Anexo de Procesamiento de Datos (DPA) para Organizadores

• Información general y definiciones.
• 1. Aplicabilidad del DPA y alcance de las actividades de procesamiento de datos.
• 2. Cláusulas de procesamiento de datos.
• 3. Transferencias internacionales de datos.

Información general y definiciones.

Los términos de este DPA se incorporan por este medio a los Términos de servicio de Eventbrite, la Política de privacidad o cualquier otro acuerdo de servicios aplicable entre usted y Eventbrite (el "Acuerdo").

Si hubiera un conflicto entre el Acuerdo y este DPA con respecto a las disposiciones relativas al procesamiento de Datos Personales, prevalecerán las disposiciones de este DPA. En caso de conflicto entre este DPA y cualquier otra disposición del Acuerdo entre usted y nosotros, prevalecerá este DPA; excepto cuando el Organizador y Eventbrite hayan negociado individualmente términos de procesamiento de datos diferentes a los de este DPA y que cumplan con los requisitos de las Leyes de Protección de Datos aplicables en su totalidad, en cuyo caso prevalecerán los términos negociados.

Ley de Privacidad del Consumidor de California o “CCPA”, por sus siglas en inglés, (según enmendada por la Ley de Derechos de Privacidad de California) y regulaciones conexas.

"Las Leyes de Protección de Datos", en otras palabras, todas las leyes o regulaciones, en vigor, que estén relacionadas con la privacidad, confidencialidad y seguridad de datos personales.

"Empresa", "Controlador de Datos", "Procesador de Datos", "Persona Interesada", "Procesamiento", "Datos Personales" y "Proveedor de Servicios" deberán tener los mismos significados que se les atribuyen en las leyes aplicables de Protección de Datos.

"Violación a la Seguridad de Datos", en otras palabras, una violación a la seguridad, de manera accidental o ilícita, que lleve a la destrucción, pérdida o alteración, así como al acceso y divulgación no autorizados de datos personales que Eventbrite procesa a nombre del Organizador, como parte del uso de Servicios del mismo.

“Las nuevas CCT de la UE”, en otras palabras, el conjunto de Cláusulas Contractuales Estándar tipo expedidas al amparo de la Desición de Implementación de la Comisión Europea (UE) 2021/914, con fecha del 4 de junio de 2021, sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países al amparo de la Regulación (UE) 2016/679 del Parlmento Europeo y del Consejo.

"Servicios", en otras palabras, cualquier servicio que Eventbrite le provea al organizador como se define en los términos de servicio de cualquier otro acuerdo de servicios aplicable entre el Organizador y Eventbrite.

"Medidas de Seguridad Técnica y Organizacional", en otras palabras, medidas de seguridad razonables que Eventbrite implemente y que sean apropiadas para el tipo de Datos Personales que sean procesados a nombre del Organizador y de los servicios que Eventbrite designe para proteger los Datos Personales contra procesamiento no autorizado o ilícito y contra pérdida, destrucción, daño, alteración o divulgación.

"La Adenda SCC del Reino Unido", en otras palabras, la Adenda de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar Tipo de la Comisión Europea para las transferencias internacionales de datos, en su versión B1.0, emitida por el Comisionado de Información del Reino Unido en virtud de la Sección 119A de la ley de protección de datos del Reino Unido del 2018 que entró en vigor el 21 de marzo del 2022 y que fue actualizada, amendada o reemplazada en distintas ocasiones.

1. Aplicabilidad del DPA y alcance de las actividades de procesamiento de datos.

1.1 Al utilizar los Servicios de Eventbrite, el Organizador actúa como Empresa y es un Controlador de Datos de los Datos Personales asociados con una persona que utiliza los Servicios de Eventbrite, o en cuyo nombre se utilizan los Servicios de Eventbrite, para registrarse o comprar un boleto para asistir al evento de ese Organizador ("Consumidor"). El Organizador declara y garantiza que ha proporcionado los avisos pertinentes y, de ser necesario, ha obtenido los consentimientos requeridos relacionados con la recopilación de esos Datos Personales del Consumidor, y el Organizador tiene derecho a compartir esos Datos Personales con Eventbrite.

1.2 Cuando Eventbrite procesa los Datos Personales de los Consumidores en nombre del Organizador como parte de los Servicios, Eventbrite es un procesador de Datos o Proveedor de Servicios, ya que realiza tal procesamiento, y el Organizador es el Controlador de Datos o Empresa. Esto incluye circunstancias en las que Eventbrite obtiene Datos Personales como resultado de la prestación de sus servicios básicos de venta de boletos (por ejemplo, cuando Eventbrite facilita la transmisión de correos electrónicos a Consumidores a petición de los Organizadores, procesa pagos o proporciona informes y herramientas de eventos que aportan a los Organizadores una mejor visión de la efectividad de los distintos canales de ventas).

