Acuerdo de procesamiento de datos

Este Acuerdo de procesamiento de datos ("DPA") se celebra entre el organizador del evento ("Responsable del tratamiento", "usted") y ChetsApp UG, que opera la plataforma EventMann ("Encargado del tratamiento", "nosotros"). Este DPA complementa el Acuerdo del organizador y los Términos de servicio.

Las siguientes definiciones se aplican en todo este DPA:

• Responsable del tratamiento: El organizador del evento que determina los fines y medios del procesamiento de datos personales de los asistentes. Cuando crea eventos y recopila información de asistentes a través de EventMann, usted es el Responsable del tratamiento.
• Encargado del tratamiento: ChetsApp UG (EventMann), que procesa datos personales en nombre del Responsable del tratamiento en relación con la prestación de los servicios de la plataforma EventMann.
• Interesado: Una persona física identificada o identificable cuyos datos personales son procesados. En el contexto de EventMann, los Interesados son principalmente los asistentes a eventos.
• Datos personales: Cualquier información relativa a un Interesado, incluyendo nombres, direcciones de correo electrónico, información de reserva y respuestas a preguntas personalizadas de pago.
• Procesamiento: Cualquier operación realizada sobre datos personales, incluyendo recopilación, almacenamiento, recuperación, uso, divulgación, combinación, eliminación o destrucción.
• Subencargado: Un tercero contratado por el Encargado del tratamiento para procesar datos personales en nombre del Responsable del tratamiento.

Este DPA se aplica a todo el procesamiento de datos personales que ChetsApp UG realiza en nombre del Responsable del tratamiento en relación con la plataforma EventMann. El Encargado del tratamiento solo procesará datos personales según las instrucciones documentadas del Responsable del tratamiento, excepto cuando el procesamiento sea requerido por la legislación de la UE o de un estado miembro.

El procesamiento cubierto por este DPA incluye:

• Almacenamiento y gestión de datos de registro y reserva de asistentes
• Procesamiento de compras de entradas y transacciones de pago (en conjunto con Stripe)
• Envío de correos transaccionales en nombre del Responsable del tratamiento (confirmaciones de reserva, entrega de entradas, actualizaciones de eventos)
• Generación de informes y análisis basados en datos de asistentes y reservas
• Facilitación de procesos de registro de entrada mediante validación de códigos QR
• Almacenamiento y entrega de respuestas a preguntas personalizadas de pago definidas por el Responsable del tratamiento

El Encargado del tratamiento no procesará datos personales para ningún fin distinto a la prestación de los servicios de la plataforma EventMann como se describe en este DPA y el Acuerdo del organizador, a menos que sea explícitamente instruido por el Responsable del tratamiento o requerido por la ley aplicable.

Las siguientes categorías de datos personales se procesan bajo este DPA:

Datos de identificación de asistentes:

• Nombre completo
• Dirección de correo electrónico
• Número de teléfono (si se proporciona o es requerido por el Responsable del tratamiento)

Datos de reserva y transacción:

• Números de referencia de reserva
• Tipo y cantidad de entradas
• Fecha y hora de compra
• Estado del pago (confirmado, pendiente, reembolsado)
• Información parcial de pago (últimos 4 dígitos de la tarjeta, marca de la tarjeta — recibidos de Stripe)

Campos de datos personalizados:

• Respuestas a preguntas personalizadas de pago definidas por el Responsable del tratamiento (por ej., requisitos dietéticos, nombre de empresa, necesidades de accesibilidad)

Datos técnicos:

• Dirección IP en el momento de la reserva
• Información del navegador y dispositivo
• Marcas de tiempo de registro de entrada por código QR

Categorías especiales de datos: El Encargado del tratamiento no recopila ni procesa intencionalmente categorías especiales de datos personales (por ej., datos de salud, datos biométricos, creencias religiosas). Si el Responsable del tratamiento configura preguntas personalizadas de pago que soliciten dichos datos, el Responsable del tratamiento es el único responsable de garantizar una base legal apropiada y las salvaguardas adecuadas.

Los datos personales se procesan exclusivamente para los siguientes fines:

• Ejecución del contrato: Procesamiento de reservas, emisión de entradas, facilitación de pagos y gestión de la asistencia a eventos — todo al servicio del contrato entre el Responsable del tratamiento (Organizador) y el Interesado (Asistente).
• Comunicación: Envío de correos transaccionales incluyendo confirmaciones de reserva, entrega de entradas, actualizaciones de eventos y avisos de cancelación en nombre del Responsable del tratamiento.
• Gestión de eventos: Habilitación de la funcionalidad de registro de entrada, gestión de listas de asistentes, procesamiento de solicitudes de reembolso y facilitación de transferencias de entradas según la configuración del Responsable del tratamiento.
• Informes: Generación de informes agregados e individuales sobre ventas de entradas, asistencia, ingresos y otras métricas para los fines de gestión de eventos del Responsable del tratamiento.
• Operación de la plataforma: Mantenimiento de la seguridad, disponibilidad y rendimiento de la plataforma EventMann, incluyendo detección de fraude, prevención de abusos y resolución de problemas técnicos.

