Eventbrite

Centro de Ajuda

Adendo de Processamento de Dados para Processadores e Subprocessadores

Última atualização: 25 de agosto de 2021. Para saber mais sobre as Políticas jurídicas da Eventbrite, consulte aqui.

Neste artigo

  • Visão global
  • 1. Definições.
  • 2. Função das Partes e natureza dos Dados pessoais.
  • 3. Conformidade do Fornecedor.
  • 4. Confidencialidade e segurança.
  • 5. Subprocessamento.
  • 6. Cooperação e direitos dos Sujeitos de dados.
  • 7. Auditoria.
  • 8. Direitos de Cooperação e Titulares de Dados.
  • 9. Auditoria.
  • 10. Violação de Dados.
  • 11. Exclusão ou Devolução de Dados.
  • 12. Indemnização
  • 13. Diversos

Visão global

Esta Adenda de Tratamento de Dados (Data Processing Addendum, “DPA”) regerá quaisquer serviços prestados à Eventbrite, Inc. e suas Afiliadas (“Eventbrite”) pelo utilizador (“o utilizador”, “seu” ou “Fornecedor”) na qualidade de Responsável pelo Tratamento dos Dados ou Subcontratante (conforme definido abaixo) (os “Serviços”). O utilizador e a Eventbrite serão referidos aqui individualmente como uma “Parte” e juntos como “Partes”. Este DPA complementa, é incorporado e permanecerá em vigor durante a vigência de qualquer contrato entre as Partes, incluindo, entre outros, qualquer contrato executado ou contrato eletrónico ou, se aplicável, os Termos de Uso da API da Eventbrite (o “Contrato”), a duração dos Serviços ou o tratamento de Dados da Eventbrite, o que for posterior (o “Prazo”). Sem limitar a generalidade do acima exposto, o assunto, a natureza e a finalidade do tratamento de dados no âmbito deste DPA é a prestação dos Serviços ao abrigo do Contrato, e as categorias de dados pessoais e categorias de titulares dos dados são aquelas necessárias para fornecer os Serviços sob o Contrato, como descrito de forma mais completa no Contrato.

1. Definições.

Os termos em maiúsculas utilizados, mas não definidos neste DPA, têm os mesmos significados estabelecidos no Contrato, se aplicável. Para os fins deste DPA:

1.1 “Afiliada(s)” significa qualquer pessoa ou entidade que controla, seja controlada ou esteja sob controlo comum com tal entidade, seja a partir da data do Contrato ou posteriormente. Para fins deste DPA, “controlo” significa propriedade ou controlo, direta ou indiretamente, de mais de 20% das ações em circulação com poder de voto de uma entidade ou de outra forma possuir o poder de direcionar a gestão e as políticas.

1.2 “Leis de Privacidade Aplicáveis” significa todas as leis e regulamentos aplicáveis de privacidade e proteção de dados em qualquer lugar do mundo, incluindo, quando aplicável, o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas singulares no que diz respeito ao tratamento de Dados Pessoais e sobre a livre circulação desses dados (Regulamento Geral de Proteção de Dados) (“RGPD”), a Diretiva da UE 2002/58/CE sobre privacidade e comunicações eletrónicas (em todos os casos, conforme alterado, suplantado ou substituído) e a Lei de Privacidade do Consumidor da Califórnia, Código Civil da Califórnia § 1798.100 et seq. e seus regulamentos de implementação (“CCPA”).

1.3 “Encarregado de Proteção de Dados” significa que a pessoa física ou coletiva ou entidade que determina as finalidades e os meios do tratamento do Encarregado de Proteção de Dados Pessoais também é uma “empresa”, como esse termo é definido na CCPA.

1.4 “Violação de Dados” significa uma violação de segurança que dá origem à destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados e todas as outras formas ilegais de tratamento de Dados da Eventbrite.

1.5 “Dados da Eventbrite” significa todos e quaisquer dados, incluindo Dados Pessoais que são fornecidos ao Fornecedor ou de outra forma recolhidos e/ou acedidos pelo Fornecedor em nome da Eventbrite e/ou das suas Afiliadas no decorrer da prestação dos Serviços sob o Contrato. Quaisquer Dados da Eventbrite que sejam Dados Pessoais são referidos como “Dados Pessoais da Eventbrite”.

