Skip to main content
Monetizar base de datos
Genera ingresos recurrentes entre ediciones
Segmentar audiencia
Envía a cada persona lo que realmente le interesa
Fidelizar asistentes
Mejora la retención y mantén la conexión activa
Comunicación omnicanal
Email + SMS + WhatsApp desde una sola plataforma
Aumentar asistencia
Llena tu aforo optimizando tus campañas
Gestionar múltiples eventos
Todo centralizado para promotores con varios eventos
CRM para eventos
Gestiona y segmenta tu audiencia de eventos
Email Marketing
Campañas de email con IA que venden entradas
SMS Marketing
Mensajes SMS personalizados con 98% de apertura
Chatbot IA
Atiende miles de asistentes con IA 24/7
Analytics
Controla facturación y rendimiento de todos tus eventos
Superapp
App móvil todo en uno para gestionar tus eventos
Integraciones
Conecta con tus herramientas favoritas
Festivales
CRM y marketing para festivales de música
Salas y clubs
Software para discotecas y salas de conciertos
Promotores
Gestión profesional de múltiples eventos
Calculadora de Ingresos
Calcula el potencial de ingresos de tu festival
Portal de cliente
Accede al portal de soporte y documentación
Desarrolladores
Documentación técnica de la API
🇬🇧EN Acceso Solicitar información

Data Processing Addendum (DPA)

Este documento regula el tratamiento de datos personales cuando Nevent actúa como Encargado del Tratamiento.

Last updated: 13 de enero de 2024
Version: 1.0
Aplica desde: 13 de enero de 2024
Hash: 3d65f700ebe85a715dce1359d78194a327a6f577a33ea22e5f59c3eceba32a14

Este Data Processing Addendum (el "DPA") forma parte del acuerdo aplicable entre Neventech, S.L. ("Nevent", "nosotros") y el cliente que contrata o utiliza los servicios de Nevent ("Cliente", "") (el "Acuerdo").

Este DPA aplica cuando Nevent trata Datos Personales por cuenta del Cliente para prestar los Servicios.

Si no estás de acuerdo con este DPA, no debes utilizar los Servicios.

1. Definiciones

Salvo que se definan expresamente aquí, los términos en mayúscula tienen el significado del Acuerdo o de la Legislación de Protección de Datos.

  • "Legislación de Protección de Datos": GDPR, normativa española aplicable (incl. LOPDGDD) y, cuando aplique, UK GDPR y normativa suiza.
  • "Datos Personales", "Tratamiento", "Responsable", "Encargado", "Subencargado", "Violación de Seguridad": según GDPR y normativa equivalente aplicable.
  • "Datos del Cliente": Datos Personales tratados por Nevent por cuenta del Cliente en relación con los Servicios.
  • "Datos de Cuenta": Datos Personales necesarios para crear/administrar la cuenta del Cliente (p. ej., usuario admin, credenciales, datos de facturación/contratación, contactos de soporte).
  • "Datos Agregados/Anonimizados": datos derivados de Datos del Cliente que no identifican a ninguna persona (ni directa ni indirectamente) y que se usan para analítica global/estadística/mejora del servicio.

2. Roles de las Partes y alcance

2.1 Nevent como Encargado (Customer Data)

En lo relativo a los Datos del Cliente, el Cliente actúa como Responsable y Nevent como Encargado.

2.2 Nevent como Responsable (Account Data)

En lo relativo a Datos de Cuenta, Nevent puede actuar como Responsable (p. ej. gestión de usuarios admin, facturación, seguridad, prevención de fraude). Estos tratamientos se regulan por la Política de Privacidad de Nevent y no por este DPA.

2.3 Cliente como Encargado

Si el Cliente actúa como Encargado de un tercero (p. ej. una marca), Nevent actuará como Subencargado, aplicándose este DPA en lo pertinente.

2.4 Interacción con el Acuerdo y entidades afiliadas

Este DPA complementa y, en caso de conflicto en materia de protección de datos, prevalece sobre el Acuerdo.

