Adenda ao Tratamento de Dados (DPA) para Organizadores

• Visão geral e definições.
• 1. Aplicabilidade da DPA e âmbito das atividades de tratamento de dados.
• 2. Cláusulas referentes ao tratamento de dados.
• 3. Transferências internacionais de dados.

Visão geral e definições.

Os termos desta Adenda ao Tratamento de Dados (DPA) são pelo presente incorporados nos Termos de Serviço, na Política de Privacidade do Eventbrite ou em qualquer outro contrato de serviços aplicável entre si e o Eventbrite (o “Contrato”).

No que se refere às disposições relativas ao Tratamento de Dados Pessoais, em caso de conflito entre o Contrato e esta DPA, as disposições desta última têm precedência. Na eventualidade de um conflito entre esta DPA e qualquer outra disposição do Contrato entre si e nós, esta DPA tem precedência, exceto nos casos em que o Organizador e o Eventbrite tenham negociado individualmente termos de tratamento de dados diferentes do previsto nesta DPA e que cumpram na íntegra os requisitos das Leis de Proteção de Dados aplicáveis, sendo que tais termos negociados terão precedência.

“CCPA” refere-se à Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act) (conforme alterada pela Lei dos Direitos de Privacidade da Califórnia (California Privacy Rights Act)) e regulamentos associados.

“Leis de Proteção de Dados” refere-se a todas as leis ou regulamentos aplicáveis relacionados com a privacidade, a confidencialidade e a segurança dos Dados Pessoais.

“Empresa”, "Responsável pelo Tratamento dos Dados", "Subcontratante", "Titular dos Dados", "Tratamento", "Dados Pessoais" e “Prestador de Serviços” terão os significados que lhes foram atribuídos nas Leis de Proteção de Dados aplicáveis.

"Violação de Segurança de Dados" refere-se a uma violação de segurança que dá origem à destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado, acidentais ou ilícitos, de Dados Pessoais tratados pelo Eventbrite em nome do Organizador como parte da utilização dos Serviços pelo Organizador.

“Novas CCP da UE” refere-se às Cláusulas Contratatuais Padrão emitidas de acordo com a Decisão de Implementação da Comissão (UE) n.º 2021/914 de 4 de junho de 2021 relativa às cláusulas contratuais padrão para a transferência de dados pessoais para outros países no âmbito do Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho.

“Serviços” refere-se a quaisquer serviços prestados pelo Eventbrite ao Organizador, conforme definido nos Termos de Serviço do Eventbrite, em relação a qualquer outro contrato de serviços aplicável entre o Organizador e o Eventbrite.

"Medidas de Seguranças Técnicas e Organizacionais" refere-se às medidas de segurança razoáveis implementadas pelo Eventbrite de forma apropriada para o tipo de Dados Pessoais a serem tratados em nome do Organizador e para os Serviços que são prestados pelo Eventbrite, concebidos para protegerem os Dados Pessoais do tratamento não autorizado ou ilícito e contra a perda, destruição, danificação, alteração ou divulgação acidentais.

“A Adenda do Reino Unido às CCP” refere-se à Adenda do Reino Unido sobre a Transferência Internacional de Dados feita às Cláusulas Contratuais Padrão da Comissão Europeia para as transferências internacionais de dados, versão B1.0, emitida pelo Comissário das Informações do Reino Unido, ao abrigo da Secção 119A da Lei de Proteção de Dados do Reino Unido de 2018 e que entrou em vigor a 21 de março de 2022, conforme for atualizada, alterada ou substituída periodicamente.

1. Aplicabilidade da DPA e âmbito das atividades de tratamento de dados.

1.1 Ao utilizar os Serviços do Eventbrite, o Organizador atua como uma Empresa e é o Responsável pelo Tratamento dos Dados Pessoais associados a um indivíduo que utiliza os Serviços do Eventbrite ou em cujo nome um indivíduo utiliza os Serviços do Eventbrite para se registar ou comprar bilhetes para participar no evento de tal Organizador ("Consumidor"). O Organizador declara e garante que forneceu os avisos necessários e, se exigido, obteve os consentimentos necessários relacionados com a recolha de tais Dados Pessoais do Consumidor, e que o Organizador tem o direito de partilhar esses Dados Pessoais com o Eventbrite.

