Appendice al Trattamento dei Dati (ATD) per gli Organizzatori

• Panoramica e definizioni.
• 1. Applicabilità dell'ATD e ambito delle attività di trattamento dei dati.
• 2. Clausole sul trattamento dei dati
• 3. Trasferimenti di dati all'estero.

Panoramica e definizioni.

I termini della presente ATD (Appendice sul trattamento dei Dati Personali) sono integrati nei Termini di servizio di Eventbrite, nell'Informativa sulla privacy e in tutti gli altri accordi di servizio applicabili fra l'utente e Eventbrite (l'"Accordo").

Per ciò che riguarda le disposizioni relative al Trattamento dei dati personali, nell'eventualità di un conflitto tra l'Accordo e la presente ATD, prevarranno le disposizioni di questa ATD. Nell'eventualità di un conflitto tra la presente ATD e qualsiasi altra disposizione dell'Accordo tra noi e l'utente, prevarrà la presente ATD; solo qualora l'Organizzatore ed Eventbrite abbiano singolarmente negoziato termini di trattamento dei dati diversi da quelli della presente ATD e che soddisfano pienamente i requisiti delle leggi applicabili in materia di protezione dei dati, allora prevarranno detti termini negoziati.

"CCPA" indica la legge dello Stato della California in materia di privacy dei consumatori (California Consumer Privacy Act, come modificata dalla California Privacy Rights Act) e normative correlate.

"Leggi in materia di protezione dei dati" indica tutte le leggi e normative vigenti in materia di privacy, riservatezza e sicurezza dei Dati personali.

"Azienda", "Titolare del trattamento", "Responsabile del trattamento," "Persona interessata", "Trattamento", "Dati personali" e "Fornitore di servizi" hanno il significato a essi attribuito nelle Leggi in materia di protezione di dati applicabili.

"Violazione della sicurezza dei dati" indica una violazione della sicurezza che comporta distruzione, perdita, alterazione, divulgazione o accesso non autorizzati, siano essi accidentali o illeciti, relativi ai Dati personali trattati da Eventbrite per conto dell'Organizzatore, nell'ambito dell'utilizzo dei Servizi da parte di quest'ultimo.

“Nuove CCT UE" indica le Clausole contrattuali tipo emesse ai sensi della decisione di esecuzione (UE) 2021/914 del 4 giugno 2021 sulle clausole contrattuali tipo per il trasferimento di dati personali verso Paesi terzi, in conformità al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.

"Servizi" indica i servizi forniti da Eventbrite all'Organizzatore, come definito nei Termini di servizio di Eventbrite o qualsiasi altro accordo sui servizi in vigore tra l'Organizzatore ed Eventbrite.

"Misure di sicurezza tecniche e organizzative" indica le ragionevoli misure di sicurezza attuate da Eventbrite in maniera appropriata rispetto al tipo di Dati personali trattati per conto dell'Organizzatore e ai Servizi forniti da Eventbrite, in modo da tutelare i Dati personali da un Trattamento non autorizzato o illecito, nonché da perdita, distruzione, danno, alterazione o divulgazione accidentali.

"Addendum CCT UK" indica l'Addendum per il trasferimento internazionale dei dati del Regno Unito allegato alle Clausole contrattuali tipo per i trasferimenti internazionali di dati, versione B1.0, emesso dal Commissario per l'informazione del Regno Unito ai sensi del Paragrafo 119A della Legge britannica sulla protezione dei dati del 2018 ed entrato in vigore il 21 marzo 2022, come di volta in volta aggiornato, modificato o sostituito.

1. Applicabilità dell'ATD e ambito delle attività di trattamento dei dati.

1.1 Durante l'utilizzo dei Servizi di Eventbrite, l'Organizzatore agisce in qualità di Azienda ed è il Titolare del trattamento dei dati personali associati a un singolo utente dei Servizi di Eventbrite, o della persona per conto della quale un soggetto utilizza i Servizi di Eventbrite, per la registrazione o l'acquisto di un biglietto per partecipare a un evento del suddetto Organizzatore ("Consumatore"). L'Organizzatore dichiara e garantisce di aver fornito tutte le comunicazioni necessarie e, se richiesto, di aver ottenuto tutti i consensi necessari in relazione alla raccolta di tali Dati personali del Consumatore; l'Organizzatore ha diritto a condividere tali Dati personali con Eventbrite.