El Encargado del tratamiento no utilizará datos personales para sus propios fines de marketing, perfilado o cualquier fin no relacionado con la prestación de los servicios de la plataforma EventMann. Los datos anonimizados y agregados que no puedan vincularse a Interesados individuales pueden ser utilizados por el Encargado del tratamiento para la mejora de la plataforma y el análisis estadístico.

El Responsable del tratamiento autoriza al Encargado del tratamiento a contratar los siguientes subencargados para los fines descritos en este DPA:

• Stripe, Inc. — Procesamiento de pagos, gestión de transacciones y facilitación de pagos. Stripe procesa datos de tarjetas de pago directamente y tiene certificación independiente PCI-DSS Nivel 1. Los términos de procesamiento de datos de Stripe se aplican a su manejo de datos de pago. Ubicación: Estados Unidos, con capacidades de procesamiento de datos en la UE.
• Proveedor de alojamiento: Alojamiento de infraestructura y almacenamiento de datos para la plataforma EventMann. Todos los datos primarios están alojados dentro de la Unión Europea (Alemania). El proveedor de alojamiento procesa datos personales únicamente con el fin de proporcionar servicios de infraestructura y está vinculado por un acuerdo de procesamiento de datos con ChetsApp UG.

El Encargado del tratamiento informará al Responsable del tratamiento antes de agregar o reemplazar cualquier subencargado. El Responsable del tratamiento puede objetar a un nuevo subencargado dentro de los 14 días de la notificación. Si el Responsable del tratamiento objeta y las partes no pueden llegar a una resolución, el Responsable del tratamiento puede terminar los servicios afectados.

El Encargado del tratamiento se asegurará de que todos los subencargados estén vinculados por obligaciones de protección de datos no menos protectoras que las establecidas en este DPA. El Encargado del tratamiento sigue siendo totalmente responsable ante el Responsable del tratamiento por los actos y omisiones de sus subencargados.

El Encargado del tratamiento implementa las siguientes medidas técnicas y organizativas para proteger los datos personales, de acuerdo con el Artículo 32 del RGPD:

Medidas técnicas:

• Cifrado en tránsito usando TLS 1.3 para todas las comunicaciones de datos
• Cifrado en reposo para bases de datos que contienen datos personales
• Hash seguro de contraseñas usando bcrypt con factores de costo apropiados
• Control de acceso basado en roles (RBAC) con permisos granulares que limitan el acceso a datos personales
• Limitación de velocidad y protección contra fuerza bruta en puntos de autenticación
• Escaneo automatizado de vulnerabilidades y actualizaciones de dependencias
• Parches de seguridad y actualizaciones de sistema regulares

Medidas organizativas:

• El acceso a datos personales está restringido al personal autorizado según el principio de necesidad de conocer
• Todo el personal con acceso a datos personales está vinculado por obligaciones de confidencialidad
• Registro de auditoría de todos los accesos y modificaciones de datos personales
• Procedimientos de respuesta a incidentes para eventos de seguridad y violaciones de datos
• Revisión y prueba periódicas de las medidas de seguridad
• Evaluaciones de impacto de protección de datos para actividades de procesamiento de alto riesgo

Estas medidas se revisan y actualizan periódicamente para reflejar los cambios en tecnología, amenazas y requisitos regulatorios. El Responsable del tratamiento puede solicitar información sobre medidas de seguridad específicas en cualquier momento.

El Encargado del tratamiento asistirá al Responsable del tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los Interesados bajo los Artículos 15-22 del RGPD, incluyendo:

• Derecho de acceso (Art. 15): El Encargado del tratamiento proporcionará al Responsable del tratamiento la capacidad de exportar datos de asistentes en un formato estructurado, comúnmente utilizado y legible por máquina.
• Derecho de rectificación (Art. 16): El Encargado del tratamiento permitirá al Responsable del tratamiento corregir datos personales inexactos a través de las funciones de gestión de asistentes de la plataforma.
• Derecho de supresión (Art. 17): A solicitud del Responsable del tratamiento, el Encargado del tratamiento eliminará los datos personales de Interesados específicos, excepto cuando la retención sea requerida por ley (por ej., registros financieros bajo el derecho comercial alemán).
• Derecho de restricción (Art. 18): El Encargado del tratamiento apoyará al Responsable del tratamiento en la restricción del procesamiento de datos personales cuando el Interesado cuestione la exactitud u objete al procesamiento.
• Derecho a la portabilidad de datos (Art. 20): El Encargado del tratamiento proporcionará funcionalidad de exportación de datos en formatos CSV y JSON para facilitar la portabilidad.
• Derecho de oposición (Art. 21): El Responsable del tratamiento es responsable de manejar las objeciones al procesamiento e instruir al Encargado del tratamiento en consecuencia.