1.2 Quando o Eventbrite trata os Dados Pessoais dos Consumidores em nome do Organizador como parte dos Serviços, o Eventbrite é um Subcontratante ou um Prestador de Serviços na execução desse Tratamento e o Organizador é o Responsável pelo Tratamento dos Dados ou Empresa. Isto inclui as circunstâncias nas quais o Eventbrite obtém Dados Pessoais como resultado da prestação dos seus serviços de emissão de bilhetes (por exemplo, quando o Eventbrite disponibiliza a transmissão de e-mails para os Consumidores a pedido dos Organizadores, ou processa pagamentos ou fornece ferramentas e relatórios de eventos aos Organizadores, para que estes tenham um entendimento claro da eficiência dos diversos canais de vendas).

Em relação a determinado tratamento de Dados Pessoais dos Consumidores, o Eventbrite pode atuar como Responsável pelo Tratamento de Dados ou Empresa, por exemplo, quando os Consumidores se envolveram com aspetos das Aplicações do Eventbrite para além daqueles relacionados com o evento do Organizador ou onde os Dados Pessoais dos Consumidores são tratados pelo Eventbrite para realizar pesquisas e análise e assim permitir que o Eventbrite melhore os respetivos produtos e funcionalidades e forneça recomendações direcionadas. No que diz respeito a tal tratamento, o Eventbrite é um Responsável pelo Tratamento de Dados independente e não um Responsável pelo Tratamento de Dados conjunto com o Organizador.

Na medida em que o Eventbrite proceda ao tratamento de Dados Pessoais como Subcontratante ou Prestador de Serviços em nome do Organizador, aplica-se a Secção 2 desta DPA. No entanto, se o Eventbrite estiver a agir como Responsável pelo Tratamento de Dados Pessoais de Consumidores, o tratamento do Eventbrite não estará sujeito a esta DPA.

1.3 Os detalhes sobre os Dados Pessoais a serem tratados pelo Eventbrite e as atividades de tratamento a serem realizadas ao abrigo do Contrato são os seguintes: (i) duração – conforme estabelecida no Contrato; (ii) natureza, finalidade e assunto – para permitir ao Organizador organizar e promover eventos e gerir a emissão de bilhetes utilizando os Serviços do Eventbrite; (iii) categorias de dados – nome, endereço de e-mail, informações de faturação e pagamento, informações relacionadas com eventos reservados e assistidos, relação com o Organizador e quaisquer outros Dados Pessoais que o Organizador solicite aos respetivos Consumidores; (iv) titulares dos dados – Consumidores.

2. Cláusulas referentes ao tratamento de dados.

2.1 Sempre que o Eventbrite fizer o tratamento de Dados Pessoais em nome do Organizador, o Eventbrite deverá:

2.1.1 Tratar os Dados Pessoais apenas com as instruções documentadas do Organizador, a menos que a lei aplicável exija o contrário. O Eventbrite deve informar o Organizador sobre os requisitos legais antes de tratar Dados Pessoais noutros moldes que não os previstos nas instruções do Organizador, a menos que a mesma lei proíba que o Eventbrite o faça por motivos importantes de interesse público. O Organizador garantirá que as respetivas instruções estejam em conformidade com todas as leis, regulamentos e regras aplicáveis aos Dados Pessoais, e que o tratamento de tais Dados Pessoais por parte do Eventbrite não fará com que o Eventbrite viole qualquer lei, regulamento ou regra aplicável, incluindo as Leis de Proteção de Dados. O Eventbrite notificará o Organizador se, na sua opinião, uma instrução violar as Leis de Proteção de Dados aplicáveis. O Organizador instrui por este meio o Eventbrite a fazer o tratamento de Dados Pessoais, e o Eventbrite aceita fazê-lo, conforme necessário para executar as obrigações do Eventbrite nos termos do Contrato e sem outra finalidade, a menos que especificado de outra forma nesta DPA ou exigido para cumprir a lei ou outra ordem governamental vinculativa. Caso esta DPA ou quaisquer ações a serem tomadas ou contempladas na execução desta DPA não cumpram ou não satisfaçam as obrigações de qualquer das partes ao abrigo da Lei de Proteção de Dados aplicável, as partes negociarão de boa-fé sobre uma emenda adequada a esta DPA;