El Cliente puede celebrar este DPA en nombre de sus entidades afiliadas que utilicen los Servicios. En tal caso:

  • El Cliente está autorizado a actuar en nombre de dichas entidades afiliadas.
  • El Cliente es designado como el punto de contacto principal para hacer cumplir los términos de este DPA en nombre de todas las entidades afiliadas.
  • Las notificaciones al Cliente satisfarán los requisitos de notificación a las entidades afiliadas.
  • Cada entidad afiliada será responsable de sus propias obligaciones bajo este DPA en lo relativo a los Datos del Cliente que trate.

3. Objeto, duración, naturaleza y finalidades

3.1 Objeto

Prestación de los Servicios según el Acuerdo.

3.2 Duración

Durante la vigencia del Acuerdo y el período de retención descrito en la sección 13.

3.3 Naturaleza y finalidades

Las descritas en el Anexo 1 (Detalles del Tratamiento).

4. Instrucciones del Cliente

4.1 Nevent tratará los Datos del Cliente únicamente conforme a instrucciones documentadas del Cliente, incluyendo:

  • este DPA,
  • el Acuerdo, y
  • el uso normal de las funcionalidades del Servicio según la configuración del Cliente.

4.2 Instrucciones adicionales deberán ser razonables, por escrito, y podrán estar sujetas a costes si implican trabajo sustancial.

4.3 Si Nevent considera que una instrucción infringe la Legislación de Protección de Datos, lo notificará al Cliente salvo prohibición legal.

4.4 Obligación legal: si una norma obliga a Nevent a tratar Datos del Cliente de otra forma, Nevent informará al Cliente cuando sea legalmente posible.

5. Confidencialidad y personal autorizado

5.1 Nevent garantiza que las personas autorizadas a tratar Datos del Cliente:

  • están sujetas a obligaciones de confidencialidad (contractuales o legales), y
  • reciben formación razonable en materia de seguridad y privacidad cuando proceda.

5.2 Nevent limitará el acceso a Datos del Cliente siguiendo el principio de mínimo privilegio.

6. Medidas de seguridad (art. 32 GDPR)

6.1 Nevent implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

6.2 Un resumen de estas medidas se describe en el Anexo 2 (Medidas de Seguridad).

6.3 Nevent puede actualizar las medidas de seguridad manteniendo un nivel de protección equivalente o superior.

6.4 A petición razonable del Cliente, Nevent podrá facilitar información adicional sobre medidas de seguridad, sujeta a confidencialidad.

7. Subencargados del tratamiento (Subprocessors)

7.1 Qué es un Subencargado

Un Subencargado del tratamiento (o Subprocessor) es un proveedor externo contratado por Nevent que trata Datos del Cliente por cuenta de Nevent para poder prestar los Servicios (por ejemplo, infraestructura cloud, analítica, mensajería, o IA cuando el Cliente activa esa funcionalidad).

Importante: Nevent solo considerará "Subencargado" a un proveedor cuando trate Datos del Cliente (datos personales tratados por Nevent en nombre del Cliente). Si un proveedor solo trata Datos de Cuenta (p. ej., facturación, usuarios admin), se regirá por los términos/privacidad aplicables y no necesariamente por este DPA.

7.2 Autorización general

El Cliente otorga a Nevent una autorización general para contratar Subencargados cuando sea necesario para prestar los Servicios.

7.3 Lista de Subencargados

Nevent mantendrá una lista actualizada de Subencargados en el Anexo 3 de este DPA.

El listado incluirá, como mínimo, nombre, tipo de servicio, ubicación principal de tratamiento y, cuando aplique, garantías para transferencias internacionales.

7.4 Cambios en Subencargados (notificación)

Nevent notificará al Cliente las altas o sustituciones de Subencargados mediante:

  • actualización del Listado, y/o
  • aviso razonable por email y/o en el panel.

