Eventbrite

Centro di Assistenza

Appendice al trattamento dei dati (ATD) per responsabili e sottoresponsabili

Data dell'ultima modifica: 25 agosto 2021. Per maggiori informazioni sulle note legali di Eventbrite, consulta questa pagina.

In questo articolo

  • Panoramica
  • 1. Definizioni.
  • 2. Ruolo delle Parti e natura dei Dati personali.
  • 3. Conformità del Fornitore.
  • 4. Trasferimenti internazionali di dati.
  • 5. Salvaguardie aggiuntive per il trasferimento e il trattamento di Dati personali provenienti da SEE, Svizzera e Regno Unito.  
  • 6. Riservatezza e Sicurezza.
  • 7. Sottoresponsabili.
  • 8. Cooperazione e Diritti delle persone interessate.
  • 9. Audit.
  • 10. Violazione dei dati.
  • 11. Eliminazione o restituzione dei dati.
  • 12. Indennità.
  • 13. Varie.

Panoramica

La presente Appendice al trattamento dei dati ("ATD") disciplina qualsiasi servizio offerto a Eventbrite, Inc. e alle sue Consociate ("Eventbrite") da parte del Fornitore ("Fornitore") in qualità di Responsabile o Sottoresponsabile (come definito di seguito) (i "Servizi"). Il Fornitore ed Eventbrite sono di seguito denominati singolarmente "Parte" e congiuntamente "Parti". La presente ATD integra, è compresa e rimarrà in vigore per la durata di qualsiasi accordo tra le Parti, inclusi, a titolo esemplificativo ma non esaustivo, eventuali accordi sottoscritti o accettati tramite clic o, se applicabili, i Termini d'uso API Eventbrite ("l'Accordo"), la durata dei Servizi o il trattamento dei Dati Eventbrite, valendo fra tutte la data successiva (la "Durata"). Senza limitare il carattere generale di quanto precede, l'oggetto, la natura e lo scopo del trattamento ai sensi della presente ATD è la prestazione dei Servizi nei termini dell'Accordo, e le categorie di dati personali e di persone interessate sono quelle necessarie alla prestazione dei Servizi nei termini dell'Accordo, come descritto più dettagliatamente nello stesso.

1. Definizioni.

I termini con iniziale maiuscola utilizzati ma non definiti nella presente ATD hanno lo stesso significato descritto nell'Accordo, se pertinente. Ai fini della presente ATD:

1.1 Per "Consociata" si intende una persona fisica o giuridica che controlli, sia controllata da o sia sotto il controllo condiviso di tale entità, alla data del presente Accordo o in seguito. Ai fini della presente ATD, per "controllo" si intende la proprietà o il controllo, diretto o indiretto, di oltre il 20% delle azioni con diritto di voto in circolazione di un'entità o il possesso in altro modo del potere di orientare la gestione e le politiche.

1.2Per "Leggi applicabili in materia di privacy" si intendono tutte le leggi e i regolamenti di protezione della privacy e dei dati applicabili ovunque nel mondo, inclusi, ove applicabile, il Regolamento 2016/679 del Parlamento europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei Dati personali nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) ("GDPR"), la Direttiva UE 2002/58/CE sulla privacy e le comunicazioni elettroniche (in tutti i casi, come eventualmente modificato, superato o sostituito) e il California Consumer Privacy Act, Codice civile della California punto § 1798.100 e seguenti, e i relativi regolamenti di attuazione ("CCPA").

1.3Per "Titolare" si intende la persona o entità fisica o giuridica che stabilisce i fini e i mezzi del trattamento dei Dati personali Il Titolare è inoltre una "impresa", come definita nel CCPA.

1.4 Per "Violazione dei dati" si intende una violazione della sicurezza che comporta la distruzione accidentale o illecita oppure la perdita accidentale, la modifica, la divulgazione o l'accesso non autorizzati e qualsiasi altra forma di trattamento illecito dei Dati Eventbrite.

1.5 Per "Dati Eventbrite" si intendono tutti i dati inclusi i Dati personali forniti al Fornitore o altrimenti raccolti e/o consultati dal Fornitore per conto di Eventbrite e/o delle sue Consociate nel corso della prestazione dei Servizi nei termini dell'Accordo. Tutti i Dati Eventbrite che siano Dati personali sono di seguito denominati "Dati personali Eventbrite".