1.6 “Novas CCP da UE” significa as Cláusulas Contratuais Padrão emitidas nos termos da Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho.

1.7 “Antigas CCP da UE” significa as Cláusulas Contratuais Padrão emitidas nos termos da Decisão da Comissão da UE de 5 de fevereiro de 2010 sobre cláusulas contratuais padrão para a transferência de dados pessoais para Responsáveis pelo Tratamento dos Dados estabelecidos em países terceiros nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (disponível a partir da data de entrada em vigor em http://data.europa.eu/eli/dec/2010/87/2016-12-17).

1.8 “Dados Pessoais” significa qualquer informação relacionada com uma pessoa singular identificada ou identificável; uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um número de identificação ou a um ou mais fatores específicos da sua identidade física, fisiológica, mental, económica, cultural ou social.

1.9 “Princípios do Escudo de Privacidade” significa os Princípios da Estrutura do Escudo de Privacidade (conforme complementados pelos Princípios Suplementares) contidos no Anexo II da Decisão da Comissão Europeia de 12 de julho de 2016 nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho sobre a adequação da proteção fornecida pelo Escudo de Privacidade (conforme pode ser alterado, suplantado ou substituído), cujos detalhes podem ser encontrados em www.privacyshield.gov/eu-us-framework.

1.10 “Responsável pelo Tratamento dos Dados” significa uma entidade que trata Dados Pessoais em nome e de acordo com as instruções de um Responsável pelo Tratamento dos Dados.

1.11 “Subcontratante” significa uma entidade contratada por um Responsável pelo Tratamento dos Dados que concorda em receber Dados Pessoais do Responsável pelo Tratamento dos Dados exclusivamente destinados às atividades de tratamento a serem realizadas como parte dos Serviços.

1.12 “Fornecedor” significa o indivíduo ou entidade que celebrou o Contrato com a Eventbrite.

2. Função das Partes e natureza dos Dados pessoais.

2.1 Para fins deste DPA, a Eventbrite pode atuar como Encarregado de Proteção de Dados, ou pode atuar como um Responsável pelo Tratamento dos Dados de um de seus clientes. Como tal, o Fornecedor reconhece que pode atuar como um Responsável pelo Tratamento dos Dados ou um Subcontratante da Eventbrite. Quando a Eventbrite atua como Responsável pelo Tratamento dos Dados, é obrigada contratualmente e/ou ao abrigo das Leis de Privacidade Aplicáveis a aplicar uma cláusula de responsabilidade solidária perante determinadas obrigações relacionadas com a proteção de dados aos seus Subcontratantes designados. Portanto, todas as obrigações impostas aos Responsáveis pelo Tratamento dos Dados neste DPA serão aplicadas ao Fornecedor, independentemente de o Fornecedor atuar como um Responsável pelo Tratamento dos Dados ou Subcontratante.

2.2 A natureza, a finalidade e o assunto das atividades de tratamento de dados do Fornecedor realizadas como parte dos Serviços estão estabelecidos no Contrato. Os Dados Pessoais que podem ser processados podem estar relacionados com organizadores de eventos, participantes, funcionários, contratados e contactos, podendo incluir nome, endereço de e-mail, informações de pagamento e faturação, eventos agendados, organizados e com participação efetiva, e quaisquer outros Dados Pessoais que possam ser processados em cumprimento do Contrato.

3. Conformidade do Fornecedor.

3.1 O Fornecedor garante e compromete-se a tratar os Dados Pessoais da Eventbrite apenas para os fins limitados e especificados estabelecidos no Contrato e/ou conforme instruído legalmente pela Eventbrite por escrito (e-mail ou de outra forma), exceto quando exigido pela lei aplicável. O Fornecedor informará imediatamente a Eventbrite se, em sua opinião, uma instrução violar as Leis de Privacidade Aplicáveis.

3.2 O Fornecedor não venderá Dados Pessoais da Eventbrite nem tratará os Dados Pessoais da Eventbrite para qualquer finalidade que não seja para os fins específicos aqui estabelecidos e de acordo com as Leis de Privacidade Aplicáveis. Para evitar dúvidas, o Fornecedor não tratará os Dados Pessoais da Eventbrite fora do relacionamento comercial direto entre a Eventbrite e o Fornecedor. Para fins deste parágrafo, “vender” terá o significado estabelecido nas Leis de Privacidade Aplicáveis.