7.5 Derecho de oposición del Cliente

El Cliente puede oponerse a un nuevo Subencargado por motivos razonables relacionados con la protección de datos, notificándolo por escrito dentro de 15 días desde la notificación.

Si existe oposición válida:

  1. Nevent y el Cliente cooperarán de buena fe para ofrecer una alternativa razonable.
  2. Si no fuera posible sin un impacto desproporcionado o sin degradar materialmente el Servicio, Nevent podrá:
    • suspender o rescindir la funcionalidad/parte del Servicio afectada, y/o
    • permitir que el Cliente rescinda la parte afectada conforme al Acuerdo.

7.6 Obligaciones contractuales con Subencargados ("flow-down")

Nevent firmará con cada Subencargado un acuerdo escrito que imponga obligaciones de protección de datos no menos protectoras que las de este DPA, incluyendo como mínimo:

  • tratamiento solo bajo instrucciones documentadas,
  • confidencialidad del personal,
  • medidas técnicas y organizativas adecuadas (art. 32 GDPR),
  • asistencia en derechos del interesado y cumplimiento,
  • notificación de violaciones de seguridad,
  • eliminación o devolución de datos al finalizar,
  • auditoría/evidencia razonable cuando proceda.

7.7 Responsabilidad por Subencargados

Nevent seguirá siendo responsable frente al Cliente por el cumplimiento de las obligaciones de sus Subencargados en la medida exigida por la Legislación de Protección de Datos.

7.8 Subencargados "condicionales" (funcionalidades opcionales)

Algunos Subencargados solo aplican si el Cliente activa o utiliza funcionalidades específicas (por ejemplo, SMS o IA). En esos casos, dichos proveedores actuarán como Subencargados solo cuando traten Datos del Cliente por cuenta de Nevent en relación con esa funcionalidad.

7.9 Subencargados de emergencia

En casos excepcionales (por ejemplo, incidentes de seguridad, continuidad del servicio o fallos críticos), Nevent podrá contratar temporalmente un Subencargado no listado para restaurar o mantener el Servicio, notificándolo al Cliente tan pronto como sea razonablemente posible y actualizando el Listado.

8. Asistencia al Cliente

8.1 Responsabilidad exclusiva del Cliente y asistencia de Nevent

El Cliente tiene la responsabilidad exclusiva de responder a solicitudes de derechos de los interesados en relación con los Datos del Cliente, incluyendo:

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de supresión
  • Derecho de oposición
  • Derecho de limitación del tratamiento
  • Derecho de portabilidad
  • Derechos relacionados con decisiones automatizadas y elaboración de perfiles (cuando aplique)

Nevent asistirá razonablemente al Cliente para atender estas solicitudes mediante:

  • Funcionalidades de autoservicio disponibles en el Servicio (p. ej., exportación de datos, supresión).
  • Asistencia técnica razonable dentro del soporte estándar del Servicio.

La asistencia se proporcionará en la medida en que sea aplicable a los Servicios y técnicamente posible. Asistencia adicional más allá del soporte estándar (p. ej., consultas complejas, desarrollos personalizados) puede estar sujeta a costos adicionales, los cuales serán comunicados al Cliente con antelación razonable.

8.2 Solicitudes recibidas por Nevent

Si Nevent recibe una solicitud directamente de un interesado relativa a Datos del Cliente:

  • la redirigirá al Cliente sin dilación indebida y sin responder por su cuenta, salvo obligación legal, y
  • proporcionará asistencia razonable si el Cliente lo solicita, conforme a la sección 8.1.

8.3 DPIA y consulta previa

Nevent proporcionará, de forma razonable, la información necesaria para apoyar:

  • evaluaciones de impacto (DPIA), y
  • consultas previas con autoridades,

en la medida en que sea relevante para los Servicios y esté bajo control de Nevent.

9. Cooperación con autoridades y requerimientos

9.1 Nevent cooperará razonablemente con autoridades de control cuando sea necesario para el cumplimiento del DPA y de la Legislación de Protección de Datos, teniendo en cuenta su rol de Encargado.