2.1.2 Cumprir todas as disposições aplicáveis das Leis de Proteção de Dados e proporcionar o mesmo nível de proteção aos Dados Pessoais que é exigido ao Organizador de acordo com as Leis de Proteção de Dados.O Eventbrite tratará os Dados Pessoais, apenas conforme necessário para cumprir as obrigações do Eventbrite ao abrigo do Contrato, ou conforme de outra forma for permitido pelas Leis de Proteção de Dados. Sem limitação do precedente, o Evenbrite não irá (i) “vender” nem “partilhar” os Dados Pessoais, da forma que tais termos são definidos na CCPA; (ii) o Eventbrite não irá conservar, utilizar nem divulgar tais dados fora da relação comercial direta entre o Organizador e o Eventbrite, a menos que tal seja permitido pelas Leis de Proteção de Dados, ou (iii) conservar, utilizar ou divulgar Dados Pessoais para qualquer finalidade que não as finalidades comerciais especificadas nesta DPA ou, de outro modo, permitidas pelas Leis de Proteção de Dados.  O Eventbrite deverá cumprir quaisquer restrições aplicáveis ao abrigo das Leis de Proteção de Dados sobre a combinação de Dados Pessoais com dados pessoais que o Eventbrite receba de outra pessoa ou pessoas, ou em nome destas, ou que o Eventbrite recolha a partir de qualquer interação entre o próprio Eventbrite e qualquer indivíduo.

2.1.3 Ter em vigor Medidas de Segurança Técnicas e Organizacionais, que incluam, mas não se limitem, às medidas descritas aqui: https://www.eventbrite.pt/security/;

2.1.4 Notificar o Organizador na eventualidade de uma Violação de Segurança de Dados sem atraso indevido, salvo se de outro modo proibido por lei ou, de outro modo, instruído por uma autoridade de aplicação da lei ou por uma autoridade de proteção de dados. Em caso de qualquer Violação de Segurança de Dados, o Eventbrite, a seu exclusivo critério, pode notificar diretamente os titulares de dados afetados sobre a violação de dados.Se o Eventbrite não providenciar tal notificação, o Eventbrite fornecerá assistência razoável, quando exigido pelas Leis de Proteção de Dados aplicáveis e a pedido do Organizador, para permitir que o Organizador cumpra as suas obrigações de violação de dados como Responsável pelo Tratamento de Dados ou Empresa;

2.1.5 Garantir que o seu pessoal está sujeito a obrigações vinculativas de confidencialidade em relação aos Dados Pessoais dos Consumidores tratados pelo Eventbrite em nome do Organizador;

2.1.6 Impor obrigações aos seus subcontratantes que tenham acesso aos Dados Pessoais dos Consumidores tratados pelo Eventbrite em nome do Organizador, que sejam iguais ou equivalentes às estabelecidas nesta Secção 2 por meio de contrato escrito, e permanecer totalmente responsável perante o Organizador por qualquer falha por parte de um subcontratante em cumprir as suas obrigações em relação a tais Dados Pessoais;