3.3 O Fornecedor certifica que entende as suas restrições e obrigações estabelecidas neste DPA e que as cumprirá.

4. Confidencialidade e segurança.

4.1 A Eventbrite autoriza o Fornecedor e os seus Subcontratantes a fazerem transferências internacionais de dados dos Dados Pessoais da Eventbrite de acordo com este DPA, desde que as Leis de Privacidade Aplicáveis para tais transferências sejam respeitadas. Ao concordar com o DPA, o Fornecedor também concorda com as Novas CCP da UE, que foram pré-assinadas pela Eventbrite.

4.2 Em relação aos Dados Pessoais da Eventbrite transferidos do Reino Unido para os quais a lei do Reino Unido (e não a lei em qualquer jurisdição do Espaço Económico Europeu) rege a natureza internacional da transferência, e tal lei permite o uso das Antigas CCP da UE, mas não o uso das Novas CCP da UE, as Antigas CCP da UE fazem parte deste DPA e têm precedência sobre o resto deste DPA, conforme estabelecido nas Antigas CCP da UE, até ao momento em que o Reino Unido adotar as novas Cláusulas Contratuais Padrão, caso em que as novas Cláusulas Contratuais Padrão prevalecerão. Para os fins das Antigas CCP da UE, elas serão consideradas concluídas da seguinte forma:i.    Os “exportadores” e “importadores” são as Partes e as suas Afiliadas na medida em que qualquer uma delas esteja envolvida em tal transferência, incluindo as estabelecidas no Anexo I.A das Novas CCP da UE.ii.    A cláusula 9 das Antigas CCP da UE especifica que a lei do Reino Unido regerá as Antigas CCP da UE.iii.    O conteúdo do Apêndice 1 das Antigas CCP da UE está estabelecido no Anexo I.B das Novas CCP da UE neste documento.iv.    O conteúdo do Apêndice 2 das Antigas CCP da UE está estabelecido no Anexo II das Novas CCP da UE.

4.3 Em relação aos Dados Pessoais transferidos da Suíça para os quais a lei suíça (e não a lei em qualquer jurisdição do Espaço Económico Europeu) rege a natureza internacional da transferência, as referências ao RGPD na Cláusula 4 das Novas CCP da UE são, na medida legalmente exigida, alteradas para se referirem à Lei Federal de Proteção de Dados da Suíça ou outra lei que lhe suceda, e o conceito de autoridade supervisora incluirá o Comissário Federal Suíço de Proteção de Dados e Informações.

4.4 Em relação aos Dados Pessoais transferidos do Espaço Económico Europeu, as Novas CCP da UE incorporadas neste documento devem aplicar-se, fazer parte deste DPA e prevalecer sobre o resto deste DPA, conforme estabelecido nas Novas CCP da UE.i.    Quando o Fornecedor atuar como Responsável pelo Tratamento dos Dados da Eventbrite, aplicar se á o Módulo Dois das Novas CCP da UE.ii.    Quando o Fornecedor atuar como Subcontratante da Eventbrite, aplicar se á o Módulo Três das Novas CCP da UE.

5. Subprocessamento.

Na medida em que o Fornecedor processar Dados Pessoais da Eventbrite de titulares de dados localizados ou sujeitos às Leis de Privacidade Aplicáveis do Espaço Económico Europeu, Suíça ou Reino Unido, o Fornecedor concorda com as seguintes salvaguardas para proteger esses dados a um nível equivalente às Leis de Privacidade Aplicáveis:

5.1 O Fornecedor e a Eventbrite encriptarão todas as transferências dos Dados Pessoais entre eles, e o Fornecedor encriptará quaisquer transferências subsequentes que fizer de tais dados pessoais, para impedir a aquisição de tais dados por terceiros, como autoridades governamentais que possam obter acesso físico aos mecanismos de transmissão (por exemplo, fios e cabos) enquanto os dados estão em transmissão.

5.2 O Fornecedor representa e garante que:

  1. a partir da data deste contrato, não recebeu nenhuma diretiva nos termos da Seção 702 da Lei de Vigilância de Inteligência Estrangeira dos EUA, codificada em 50 U.S.C. § 1881a (“Seção 702 da FISA”).

