Eventbrite

Centro de Ayuda

Apéndice sobre procesamiento de datos (DPA) para organizadores

Última actualización: 4 de enero de 2023. En este Apéndice sobre procesamiento de datos (DPA), se establecen los términos y condiciones relacionados con la privacidad, la confidencialidad y la seguridad de los Datos personales asociados con los Servicios proporcionados por Eventbrite al Organizador de conformidad con el Acuerdo. En este DPA, "vos" se refiere al Organizador, y "nosotros", "nos", "nuestro" y "Eventbrite" se refieren a Eventbrite, Inc. y nuestras filiales. Para obtener más información sobre las condiciones legales de Eventbrite, consultá acá.

En este artículo

  • Información general y definiciones.
  • 1. Aplicabilidad del DPA y alcance de las actividades de procesamiento de datos.
  • 2. Cláusulas de procesamiento de datos.
  • 3. Transferencias internacionales de datos.

Información general y definiciones.

Las condiciones de este Apéndice sobre procesamiento de datos (DPA) se incorporan a las Condiciones de servicio de Eventbrite o cualquier otro acuerdo de servicios vigente entre vos y Eventbrite (en adelante, el "Acuerdo").

Si hubiera un conflicto entre el Acuerdo y este DPA con respecto a las disposiciones relativas al procesamiento de Datos personales, prevalecerán las disposiciones de este DPA. En caso de conflicto entre este DPA y cualquier otra disposición del Acuerdo entre vos y nosotros, prevalecerá este DPA, excepto cuando el Organizador y Eventbrite hayan negociado individualmente condiciones de procesamiento de datos diferentes de este DPA que cumplan con los requisitos de las Leyes de Protección de Datos vigentes en su totalidad, en cuyo caso prevalecerán dichas condiciones negociadas.

CCPA” significa Ley de Privacidad del Consumidor de California (según la enmienda de la Ley de Derechos de Privacidad de California) y las normativas relacionadas.

Leyes de Protección de Datos” significa todas las leyes o normativas pertinentes relacionadas con la privacidad, confidencialidad y seguridad de los Datos Personales.

Empresa”, "Controlador de datos", "Procesador de Datos", "Sujeto de Datos", "Procesamiento", "Datos Personales" y “Proveedor de Servicios” tendrán el significado que se les atribuye en las Leyes de Protección de Datos pertinentes.

"Infracción de Seguridad de Datos" significa una infracción de seguridad que conlleva la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso no autorizado a los Datos Personales procesados por Eventbrite en nombre del Organizador como parte del uso de los Servicios por parte del Organizador.

Nuevas CCS de la UE” significa las Cláusulas contractuales estándar emitidas conforme a la Decisión de Ejecución de la Comisión (UE) 2021/914 del 4 de junio de 2021 sobre las cláusulas contractuales estándar para la transferencia de datos personales a terceros países conforme a la Normativa (UE) 2016/679 del Parlamento y del Consejo Europeos.

Servicios” significa cualquier servicio prestado por Eventbrite al Organizador, según lo definido en las Condiciones de servicio de Eventbrite de cualquier otro acuerdo de servicios pertinente entre el Organizador y Eventbrite.

"Medidas de Seguridad Técnica y Organizativas" significa las medidas de seguridad razonables implementadas por Eventbrite apropiadas para el tipo de Datos Personales que se procesan en nombre del Organizador y los Servicios que presta Eventbrite pensados para proteger los Datos personales contra el procesamiento no autorizado o ilícito y contra su pérdida, destrucción, daño, alteración o divulgación accidentales.

Anexo de las SCC del Reino Unido” significa el Anexo de Transferencia Internacional de Datos del Reino Unido a las Cláusulas Contractuales Estándar de la Comisión Europea para transferencias de datos internacionales, versión B1.0, emitidas por el Comisionado de Información del Reino Unido según la Sección 119A de la Ley de Protección de Datos del Reino Unido de 2018 y que entró en vigor el 21 de marzo de 2022, según se actualice, modifique o reemplace periódicamente.