9.2 Si Nevent recibe un requerimiento legal vinculante (p. ej. orden judicial) relativo a Datos del Cliente, notificará al Cliente cuando sea legalmente posible y tomará medidas razonables para limitar la divulgación.

10. Violaciones de Seguridad (Data Breach)

10.1 Nevent notificará al Cliente sin dilación indebida tras tener conocimiento de una Violación de Seguridad que afecte a Datos del Cliente.

10.2 La notificación incluirá, en la medida disponible:

  • naturaleza del incidente,
  • categorías y volumen aproximado de interesados/datos afectados,
  • medidas adoptadas o propuestas,
  • punto de contacto,
  • cualquier otra información razonable para que el Cliente cumpla sus obligaciones.

10.3 Nevent cooperará razonablemente para investigar, mitigar y remediar el incidente, sin perjuicio de limitaciones por seguridad, confidencialidad o investigación en curso.

10.4 No admisión de responsabilidad: La notificación de una Violación de Seguridad conforme a esta sección no constituirá una admisión de culpa o responsabilidad por parte de Nevent con respecto a la Violación de Seguridad.

11. Auditoría y evidencia de cumplimiento (art. 28.3 GDPR)

11.1 A solicitud razonable, Nevent pondrá a disposición información para demostrar cumplimiento, como:

  • documentación de seguridad,
  • respuestas a cuestionarios de privacidad razonables,
  • informes/certificaciones de terceros si existieran (sin obligación de obtenerlos).

11.2 Certificaciones en lugar de auditoría: Si el alcance de la auditoría está cubierto por una certificación ISO 27001, SOC 2 Type II u otra certificación de seguridad relevante vigente dentro de los últimos 12 meses, el Cliente aceptará dichos hallazgos en lugar de realizar una auditoría in situ.

11.3 Auditorías in situ solo se permitirán cuando lo anterior sea insuficiente y exista una necesidad justificada:

  • preaviso de al menos 2 semanas (14 días naturales),
  • el auditor debe ser independiente, calificado y no competidor de Nevent,
  • alcance limitado a tratamiento de Datos del Cliente,
  • durante horario laboral,
  • sujeta a confidencialidad y a medidas de seguridad,
  • no más de una vez al año salvo incidente grave o requerimiento de autoridad,
  • costes razonables a cargo del Cliente, incluyendo el reembolso del tiempo del personal de Nevent a tarifas razonables.

11.4 Nevent puede proponer una auditoría por tercero independiente y facilitar resultados como alternativa equivalente.

12. Transferencias internacionales

12.1 Cláusulas Contractuales Tipo (SCCs)

Cuando los Datos del Cliente se transfieren fuera del EEE/Reino Unido/Suiza a un país sin decisión de adecuación y el Data Privacy Framework no esté disponible o no sea aplicable según el alcance del GDPR, Nevent aplicará las Cláusulas Contractuales Tipo (SCCs) de la UE 2021/914, incorporadas por referencia:

  • Módulo 2 (Responsable → Encargado): Cliente = Exportador; Nevent = Importador.
  • Módulo 3 (Encargado → Subencargado): si el Cliente actúa como Encargado de un tercero.
  • UK Addendum: si aplica UK GDPR, conforme al Anexo 5.
  • Swiss Addendum: si aplica legislación suiza, conforme al Anexo 5.

12.2 Data Privacy Framework (DPF)

Nevent se autocertifica ante el Data Privacy Framework (DPF) entre EE.UU. y la UE/Reino Unido/Suiza, y cumple con sus principios aplicables. El DPF se utilizará como mecanismo de transferencia donde sea reconocido como válido por las autoridades de protección de datos competentes.

El DPF aplica a transferencias de datos personales del EEE, Reino Unido y Suiza a EE.UU. donde el DPF sea reconocido por la legislación aplicable como garantía adecuada para transferencias internacionales.