1.2 Laddove Eventbrite trattasse i Dati personali dei Consumatori per conto dell'Organizzatore nell'ambito dei Servizi, nell'esecuzione di tale Trattamento Eventbrite sarà da considerarsi Responsabile del trattamento dei dati o Fornitore di servizi e l'Organizzatore sarà da considerarsi Titolare del trattamento dei dati o Azienda. Tale condizione comprende circostanze in cui Eventbrite ottiene Dati personali in seguito alla fornitura dei propri servizi principali di emissione biglietti (ad esempio, qualora Eventbrite agevoli la trasmissione di e-mail ai Consumatori su richiesta degli Organizzatori, elabori pagamenti o fornisca rapporti sugli eventi e strumenti per consentire agli Organizzatori di ottenere informazioni sull'efficacia di vari canali di vendita).

Relativamente ad alcuni tipi di trattamento dei Dati personali dei Consumatori, Eventbrite potrebbe agire in qualità di Titolare del trattamento dei dati o di Azienda, ad esempio nel caso in cui i Consumatori abbiano interagito con altri aspetti delle Applicazioni di Eventbrite oltre a quelli relativi all'evento dell'Organizzatore o nel caso in cui i Dati personali dei Consumatori vengano elaborati da Eventbrite per condurre ricerche e analisi che le consentano di migliorare i suoi prodotti e funzionalità e fornire consigli mirati. In merito a tale trattamento, Eventbrite agisce come Titolare del trattamento autonomo e non come Titolare del trattamento in collaborazione con l'Organizzatore.

Nella misura in cui Eventbrite tratti i Dati personali per conto dell'Organizzatore in qualità di Responsabile del trattamento o Fornitore di Servizi, si applicherà la Sezione 2 della presente ATD; tuttavia, qualora Eventbrite agisca come Azienda o Titolare del trattamento dei Dati personali dei Consumatori, il trattamento effettuato da Eventbrite non sarà soggetto alla presente ATD.

1.3 I dettagli riguardanti i Dati personali elaborati da Eventbrite e le attività di Trattamento previste dall'Accordo sono i seguenti: (i) durata - come stabilito dall'Accordo; (ii) natura, ambito e argomento - consentire all'Organizzatore di organizzare e promuovere eventi e di gestire la biglietteria utilizzando i Servizi di Eventbrite; (iii) categorie di dati - nome, indirizzo e-mail, dati di fatturazione e pagamento, informazioni relative a eventi prenotati o seguiti, rapporto con l'Organizzatore e qualsiasi altro Dato personale che l'Organizzatore richieda ai Consumatori di fornire; (iv) parti interessate - Consumatori.

2. Clausole sul trattamento dei dati

2.1 Ogniqualvolta Eventbrite tratta Dati personali per conto dell'Organizzatore, è tenuta a:

2.1.1 Trattare i Dati personali soltanto in base alle indicazioni fornite dall'Organizzatore, se non diversamente stabilito dalla legge applicabile. Eventbrite è tenuta a comunicare all'Organizzatore tali obblighi legali prima di procedere al Trattamento dei dati personali al di fuori delle indicazioni fornite dall'Organizzatore, a meno che non sia la legge stessa a proibirlo per gravi questioni di interesse pubblico. L'Organizzatore è tenuto a verificare che le sue istruzioni siano conformi a tutte le leggi, le norme e i regolamenti applicabili ai Dati personali, e che il trattamento di tali Dati personali da parte di Eventbrite non porti Eventbrite a violare eventuali leggi, norme e regolamenti applicabili, ivi incluse le Leggi in materia di protezione dei dati. Eventbrite è tenuta a comunicare all'Organizzatore se, a suo avviso, le indicazioni fornite dall'Organizzatore in questione violano le Leggi in materia di protezione dei dati applicabili. L'Organizzatore fornisce quindi istruzioni a Eventbrite, ed Eventbrite le accetta, per il trattamento dei Dati personali nel modo necessario per rispondere agli obblighi di Eventbrite ai sensi dell'Accordo e per nessun altro scopo, salvo ove diversamente indicato nella presente ATD o previsto in ottemperanza alla legge o altro ordine statale vincolante. Nel caso in cui la presente ATD o altre azioni da intraprendere o considerare nell'applicazione della presente ATD non soddisfino o possano non soddisfare gli obblighi di una delle due parti ai sensi delle Leggi in materia di protezione dei dati vigenti, le parti negozieranno in buona fede un'adeguata modifica alla presente ATD;