1. Aplicabilidad del DPA y alcance de las actividades de procesamiento de datos.

1.1 Al utilizar los Servicios de Eventbrite, el Organizador actúa como Empresa y es un Controlador de los Datos Personales asociados con una persona que utiliza los Servicios de Eventbrite, o en cuyo nombre se utilizan los Servicios de Eventbrite, para registrarse o comprar una entrada para asistir al evento de ese Organizador ("Consumidor"). El Organizador declara y garantiza que ha proporcionado todas las notificaciones necesarias y, en caso de requerirse, que ha obtenido todos los consentimientos necesarios en relación con la recopilación de esos Datos Personales del Consumidor; asimismo, el Organizador tiene derecho de compartir dichos Datos Personales con Eventbrite.

1.2 En los casos en que Eventbrite procese los Datos Personales de los Consumidores en nombre del Organizador como parte de los Servicios, Eventbrite es el Procesador de Datos o el Proveedor de Servicios al momento de realizar ese Procesamiento, y el Organizador es el Controlador de Datos o la Empresa. Esto incluye circunstancias en las que Eventbrite obtenga Datos personales como consecuencia de la prestación de sus servicios principales de venta de entradas (por ejemplo, cuando Eventbrite facilite la transmisión de correos electrónicos a los Consumidores a solicitud de los Organizadores, procese pagos o proporcione informes de eventos y herramientas para permitir a los Organizadores obtener información sobre la eficacia de diversos canales de ventas).

Con respecto a cierto procesamiento de Datos personales de Consumidores, Eventbrite puede actuar como Controlador de datos o Empresa, por ejemplo, en los casos en que los Consumidores se hayan involucrado en aspectos de las Aplicaciones de Eventbrite que excedan aquellos relacionados con el evento del Organizador, o cuando Eventbrite procese los Datos personales de los Consumidores para realizar investigaciones y análisis que le permitan mejorar sus productos y funciones y brindar recomendaciones personalizadas. Con respecto a ese procesamiento, Eventbrite es un Controlador de datos independiente, y no un Controlador de datos conjunto con el Organizador.

En la medida en que Eventbrite procese los Datos Personales como Procesador de Datos o Proveedor de Servicios en nombre del Organizador, se aplicará la Sección 2 de este DPA; sin embargo, en caso de que Eventbrite actúe como Empresa o Controlador de Datos Personales de los Consumidores, el procesamiento por parte de Eventbrite no estará sujeto a este DPA.

1.3 Los detalles sobre los Datos Personales que procesará Eventbrite y las actividades de Procesamiento que se realizarán en virtud del Acuerdo son los siguientes: (i) duración: según lo establecido en el Acuerdo; (ii) naturaleza, objeto y tema: permitir que el Organizador organice y promocione eventos y gestione la venta de entradas mediante los Servicios de Eventbrite; (iii) categorías de datos: nombre, email, información de facturación y pago, información relacionada con los eventos que se reservaron y a los que se asistió, relación con el Organizador y cualquier otro dato personal que el Organizador solicite a sus Consumidores; (iv) titulares de datos: Consumidores.