Con respecto a ciertos procesamientos de Datos Personales de Consumidores, Eventbrite puede actuar como Controlador de Datos o Empresa, por ejemplo, cuando los Consumidores se hayan involucrado en aspectos de las Aplicaciones de Eventbrite más allá de aquellos relacionados con el evento del Organizador o cuando Eventbrite procese los Datos Personales de los Consumidores para realizar investigaciones y análisis que le permitan a Eventbrite mejorar sus productos y funciones, así como proporcionar recomendaciones específicas. En lo relativo a ese procesamiento, Eventbrite es un Controlador de Datos independiente y no un Controlador de Datos en labor conjunta con un Organizador.

En la medida en la que Eventbrite procesa Datos Personales como procesador de Datos o Proveedor de Servicios en nombre del Organizador, se aplicará la Sección 2 de este DPA; sin embargo, cuando Eventbrite actúe como Empresa o Controlador de Datos de los Datos Personales de los Consumidores, el procesamiento de Eventbrite no quedará sujeto a este DPA.

1.3 Los detalles sobre los Datos Personales que procesará Eventbrite y las actividades de procesamiento que se realizarán en virtud del Acuerdo son los siguientes: (i) duración: según lo establecido en el Acuerdo; (ii) naturaleza, propósito y tema: para permitir que el Organizador organice y promocione eventos y gestione la venta de boletos mediante los Servicios de Eventbrite; (iii) categorías de datos: nombre, dirección de correo electrónico, información de facturación y pago, información relacionada con eventos reservados y asistidos, relación con el Organizador y cualquier otro Dato Personal que el Organizador solicite a sus Consumidores; (iv) titulares de los datos: Consumidores.

2. Cláusulas de procesamiento de datos.

2.1 Siempre que Eventbrite procese Datos Personales en nombre del Organizador, Eventbrite deberá:

2.1.1 Procesar Datos Personales solo según las instrucciones documentadas del Organizador, a menos que la ley aplicable exija lo contrario. Eventbrite informará al Organizador de los requisitos legales antes de procesar Datos Personales de manera que no sea conforme a las instrucciones del Organizador, a menos que esa misma ley prohíba a Eventbrite hacerlo por motivos importantes de interés público. El Organizador se asegurará de que sus instrucciones cumplan con todas las leyes, regulaciones y normas aplicables a los Datos Personales, y de que el procesamiento que Eventbrite haga de esos Datos Personales no cause que Eventbrite infrinja ninguna ley, regulación ni norma aplicable, incluidas las Leyes de Protección de Datos. Eventbrite notificará al Organizador si, en su opinión, una instrucción infringe las Leyes de Protección de Datos aplicables. El Organizador encarga a Eventbrite por este medio, y Eventbrite acepta, procesar Datos Personales según sea necesario para llevar a cabo las obligaciones de Eventbrite en virtud del Acuerdo y para ningún otro propósito, a menos que se especifique de otro modo en este DPA o sea necesario para cumplir la ley o cualquier otro precepto gubernamental vinculante. En el caso de que este DPA o cualquier acción que deba tomarse o tenerse en cuenta con relación a este DPA no satisfaga las obligaciones de alguna de las partes en virtud de las Leyes de Protección de Datos aplicables, las partes negociarán de buena fe una enmienda apropiada de este DPA;

2.1.2 Cumplimentar con todas las disposiciones aplicables de las Leyes de Protección de Datos y proveer el mismo nivel de protección a los Datos Personales, como se le requiere al Organizador en virtud de las Leyes de Protección de Datos.  Eventbrite procesará Datos Personales solo cuando sea necesario para llevar a cabo las obligaciones de Eventbrite en virtud del Acuerdo o de algún otro modo conforme a las leyes de Protección de Datos. Sin limitaciones de lo anterior, Eventbrite no va a (i) "vender" o "compartir" los Datos Personales, como dichos términos se definen en CCPA; (ii) Eventbrite no deberá retener, usar o divulgar cualquiera de estos datos fuera de la relación de negocios directa entre el Organizador y Eventbrite, a menos que se permita por las Leyes de Protección de Datos o, (iii) retenga, use o divulgue Datos Personales para ningún otro fin que no sea el de los propósitos comerciales especificados en este DPA o de cualquier otra manera permitida por las Leyes de Protección de Datos.  Eventbrite deberá cumplimentar cualquier restricción aplicable en virtud de las Leyes de Protección de Datos, en conjunto con Datos Personales, con los datos personales que Eventbrite reciba de, o en nombre de otra u otras personas, o que Eventbrite recopile de cualquier interacción entre Eventbrite y cualquier individuo.