1.6 Per "Nuove CCT UE" si intendono le Clausole contrattuali tipo emesse ai sensi della decisione di applicazione della Commissione (UE) 2021/914 del 4 giugno 2021 sulle clausole contrattuali tipo per il trasferimento di dati personali in Paesi terzi a norma del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.

1.7 Per "Vecchie CCT UE" si intendono le Clausole contrattuali tipo emesse ai sensi della decisione della Commissione europea del 5 febbraio 2010 sulle clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento con sede in Paesi terzi a norma della Direttiva 95/46/CE del Parlamento europeo e del Consiglio (disponibili a decorrere dalla Data effettiva all'indirizzo http://data.europa.eu/eli/dec/2010/87/2016-12-17).

1.8Per "Dati personali" si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile; una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale.

1.9 Per "Principi dello scudo per la privacy" si intendono i Principi dell'accordo quadro sullo scudo per la privacy (come integrati dai Principi supplementari) contenuti nell'Appendice II alla decisione della Commissione europea del 12 luglio 2016 ai sensi della Direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguatezza della protezione fornita dallo Scudo per la privacy (come eventualmente modificato, superato o sostituito), i cui dettagli sono disponibili alla pagina www.privacyshield.gov/eu-us-framework.

1.10 Per "Responsabile" si intende l'entità che tratta i Dati personali per conto, o secondo le istruzioni, di un Titolare.

1.11 Per "Sottoresponsabile" si intende un'entità assunta da un Responsabile che accetta di ricevere dal Responsabile Dati personali esclusivamente destinati ad attività di trattamento da eseguire nell'ambito dei Servizi.

1.12 Per "Fornitore" si intende la persona fisica o giuridica che ha sottoscritto l'Accordo con Eventbrite.

2. Ruolo delle Parti e natura dei Dati personali.

2.1Ai fini della presente ATD, Eventbrite può agire in qualità di Titolare oppure di Responsabile per uno dei propri clienti. Il Fornitore accetta dunque che potrà agire in qualità di Responsabile per conto di Eventbrite o di Sottoresponsabile per conto di Eventbrite. Laddove Eventbrite agisca in qualità di Responsabile, Eventbrite è obbligata contrattualmente e/o dalle Leggi applicabili in materia di privacy a trasferire alcuni obblighi relativi alla protezione dei dati ai suoi Sottoresponsabili designati. Tutti gli obblighi imposti ai Responsabili dalla presente ATD si applicano quindi al Fornitore a prescindere dal fatto che questi agisca in qualità di Responsabile o di Sottoresponsabile.

2.2 La natura, il fine e l'oggetto delle attività di trattamento dei dati da parte del Fornitore eseguite nell'ambito dei Servizi sono definiti nell'Accordo. I Dati personali che possono essere trattati possono riguardare gli organizzatori dell'evento, i partecipanti, i dipendenti, i contraenti e i contatti e possono includere nome, indirizzo e-mail, informazioni di fatturazione e pagamento, eventi prenotati, organizzati e a cui si è partecipato ed eventuali altri Dati personali trattabili ai sensi dell'Accordo.

3. Conformità del Fornitore.

3.1 Il Fornitore garantisce e si impegna a trattare i Dati personali Eventbrite esclusivamente per gli scopi limitati e specifici definiti nell'Accordo e/o come altrimenti indicatogli lecitamente da Eventbrite per iscritto (via e-mail o diversamente), salvo ove altrimenti richiesto dalla legge applicabile. Il Fornitore informerà immediatamente Eventbrite se, secondo il suo parere, un'istruzione vìola le Leggi applicabili in materia di privacy.

3.2 Il Fornitore si impegna a non vendere i Dati personali Eventbrite o altrimenti trattare tali dati per qualsiasi fine diverso dai fini specifici qui stabiliti e nel rispetto delle Leggi applicabili in materia di privacy. A scanso di equivoci, il Fornitore si impegna a non trattare i Dati personali Eventbrite al di fuori della relazione commerciale diretta tra esso ed Eventbrite. Ai fini del presente paragrafo, al termine "vendere" è attribuito il significato stabilito nelle Leggi applicabili in materia di privacy.

3.3 Il Fornitore certifica di comprendere le proprie restrizioni e i propri obblighi definiti nella presente ATD e si impegna a rispettarli.

4. Trasferimenti internazionali di dati.

4.1 Eventbrite autorizza il Fornitore e i suoi Sottoresponsabili a eseguire trasferimenti internazionali di Dati personali Eventbrite nel rispetto della presente ATD purché per tali trasferimenti siano osservate le Leggi applicabili in materia di privacy. Acconsentendo alla ATD, il Fornitore accetta inoltre le Nuove CCT UE, firmate da Eventbrite.