  2. não é elegível para fornecer informações, instalações ou assistência de acordo com a Seção 702 da FISA; ou que nenhum tribunal tenha considerado o Fornecedor como o tipo de entidade elegível para receber o processo emitido sob a Seção 702 da FISA: (i) um “prestador de serviços de comunicação eletrónica” na aceção de 50 U.S.C § 1881(b)(4) ou (ii) membro de qualquer uma das categorias de entidades descritas nessa definição.

  3. não é o tipo de prestador elegível para ser sujeito a recolha a montante (“em massa”) nos termos da Secção 702 da FISA, conforme descrito nos números 62 e 179 do acórdão do Tribunal de Justiça da UE, Processo C 311/18, Data Protection Commissioner/Facebook Ireland Limited e Maximillian Schrems (“Schrems II”), e que, portanto, o único processo da Seção 702 da FISA que poderia ser elegível para receber, se for um “prestador de serviços de comunicação eletrónica” na aceção de 50 U.S.C § 1881(b)(4), seria baseado num “seletor direcionado” específico ou seja, um identificador exclusivo do ponto final alvo das comunicações sujeitas à vigilância.

  4. O Fornecedor nunca cumprirá qualquer pedido no âmbito da Seção 702 da FISA para vigilância em massa, ou seja, um pedido de vigilância pela qual um identificador de conta direcionado não é identificado por meio de um “seletor direcionado” específico (um identificador exclusivo para o ponto final alvo de comunicações sujeito à vigilância).

  5. O Fornecedor usará todos os mecanismos legais razoavelmente disponíveis para contestar quaisquer pedidos de acesso a dados por meio do processo de segurança nacional que receber, bem como quaisquer disposições de não divulgação anexadas a ele.

  6. O Fornecedor não tomará nenhuma ação de acordo com a Ordem Executiva dos EUA 12333.

  7. Em intervalos de 6 meses ou mais frequentemente, se permitido por lei, o Fornecedor criará um relatório de transparência que disponibilizará à Eventbrite indicando os tipos de exigências legais vinculativas para os dados pessoais recebidos, incluindo ordens e diretivas de segurança nacional, que abrangerão qualquer processo emitido na Seção 702 da FISA.

  8. O Fornecedor notificará imediatamente a Eventbrite se o Fornecedor já não puder cumprir as Cláusulas Contratuais Padrão aplicáveis ou as cláusulas desta Seção. O Fornecedor não deverá ser obrigado a fornecer à Eventbrite informações específicas sobre o motivo pelo qual já não pode cumprir, se o fornecimento dessas informações for proibido pela lei aplicável. Tal aviso dará o direito à Eventbrite de rescindir o Contrato (ou, por opção da Eventbrite, declarações de trabalho afetadas, formulários de pedidos e documentos semelhantes ao mesmo) e receber um reembolso proporcional imediato de quaisquer valores pré-pagos. Isso não prejudica os outros direitos e recursos da Eventbrite em relação a uma violação do Contrato.

6. Cooperação e direitos dos Sujeitos de dados.

6.1 O Fornecedor garantirá que qualquer pessoa que autorize a processar os Dados da Eventbrite (incluindo os colaboradores, agentes e subcontratados do Fornecedor) estará sujeita a um dever de confidencialidade.

6.2 O Fornecedor deve garantir que implementa e mantém durante todo o prazo do Contrato, ou pela duração dos seus serviços à Eventbrite como Responsável pelo Tratamento dos Dados ou Subcontratante, medidas técnicas e organizacionais apropriadas para proteger os Dados da Eventbrite, incluindo proteção contra violações de dados. Essas medidas devem incluir, no mínimo, as medidas especificadas no anexo II das novas CCP da UE.

7. Auditoria.

O Fornecedor notificará a Eventbrite de quaisquer Subcontratantes que utilizar em relação aos Dados Pessoais da Eventbrite, e o Fornecedor deverá:

  1. garantir que qualquer Subcontratante esteja contratualmente vinculado por escrito a fornecer pelo menos o mesmo nível de proteção exigido por este DPA e está em conformidade com as Leis de Privacidade Aplicáveis;

  2. ser totalmente responsável e responsabilizado perante a Eventbrite por atos e omissões de qualquer Subcontratante como se fossem atos ou omissão do próprio Fornecedor; e

  3. fornecer à Eventbrite detalhes de quaisquer subcontratantes nomeados, mediante solicitação.