2.1.3 Instaurar Medidas de Seguridad Técnica y Organizacional que incluyan, pero no se limiten a las medidas que aquí se describen: https://www.eventbrite.com.mx/security/;

2.1.4 Notificar al Organizador si sucede una Violación a la Seguridad de Datos sin dilación alguna, a menos que, en caso contrario, la ley lo prohíba, o según lo requieran los organismos encargados o la autoridad de protección de datos. En el caso de producirse una Infracción de Seguridad de Datos, Eventbrite, a su entera discreción, podrá notificar la infracción de los datos directamente a los interesados afectados. En caso de que Eventbrite no proporcione dicha notificación, Eventbrite otorgará asistencia razonable cuando así lo requieran las Leyes de Protección de Datos aplicables y a petición del Organizador, para permitirle cumplir con sus obligaciones relacionadas a las violaciones a la seguridad, como Controlador de datos o Empresa;

2.1.5 Asegurarse de que su personal esté sujeto a obligaciones vinculantes de confidencialidad con respecto a los Datos Personales de Consumidores procesados por Eventbrite en nombre del Organizador;

2.1.6 Imponer obligaciones a los subprocesadores que tengan acceso a Datos Personales de Consumidores que Eventbrite procese por sí mismo o en nombre del Organizador, que sean iguales o equivalentes a las establecidas en esta Sección 2 mediante un contrato por escrito, y siga siendo responsable ante el Organizador de cualquier falta por parte de un subprocesador en el cumplimiento de sus obligaciones en relación con esos Datos Personales;

2.1.7 Proporcionar asistencia razonable al Organizador para responder a solicitudes de derechos individuales o a otras comunicaciones recibidas, de conformidad con las Leyes de Protección de Datos aplicables, de cualquier autoridad de protección de datos o Consumidor que sea el sujeto de Datos Personales de cualquier tipo procesados por Eventbrite en nombre del Organizador. En caso de que un Consumidor presente una solicitud de eliminación de Datos Personales ante Eventbrite, el Organizador encarga y autoriza a Eventbrite por este medio a eliminar o anonimizar los Datos Personales del Consumidor en nombre del Organizador.  De presentarse la necesidad, el Organizador deberá informar a Eventbrite de cualquier otra solicitud de derechos individuales que Eventbrite deba satisfacer, así como proporcionar la información necesaria para que Eventbrite satisfaga dicha solicitud.;

2.1.8 Tras la solicitud del Organizador por escrito, poner a disposición del Organizador toda la información razonablemente necesaria para demostrar su cumplimiento con las obligaciones establecidas en esta Sección 2, proporcionar asistencia razonable para evaluaciones de impacto de privacidad y datos, y para consultas relacionadas a las autoridades de protección de datos, y permitir y cooperar con cualquier auditoría. Cualquier auditoría in situ deberá: (i) permitirse solo con previa notificación razonable a Eventbrite; (ii) quedar sujeta a compromisos de confidencialidad apropiados; y (iii) limitarse a una vez cada tres (3) años y solo para evaluar una sospecha de falta específica después de agotar todos los demás medios razonables; y

2.1.9 Excepto para aquellos Datos Personales con respecto a los cuales Eventbrite actúa como Controlador de Datos o Empresa, devolver, eliminar o destruir (a elección del Organizador) los Datos Personales de Consumidores procesados en nombre del Organizador y las copias de estos, a petición del Organizador (a menos que la ley aplicable requiera el almacenamiento de dichos Datos Personales).

2.2 Por este medio, el Organizador da su consentimiento y autoriza a Eventbrite a divulgar o transferir Datos Personales o permitir el acceso a estos a los subprocesadores actuales de Eventbrite (es decir, los citados en el sitio web de Eventbrite en la Fecha de Entrada en Vigor de este DPA o del Acuerdo, la que sea posterior) ("Subprocesadores Actuales") para que procesen Datos Personales en nombre del Organizador.

2.3 Por este medio, el Organizador acepta que Eventbrite designe subprocesadores adicionales y de sustitución ("Subprocesadores de Sustitución") para procesar Datos Personales en su nombre. Eventbrite deberá: dar aviso al Organizador de la identidad de los Subprocesadores de Sustitución planeados (a) a través del correo electrónico cuando el Organizador haya aceptado recibir tales notificaciones por correo electrónico, y (ii) actualizando el sitio web de Eventbrite (el Organizador es responsable de consultar y verificar periódicamente el sitio web de Eventbrite para conocer tales cambios). Los Organizadores que deseen recibir un aviso por correo electrónico sobre los Subprocesadores de Sustitución deben aceptar y suscribirse mediante este formulario (el Organizador es el único responsable de garantizar que su información de contacto sea correcta). Además, Eventbrite ofrecerá al Organizador la oportunidad de oponerse a los cambios que se produzcan después de la Fecha de entrada en vigor del Acuerdo, de conformidad con los términos que se detallan en la Sección 2.4 de este DPA.

