferidos desde el Espacio Económico Europeo, se aplicarán las nuevas CCS de la UE incorporadas aquí, formarán parte de este DPA y tendrán prioridad sobre el resto de este DPA según se establece en las nuevas CCS de la UE.  

  1. Cuando el Proveedor actúe como el Procesador de Eventbrite, se aplicará el Módulo Dos de las nuevas CCS de la UE.  

  2. Cuando el Proveedor actúe como el Subprocesador de Eventbrite, se aplicará el Módulo Tres de las nuevas CCS de la UE.

5. Garantías adicionales para la Transferencia y Procesamiento de Datos personales desde el EEE. Suiza y Reino Unido.  

En la medida que el Proveedor procese Datos personales de Eventbrite de interesados ubicados en el Espacio Económico Europeo, Suiza o el Reino Unido, o sujetos a las Leyes de privacidad aplicables de esos territorios, el Proveedor acuerda las siguientes garantías para proteger dichos datos en un nivel equivalente al de las Leyes de privacidad aplicables:

5.1 El Proveedor y Eventbrite cifrarán todas las transferencias de Datos personales entre ellos, y el Proveedor cifrará todas las transferencias ulteriores que realice de dichos datos personales, para evitar la adquisición de esa información por parte de terceros, como autoridades gubernamentales que podrían tener acceso físico a mecanismos de transmisión (por ej., líneas y cables) mientras se transmiten los datos.

5.2 El Proveedor declara y garantiza que:

  1. desde la fecha de este contrato, no ha recibido ninguna directiva bajo la Sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera de Estados Unidos (FISA), codificada en 50 U.S.C. § 1881a (“Sección 702 de FISA”);

  2. no reúne las condiciones para tener la oblicación de brindar información, servicios o asistencia conforme a la Sección 702 de FISA; o que ningún tribunal considera al Proveedor el tipo de entidad elegible para ser procesada según la Sección 702 de FISA: (i) un "proveedor de servicios de comunicaciones electrónicas" en el sentido del 50 U.S.C § 1881(b)(4) o (ii) un miembro de cualquiera de las categorías o entidades expuestas en esa definición;

  3. no es el tipo de proveedor admisible de ser sujeto a recopilación previa (recopilación “masiva") conforme a la Sección 702 de FISA, según se describe en los párrafos 62 y 179 de la sentencia del Tribunal de Justicia de EE. UU. caso C-311/18, Data Protection Commissioner versus Facebook Ireland Limited and Maximillian Schrems ("Schrems II"), y que por lo tanto el único procesamiento que podría ser admisible de recibir según la Sección 702 de FISA, si es un "proveedor de servicios de comunicaciones electrónicas" en el sentido del 50 U.S.C § 1881(b)(4), se basaría en un "selector focalizado" específico, es decir un identificador exclusivo para el punto final de la comunicación sometida a vigilancia;

  4. el Proveedor nunca cumplirá con ninguna solicitud de vigilancia masiva conforme a la Sección 702 de FISA, es decir, una demanda de vigilancia en la que un identificador de cuenta no es identificado mediante un "selector focalizado" específico (un identificador exclusivo para el punto final de la comunicación sometida a vigilancia);

  5. el Proveedor utilizará todos los mecanismos legales razonablemente disponibles para desafiar cualquier demanda que reciba de acceso a datos personales mediante procesos de seguridad nacional así como las disposiciones de confidencialidad que lleve aparejadas; 

  6. el Proveedor no adoptará medidas en conformidad con el Decreto n.º 12333 de EE. UU.;

  7. con intervalos de 6 meses o más si la ley lo permitiese, el Proveedor creará un informe de transparencia que pondrá a disposición de Eventbrite donde indicará los tipos de exigencias jurídicamente vinculantes que haya recibido sobre datos personales, incluidos pedidos y directivas de seguridad nacional, que deberán abarcar cualquier procedimiento publicado en la Sección 702 de FISA; 

  8. el Proveedor notificará rápidamente a Eventbrite de su incapacidad para cumplir las Cláusulas Contractuales tipo o las cláusulas aplicables de esta Sección. El Proveedor no estará obligado a proporcionar a Eventbrite información específica sobre las razones de su incapacidad para continuar con el cumplimiento, si la ley aplicable prohíbe brindar esa información.  Dicha notificación facultará a Eventbrite a rescindir el Acuerdo (o según la preferencia de Eventbrite, planes de trabajo afectados, formularios de pedido y documentos similares correspondientes) y a recibir un pronto reembolso prorrateado de cualquier cantidad adelantada a ese respecto.  Esta disposición se entiende sin perjuicio a los otros derechos y recursos de Eventbrite con respecto al incumplimiento del Acuerdo.

6. Confidencialidad y seguridad.

6.1 El Proveedor se asegurará de que cualquier persona a la que autorice para procesar los Datos de Eventbrite (incluidos el personal, agentes y subcontratistas del Proveedor) estará sujeta a un deber de confidencialidad.

