Eventbrite

Centro de Ayuda

Anexo de procesamiento de datos (DPA) para procesadores y subprocesadores

Última actualización: 25 de agosto de 2021. Para conocer más sobre las condiciones legales de Eventbrite, consúltalas aquí.

En este artículo

  • Introducción
  • 1. Definiciones.
  • 2. Rol de las partes y naturaleza de los Datos personales.
  • 3. Cumplimiento del Proveedor.
  • 4. Transferencias internacionales de datos
  • 5. Salvaguardias adicionales para la transferencia y el procesamiento de Datos personales que provienen del EEE, Suiza y el Reino Unido.  
  • 6. Confidencialidad y seguridad.
  • 7. Subproceso.
  • 8. Cooperación y derechos de los sujetos de los datos.
  • 9. Auditoría.
  • 10. Infracción de datos.
  • 11. Eliminación o devolución de datos.
  • 12. Indemnidad
  • 13. Varios

Introducción

Este Anexo de procesamiento de datos ("DPA", Data Processing Addendum) regirá los servicios prestados a Eventbrite, Inc. y sus Afiliados ("Eventbrite") por usted ("usted", "su" o "Proveedor") como un Procesador o Subprocesador (como se define a continuación) (los "Servicios"). Usted y Eventbrite se denominarán aquí "Parte" y juntos como "Partes". Este DPA complementa, se incorpora y permanecerá en vigor durante el plazo de cualquier acuerdo entre las Partes, incluido, entre otros, cualquier acuerdo ejecutado o de clic o, si corresponde, los Términos de uso de API de Eventbrite (el "Acuerdo"), la duración de los Servicios o el procesamiento de los Datos de Eventbrite, el que sea posterior (el "Plazo"). Sin perjuicio del carácter general de lo anteriormente señalado, el objeto, la naturaleza y el propósito del procesamiento, en virtud del presente DPA, es la prestación de los Servicios con arreglo al Acuerdo, y que las categorías de datos personales y las categorías de interesados sean las necesarias para proporcionar dichos Servicios con arreglo al Acuerdo, tal como se describen más detalladamente en el Acuerdo.

1. Definiciones.

Los términos en mayúscula utilizados, pero no definidos en este DPA tendrán los mismos significados que los establecidos en el Acuerdo, si corresponde. Para los propósitos de este DPA:

1.1 "Afiliado" significa cualquier persona o entidad que controle, esté bajo el control, o bien, junto con otra, se encuentre bajo el control de dicha entidad, ya sea en la fecha del Acuerdo o posteriormente. A los efectos de este DPA, "control" significa propiedad o control, directa o indirectamente, de más del 20 % de las acciones con derecho a voto en circulación de una entidad, o cualquier otra capacidad de dirigir la administración y las políticas.

1.2 "Leyes de privacidad aplicables" significa todas las leyes y reglamentaciones de privacidad y protección de datos aplicables en cualquier parte del mundo, incluido, cuando corresponda, el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en relación con el tratamiento de Datos personales y la libre circulación de dichos datos (Reglamento General de Protección de Datos) ("RGPD"), la Directiva de la UE 2002/58/CE sobre privacidad y mensajes electrónicos (en todos los casos, según se enmiende, reemplace o sustituya), y la Ley de Privacidad del Consumidor de California (secciones 1798.100 y siguientes del Código Civil de California) y sus reglamentos de aplicación (“CCPA”, California Consumer Privacy Act).

1.3 "Controlador" significa la persona física o jurídica o entidad que determina los propósitos y los medios del procesamiento de Datos personales. El Controlador también puede ser una “empresa”, tal y como se define este término en la CCPA.

1.4 "Infracción de datos" significa una violación de la seguridad que conduce a la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación o acceso no autorizado, y todas las demás formas ilegales de procesamiento de los Datos de Eventbrite.

1.5 "Datos de Eventbrite" hace referencia a todos los datos, incluidos Datos personales, que se proporcionan al Proveedor o que el Proveedor ha recopilado o a los que ha accedido en nombre de Eventbrite o sus Afiliados en el transcurso de la prestación de los Servicios en virtud del Acuerdo. Cualquier Dato de Eventbrite que constituya Datos personales se denomina "Datos personales de Eventbrite".