2. Cláusulas de procesamiento de datos.

2.1 Siempre que Eventbrite procese Datos Personales en nombre del Organizador, Eventbrite deberá:

2.1.1 Procesar los Datos Personales solo según las instrucciones documentadas del Organizador, a menos que la ley vigente exija lo contrario. Eventbrite informará al Organizador los requisitos legales antes de realizar el procesamiento de Datos personales de otra manera que no sea en conformidad con las instrucciones del Organizador, a menos que la ley prohíba a Eventbrite hacerlo por motivos importantes de interés público. El Organizador se asegurará de que sus instrucciones cumplan con todas las leyes, normativas y reglas vigentes a los Datos personales, y de que el procesamiento que Eventbrite haga de dichos Datos personales no genere que Eventbrite infrinja ninguna ley, normativa ni regla vigente, incluidas las Leyes de Protección de Datos. Eventbrite notificará al Organizador si, en su opinión, una instrucción infringe las Leyes de Protección de Datos vigentes. Por el presente, el Organizador solicita a Eventbrite, y Eventbrite acepta, procesar Datos personales según sea necesario para cumplir con las obligaciones de Eventbrite en virtud del Acuerdo y para ningún otro propósito, a menos que se especifique lo contrario en este DPA o sea necesario para cumplir con la ley o cualquier otro pedido gubernamental vinculante. En el caso de que este DPA o cualquier acción que deba tomarse o tenerse en cuenta con relación a este DPA no satisfaga las obligaciones de alguna de las partes en virtud de las Leyes de Protección de Datos aplicables, las partes negociarán de buena fe una enmienda apropiada de este DPA;

2.1.2 Cumplir con todas las disposiciones vigentes de las Leyes de Protección de Datos y proporcionar el mismo nivel de protección de los Datos Personales que se exige al Organizador en virtud de las Leyes de Protección de Datos.  Eventbrite procesará los Datos Personales solo según sea necesario para llevar a cabo las obligaciones de Eventbrite en virtud del Acuerdo o de algún otro modo conforme a las Leyes de Protección de Datos pertinentes. Sin perjuicio de lo anterior, Eventbrite no (i) "venderá" ni "compartirá" los Datos Personales, tal como se definen dichos términos en la CCPA; (ii) Eventbrite no conservará, utilizará ni divulgará dichos datos fuera de la relación comercial directa entre el Organizador y Eventbrite, a menos que lo permitan las Leyes de Protección de Datos, ni (iii) conservará, utilizará ni divulgará los Datos Personales para ningún fin distinto de los fines comerciales especificados en esta CCPA o permitidos de otro modo por las Leyes de Protección de Datos.  Eventbrite cumplirá con todas las restricciones pertinentes según las Leyes de Protección de Datos al combinar los Datos Personales con datos personales que Eventbrite reciba de otra persona o personas, o en nombre de ellas, o que Eventbrite recopile de cualquier interacción con cualquier persona.

2.1.3 Disponer de Medidas de Seguridad Técnicas y Organizativas que incluyan, entre otras, las medidas descritas aquí: https://www.eventbrite.com.ar/security/;

2.1.4 Notificar al Organizador en caso de una Infracción de Seguridad de Datos sin demora indebida, a menos que la ley prohíba lo contrario o una autoridad policial o de protección de datos lo ordene. En el caso de una Infracción de seguridad de los datos, Eventbrite, a su entera discreción, puede notificar sobre dicha infracción de datos directamente a los titulares de los datos afectados. En caso de que Eventbrite no proporcione dicha notificación, Eventbrite brindará asistencia razonable, cuando así lo exijan las Leyes de Protección de Datos pertinentes y a pedido del Organizador, para permitir que el Organizador cumpla con sus obligaciones por infracción de datos como Controlador de Datos o Empresa.;

2.1.5 Garantizar que su personal esté sujeto a obligaciones vinculantes de confidencialidad con respecto a los Datos Personales de los Consumidores Procesados por Eventbrite en nombre del Organizador;

2.1.6 Imponer obligaciones a sus subprocesadores que tengan acceso a los Datos Personales de los Consumidores Procesados por Eventbrite en nombre del Organizador y que sean iguales o equivalentes a aquellas establecidas en esta Sección 2 mediante contrato escrito, y continuar siendo totalmente responsable ante el Organizador de cualquier incumplimiento de obligaciones de un subprocesador en relación con dichos Datos Personales;