12.3 Medidas Suplementarias y asistencia para Data Transfer Impact Assessments

Nevent implementa medidas suplementarias técnicas, organizativas y contractuales para transferencias internacionales, según se describe en el Anexo 4.

Nevent proporcionará asistencia razonable al Cliente para realizar Data Transfer Impact Assessments (DTIAs) cuando sea necesario. Asistencia adicional más allá del soporte estándar puede estar sujeta a costos adicionales, los cuales serán reembolsados por el Cliente.

13. Devolución y supresión al finalizar

13.1 Exportación y copia antes de terminación: Si el Cliente lo solicita antes de la terminación del Acuerdo, Nevent proporcionará una copia de todos los Datos del Cliente raw (datos personales originales facilitados al Servicio) en formato de uso común legible por máquina (como CSV o JSON), o habilitará funcionalidades de autoservicio para que el Cliente recupere dichos datos. Los datos enriquecidos (scores, predicciones, segmentaciones automáticas, agregaciones) generados por los modelos de Nevent no son exportables conforme a la sección 14.3.

13.2 Período de recuperación post-terminación: Al finalizar el Acuerdo, el Cliente podrá exportar Datos del Cliente raw mediante las funcionalidades de autoservicio del Servicio durante 30 días (período de recuperación), salvo pacto distinto. Los datos enriquecidos cesarán de estar disponibles al finalizar el Acuerdo.

13.3 Supresión completa: Dentro de los 90 días siguientes a la terminación del Acuerdo, Nevent suprimirá o anonimizará de forma completa todos los Datos del Cliente de todos sus sistemas, salvo:

  • conservación exigida por ley aplicable, o
  • conservación necesaria para litigios pendientes o potenciales, o
  • retención por ciclos normales de backup/logs según se describe en la sección 13.4.

13.4 Backups: Copias de seguridad pueden persistir hasta su rotación normal más allá del plazo de 90 días; mientras existan, permanecerán protegidas conforme a este DPA y no se usarán activamente. Nevent no está obligado a suprimir Datos del Cliente de backups hasta que dichas copias se eliminen conforme a los ciclos de rotación normales.

14. Datos agregados/anonimizados

14.1 Nevent puede generar y utilizar Datos Agregados/Anonimizados para analítica global, mejora del servicio, seguridad y reporting interno, siempre que dichos datos no identifiquen a ninguna persona.

14.2 Estos datos no se consideran Datos del Cliente a efectos de este DPA.

14.3 Propiedad Intelectual y Datos Enriquecidos:

(a) Propiedad de Nevent: Los modelos de machine learning, algoritmos, metodologías, tecnología subyacente, know-how y cualquier otra propiedad intelectual desarrollada o utilizada por Nevent para generar datos enriquecidos son y seguirán siendo propiedad exclusiva de Nevent.

(b) Datos enriquecidos del Cliente: Los datos enriquecidos generados por Nevent (incluyendo scores de engagement, predicciones de comportamiento, segmentaciones automáticas, agregaciones estadísticas y otros insights calculados mediante los modelos de Nevent) son propiedad de Nevent y solo están disponibles para el Cliente dentro del Servicio durante la vigencia del Acuerdo. El Cliente puede visualizar y utilizar estos datos enriquecidos exclusivamente a través de la interfaz del Servicio para sus finalidades de negocio internas, pero no puede exportarlos, extraerlos, copiarlos ni transferirlos fuera del Servicio.

(c) Mejora del producto mediante aprendizaje agregado: Nevent puede utilizar patrones agregados, estadísticas y aprendizajes no identificables derivados del uso del Servicio por múltiples clientes para:

  • Mejorar la precisión y rendimiento de sus modelos y algoritmos.
  • Desarrollar nuevas funcionalidades y capacidades analíticas.
  • Ofrecer benchmarks y estadísticas de sector agregadas (sin identificar a ningún Cliente específico).