1.6 “Nuevas CCT de la UE” significa las Cláusulas Contractuales Tipo publicadas en virtud de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

1.7 “Antiguas CCT de la UE” significa las Cláusulas Contractuales Tipo publicadas en virtud de la Decisión de la Comisión de la UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (disponibles desde la Fecha efectiva en http://data.europa.eu/eli/dec/2010/87/2016-12-17).

1.8 "Datos personales" significa cualquier información relacionada con una persona física identificada o identificable; una persona identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social.

1.9 "Principios del Escudo de Privacidad" significa los Principios del Marco del Escudo de Privacidad (complementados por los Principios Suplementarios) contenidos en el Anexo II de la Decisión de la Comisión Europea de 12 de julio de 2016 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección proporcionada por el Escudo de Privacidad (según se pueda enmendar, reemplazar o sustituir), cuyos detalles se pueden encontrar en www.privacyshield.gov/eu-us-framework.

1.10 "Procesador" significa una entidad que procesa Datos personales en nombre y de acuerdo con las instrucciones de un Controlador.

1.11 "Subprocesador" significa una entidad contratada por un Procesador que acepta recibir Datos personales del Procesador exclusivamente destinados a las actividades de procesamiento que se llevarán a cabo como parte de los Servicios.

1.12 "Proveedor" significa la persona o entidad que ha celebrado el Acuerdo con Eventbrite.

2. Rol de las partes y naturaleza de los Datos personales.

2.1 Para los propósitos de este DPA, Eventbrite puede actuar como Controlador o puede actuar como Procesador de uno de sus clientes. Por lo tanto, el Proveedor reconoce que puede actuar como un Procesador de Eventbrite o un Subprocesador de Eventbrite. Cuando Eventbrite actúa como Procesador, Eventbrite está obligado contractualmente o en virtud de las Leyes de privacidad aplicables a ceder ciertas obligaciones relacionadas con la protección de datos a sus Subprocesadores designados. Por lo tanto, todas las obligaciones impuestas a los Procesadores en este DPA se aplicarán al Proveedor, independientemente de si el proveedor actúa como Procesador o Subprocesador.

2.2 La naturaleza, el propósito y el tema de las actividades de procesamiento de datos del Proveedor realizadas como parte de los Servicios se establecen en el Acuerdo. Los Datos personales que pueden procesarse pueden estar relacionados con organizadores de eventos, participantes, empleados, contratistas y contactos, y pueden incluir nombre, dirección de correo electrónico, información de facturación y pago, eventos reservados, organizados y a los que se ha asistido, y cualquier otro Dato personal que pueda procesarse de conformidad con el Acuerdo.

3. Cumplimiento del Proveedor.

3.1 El Proveedor garantiza y se compromete a procesar los Datos personales de Eventbrite solo para los fines limitados y específicos establecidos en el Acuerdo o según las instrucciones legales de Eventbrite por escrito (correo electrónico o de otro modo), salvo que la ley aplicable exija lo contrario. El Proveedor informará inmediatamente a Eventbrite si, en su opinión, una instrucción infringe las Leyes de privacidad aplicables.

3.2 El Proveedor no venderá los Datos personales de Eventbrite ni procesará de otro modo los Datos personales de Eventbrite para ningún otro fin que no sean los fines específicos establecidos en el presente documento y de conformidad con las Leyes de privacidad aplicables. Para evitar dudas, el Proveedor no procesará los Datos personales de Eventbrite fuera de la relación comercial directa entre Eventbrite y el Proveedor. A efectos de este párrafo, “vender” tendrá el significado establecido en las Leyes de privacidad aplicables.

3.3 El Proveedor certifica que comprende y cumplirá las restricciones y obligaciones que le corresponden establecidas en el presente DPA.

4. Transferencias internacionales de datos

4.1 Eventbrite autoriza al Proveedor y a sus Subprocesadores a realizar transferencias internacionales de Datos personales de Eventbrite de conformidad con este DPA, siempre y cuando se respeten las Leyes de privacidad aplicables a dichas transferencias. Al aceptar el DPA, el Proveedor también acepta las Nuevas CCT de la UE, que ya han sido firmadas previamente por Eventbrite.