2.1.7 Brindar asistencia razonable al Organizador para responder a las solicitudes de derechos individuales u otras comunicaciones recibidas según las Leyes de Protección de Datos vigentes de cualquier autoridad de protección de datos pertinente o Consumidor que esté sujeto a cualquier Dato Personal procesado por Eventbrite en nombre del Organizador. En caso de que un Consumidor presente una solicitud de eliminación de Datos Personales a Eventbrite, el Organizador por la presente instruye y autoriza a Eventbrite a eliminar o anonimizar los Datos Personales del Consumidor en nombre del Organizador.  Cuando sea necesario, el Organizador informará a Eventbrite de cualquier otra solicitud de derechos individuales que Eventbrite deba cumplir y proporcionará la información necesaria para que Eventbrite cumpla con la solicitud;

2.1.8 Tras la solicitud por escrito del Organizador, poner a disposición del Organizador toda la información razonablemente necesaria para demostrar su cumplimiento de las obligaciones establecidas en esta Sección 2, proporcionar asistencia razonable para evaluaciones de impacto sobre privacidad y protección de datos, así como para consultas relacionadas por parte de las autoridades de protección de datos, y permitir y cooperar con cualquier auditoría. Cualquier auditoría in situ deberá: (i) permitirse solo con previa notificación razonable a Eventbrite; (ii) quedar sujeta a compromisos de confidencialidad apropiados, y (iii) limitarse a una vez cada tres (3) años y solo para evaluar una sospecha de deficiencia específica después de agotar todos los demás medios razonables; y

2.1.9 Excepto para aquellos Datos Personales con respecto a los cuales Eventbrite actúa como Controlador de Datos o Empresa, devolver, eliminar o destruir (a elección del Organizador) los Datos Personales de Consumidores procesados en nombre del Organizador y las copias de estos, a pedido del Organizador (a menos que la ley vigente requiera el almacenamiento de dichos Datos Personales).

2.2 Por este medio, el Organizador da su consentimiento y autoriza a Eventbrite a divulgar o transferir Datos Personales o permitir el acceso a estos a los subprocesadores actuales de Eventbrite (es decir, los citados en el sitio web de Eventbrite en la Fecha de Entrada en Vigencia de este DPA o del Acuerdo, la que sea posterior) ("Subprocesadores Actuales") para que procesen Datos Personales en nombre del Organizador.

2.3 Por este medio, el Organizador acepta que Eventbrite designe subprocesadores adicionales y suplentes ("Subprocesadores Suplentes") para procesar Datos Personales en su nombre. Eventbrite deberá: notificar al Organizador sobre la identidad de los Subprocesadores suplentes previstos (i) por correo electrónico, en el caso de que el Organizador haya optado por recibir notificaciones por correo electrónico, y (ii) al actualizar el sitio web de Eventbrite (el Organizador es responsable de chequear y revisar con frecuencia el sitio web de Eventbrite para estar al tanto de ese tipo de cambios). Los Organizadores que estén interesados en recibir notificaciones anticipadas por email de los Subprocesadores suplentes deben optar por ello y suscribirse a través de este formulario (el Organizador es el único responsable de garantizar la precisión de su información de contacto). Asimismo, Eventbrite deberá darle al Organizador la oportunidad de oponerse a los cambios que se realicen después de la Fecha de entrada en vigencia del Acuerdo, conforme a los siguientes términos de la Sección 2.4 de este DPA.

Para evitar dudas, cualquier derecho de rescisión aquí disponible solo se aplicará en el caso de objeciones a Subprocesadores Suplentes designados después de la fecha de entrada en vigencia de este DPA que no se subsanen de acuerdo con las condiciones del presente documento, y no se aplicará en relación a los Subprocesadores Actuales.

2.4 El Organizador presentará cualquier objeción al nombramiento de Subprocesadores Suplentes dentro de los diez (10) días posteriores a la publicación por parte de Eventbrite de los cambios en su sitio web. El Organizador deberá enviar su objeción a privacy@eventbrite.com con el asunto "Objeción al Subprocesador suplente".