Para evitar dudas, cualquier derecho de rescisión disponible en este documento solo se aplicará en el caso de objeciones a Subprocesadores de Sustitución designados después de la Fecha de entrada en vigor de este DPA que no se subsanen de acuerdo con los términos del presente documento, y no se aplicarán en relación con Subprocesadores actuales.

2.4 El Organizador presentará cualquier objeción al nombramiento de Subprocesadores de sustitución dentro de los diez (10) días posteriores a la publicación por parte de Eventbrite de los cambios en su sitio web. El organizador deberá enviar su objeción a privacy@eventbrite.com con la línea de asunto 'Objection to Replacement Sub-Processor'.

Siempre y cuando la objeción del Organizador: (i) se refiera a la capacidad del Subprocesador de Sustitución para permitir que Eventbrite cumpla materialmente con sus obligaciones de protección de datos conforme a este DPA; e (ii) incluya suficientes detalles para respaldar su objeción y proporcione ejemplos específicos, Eventbrite hará los esfuerzos comercialmente razonables para revisar y responder a la objeción del Organizador dentro de los treinta (30) días posteriores a la recepción de la objeción del Organizador con el método de reconciliación determinado por Eventbrite.

Si Eventbrite determina a su exclusivo criterio que no puede aceptar razonablemente la objeción del Organizador, al momento de la notificación de Eventbrite, el Organizador puede optar por rescindir el Acuerdo mediante notificación por escrito a Eventbrite y cumpliendo con los términos del presente documento, lo que será el único y exclusivo recurso del Organizador. Sin limitar la generalidad de lo anterior, el derecho de rescisión del Organizador de conformidad con esta Sección 2.4 se considerará un derecho de rescisión adicional del Organizador en virtud de la Sección "Plazo y Terminación" del Acuerdo (si corresponde) y si se ejerce se considerará una rescisión de conformidad con tal Sección. Dicha notificación por escrito debe enviarse a legal@eventbrite.com y debe referirse específicamente a esta Sección 2.4 del DPA. El día en que Eventbrite reciba una notificación de rescisión por escrito del Organizador en virtud de esta Sección 2.4 se denominará "Fecha de Objeción" en este DPA. En caso de que el Organizador decida rescindir el Acuerdo como resultado de un Subprocesador de Sustitución, nada en esta Sección 2 eximirá al Organizador de ninguna de sus obligaciones de pago y/o reembolso a Eventbrite en virtud del Acuerdo.

Sin limitar los demás derechos y recursos de Eventbrite, si el Organizador rescinde el Acuerdo de conformidad con esta Sección 2.4, el Organizador abonará inmediatamente a Eventbrite (1) todos los importes acumulados y adeudados a Eventbrite, incluidas, entre otras, las obligaciones de pagar y/o abonar a Eventbrite tarifas, pagos de patrocinio, anticipos y/o pagos anticipados de Tarifas de Registro de Eventos, ya que dichos términos se definen en el Acuerdo y solo en la medida aplicable al Organizador, (2) si el Acuerdo incluye un número mínimo de boletos que el Organizador deba vender, una cantidad mínima de Tarifas de Registro de Eventos o Tarifas de Servicio de Eventbrite que deban procesarse (cada umbral de ventas o procesamiento, un "Umbral Mínimo") y/o el requerimiento de pagar a Eventbrite la porción de Tarifas de Servicio que Eventbrite hubiera recibido en caso de haberse alcanzado un Umbral Mínimo, por lo que el Organizador acepta pagar a Eventbrite una cantidad igual a (x) la cantidad que Eventbrite hubiera recibido en Tarifas de Servicio en caso de que se hubiera alcanzado el Umbral Mínimo en cada año del plazo hasta la fecha de dicha rescisión (con dicho Umbral Mínimo prorrateado en cualquier año parcial del Plazo), menos (y) la cantidad que Eventbrite realmente recibió en Tarifas de Servicio atribuible a las ventas del Organizador durante el Plazo hasta la fecha de dicha rescisión; y (3) el 80% de las Tarifas previstas que Eventbrite hubiera ganado durante el resto del Plazo si el Acuerdo no se hubiera rescindido con respecto a (x) eventos a la venta en el Sitio en la Fecha de Objeción, y (y) cualquier evento futuro contemplado en el Acuerdo previsto para salir a la venta dentro de los noventa (90) días posteriores a la Fecha de Objeción.