4.2 Con respecto a los Datos personales de Eventbrite transferidos desde el Reino Unido para los que las leyes del Reino Unido (y no las leyes de ninguna jurisdicción del Espacio Económico Europeo) rigen la naturaleza internacional de la transferencia, y para los que dichas leyes permiten el uso de las Antiguas CCT de la UE, pero no el uso de las Nuevas CCT de la UE, las Antiguas CCT de la UE formarán parte del presente DPA y prevalecerán sobre el resto de este DPA según lo establecido en las Antiguas CCT de la UE, hasta el momento en que el Reino Unido adopte nuevas Cláusulas Contractuales Tipo, en cuyo caso prevalecerán dichas nuevas cláusulas.  A efectos de las Antiguas CCT de la UE, estas se darán por completadas cuando se cumpla lo siguiente:

  1. Los “exportadores” e “importadores” son las Partes y sus Afiliados en la medida en que cualquiera de ellos esté involucrado en dicha transferencia, incluidos los establecidos en el Anexo I.A de las Nuevas CCT de la UE.  

  2. La Cláusula 9 de las Antiguas CCT de la UE especifica que las leyes del Reino Unido regirán las Antiguas CCT de la UE.

  3. El contenido del Apéndice 1 de las Antiguas CCT de la UE se establece en el Anexo I.B de las Nuevas CCT de la UE en el presente documento.

  4. El contenido del Apéndice 2 de las Antiguas CCT de la UE se establece en el Anexo II de las Nuevas CCT de la UE en el presente documento.

4.3 Con respecto a los Datos personales de Eventbrite transferidos desde Suiza para los que las leyes de Suiza (y no las leyes de ninguna jurisdicción del Espacio Económico Europeo) rigen la naturaleza internacional de la transferencia, las referencias al RGPD en la Cláusula 4 de las Nuevas CCT de la UE se modificarán, en la medida en que sea legalmente necesario, para referirse en su lugar a la Ley Federal de Protección de Datos de Suiza o la que la sustituya, y el concepto de autoridad supervisora incluirá al Comisionado Federal para la Protección de Datos y la Información de Suiza.

4.4 Con respecto a los Datos personales transferidos desde el Espacio Económico Europeo, se aplicarán las Nuevas CCT de la UE incorporadas en el presente documento, que formarán parte de este DPA y prevalecerán sobre el resto del presente DPA según lo establecido en las Nuevas CCT de la UE.  

  1. Cuando el Proveedor actúe como Procesador de Eventbrite, se aplicará el Módulo dos de las Nuevas CCT de la UE.  

  2. Cuando el Proveedor actúe como Subprocesador de Eventbrite, se aplicará el Módulo tres de las Nuevas CCT de la UE.

5. Salvaguardias adicionales para la transferencia y el procesamiento de Datos personales que provienen del EEE, Suiza y el Reino Unido.  

En la medida en que el Proveedor procese Datos personales de Eventbrite pertenecientes a sujetos de los datos ubicados en el Espacio Económico Europeo, Suiza o el Reino Unido o sujetos a las Leyes de privacidad aplicables de dichos territorios, el Proveedor acepta las siguientes salvaguardias para proteger dichos datos a un nivel equivalente al de las Leyes de privacidad aplicables:

5.1 El Proveedor y Eventbrite cifrarán todas las transferencias de Datos personales que realicen entre ellos, y el Proveedor cifrará cualquier transferencia de dichos datos personales que realice posteriormente, con el fin de evitar la adquisición de dichos datos por parte de terceros, como autoridades gubernamentales que puedan acceder de manera física a los mecanismos de transmisión (p. ej., conductores y cables) mientras los datos se transmiten.

5.2 El Proveedor declara y garantiza que:

  1. A la fecha de este contrato, no ha recibido ninguna directiva en virtud de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera de los Estados Unidos (FISA, Foreign Intelligence Surveillance Act), codificada en la sección 1881a del título 50 del Código de los EE. UU. (“Sección 702 de la FISA”).

  2. No es elegible para que se le exija proporcionar información, facilidades o asistencia en virtud de la Sección 702 de la FISA; o que ningún tribunal ha determinado que el Proveedor es el tipo de entidad elegible para recibir una notificación judicial emitida en virtud de la Sección 702 de la FISA: (i) un “proveedor de servicios de comunicaciones electrónicas” en el sentido de la sección 1881(b)(4) del título 50 del Código de los EE. UU. o (ii) un miembro de cualquiera de las categorías de entidades descritas en esa definición.