2.1.7 Fornecer assistência razoável ao Organizador na resposta a pedidos de direitos individuais ou outras comunicações recebidas de acordo com as Leis de Proteção de Dados aplicáveis de qualquer autoridade de proteção de dados ou Consumidor que seja objeto de quaisquer Dados Pessoais tratados pelo Eventbrite em nome do Organizador. Na eventualidade de um Consumidor enviar um pedido de eliminação de Dados Pessoais ao Eventbrite, o Organizador instrui e autoriza por este meio o Eventbrite a eliminar ou anonimizar os Dados Pessoais do Consumidor em nome do Organizador.  Sempre que necessário, o Organizador deverá informar o Eventbrite de qualquer outro pedido de direitos individuais que o Eventbrite tenha de cumprir e fornecer as informações necessárias para que o Eventbrite possa cumprir o pedido;

2.1.8 Mediante o pedido por escrito do Organizador, disponibilizar ao Organizador todas as informações razoavelmente necessárias para demonstrar a sua conformidade com as obrigações estipuladas nesta Secção 2, prestar assistência razoável com avaliações de impacto sobre a privacidade e proteção de dados e consultas relacionadas das autoridades de proteção de dados e permitir e cooperar com quaisquer auditorias. Quaisquer auditorias no local serão: (i) permitidas apenas mediante aviso prévio razoável ao Eventbrite; (ii) sujeitas a compromissos de confidencialidade adequados; e (iii) limitadas a uma vez a cada três (3) anos e apenas para avaliar uma deficiência suspeita específica após esgotar todos os outros meios razoáveis; e

2.1.9 Exceto para esses Dados Pessoais em relação aos quais o Eventbrite atua como Responsável pelo Tratamento de Dados ou Empresa, devolver, eliminar ou destruir (a critério do Organizador) os Dados Pessoais dos Consumidores tratados em nome do Organizador e cópias dos mesmos, a pedido do Organizador (a menos que a lei aplicável exija o armazenamento de tais Dados Pessoais).

2.2 O Organizador consente e autoriza por este meio o Eventbrite a divulgar ou transferir Dados Pessoais para os subcontratantes atuais do Eventbrite, ou permitir o acesso aos Dados Pessoais por parte destes (ou seja, aqueles indicados no site do Eventbrite na Data de entrada em vigor desta DPA ou do Contrato, o que for posterior) (“Subcontratantes atuais”) para tratarem Dados Pessoais em nome do Organizador.

2.3 O Organizador permite ao Eventbrite nomear subcontratantes adicionais e de substituição (“Subcontratantes de substituição”) para tratarem Dados Pessoais em nome do Organizador. O Eventbrite avisará com antecedência o Organizador quanto à identidade dos Subcontratantes de substituição (i) por e-mail, nos casos em que o Organizador tenha optado por receber tais notificações por e-mail e (ii) ao atualizar o site do Eventbrite (o Organizador é responsável por verificar e analisar regularmente o site do Eventbrite quanto a tais alterações).Os Organizadores interessados em receber o aviso por e-mail sobre os Subcontratantes de substituição têm de aceitar receber tais e-mails e subscrevê-los utilizando este formulário (o Organizador é o único responsável por garantir que as respetivas informações de contacto permanecem exatas). O Eventbrite também dará ao Organizador a oportunidade de se opor a tais alterações que ocorram depois da Data de entrada em vigor do Contrato, de acordo com os termos que se seguem na Secção 2.4 desta DPA.

Para evitar dúvidas, quaisquer direitos de rescisão disponíveis neste documento só se aplicarão em caso de objeções aos Subcontratantes de substituição nomeados após a Data de entrada em vigor desta DPA que não sejam remediadas de acordo com os termos aqui estabelecidos, e não serão aplicáveis em relação aos Subcontratantes atuais.

2.4 O Organizador deve levantar qualquer objeção à nomeação de Subcontratantes de substituição no prazo de dez (10) dias após a publicação das alterações do Eventbrite no respetivo site. O Organizador deve enviar a sua objeção para privacy@eventbrite.com com a linha de assunto “Objeção ao Subcontratante de substituição”.