2.5 Por la presente, Eventbrite certifica que entiende las restricciones y obligaciones establecidas en este DPA y que las hará cumplir. Eventbrite notificará a Organizador si Eventbrite toma la determinación de que ya no podrá cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos.

2.6 El Organizador deberá tener derecho, luego de (14) días hábiles del aviso, a adoptar medidas razonables y apropiadas para detener y remediar cualquier uso no autorizado que Eventbrite haga de Datos Personales.

3. Transferencias internacionales de datos.

3.1 El Organizador acepta que Eventbrite pueda transferir Datos Personales de los Consumidores a varias ubicaciones en relación con la prestación de los Servicios. Las transferencias se realizarán conforme a los mecanismos de transferencia legalmente en vigor, según lo requerido por las Leyes de Protección de Datos aplicables. El mecanismo de transferencia exclusivo de Eventbrite para los datos exportados desde el Espacio Económico Europeo, el Reino Unido y Suiza es el uso de las Cláusulas Contractuales Estándar, que han sido previamente firmadas por Eventbrite para los registros de cumplimiento del Organizador. Para realizar transferencias desde el Reino Unido, Eventbrite también ha incorporado el Anexo de las CCT del Reino Unido en la sección 3.2 de este DPA.

3.2 Transferencias del Reino Unido. Con respecto a los Datos Personales de Eventbrite transferidos desde el Reino Unido para los que las leyes del Reino Unido (y no las leyes de ninguna jurisdicción del Espacio Económico Europeo) rigen la naturaleza internacional de la transferencia, el Anexo de las CCT del Reino Unido forma parte de este DPA y prevalece sobre el resto de este DPA como se establece en el Anexo de las CCT del Reino Unido, a menos que el Reino Unido publique actualizaciones del Anexo de las CCT del Reino Unido, en cuyo caso prevalecerá dicho Anexo actualizado del Reino Unido. Los términos en mayúsculas no definidos utilizados en esta disposición hacen referencia a las definiciones en el Anexo de las CCT del Reino Unido. Por la presente, el organizador acuerda suscribir el Anexo de las CCT del Reino Unido, que se incorpora a este DPA mediante esta referencia y se completa de la siguiente manera:

1. En la Tabla 1, los datos de las Partes serán las Partes tal como se establece en el Anexo I de las Nuevas CCT de la UE, tal y como las Partes lo han celebrado en virtud del presente DPA.

2. En la Tabla 2, las CCT de la UE aprobadas serán las Nuevas CCT de la UE , tal y como las Partes lo han celebrado en virtud del presente DPA.

3. En la Tabla 3, el Anexo 1A y el Anexo 1B serán como se establece en el Anexo I de las  Nuevas CCT de la UE , tal y como las Partes lo han celebrado en virtud del presente DPA.

4. Tabla 3, el Anexo ll deberá ser como se establece en el Anexo Il de las  Nuevas CCT de la UE , tal y como las Partes lo han celebrado en virtud del presente DPA.

5. En la Tabla 4, cualquiera de las Partes puede poner fin a este APD según lo establecido en la Sección 19 del Anexo de las CCT del Reino Unido.

3.3. Transferencias de Suiza. Con respecto a los Datos personales transferidos desde Suiza para los que las leyes de Suiza (y no las leyes de ninguna jurisdicción del Espacio Económico Europeo) rigen la naturaleza internacional de la transferencia, (i) las referencias al RGPD en la Cláusula 4 de las Nuevas CCT de la UE se modificarán, en la medida en que sea legalmente necesario, para referirse en su lugar a la Ley Federal de Protección de Datos de Suiza o la que la sustituya, y el concepto de autoridad supervisora incluirá al Comisionado Federal para la Protección de Datos y la Información de Suiza; y (ii) con sus modificaciones, las Nuevas CCT de la UE se incorporan aquí por referencia y se aplicarán, formarán parte de este DPA y prevalecerán sobre el resto de este DPA en caso de conflicto.

3.4. Trasferencias del Espacio Económico Europeo. Con respecto a los Datos Personales transferidos desde el Espacio Económico Europeo, se aplicarán las Nuevas CCT de la UE incorporadas en este documento y formarán parte de este DPA. En caso de conflicto entre cualquier disposición de las nuevas CCT de la UE y cualquier disposición de este DPA, las nuevas CCT de la UE prevalecerán en la medida de los conflictos.