4.2 Per quanto concerne Dati personali Eventbrite trasferiti dal Regno Unito per cui la legge del Regno Unito (e non la legge in qualsiasi giurisdizione dello Spazio Economico Europeo) disciplina la natura internazionale del trasferimento, e per cui tale legge consente l'utilizzo delle Vecchie CCT UE ma non l'utilizzo delle Nuove CCT UE, le Vecchie CCT UE costituiscono parte della presente ATD e prevalgono sul resto della stessa come in esse stabilito, fino all'adozione da parte del Regno Unito delle nuove Clausole contrattuali tipo, nel qual caso saranno queste ultime a prevalere.  Ai fini delle Vecchie CCT UE, esse saranno considerate complete come segue:

  1. Gli "esportatori" e gli "importatori" costituiscono le Parti e le loro Consociate nella misura in cui qualsiasi di essi sia coinvolto in tale trasferimento, ivi compresi quelli stabiliti nell'Appendice I.A delle Nuove CCT UE.  

  2. La Clausola 9 delle Vecchie CCT UE specifica che sarà la legge del Regno Unito a disciplinare le Vecchie CCT UE.

  3. Il contenuto dell'Appendice 1 delle Vecchie CCT UE è descritto nell'Appendice I.B delle Nuove CCT UE di seguito.

  4. Il contenuto dell'Appendice 2 delle Vecchie CCT UE è descritto nell'Appendice II delle Nuove CCT UE di seguito.

4.3 Per quanto concerne i Dati personali trasferiti dalla Svizzera per cui la legge svizzera (e non la legge in qualsiasi giurisdizione dello Spazio Economico Europeo) disciplina la natura internazionale del trasferimento, i riferimenti al GDPR nella Clausola 4 delle Nuove CCT UE sono, nella misura richiesta dalla legge, modificati in modo da fare riferimento alla Legge federale svizzera sulla protezione dei dati o sue successive modifiche, e il concetto di autorità di sorveglianza include la figura del Commissario federale svizzero per la protezione dei dati e l'informazione.

4.4 Per quanto concerne i Dati personali trasferiti dallo Spazio Economico Europeo, le Nuove CCT UE qui incorporate si applicano, costituiscono parte della presente ATD e prevalgono sul resto della stessa come in esse stabilito.  

  1. Quando il Fornitore agisce in qualità di Responsabile per Eventbrite, si applica il Modulo Due delle Nuove CCT UE.  

  2. Quando il Fornitore agisce in qualità di Sottoresponsabile per Eventbrite, si applica il Modulo Tre delle Nuove CCT UE.

5. Salvaguardie aggiuntive per il trasferimento e il trattamento di Dati personali provenienti da SEE, Svizzera e Regno Unito.  

Nella misura in cui il Fornitore tratti Dati personali Eventbrite di persone interessate ubicate in o soggette alle Leggi applicabili in materia di privacy dello Spazio Economico Europeo, della Svizzera o del Regno Unito, il Fornitore acconsente alle seguenti salvaguardie al fine di tutelare tali dati a un livello equivalente a quello delle Leggi applicabili in materia di privacy:

5.1 Il Fornitore ed Eventbrite dovranno crittografare tutti i trasferimenti di Dati personali fra loro, e il Fornitore dovrà crittografare qualsiasi eventuale ulteriore trasferimento di tali dati personali, al fine di prevenirne l'acquisizione da parte di terzi, quali autorità governative che possono ottenere accesso fisico ai meccanismi di trasmissione (ad esempio, fili e cavi) durante la trasmissione dei dati.

5.2 Il Fornitore dichiara e garantisce:

  1. di non aver ricevuto, alla data del presente contratto, alcuna direttiva ai sensi della Sezione 702 del Foreign Intelligence Surveillance Act degli Stati Uniti, codificato in 50 U.S.C. § 1881a ("FISA Section 702");

  2. di non essere idoneo a essere tenuto a fornire informazioni, strutture o assistenza ai sensi della FISA Section 702; o che nessuna corte ha ritenuto che il Venditore sia il tipo di entità idonea a essere oggetto di procedure emanate ai sensi della FISA Section 702: (i) un "fornitore di servizi di comunicazione elettronica" nella definizione del punto 50 U.S.C. § 1881(b)(4) o (ii) un membro di una qualsiasi categoria di entità comprese all'interno di tale definizione;