2.1.2 Conformarsi a tutte le disposizioni applicabili delle Leggi in materia di protezione dei dati e fornire lo stesso livello di protezione dai Dati personali richiesto all'Organizzatore dalle Leggi stesse.  Eventbrite tratterà i Dati personali solo come necessario per adempiere gli obblighi di Eventbrite ai sensi dell'Accordo, o nei casi altrimenti consentiti dalla legge applicabile. Fermo restando quanto precede, Eventbrite si impegna a non (i) "vendere" né "condividere" i Dati personali, nel significato attribuito a tali termini nella CCPA; (ii) conservare, utilizzare o diffondere alcuno di tali Dati al di fuori della relazione commerciale diretta tra l'Organizzatore ed Eventbrite, a meno che ciò non sia consentito dalle Leggi in materia di protezione dei dati; (iii) conservare, utilizzare o divulgare i Dati personali per alcuno scopo al di fuori delle finalità commerciali specificate nella presente ATD o altrimenti consentite dalle Leggi in materia di protezione dei dati.  Eventbrite è tenuta a rispettare tutte le restrizioni applicabili ai sensi delle Leggi in materia di protezione dei dati relativamente alla combinazione dei Dati personali con quelli che Eventbrite riceve da o per conto di altri, o che la stessa Eventbrite raccoglie dalle interazioni con qualsiasi individuo.

2.1.3 Attuare misure di sicurezza tecniche e organizzative, fra cui, in via non limitativa, le misure descritte qui: https://www.eventbrite.it/security/.

2.1.4 Informare tempestivamente l'Organizzatore delle eventuali Violazioni della sicurezza dei dati, se non altrimenti vietato dalla legge o salvo diverse indicazioni da parte di forze dell'ordine o autorità di protezione dei dati. Nell'eventualità di una Violazione della sicurezza dei dati, Eventbrite potrà, a sua esclusiva discrezione, fornire comunicazioni in merito alla violazione direttamente alle parti interessate coinvolte. Laddove Eventbrite non effettui tali comunicazioni, sarà tenuta a fornire ragionevole supporto, ove previsto dalle Leggi applicabili in materia di protezione dei dati e su richiesta dell'Organizzatore, al fine di consentire a quest'ultimo di ottemperare ai propri obblighi in qualità di Titolare del trattamento dei dati o Azienda;

2.1.5 Garantire che il proprio personale sia soggetto a obblighi vincolanti in materia di riservatezza riguardo ai Dati personali dei Consumatori trattati da Eventbrite per conto dell'Organizzatore;

2.1.6 Imporre, ai propri sotto-responsabili che hanno accesso ai Dati personali dei Consumatori trattati da Eventbrite per conto dell'Organizzatore, obblighi che siano pari o equivalenti a quelli descritti alla presente Sezione 2 attraverso un contratto scritto, e conservare la piena responsabilità nei confronti dell'Organizzatore per qualsiasi mancato adempimento dei propri obblighi in relazione a tali Dati personali;

2.1.7 Fornire ragionevole supporto all'Organizzatore nel rispondere a richieste sui diritti dei singoli o altre comunicazioni ricevute ai sensi delle Leggi in materia di protezione dei dati vigenti da qualsiasi autorità competente in materia di protezione dei dati o Consumatore che sia parte interessata di qualsiasi Dato personale trattato da Eventbrite per conto dell'Organizzatore. Nel caso in cui un Consumatore invii una richiesta di cancellazione dei Dati personali a Eventbrite, l'Organizzatore istruisce e autorizza Eventbrite a cancellare o rendere anonimi i Dati personali del Consumatore per conto dell'Organizzatore.  Ove necessario, l'Organizzatore informerà Eventbrite di qualsiasi altra richiesta relativa a diritti di singoli a cui Eventbrite deve ottemperare, fornendo le informazioni necessarie affinché possa farlo.