(d) Restricciones:

  • El Cliente no podrá realizar ingeniería inversa, descompilar ni intentar extraer los modelos, algoritmos o tecnología subyacente de Nevent.
  • Nevent no venderá, licenciará ni divulgará los datos enriquecidos individuales de un Cliente a terceros, salvo que estén completamente anonimizados o según se requiera para proporcionar el Servicio.

(e) Exportación y terminación: El Cliente puede exportar los Datos del Cliente raw (datos personales originales facilitados al Servicio, tales como nombres, emails, eventos de interacción, compras y otra información proporcionada directamente por el Cliente) conforme a la sección 13. Los datos enriquecidos (scores, predicciones, segmentaciones automáticas, agregaciones) no son exportables y cesarán de estar disponibles tras la terminación del Acuerdo. Nevent conservará su propiedad intelectual y podrá continuar utilizando los aprendizajes agregados obtenidos.

15. Obligaciones del Cliente

El Cliente declara y garantiza que:

  • dispone de una base legal válida para tratar y transferir Datos del Cliente a Nevent,
  • ha informado a los interesados y obtenido consentimientos cuando corresponda,
  • no incorpora categorías especiales (art. 9) ni datos penales (art. 10) salvo acuerdo escrito,
  • configura y utiliza el Servicio conforme a la Legislación de Protección de Datos (p. ej. cookies, consentimiento marketing, listas, bajas, etc.).

16. Seguridad del Cliente

16.1 El Cliente es responsable de:

  • mantener credenciales seguras,
  • gestionar accesos de usuarios admin,
  • configurar correctamente permisos, listas, consentimientos y segmentaciones,
  • revisar los outputs/automatizaciones que cree dentro del Servicio (p. ej. reglas de segmentación y envíos).

17. Responsabilidad

17.1 Las limitaciones y exclusiones de responsabilidad se regirán por el Acuerdo, salvo que la ley aplicable disponga lo contrario.

17.2 Nada en este DPA limita la responsabilidad cuando no sea legalmente limitable.

18. Orden de prevalencia

En caso de conflicto entre este DPA y el Acuerdo en materia de protección de datos, prevalecerá este DPA.

19. Cambios en este DPA

Podemos actualizar este DPA para reflejar cambios legales, técnicos o del Servicio. Publicaremos la nueva versión en esta página e indicaremos la fecha de "Last updated".

Cuando el cambio sea material, haremos esfuerzos razonables para notificarlo (p. ej., email o aviso en el panel).
El uso continuado del Servicio tras la entrada en vigor implica aceptación.

20. Contacto

Para cuestiones de protección de datos: dpo@eritiaprivacidad.com
Dirección: NEVENTECH S.L., Taibo – Carnoedo, 1 – 15169 Sada (A Coruña), España

Anexo 1 — Detalles del Tratamiento

Parte 1 - Partes (para efectos de SCCs)

Exportador de datos (Responsable del Tratamiento):

  • Identidad: Cliente y sus entidades afiliadas que utilicen los Servicios, ubicados en el Espacio Económico Europeo (EEE), Reino Unido, Suiza u otras jurisdicciones donde aplique el GDPR o legislación suiza de protección de datos.
  • Dirección: Según especificado en el Acuerdo del Cliente.
  • Contacto: Responsable de protección de datos o punto de contacto del Cliente según especificado en el Acuerdo.
  • Rol: Responsable del Tratamiento (Controller) de los Datos del Cliente.

Importador de datos (Encargado del Tratamiento):

  • Identidad: NEVENTECH S.L.
  • Dirección: Taibo – Carnoedo, 1 – 15169 Sada (A Coruña), España
  • Contacto: dpo@eritiaprivacidad.com
  • Rol: Encargado del Tratamiento (Processor) de los Datos del Cliente; o Subencargado (Sub-processor) cuando el Cliente actúe como Encargado de un tercero.

Parte 2 - Descripción de la Transferencia

Frecuencia de transferencia: Continua, según la configuración del Servicio y el uso por parte del Cliente.