Si el Encargado del tratamiento recibe una solicitud directamente de un Interesado, el Encargado del tratamiento notificará de inmediato al Responsable del tratamiento y no responderá a la solicitud directamente a menos que esté autorizado por el Responsable del tratamiento o lo exija la ley.

En caso de una violación de datos personales, el Encargado del tratamiento notificará al Responsable del tratamiento sin demora indebida y en cualquier caso dentro de las 72 horas de tener conocimiento de la violación. Este plazo se alinea con la obligación del Responsable del tratamiento de notificar a la autoridad de supervisión bajo el Artículo 33 del RGPD.

La notificación de violación incluirá, en la medida de lo posible:

• Una descripción de la naturaleza de la violación, incluyendo las categorías y número aproximado de Interesados y registros afectados
• El nombre y datos de contacto del punto de contacto de protección de datos del Encargado del tratamiento
• Una descripción de las consecuencias probables de la violación
• Una descripción de las medidas tomadas o propuestas para abordar la violación y mitigar sus efectos

El Encargado del tratamiento cooperará plenamente con el Responsable del tratamiento en la investigación y remediación de la violación, incluyendo:

• Proporcionar información adicional a medida que esté disponible
• Tomar medidas inmediatas para contener la violación y prevenir más accesos no autorizados
• Asistir al Responsable del tratamiento con notificaciones a los Interesados cuando sea requerido bajo el Artículo 34 del RGPD
• Preservar evidencia y registros relevantes para la investigación de la violación

El Encargado del tratamiento documentará todas las violaciones de datos personales, incluyendo los hechos, efectos y acciones correctivas tomadas, independientemente de si se requiere la notificación a la autoridad de supervisión.

Tras la terminación del Acuerdo del organizador o a solicitud escrita del Responsable del tratamiento, el Encargado del tratamiento deberá:

• Devolver datos: Proporcionar al Responsable del tratamiento una exportación completa de todos los datos personales procesados en su nombre, en un formato estructurado, comúnmente utilizado y legible por máquina (CSV o JSON).
• Eliminar datos: Eliminar todos los datos personales de los sistemas del Encargado del tratamiento dentro de 30 días de recibir la solicitud de devolución o tras la terminación del acuerdo, lo que ocurra primero.
• Confirmar eliminación: Proporcionar confirmación escrita de la eliminación de datos a solicitud del Responsable del tratamiento.

Excepciones a la eliminación: El Encargado del tratamiento puede retener datos personales más allá del plazo de eliminación cuando lo exija la ley aplicable, incluyendo:

• Registros de transacciones financieras requeridos por el derecho comercial alemán (HGB §257) — retenidos hasta 10 años
• Registros relevantes para impuestos requeridos por el Código fiscal alemán (AO §147) — retenidos hasta 10 años
• Datos necesarios para el establecimiento, ejercicio o defensa de reclamaciones legales

Cuando los datos se retengan bajo una obligación legal, serán restringidos de procesamiento adicional y protegidos con medidas de seguridad apropiadas. El Encargado del tratamiento informará al Responsable del tratamiento de cualquier obligación legal de retención que impida la eliminación completa.

Las copias de seguridad que contengan datos personales serán sobrescritas a través del ciclo normal de rotación de copias de seguridad, que no excede los 90 días.

Este Acuerdo de procesamiento de datos se rige por y se interpreta de acuerdo con las disposiciones del Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679), en particular el Artículo 28, que establece los requisitos para los acuerdos de procesamiento de datos entre responsables y encargados del tratamiento.

En la medida en que el RGPD no aborde una cuestión particular, este DPA se regirá por las leyes de la República Federal de Alemania, incluyendo la Ley Federal de Protección de Datos (BDSG). Cualquier disputa que surja de este DPA estará sujeta a la jurisdicción exclusiva de los tribunales de Múnich (München), Alemania.

Si alguna disposición de este DPA es declarada inválida o inaplicable, las disposiciones restantes permanecerán en pleno vigor y efecto. La disposición inválida será reemplazada por una disposición válida que logre el propósito original lo más fielmente posible.

Este DPA entra en vigor a partir de la fecha en que el Responsable del tratamiento crea una cuenta de organizador en EventMann y permanece en vigor durante la duración del Acuerdo del organizador más cualquier período de retención de datos aplicable. Este DPA puede ser modificado por el Encargado del tratamiento con 30 días de aviso previo al Responsable del tratamiento. El uso continuado de la plataforma después del período de aviso constituye la aceptación de los términos modificados.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Alemania