  3. No es el tipo de proveedor que puede ser objeto de una recopilación ascendente (recopilación “masiva”) de conformidad con la Sección 702 de la FISA, tal como se describe en los apartados 62 y 179 de la sentencia del Tribunal de Justicia de la UE en el caso C-311/18, Data Protection Commissioner contra Facebook Ireland Limited y Maximillian Schrems ("Schrems II"), y que, por lo tanto, el único proceso en virtud de la Sección 702 de la FISA que podría recibir, si es un “proveedor de servicios de comunicaciones electrónicas” en el sentido de la sección 1881(b)(4) del título 50 del Código de los EE. UU., se basaría en un “selector específico” concreto, es decir un identificador que es exclusivo del punto final específico de las comunicaciones sujetas a vigilancia.

  4. El Proveedor nunca accederá a ninguna solicitud de vigilancia masiva en virtud de la Sección 702 de la FISA, es decir, una solicitud de vigilancia en la que no se identifique un identificador de cuenta específico mediante un “selector específico” (un identificador que es exclusivo del punto final específico de las comunicaciones sujetas a vigilancia).

  5. El Proveedor utilizará todos los mecanismos legales razonablemente disponibles para impugnar cualquier solicitud que reciba para acceder a los datos a través del proceso de seguridad nacional, así como cualquier disposición de no divulgación adjunta correspondiente. 

  6. El Proveedor no tomará ninguna medida en virtud de la Orden Ejecutiva 12333 de los EE. UU.

  7. A intervalos de 6 meses o con mayor frecuencia si lo permite la ley, el Proveedor creará un informe de transparencia que pondrá a disposición de Eventbrite, donde indicará los tipos de demandas legales vinculantes que ha recibido respecto a los datos personales, incluidas las órdenes y directivas de seguridad nacional, que abarcarán cualquier proceso iniciado en virtud de la Sección 702 de la FISA. 

  8. El Proveedor notificará inmediatamente a Eventbrite si no puede seguir cumpliendo las Cláusulas Contractuales Tipo aplicables o las cláusulas de esta Sección.  No se exigirá que el Proveedor proporcione a Eventbrite información específica sobre los motivos por los que no puede seguir cumpliendo las cláusulas, si la ley aplicable prohíbe proporcionar dicha información.  Dicha notificación dará derecho a Eventbrite a rescindir el Acuerdo (o, a elección de Eventbrite, las declaraciones de trabajo, los formularios de pedido y los documentos similares afectados) y a recibir un reembolso prorrateado inmediato de cualquier importe pagado por adelantado en virtud de este.  Esto se entenderá sin perjuicio de los demás derechos y recursos de Eventbrite con respecto al incumplimiento del Acuerdo.

6. Confidencialidad y seguridad.

6.1 El Proveedor se asegurará de que cualquier persona a la que autorice para procesar los Datos de Eventbrite (incluido el personal, los agentes y los subcontratistas del Proveedor) estará sujeta a un deber de confidencialidad.

6.2 El Proveedor se asegurará de que implementa y mantiene durante todo el período del Acuerdo, o la duración de sus servicios a Eventbrite como Procesador o Subprocesador, las medidas técnicas y organizativas apropiadas para proteger los Datos de Eventbrite, incluida la protección contra Infracciones de datos. Dichas medidas deberán incluir, como mínimo, las medidas especificadas en el Anexo II de las Nuevas CCT de la UE.

7. Subproceso.

El Proveedor notificará a Eventbrite de cualquier Subprocesador que utilice con respecto a Datos personales de Eventbrite, y el Proveedor deberá:

  1. asegurarse de que cualquier Subprocesador esté obligado contractualmente por escrito a proporcionar al menos el mismo nivel de protección que el requerido por este DPA y que cumpla las Leyes de privacidad aplicables;

  2. que sea totalmente responsable de Eventbrite y ante él de los actos u omisiones de cualquier Subprocesador como si fueran acciones u omisiones del propio Proveedor; y

  3. que proporcione a Eventbrite los detalles de los Subprocesadores designados, previa solicitud.