Servicios: Nevent (email marketing, CRM/segmentación, analítica, automatizaciones, notificaciones y funciones relacionadas con eventos).

Finalidades (ejemplos):

  • Gestión de base de datos de asistentes/usuarios.
  • Segmentación y enriquecimiento de campos de perfil (según configuración del Cliente).
  • Envío de comunicaciones (email, push, WhatsApp/SMS si aplica).
  • Reporting y analítica de rendimiento.
  • Integraciones de ticketing/pagos/cashless (si aplica).
  • Soporte, mantenimiento, seguridad y prevención de fraude/abuso.

Naturaleza del tratamiento: recopilación, estructuración, almacenamiento, consulta, uso, comunicación/transferencia, supresión.

Categorías de interesados:

  • Asistentes/compradores de entradas.
  • Suscriptores de comunicaciones.
  • Usuarios de apps asociadas al evento.
  • Personal del Cliente (usuarios administradores).

Categorías de datos personales (ejemplos):

  • Identificativos: nombre, email, teléfono.
  • Demográficos: ciudad, provincia, país, idioma, género (si aplica).
  • Actividad: aperturas/clics, eventos de navegación/app, preferencias declaradas.
  • Transaccionales: compras de entradas, consumos cashless (si se integra), merchandising (si aplica).
  • Identificadores técnicos: IP, device ID, cookies/IDs publicitarios (según configuración).
  • Datos de soporte: comunicaciones con soporte, logs técnicos.

Categorías especiales (art. 9): no previstas salvo acuerdo expreso.
Datos penales (art. 10): no previstos salvo acuerdo expreso.

Duración del tratamiento: vigencia del Acuerdo + retención del apartado 13.

Parte 3 - Autoridad Competente de Protección de Datos

La autoridad de control competente dependerá de la ubicación del Exportador de datos (Cliente):

  • Exportadores de la Unión Europea: La autoridad de protección de datos del Estado miembro de la UE en el que esté establecido el Exportador.
  • Exportadores no-UE/no-UK con representante en la UE: La autoridad de protección de datos del Estado miembro de la UE en el que esté establecido el representante del Exportador.
  • Reino Unido: Information Commissioner's Office (ICO).
  • Suiza: Federal Data Protection and Information Commissioner (FDPIC).
  • Otros exportadores no especificados arriba: Agencia Española de Protección de Datos (AEPD) será la autoridad de control competente.

Anexo 2 — Medidas de seguridad (resumen)

A) Gobierno, organización y políticas

  • Políticas internas de seguridad y privacidad.
  • Gestión de riesgos y revisiones periódicas.
  • Formación razonable de personal con acceso a sistemas.

B) Control de accesos

  • Acceso por roles (RBAC) y mínimo privilegio.
  • Gestión de credenciales y rotación de secretos cuando aplique.
  • MFA para cuentas administrativas cuando sea posible.

C) Cifrado

  • Cifrado en tránsito (TLS) para comunicaciones.
  • Cifrado en reposo en almacenamiento cuando aplique.
  • Protección de claves/secretos (p. ej. servicios gestionados / vault).

D) Registro y monitorización

  • Logging de eventos relevantes.
  • Monitorización y alertas.
  • Controles de detección de abuso/fraude razonables.

E) Resiliencia

  • Backups y procedimientos de recuperación.
  • Planes de continuidad/DR en la medida razonable para el Servicio.

F) Desarrollo seguro

  • Entornos separados (dev/stage/prod) cuando aplique.
  • Control de cambios y revisiones.
  • Gestión de vulnerabilidades y parches.

G) Incidentes

  • Procedimiento de respuesta ante incidentes.
  • Escalado interno y comunicación a Cliente conforme a sección 10.

H) Aislamiento multi-tenant

  • Controles lógicos para separar datos entre clientes.
  • Pruebas/controles razonables para evitar accesos cruzados.