2.1.8 Su richiesta scritta dell'Organizzatore, rendere disponibili all'Organizzatore tutte le informazioni ragionevolmente necessarie per dimostrare la sua conformità agli obblighi elencati alla presente Sezione 2, fornire ragionevole assistenza con le valutazioni sull'impatto della privacy e della tutela dei dati e relative consultazioni da parte di autorità per la tutela dei dati, e collaborare a qualsiasi audit. Qualsiasi audit in loco dovrà: (i) essere consentito solo previa comunicazione con ragionevole anticipo a Eventbrite; (ii) essere soggetto a opportuni impegni in termini di riservatezza; e (iii) essere limitato a una volta ogni tre (3) anni e solo al fine di valutare specifiche carenze sospette una volta esauriti tutti gli altri ragionevoli mezzi; e

2.1.9 Fatta eccezione per i Dati personali in relazione ai quali Eventbrite agisce in qualità di Titolare del trattamento o Azienda, restituire, cancellare o distruggere (a scelta dell'Organizzatore) i Dati personali dei Consumatori trattati per conto dell'Organizzatore e le relative copie, su richiesta dell'Organizzatore (salvo i casi in cui la legge applicabile richieda di conservare tali Dati personali).

2.2 Con il presente Accordo l'Organizzatore acconsente e autorizza Eventbrite a divulgare o trasferire Dati personali, o concedere l'accesso ai Dati personali, agli attuali sotto-responsabili del trattamento di Eventbrite (ossia quelli elencati sul sito web di Eventbrite alla Data effettiva della presente ATD o dell'Accordo, a seconda di quale dei due sia il più recente) ("Attuali sotto-responsabili") al fine di trattare i Dati personali per conto dell'Organizzatore.

2.3 Con il presente Accordo, l'Organizzatore autorizza Eventbrite a incaricare sotto-responsabili aggiuntivi e sostitutivi ("Sotto-responsabili sostitutivi") al fine di trattare i Dati personali per conto dell'Organizzatore. Eventbrite dovrà comunicare all'Organizzatore l'identità dei Sotto-responsabili sostitutivi previsti (i) tramite e-mail laddove l'Organizzatore abbia scelto di ricevere dette notifiche tramite e-mail e (ii) aggiornando il sito web di Eventbrite (l'Organizzatore è responsabile di controllare e rivedere con regolarità il sito web di Eventbrite per verificare la presenza di eventuali modifiche in tal senso). Gli Organizzatori interessati a ricevere comunicazioni tramite e-mail sui Sotto-responsabili sostitutivi dovranno accettare e registrarsi all'invio utilizzando questo modulo (in inglese) (l'Organizzatore sarà l'unico responsabile di garantire che i propri recapiti siano sempre accurati). Eventbrite dovrà inoltre fornire all'Organizzatore la possibilità di opporsi a tali modifiche successive alla Data effettiva dell'Accordo, in conformità con i termini seguenti di cui alla Sezione 2.4 della presente ATD.

A scanso di equivoci, tutti i diritti di cessazione qui indicati saranno applicabili solamente nel caso di obiezioni ai Sotto-responsabili sostitutivi nominati dopo la Data effettiva della presente ATD non conciliabili secondo i termini contenuti nel presente Accordo, e non saranno applicabili ai Sotto-responsabili attuali.

2.4 L'Organizzatore potrà sollevare eventuali obiezioni alla nomina dei Sotto-responsabili sostitutivi entro dieci (10) giorni dalla pubblicazione delle modifiche da parte di Eventbrite sul suo sito web. L'Organizzatore dovrà inviare le proprie obiezioni all'indirizzo e-mail privacy@eventbrite.com indicando nell'oggetto "Objection to Replacement Sub-Processor" (Obiezione alla nomina dei Sotto-responsabili sostitutivi).