6.2 El Proveedor se asegurará de que implementa y mantiene durante todo el periodo del Acuerdo, o la duración de sus servicios a Eventbrite como Procesador o Subprocesador, las medidas técnicas y organizativas apropiadas para proteger los Datos de Eventbrite, incluida la protección contra Infracciones de datos. Dichas medidas deberán, como mínimo, incluir las medidas especificadas en el Anexo II de las nuevas CCS de la UE

7. Subproceso.

El Proveedor notificará a Eventbrite de cualquier Subprocesador que utilice con respecto a Datos personales de Eventbrite, y el Proveedor deberá:

  1. asegurarse de que cualquier Subprocesador esté obligado contractualmente por escrito a proporcionar al menos el mismo nivel de protección que el requerido por este DPA y que cumpla las Leyes de privacidad aplicables;

  2. ser totalmente responsable de y ante Eventbrite de los actos u omisiones de cualquier Subprocesador como si fueran acciones u omisiones del propio Proveedor y

  3. proporcionar a Eventbrite los detalles de los Subprocesadores designados, previa solicitud.

8. Cooperación y derechos de los sujetos de los datos.

El Proveedor proporcionará toda la asistencia razonablemente requerida por Eventbrite para permitir que Eventbrite:

  1. responda, cumpla o resuelva cualquier solicitud de derechos, pregunta o queja recibida por Eventbrite (o un cliente de Eventbrite) de:

    1. cualquier persona viva cuyos Datos personales procese el Proveedor en nombre de Eventbrite; o

    2. cualquier autoridad de protección de datos designada formalmente aplicable; y

  2. cumpla (y demuestre el cumplimiento de) sus obligaciones bajo las Leyes de privacidad aplicables. En el caso de que dicha solicitud, pregunta o queja en virtud de esta Sección 5 se haga directamente al Proveedor, el Proveedor deberá informar a Eventbrite proporcionando todos los detalles sobre ella.

9. Auditoría

Con una notificación por escrito con la antelación razonable, el Proveedor acuerda proporcionar a Eventbrite (o sus auditores designados) toda la información que Eventbrite considere razonablemente necesaria para que Eventbrite audite el cumplimiento por parte del Proveedor de los requisitos de este DPA, incluyendo la cumplimentación de cuestionarios de auditoría, la disposición de políticas de seguridad y resúmenes de evaluaciones de cumplimiento con cualquier estándar de la industria (como ISO 27001, SSAE 16 SOC II), pruebas de penetración y escaneos de vulnerabilidad.

10. Infracción de datos.

En caso de una Infracción de datos, el Proveedor solo realizará las siguientes acciones (a menos que lo autorice Eventbrite):

10.1 notificar prontamente a Eventbrite sin demoras indebidas (y como más tarde dentro de las 48 horas tras conocer la Infracción de datos) y proporcionar a Eventbrite una descripción razonablemente detallada de la Infracción de datos, el tipo de datos objeto de la Infracción de datos y la identidad de cada persona afectada tan pronto como dicha información se pueda recopilar o esté disponible de otro modo, así como cualquier otra información que Eventbrite razonablemente pueda solicitar en relación con la Infracción de datos; e

10.2 investigar prontamente (y como más tarde al inicio de las 48 horas tras conocer la Infracción de datos) la Infracción de datos, hacer los esfuerzos razonables para mitigar los efectos y daños de la Infracción de datos de acuerdo con sus obligaciones bajo la Sección 3 (Confidencialidad y seguridad) anterior, y proporcionar cualquier otra asistencia que Eventbrite razonablemente pueda solicitar en relación con la Infracción de datos.

11. Eliminación o devolución de datos.

Al finalizar o extinguirse este DPA, el Proveedor deberá (a elección de Eventbrite) destruir o devolver a Eventbrite todos los Datos de Eventbrite (incluidas todas las copias de los Datos de Eventbrite) en su posesión o control (incluidos los Datos de Eventbrite subcontratados a un tercero para su procesamiento), a menos que alguna ley aplicable requiera que el Proveedor retenga los Datos de Eventbrite.

12. Indemnidad

El Proveedor indemnizará, mantendrá indemnizado y mantendrá indemne a Eventbrite, sus clientes, funcionarios, directores, empleados, agentes, representantes y Afiliados (cada uno una "Parte indemnizada") de y en contra de todas las pérdidas, daños y costos de terceros (incluidos los honorarios legales razonables y gastos), gastos y responsabilidad que una Parte indemnizada pueda sufrir o en los que pueda incurrir como resultado del incumplimiento por parte del Proveedor de los requisitos de este DPA.

13. Varios

Excepto por los cambios realizados por este DPA, el Acuerdo y/o cualquier otro acuerdo relacionado con los Servicios se mantienen sin cambios y en plena vigencia y efecto.

Con respecto a las disposiciones relativas al procesamiento de Datos personales, en caso de conflicto entre el Acuerdo y este DPA, prevalecerán las disposiciones de este DPA En caso de conflicto entre este DPA y cualquier otra disposición del Acuerdo entre usted y nosotros, prevalecerá este DPA; excepto cuando usted y Eventbrite hayan negociado individualmente condiciones de procesamiento de datos diferentes de este DPA y que cumplan los requisitos de la Ley de protección de datos aplicables en su totalidad, en cuyo caso prevalecerán esos términos negociados.

¿Aún tienes preguntas?