Siempre y cuando la objeción del Organizador: (i) se refiera a la capacidad del Subprocesador suplente de permitir que Eventbrite cumpla materialmente con sus obligaciones de protección de datos conforme a este DPA; e (ii) incluya suficientes detalles para respaldar su objeción y proporcione ejemplos específicos, Eventbrite hará los esfuerzos comercialmente razonables para examinar y responder a la objeción del Organizador dentro de los treinta (30) días posteriores a la recepción de la objeción del Organizador con el método de reconciliación establecido por Eventbrite.

Si Eventbrite determina a su entera discreción que no puede aceptar razonablemente la objeción del Organizador, luego de ser notificado al respecto por Eventbrite, el Organizador puede optar por rescindir el Acuerdo mediante notificación por escrito a Eventbrite y de conformidad con las condiciones del presente documento, lo cual constituirá el único y exclusivo recurso del Organizador. Sin limitar la generalidad de lo anterior, el derecho de rescisión del Organizador conforme a esta Sección 2.4 se considerará un derecho de rescisión adicional del Organizador en virtud de la Sección "Plazo y Rescisión" del Acuerdo (si corresponde) y su ejercicio se considerará una rescisión de conformidad con tal Sección. Dicha notificación por escrito debe enviarse a legal@eventbrite.com y debe referirse específicamente a esta Sección 2.4 del DPA. El día en que Eventbrite reciba una notificación de rescisión por escrito del Organizador en virtud de esta Sección 2.4 se denomina "Fecha de objeción" en este DPA. En caso de que el Organizador decida rescindir el Acuerdo como resultado de un Subprocesador suplente, esta Sección 2 no eximirá de forma alguna al Organizador de ninguna de sus obligaciones de pago y/o reembolso a Eventbrite en virtud del Acuerdo.

Sin limitar los demás derechos y recursos de Eventbrite, si el Organizador rescinde el Acuerdo de conformidad con esta Sección 2.4, el Organizador abonará inmediatamente a Eventbrite (1) todos los importes acumulados y adeudados a Eventbrite, incluidos, entre otros, las obligaciones de pagar y/o reembolsar a Eventbrite tarifas, pagos de patrocinio, anticipos y/o pagos anticipados de Tarifas de inscripciones a eventos, tal y como se definen en el Acuerdo y solo en la medida aplicable al Organizador; (2) si el Acuerdo incluye un número mínimo de entradas que el Organizador deba vender, una cantidad mínima de Tarifas de inscripción a eventos o Tarifas de servicio de Eventbrite que deban procesarse (cada umbral de ventas o procesamiento es un "Umbral mínimo") y/o el requisito de pagar a Eventbrite la porción de Tarifas de servicio que Eventbrite habría recibido en caso de haberse alcanzado un Umbral mínimo, el Organizador acepta pagar a Eventbrite una cantidad igual a (x) la cantidad que Eventbrite habría recibido en Tarifas de servicio en caso de que se hubiera alcanzado el Umbral mínimo en cada año del plazo hasta la fecha de dicha rescisión (con dicho Umbral mínimo prorrateado en cualquier año parcial del Plazo), menos (y) la cantidad que Eventbrite realmente recibió en Tarifas de servicio atribuible a las ventas del Organizador durante el Plazo hasta la fecha de dicha rescisión; y (3) el 80 % de las tarifas previstas que Eventbrite habría ganado durante el resto del Plazo si el Acuerdo no se hubiera rescindido con respecto a (x) eventos a la venta en el Sitio a la Fecha de objeción, así como (y) cualquier evento futuro contemplado en el Acuerdo cuya activación estuviera prevista dentro de los noventa (90) días posteriores a la Fecha de objeción.

2.5 Por este medio, Eventbrite certifica que comprende las restricciones y obligaciones establecidas en este DPA y que las cumplirá. Eventbrite notificará al Organizador si determina que ya no puede cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos.