8. Direitos de Cooperação e Titulares de Dados.

O Fornecedor fornecerá toda a assistência razoavelmente exigida pela Eventbrite para permitir que a Eventbrite possa:

  1. responder, cumprir ou resolver qualquer pedido de direitos, pergunta ou reclamação recebida pela Eventbrite (ou um cliente da Eventbrite) de:

    1. qualquer indivíduo vivo, cujos Dados Pessoais sejam tratados pelo Fornecedor em nome da Eventbrite; ou

    2. qualquer autoridade de proteção de dados formalmente designada aplicável; e

  2. cumprir (e demonstrar conformidade com) as suas obrigações sob as Leis de Privacidade Aplicáveis. Na eventualidade de tal pedido, pergunta ou reclamação nos termos desta Secção 5 ser dirigido diretamente ao Fornecedor, o mesmo deve informar a Eventbrite fornecendo detalhes completos do caso.

9. Auditoria.

Mediante aviso prévio razoável por escrito, o Fornecedor concorda em fornecer à Eventbrite (ou aos seus auditores designados) todas as informações que a Eventbrite considere razoavelmente necessárias para auditar a conformidade do Fornecedor com os requisitos deste DPA, incluindo a realização de questionários de auditoria, a provisão de políticas de segurança e resumos das avaliações de conformidade com quaisquer normas do setor (por exemplo, ISO 27001, SSAE 16 SOC II), testes de penetração e análises de vulnerabilidade.

10. Violação de Dados.

Em caso de Violação de Dados, o Fornecedor tomará apenas as seguintes ações (a menos que autorizado pela Eventbrite):

10.1 notificará imediatamente a Eventbrite sem demora indevida (e, no máximo, no prazo de 48 horas após tomar conhecimento da Violação de Dados) e fornecer à Eventbrite uma descrição razoavelmente detalhada da Violação de Dados, o tipo de dados que foi objeto da Violação de Dados e a identidade de cada pessoa afetada assim que tais informações puderem ser recolhidas ou de outra forma se tornarem disponíveis, bem como quaisquer outras informações que a Eventbrite possa razoavelmente solicitar em relação à Violação de Dados; e

10. 2 imediatamente (e, no máximo, no prazo de 48 horas após tomar conhecimento da Violação de Dados) investigar a Violação de Dados, fazer esforços razoáveis para mitigar os efeitos e danos da Violação de Dados de acordo com as suas obrigações nos termos da Seção 3 (Confidencialidade e Segurança) acima e fornecer qualquer outra assistência que a Eventbrite possa razoavelmente solicitar em relação à Violação de Dados.

11. Exclusão ou Devolução de Dados.

Após a rescisão ou vencimento deste DPA, o Fornecedor (à escolha da Eventbrite) destruirá ou devolverá à Eventbrite todos os Dados da Eventbrite (incluindo todas as cópias dos Dados da Eventbrite) na sua posse ou controlo (incluindo quaisquer Dados da Eventbrite subcontratados a um terceiro para tratamento), a menos que qualquer lei aplicável exija que o Fornecedor mantenha os Dados da Eventbrite.

12. Indemnização

O Fornecedor indemnizará, manterá indemnizado e isentará a Eventbrite, os seus clientes, executivos, diretores, funcionários, agentes, representantes e Afiliadas (cada um uma "Parte indemnizada") relativamente a todas as perdas, prejuízos, custos (incluindo honorários e despesas legais razoáveis), despesas e responsabilidades de terceiros que uma Parte indemnizada possa sofrer ou incorrer em resultado do incumprimento do Fornecedor dos requisitos deste DPA.

13. Diversos

Com exceção das alterações introduzidas por este DPA, o Contrato e/ou quaisquer outros contratos relacionados com os Serviços permanecem inalterados e em vigor e efeito na íntegra.

No que diz respeito às disposições relativas ao tratamento de Dados Pessoais, em caso de conflito entre o Contrato e este DPA, as disposições deste DPA deverão prevalecer. Na eventualidade de um conflito entre este DPA e qualquer outra disposição do Contrato entre o utilizador e a Eventbrite, este DPA tem precedência, exceto nos casos em que o Fornecedor e a Eventbrite tenham negociado individualmente termos de tratamento de dados diferentes do previsto neste DPA e que cumpram na íntegra os requisitos da Lei de Privacidade Aplicável, sendo que, em tal circunstância, esses termos negociados têm precedência.

Ainda tem questões? Entre em contato com o suporte.