A condizione che l'obiezione dell'Organizzatore: (i) riguardi la capacità del Sotto-responsabile sostitutivo di consentire a Eventbrite di aderire effettivamente ai propri obblighi per la tutela dei dati ai sensi della presente ATD; e (ii) comprenda sufficienti dettagli a supporto dell'obiezione e fornisca esempi specifici, Eventbrite sarà tenuta ad applicare ogni ragionevole sforzo a livello commerciale per esaminare e rispondere all'obiezione dell'Organizzatore entro trenta (30) giorni dalla ricezione dell'obiezione dell'Organizzatore tramite il metodo di accordo determinato da Eventbrite.

Qualora Eventbrite stabilisca a propria esclusiva discrezione di non poter accogliere ragionevolmente l'obiezione dell'Organizzatore, previa notifica da parte di Eventbrite, l'Organizzatore può scegliere di cessare l'Accordo tramite notifica per iscritto a Eventbrite, e nel rispetto dei termini contenuti nel presente Accordo, unico ed esclusivo rimedio a disposizione dell'Organizzatore. Senza limitare la generalità di quanto precede, il diritto di cessazione dell'Organizzatore previsto dalla presente Sezione 2.4 verrà considerato come un ulteriore diritto di cessazione dell'Organizzatore ai sensi della sezione "Termine e Cessazione" dell'Accordo (se prevista) e, qualora l'Organizzatore eserciti detto diritto, tale azione rientrerà nei casi di cessazione previsti da questa Sezione. Tale notifica scritta andrà inviata all'indirizzo legal@eventbrite.com e dovrà necessariamente contenere un riferimento specifico alla Sezione 2.4 dell'ATD. Il giorno in cui Eventbrite riceve la notifica di cessazione per iscritto da parte di un Organizzatore ai sensi della presente Sezione 2.4 verrà definito "Data di obiezione" nella presente ATD. Nel caso in cui l'Organizzatore decida di cessare l'Accordo come conseguenza della nomina di un Sotto-responsabile sostitutivo, nessun elemento della presente Sezione 2 solleverà l'Organizzatore dai suoi obblighi di pagamento e/o rimborso a Eventbrite previsti dall'Accordo.

Senza limitare gli altri diritti e doveri di Eventbrite, qualora l'Organizzatore cessi l'Accordo ai sensi della presente Sezione 2.4, l'Organizzatore dovrà immediatamente pagare a Eventbrite (1) tutti gli importi accumulati e dovuti a Eventbrite, compresi, in via esemplificativa e non esaustiva, gli obblighi di pagamento e/o rimborso a Eventbrite di eventuali commissioni, pagamenti per sponsorizzazioni, anticipi e/o pagamenti anticipati di Commissioni di registrazione agli eventi, secondo i termini definiti nell'Accordo e soltanto nella misura applicabile all'Organizzatore, (2) se l'Accordo prevede un numero minimo di biglietti che l'Organizzatore è tenuto a vendere, un importo minimo delle Commissioni di registrazione agli eventi o delle Commissioni di servizio di Eventbrite per le quali è prevista l'elaborazione (ognuna di queste soglie di vendita o elaborazione, "Soglia minima"), e/o la richiesta di versare a Eventbrite la porzione di Commissioni di servizio che Eventbrite avrebbe ricevuto al raggiungimento di una Soglia minima, allora l'Organizzatore accetta di pagare a Eventbrite un importo pari a (x), l'importo che Eventbrite avrebbe ricevuto in Commissioni di servizio se la Soglia minima fosse stata raggiunta in ognuno degli anni da qui alla data di cessazione (Soglia minima calcolata pro rata per tutti gli anni parziali del Periodo), meno (y), l'importo effettivamente ricevuto da Eventbrite in Commissioni di servizio ascrivibili alle vendite dell'Organizzatore per tutto il Periodo fino alla data della cessazione; e (3) l'80% delle Commissioni anticipate che Eventbrite avrebbe guadagnato durante la parte rimanente del Periodo nel caso in cui l'Accordo non fosse stato cessato, relativamente a (x) eventi in vendita presso il Sito alla Data di obiezione, e (y) qualsiasi altro evento futuro che rientri nell'Accordo il cui inizio sarebbe stato previsto nei novanta (90) giorni seguenti alla Data di obiezione.