8. Cooperación y derechos de los sujetos de los datos.

El Proveedor proporcionará toda la asistencia razonablemente requerida por Eventbrite para permitir que Eventbrite:

  1. responda, cumpla o resuelva cualquier solicitud de derechos, pregunta o queja recibida por Eventbrite (o un cliente de Eventbrite) de:

    1. cualquier persona viva cuyos Datos personales procese el Proveedor en nombre de Eventbrite; o

    2. cualquier autoridad de protección de datos designada formalmente aplicable; y

  2. que cumpla sus obligaciones (y demuestre el cumplimiento de estas) bajo las Leyes de privacidad aplicables. En el caso de que dicha solicitud, pregunta o queja en virtud de esta Sección 5 se haga directamente al Proveedor, el Proveedor deberá informar a Eventbrite y proporcionar todos los detalles al respecto.

9. Auditoría.

Con una notificación por escrito con la antelación razonable, el Proveedor acuerda proporcionar a Eventbrite (o sus auditores designados) toda la información que Eventbrite considere razonablemente necesaria para que Eventbrite audite el cumplimiento por parte del Proveedor de los requisitos de este DPA, incluida la finalización de cuestionarios de auditoría, disposición de políticas de seguridad y resúmenes de evaluaciones de cumplimiento de cualquier estándar de la industria (como ISO 27001, SSAE 16 SOC II), pruebas de penetración y exploraciones de vulnerabilidad.

10. Infracción de datos.

En caso de una Infracción de datos, el Proveedor solo realizará las siguientes acciones (a menos que lo autorice Eventbrite):

10.1 notificar prontamente a Eventbrite sin demoras indebidas (y a más tardar dentro de las 48 horas de conocer la Infracción de datos) y proporcionar a Eventbrite una descripción razonablemente detallada de la Infracción de datos, el tipo de datos objeto de la Infracción de datos y la identidad de cada persona afectada tan pronto como dicha información se pueda recopilar o esté disponible de otro modo, así como cualquier otra información que Eventbrite razonablemente pueda solicitar en relación con la Infracción de datos; e

10.2 investigar prontamente (y a más tardar al inicio de las 48 horas de conocer la Infracción de datos) la Infracción de datos, hacer los esfuerzos razonables para mitigar los efectos y daños de la Infracción de datos de acuerdo con sus obligaciones bajo la Sección 3 (Confidencialidad y seguridad) anterior, y proporcionar cualquier otra asistencia que Eventbrite razonablemente pueda solicitar en relación con la Infracción de datos.

11. Eliminación o devolución de datos.

Al finalizar o expirar este DPA, el Proveedor deberá (a elección de Eventbrite) destruir o devolver a Eventbrite todos los Datos de Eventbrite (incluidas todas las copias de los Datos de Eventbrite) en su posesión o control (incluidos los Datos de Eventbrite subcontratados a un tercero para su procesamiento), a menos que alguna ley aplicable requiera que el Proveedor retenga los Datos de Eventbrite.

12. Indemnidad

El Proveedor indemnizará, mantendrá indemnizado y eximirá de responsabilidad a Eventbrite, sus clientes, funcionarios, directores, empleados, agentes, representantes y Afiliados (cada uno una "Parte indemnizada") frente a cualquier pérdida, daño, costo (incluidos los honorarios legales razonables y gastos), gasto y responsabilidad de terceros que una Parte indemnizada pueda sufrir o en los que pueda incurrir como resultado del incumplimiento por parte del Proveedor de los requisitos de este DPA.

13. Varios

Excepto por los cambios realizados por este DPA, el Acuerdo o cualquier otro acuerdo relacionado con los Servicios se mantienen sin cambios y en pleno vigor y efecto.

Con respecto a las disposiciones relativas al procesamiento de Datos personales, en caso de conflicto entre el Acuerdo y este DPA, prevalecerán las disposiciones de este DPA. En caso de conflicto entre este DPA y cualquier otra disposición del Acuerdo entre usted y nosotros, prevalecerá este DPA; excepto cuando usted y Eventbrite hayan negociado individualmente términos de procesamiento de datos diferentes de este DPA y que cumplan los requisitos de la Ley de protección de datos aplicables en su totalidad, en cuyo caso prevalecerán esos términos negociados.

¿Aún tienes dudas?