  3. di non essere il tipo di fornitore idoneo a essere soggetto alla raccolta a monte (raccolta "di gruppo") ai sensi della FISA Section 702, come descritto nei paragrafi 62 e 179 della sentenza della Corte di giustizia europea nella Causa C-311/18, Incaricato della protezione dei dati contro Facebook Ireland Limited e Maximilian Schrems ("Schrems II"), e che dunque potrebbe essere idoneo a essere oggetto di procedure emanate ai sensi della FISA Section 702, laddove sia un "fornitore di servizi di comunicazione elettronica" nella definizione del punto 50 U.S.C. § 1881(b)(4), unicamente sulla base di un particolare "selettore mirato", ovvero un identificativo univoco del punto finale specifico delle comunicazioni soggette a sorveglianza.

  4. Il Fornitore non acconsentirà mai a eventuali richieste ai sensi della FISA Section 702 di sorveglianza di gruppo, ossia a richieste di sorveglianza in cui un identificativo di un account specifico non viene identificato attraverso uno specifico "selettore mirato" (un identificativo univoco del punto finale specifico delle comunicazioni soggette a sorveglianza).

  5. Il Fornitore utilizzerà tutti i meccanismi legali ragionevolmente disponibili per opporsi a qualsiasi richiesta di accesso ai dati attraverso le procedure di sicurezza nazionale ricevute ed eventuali divieti di divulgazione a esse allegati. 

  6. Il Fornitore non intraprenderà alcuna azione in merito all'ordine esecutivo USA 12333.

  7. A intervalli di 6 mesi o più se consentito dalla legge, il Fornitore creerà una relazione sulla trasparenza che metterà a disposizione di Eventbrite indicando i tipi di richieste legali vincolanti di dati personali ricevute, inclusi le direttive e gli ordini di sicurezza nazionale, che dovranno comprendere qualsiasi procedura emessa ai sensi della FISA Section 702. 

  8. Il Fornitore informerà tempestivamente Eventbrite qualora non potesse più agire in conformità alle Clausole contrattuali tipo applicabili o alle clausole contenute nella presente Sezione.  Il Fornitore non sarà tenuto a fornire a Eventbrite informazioni specifiche sul motivo dell'impossibilità di continuare ad agire in maniera conforme, qualora la fornitura di tali informazioni fosse vietata dalla legge applicabile.  Tale avviso autorizzerà Eventbrite a cessare l'Accordo (o, a scelta di Eventbrite, i documenti di illustrazione dei lavori, gli ordinativi e simili nel quadro dello stesso) e ricevere un tempestivo rimborso proporzionale di qualsiasi eventuale somma già versata ai sensi dello stesso.  La disposizione si applica senza pregiudicare gli altri diritti e rimedi di Eventbrite in relazione alle violazioni dell'Accordo.

6. Riservatezza e Sicurezza.

6.1 Il Fornitore dovrà assicurare che qualsiasi soggetto da esso autorizzato a trattare i Dati Eventbrite (ivi compresi il personale, gli agenti e i collaboratori esterni del Fornitore) sia soggetto a un obbligo di riservatezza.

6.2 Il Fornitore dovrà assicurarsi di implementare e mantenere per tutta la durata dell'Accordo, o dei suoi servizi a Eventbrite in qualità di Responsabile o Sottoresponsabile, misure tecniche e organizzative opportune per tutelare i Dati Eventbrite, tra cui protezione contro le Violazione dei dati. Tali misure dovranno includere, come minimo, le misure di cui all'Allegato II delle Nuove CCT UE.

7. Sottoresponsabili.

Il Fornitore dovrà comunicare a Eventbrite qualsiasi Sottoresponsabile da esso utilizzato in relazione ai Dati personali Eventbrite. Il Fornitore dovrà inoltre:

  1. assicurarsi che ogni Sottoresponsabile sia contrattualmente vincolato per iscritto a fornire almeno lo stesso livello di protezione richiesto dalla presente ATD e che si conformi alle Leggi applicabili in materia di privacy;

  2. assumersi qualsiasi responsabilità nei confronti di Eventbrite per atti e omissioni di qualsiasi Sottoresponsabile, come se si trattasse di atti od omissioni del Fornitore stesso; e

  3. su richiesta, fornire a Eventbrite informazioni dettagliate su qualsiasi Sottoresponsabile incaricato.