Desde que a objeção do Organizador: (i) diga respeito à capacidade do Subcontratante de substituição de permitir que o Eventbrite cumpra materialmente as suas obrigações de proteção de dados ao abrigo desta DPA; e (ii) inclua detalhes suficientes para fundamentar a sua objeção e forneça exemplos específicos, o Eventbrite envidará esforços comercialmente razoáveis para avaliar e responder à objeção do Organizador no prazo de trinta (30) dias após a receção da objeção do Organizador com o método de acomodação determinado pelo Eventbrite.

Se o Eventbrite determinar, a seu critério exclusivo, que não pode acomodar razoavelmente a objeção do Organizador, após a notificação do Eventbrite, o Organizador pode optar por rescindir o Contrato, mediante notificação por escrito ao Eventbrite e cumprindo os termos aqui descritos, que será a única e exclusiva solução do Organizador. Sem limitar a generalidade do exposto, o direito de rescisão do Organizador de acordo com esta Secção 2.4 será considerado um direito de rescisão adicional do Organizador ao abrigo da Secção "Prazo e rescisão" do Contrato (se aplicável) e, se exercido, será considerado como uma rescisão em conformidade com tal Secção. Esta notificação por escrito tem de ser enviada para legal@eventbrite.com e indicar especificamente esta Secção 2.4 da DPA. O dia em que o Eventbrite receber o aviso de rescisão do Organizador ao abrigo desta Secção 2.4 será referido como a "Data de Objeção" nesta DPA. Caso o Organizador opte por rescindir o Contrato em resultado de um Subcontratante de substituição, nada nesta Secção 2 isentará o Organizador de qualquer uma das suas obrigações de pagamento e/ou reembolso para com o Eventbrite nos termos do Contrato.

Sem limitação dos outros direitos e recursos do Eventbrite, se o Organizador rescindir o Contrato em conformidade com esta Secção 2.4, o Organizador pagará de imediato ao Eventbrite (1) todos os montantes acumulados e devidos ao Eventbrite, incluindo, sem limitação, obrigações a pagar e/ou reembolsos ao Eventbrite por Taxas, Pagamentos de Patrocínios, Adiantamentos e/ou pagamentos adiantados de Taxas de registo de eventos, conforme esses termos estejam definidos no Contrato e apenas na medida aplicável ao Organizador, (2) se o Contrato incluir um número mínimo de bilhetes que o Organizador tem de vender, um montante mínimo de Taxas de registo em eventos ou Taxas de serviço do Eventbrite que têm de ser tratadas (cada limite de tratamento ou vendas, o "Limite mínimo"), e/ou o requisito de pagar ao Eventbrite a parte das Taxas de serviço do Eventbrite que seriam recebidas caso fosse cumprido o Limite mínimo, então o Organizador concorda em pagar ao Eventbrite um montante equivalente ao (x) montante que o Eventbrite receberia em Taxas de serviço se tivesse sido cumprido o Limite mínimo em cada ano do período contratual até à data da rescisão (sendo esse Limite mínimo calculado proporcionalmente em relação ao ano parcial do Prazo), menos (y) o montante que o Eventbrite efetivamente recebeu em Taxas de serviço atribuíveis às vendas do Organizador durante o Prazo até à data de rescisão, e (3) 80% das Taxas previstas que o Eventbrite receberia durante o Prazo restante se o Contrato não tivesse sido rescindido, relativamente a (x) eventos à venda no Site a contar da Data da Objeção, e (y) quaisquer eventos futuros contemplados ao abrigo do Contrato destinados a ocorrer no prazo de noventa (90) dias após a Data da Objeção.

2.5 O Eventbrite certifica pelo presente que compreende as restrições e as obrigações definidas nesta DPA e que irá cumpri-las. O Eventbrite irá notificar o Organizador se o Eventbrite determinar que já não consegue cumprir as respetivas obrigações ao abrigo das Leis de Proteção de Dados.