2.5 Con il presente documento, Eventbrite certifica di comprendere le restrizioni e gli obblighi descritti nella presente ATD e di impegnarsi a rispettarli. Qualora stabilisse di non essere più in grado di soddisfare i propri obblighi ai sensi delle Leggi in materia di protezione dei dati, Eventbrite ne informerà l'Organizzatore.

2.6 L'Organizzatore avrà facoltà, con un preavviso di quattordici (14) giorni lavorativi, di attuare misure ragionevoli e opportune per interrompere e rimediare a qualsiasi utilizzo non autorizzato dei Dati personali da parte di Eventbrite.

3. Trasferimenti di dati all'estero.

3.1 L'Organizzatore accetta che Eventbrite possa trasferire i Dati personali dei Consumatori a varie sedi in relazione alla fornitura dei Servizi. I trasferimenti verranno effettuati in conformità con i meccanismi di trasferimento legalmente applicabili ai sensi delle Leggi in materia di protezione dei dati vigenti. Il meccanismo di trasferimento esclusivo di Eventbrite per i dati esportati dallo Spazio economico europeo, dal Regno Unito e dalla Svizzera consiste nell'utilizzo di Clausole contrattuali tipo, già firmate da Eventbrite per i registri di conformità dell'Organizzatore. Per i trasferimenti dal Regno Unito, Eventbrite ha inoltre incorporato l'Addendum CCT UK alla sezione 3.2 della presente ATD.

3.2 Trasferimenti relativi al Regno Unito. Per quanto concerne i Dati personali di Eventbrite trasferiti dal Regno Unito per cui la legge del Regno Unito (e non la legge in qualsiasi giurisdizione dello Spazio Economico Europeo) disciplina la natura internazionale del trasferimento, l'Addendum CCT UK costituisce parte della presente ATD e prevale sul resto della stessa come in esso stabilito, a meno che il Regno Unito non aggiorni l'Addendum CCT UK, nel qual caso sarà quest'ultimo nella sua versione aggiornata a prevalere. I termini con iniziale maiuscola utilizzati nella presente disposizione ma non definiti vanno intesi nella definizione data nell'Addendum CCT UK. L'Organizzatore acconsente a rispettare l'Addendum CCT UK, incorporato nella presente DPA dal presente riferimento e completato come segue:

1. alla Tabella 1, le Parti sono da interpretarsi come stabilito all'Appendice I delle Nuove CCT UE come eseguite dalle Parti ai sensi della presente ATD;

2. alla Tabella 2, per CCT UE approvate si intendono le Nuove CCT UE come eseguite dalle Parti ai sensi della presente ATD;

3. alla Tabella 3, le Appendici 1A e 1B sono da interpretarsi come stabilito all'Appendice I delle Nuove CCT UE come eseguite dalle Parti ai sensi della presente ATD;

4. alla Tabella 3, l'Appendice II è da interpretarsi come stabilito all'Appendice II delle Nuove CCT UE come eseguite dalle Parti ai sensi della presente ATD;

5. alla Tabella 4, ciascuna parte può cessare la presente ATD come descritto al Paragrafo 19 dell'Addendum CCT UK.

3.3. Trasferimenti relativi alla Svizzera. Per quanto concerne i Dati personali trasferiti dalla Svizzera per cui la legge svizzera (e non la legge in qualsiasi giurisdizione dello Spazio Economico Europeo) disciplina la natura internazionale del trasferimento, (i) i riferimenti al GDPR nella Clausola 4 delle Nuove CCT UE sono, nella misura richiesta dalla legge, modificati in modo da fare riferimento alla Legge federale svizzera sulla protezione dei dati o sue successive modifiche, e il concetto di autorità di sorveglianza include la figura del Commissario federale svizzero per la protezione dei dati e la trasparenza; e (ii) così come modificate, le Nuove CCT UE sono qui incorporate come riferimento e si applicano, costituiscono parte della presente ATD e prevalgono sul resto della stessa in caso di incongruenze.

3.4. Trasferimenti relativi allo SEE. Per quanto concerne i Dati personali trasferiti dallo Spazio Economico Europeo, si applicheranno le Nuove CCT UE qui integrate, che saranno parte della presente ATD. Nell'eventualità di un conflitto fra le disposizioni delle Nuove CCT UE e quelle della presente ATD, prevarranno le Nuove CCT UE.