2.6 El Organizador tendrá derecho, previa notificación de catorce (14) días hábiles de anticipación, a tomar medidas razonables y adecuadas para detener y remediar cualquier uso no autorizado de los Datos Personales por parte de Eventbrite.

3. Transferencias internacionales de datos.

3.1 El Organizador acepta que Eventbrite podría transferir Datos Personales de Consumidores a diversos lugares en relación con la prestación de Servicios. Las transferencias se realizarán conforme a los mecanismos de transferencia legalmente vigentes según lo requerido por las Leyes de Protección de datos aplicables. El mecanismo de transferencia de datos exclusivo de Eventbrite para datos exportados del Espacio Económico Europeo, del Reino Unido y de Suiza es el uso de las Cláusulas contractuales estándar, que fueron firmadas previamente por Eventbrite para los registros de cumplimiento del Organizador. Para realizar transferencias desde el Reino Unido, Eventbrite también ha incorporado el Anexo SCC del Reino Unido en la sección 3.2 de este DPA.

3.2 Transferencias desde el Reino Unido. Con respecto a los Datos personales de Eventbrite transferidos desde el Reino Unido para los cuales la ley del Reino Unido (y no la ley de cualquier jurisdicción del Espacio Económico Europeo) rige la naturaleza internacional de la transferencia, el Anexo SCC del Reino Unido forma parte de este DPA y prevalece sobre el resto de este DPA como se establece en el Anexo del SCC del Reino Unido, a menos que el Reino Unido publique actualizaciones del Anexo SCC del Reino Unido, en cuyo caso prevalecerá el Anexo SCC actualizado. Los términos en mayúsculas sin definir en esta disposición significan las definiciones del Anexo de las SCC. Por el presente, el Organizador acuerda suscribir al Anexo SCC del Reino Unido, que se incorpora a este DPA mediante esta referencia y se completa de la siguiente manera:

  1. En la Tabla 1, los detalles de las Partes serán las Partes tal como se establece en el Anexo I de las Nuevas SCC de la UE, ejecutadas por las Partes de conformidad con este DPA.

  2. En la Tabla 2, las SCC de la UE aprobadas serán las Nuevas SCC de la UE, ejecutadas por las Partes de conformidad con este DPA.

  3. En la Tabla 3, el Anexo 1A y Anexo 1B, serán como se establece en el Anexo I de las Nuevas SCC de la UE, ejecutadas por las Partes de conformidad con este DPA.

  4. En la Tabla 3, el Anexo II será tal como se establece en el Anexo II de las Nuevas SCC de la UE ejecutadas por las Partes de conformidad con este DPA.

  5. En la Tabla 4, cualquiera de las partes puede finalizar este DPA como se establece en la Sección 19 del Anexo de las SCC del Reino Unido.

3.3. Transferencias desde Suiza. Con respecto a los Datos Personales de Eventbrite transferidos desde Suiza para los que la ley suiza (y no la ley de cualquier jurisdicción del Espacio Económico Europeo) regula la naturaleza internacional de la transferencia, (i) las referencias al GDPR en la Cláusula 4 de las Nuevas CCS de la UE están modificadas, en la medida que sea legalmente requerido, para referirse a la Ley Federal Suiza de Protección de Datos o su sucesora, y el concepto de autoridad supervisora incluirá al Comisario Federal de Protección de Datos e Información de Suiza; y (ii) según esta enmienda, se aplicarán las Nuevas CCS de la UE incorporadas aquí, formarán parte de este DPA y tendrán prioridad sobre el resto de este DPA, si entraran en conflicto.

3.4. Transferencias desde el EEE. Con respecto a los Datos personales transferidos desde el Espacio Económico Europeo, se aplicarán las Nuevas CCS de la UE incorporadas aquí y formarán parte de este DPA. En caso de conflicto entre alguna disposición de las Nuevas CCS de la UE y alguna disposición de este DPA, las Nuevas CCS de la UE regirán para el alcance de los conflictos.

¿Aún tienes preguntas?