2.6 O Organizador terá o direito, após aviso com catorze (14) dias de antecedência, de tomar medidas razoáveis e apropriadas para interromper e remediar qualquer utilização não autorizada de Dados Pessoais por parte do Eventbrite.

3. Transferências internacionais de dados.

3.1 O Organizador concorda que o Eventbrite poderá transferir Dados Pessoais dos Consumidores para diversos locais no âmbito da prestação dos Serviços. As transferências serão feitas de acordo com mecanismos de transferência legalmente aplicáveis, quando exigido pelas Leis de Proteção de Dados aplicáveis. O mecanismo de transferência exclusivo do Eventbrite de dados exportados do Espaço Económico Europeu, Reino Unido e Suíça é a utilização das Cláusulas contratuais padrão, que foram assinadas previamente pelo Eventbrite para os registos de conformidade do Organizador. Para fazer transferências do Reino Unido, o Eventbrite também incorporou a Adenda do Reino Unido às CCP na secção 3.2 desta DPA.

3.2 Transferências do Reino Unido. Quanto aos Dados Pessoais do Eventbrite transferidos a partir do Reino Unido, em relação aos quais a legislação do Reino Unido (e não a legislação de qualquer jurisdição do Espaço Económico Europeu) rege a natureza internacional da transferência, a Adenda do Reino Unido às CCP faz parte desta DPA e tem precedência sobre o restante texto desta DPA, conforme determinado na Adenda do Reino Unido às CCP, salvo se o Reino Unido emitir atualizações à Adenda do Reino Unido às CCP, sendo que nesse caso a Adenda do Reino Unido às CCP atualizada tem precedência. Os termos com inicial maiúscula não definidos utilizados nesta disposição terão as definições constantes na Adenda do Reino Unido às CCP. Pela presente, o Organizador concorda em participar na Adenda do Reino Unido às CCP, que é incorporada nesta DPA por esta referência e concluída da seguinte forma:

1. Na Tabela 1, os dados das Partes serão os das Partes conforme estabelecido no Anexo I das Novas CCP da UE, conforme executado pelas Partes no âmbito desta DPA.

2. Na Tabela 2, as CCP da UE aprovadas serão as Novas CCP da UE, conforme executadas pelas Partes no âmbito desta DPA.

3. Na Tabela 3, o Anexo 1A e o Anexo 1B serão conforme estabelecido no Anexo I das Novas CCP da UE, conforme executado pelas Partes no âmbito desta DPA.

4. Na Tabela 3, o Anexo II será conforme estabelecido no Anexo II das Novas CCP da UE, conforme executado pelas Partes no âmbito desta DPA.

5. Na Tabela 4, qualquer das Partes pode rescindir esta DPA, conforme estipulado na Secção 19 da Adenda do Reino Unido às CCP.

3.3. Transferências da Suíça. Quanto aos Dados Pessoais transferidos a partir da Suíça, em relação aos quais a legislação da Suíça (e não a legislação de qualquer jurisdição do Espaço Económico Europeu) rege a natureza internacional da transferência, (i) as referências ao RGPD na Cláusula 4 das Novas CCP da UE são, na medida do legalmente exigido, alteradas para fazer referência à Lei de Proteção de Dados Federais da Suíça, ou da lei que lhe suceder, e o conceito de autoridade supervisora deverá incluir o Comissário de Informações e Proteção de Dados Federais da Suíça; e (ii) dessa forma alteradas, as Novas CCP da UE são incorporadas no presente documento para referência e deverão aplicar-se, fazer parte desta DPA e ter precedência sobre o resto desta DPA no que diz respeito ao conflito.

3.4. Transferências do EEE. Em relação aos Dados Pessoais transferidos do Espaço Económico Europeu, as Novas CCP da UE incorporadas no presente documento deverão aplicar-se e fazer parte desta DPA. No caso de um conflito entre qualquer disposição das Novas CCP da União Europeia e qualquer disposição desta DPA, as Novas CCP da União Europeia terão prevalência no que diz respeito aos conflitos.