8. Cooperazione e Diritti delle persone interessate.

Il Fornitore offrirà a Eventbrite tutta l'assistenza ragionevolmente richiesta per consentire a Eventbrite di:

  1. rispondere, conformarsi o altrimenti risolvere qualsiasi richiesta, domanda o reclamo relativi a diritti ricevuti da Eventbrite (o da un cliente di Eventbrite) da parte di:

    1. qualsiasi individuo vivente i cui Dati personali siano trattati dal Fornitore per conto di Eventbrite; o

    2. qualsiasi autorità formalmente incaricata della protezione dei dati applicabile; e

  2. ottemperare (e dimostrare la propria ottemperanza) ai propri obblighi secondo le Leggi applicabili in materia di privacy. Qualora una di tali richieste, domande o reclami nei termini della Sezione 5 sia inviato direttamente al Fornitore, il Fornitore dovrà informare Eventbrite fornendo i dettagli completi del medesimo.

9. Audit.

Previa ragionevole notifica per iscritto, il Fornitore accetta di fornire a Eventbrite (o ai suoi revisori nominati) tutte le informazioni che Eventbrite ritiene ragionevolmente necessarie per consentire a Eventbrite di controllare la conformità del Fornitore ai requisiti della presente ATD, incluso il completamento dei questionari di revisione, la fornitura di politiche di sicurezza e i riepiloghi delle valutazioni della conformità con eventuali standard di settore (come ISO 27001, SSAE 16 SOC II), i test di penetrazione informatica e le scansioni di vulnerabilità.

10. Violazione dei dati.

Nell'eventualità di una Violazione dei dati, il Fornitore intraprenderà solo le seguenti azioni (se non diversamente autorizzato da Eventbrite):

10.1 informare prontamente Eventbrite senza ingiustificato ritardo (e al più tardi entro 48 ore dalla scoperta della Violazione dei dati) e fornire a Eventbrite una descrizione ragionevolmente dettagliata della Violazione stessa, del tipo di dati coinvolti nella Violazione e dell'identità di ciascuna persona interessata non appena tali informazioni potranno essere raccolte o diverranno altrimenti disponibili, nonché eventuali altre informazioni che Eventbrite potrà ragionevolmente richiedere riguardo alla Violazione dei dati; e

10.2 indagare tempestivamente (e al più tardi iniziando entro 48 ore dalla scoperta della Violazione dei dati) sulla Violazione dei dati, compiere sforzi ragionevoli per mitigarne gli effetti e il danno secondo i propri obblighi ai sensi della Sezione 3 (Riservatezza e Sicurezza) di cui sopra e fornire qualsiasi ulteriore assistenza che Eventbrite possa ragionevolmente richiedere relativamente alla Violazione dei dati.

11. Eliminazione o restituzione dei dati.

Alla cessazione o alla scadenza della presente ATD, il Fornitore dovrà (a discrezione di Eventbrite) distruggere o restituire a Eventbrite tutti i Dati Eventbrite (incluse tutte le copie dei Dati Eventbrite) in suo possesso o sotto il suo controllo (tra cui i Dati Eventbrite eventualmente concessi in subappalto a terze parti per il trattamento), eccezion fatta nei casi in cui una legge applicabile richieda al Fornitore di conservare i Dati Eventbrite.

12. Indennità.

Il Fornitore indennizzerà, manterrà indennizzata e manleverà Eventbrite, i suoi clienti, responsabili, direttori, collaboratori, agenti, rappresentanti e le sue Consociate (ciascuna detta "Parte indennizzata") da e contro tutte le perdite, i danni, i costi (incluse le eventuali spese e parcelle legali ragionevoli), le spese e le responsabilità di terze parti che una Parte indennizzata potrebbe dover sostenere o cui potrebbe incorrere a causa della mancata conformità del Fornitore ai requisiti della presente ATD.

13. Varie.

Eccezion fatta per le modifiche apportate da questa ATD, l'Accordo e/o altri accordi correlati con i Servizi rimangono immutati e in vigore ed efficaci.

Per ciò che riguarda le disposizioni riguardanti il trattamento dei Dati personali, nell'eventualità di un conflitto tra l'Accordo e la presente ATD, devono prevalere le disposizioni della presente ATD. Nell'eventualità di un conflitto tra la presente ATD e qualsiasi altra disposizione dell'Accordo tra il Fornitore e noi, prevarrà la presente ATD; solo qualora il Fornitore ed Eventbrite abbiano singolarmente negoziato termini di trattamento dei dati diversi da quelli della presente ATD e che soddisfano pienamente i requisiti delle Leggi applicabili in materia di privacy, allora prevarranno detti termini negoziati.

Hai ancora domande?