Anexo 3 — Subencargados del tratamiento (Listado)

Last updated: 13 de enero de 2024

Esta lista identifica a los proveedores ("Subencargados") que Nevent utiliza para prestar el Servicio y que pueden tratar Datos del Cliente.

1) Subencargados

Subencargado Servicio Cuándo aplica Finalidad Datos potencialmente tratados Ubicación principal Transferencias / garantías
Amazon Web Services, Inc. (AWS) Infraestructura cloud (hosting, almacenamiento, redes, servicios gestionados) Siempre Operación de la plataforma (servidores, almacenamiento, backups, disponibilidad y seguridad) Datos del Cliente almacenados/procesados por el Servicio; metadatos técnicos y logs UE (Irlanda - eu-west-1) SCCs u otras garantías aplicables si hay tratamiento fuera del EEE
Google Cloud (Google LLC) Infraestructura cloud Siempre o según configuración Operaciones técnicas necesarias para el Servicio Datos del Cliente almacenados/procesados por el Servicio; metadatos técnicos y logs UE (según configuración) SCCs u otras garantías aplicables si hay tratamiento fuera del EEE
SMS Publi Proveedor de mensajería SMS Solo si el Cliente activa SMS Envío y entrega de SMS Número de teléfono, contenido del mensaje, metadatos de entrega (estado, timestamps) España (UE) N/A (proveedor UE)
OpenAI IA generativa (API) Solo si el Cliente activa funcionalidades de IA (p. ej. generador de plantillas) Generación de contenido / asistencia Prompts y respuestas; pueden incluir datos personales si se envían para contextualizar EE.UU. Transferencias internacionales; garantías según DPA/SCCs del proveedor
Anthropic (Claude) IA generativa (API) Solo si el Cliente activa funcionalidades de IA (p. ej. generador de plantillas) Generación de contenido / asistencia Prompts y respuestas; pueden incluir datos personales si se envían para contextualizar EE.UU. Transferencias internacionales; garantías según DPA/SCCs del proveedor

2) Notas sobre IA

  • Los proveedores de IA se consideran Subencargados solo cuando tratan Datos del Cliente por cuenta de Nevent (por ejemplo, generación de plantillas con contexto que incluya datos personales).
  • Nevent aplica medidas razonables de minimización para evitar enviar Datos del Cliente innecesarios a proveedores de IA.
  • El Cliente no debe introducir en prompts categorías especiales de datos (art. 9 GDPR) ni datos penales (art. 10 GDPR) salvo acuerdo expreso por escrito.

3) Contacto

Para consultas sobre Subencargados: dpo@eritiaprivacidad.com

4) Selección de Cláusulas de las SCCs (Standard Contractual Clauses)

Cuando apliquen las Cláusulas Contractuales Tipo (SCCs) de la UE 2021/914 según la sección 12.1 del DPA, se completan las siguientes cláusulas:

  • Módulos aplicados:
    • Módulo 2 (Responsable → Encargado): cuando el Cliente actúa como Responsable y Nevent como Encargado.
    • Módulo 3 (Encargado → Subencargado): cuando el Cliente actúa como Encargado de un tercero y Nevent como Subencargado.
  • Cláusula 7 (Docking clause): No aplicable.
  • Cláusula 9(a) (Autorización de subencargados): Opción 2 (autorización general por escrito); período de notificación de 15 días conforme a la sección 7.4 del DPA.
  • Cláusula 11(a) (Resolución de disputas - arbitraje independiente): No aplicable.
  • Cláusula 17 (Ley aplicable): Ley de España.
  • Cláusula 18 (Jurisdicción): Tribunales de España.
  • Anexos de las SCCs:
    • Anexo I (Partes y detalles de la transferencia): Anexo 1 de este DPA (Partes 1 y 2).
    • Anexo II (Medidas técnicas y organizativas): Anexo 2 de este DPA.
    • Anexo III (Lista de subencargados): Anexo 3 de este DPA (sección 1).

Jerarquía en caso de conflicto: En caso de conflicto entre las SCCs y este DPA, prevalecerán las SCCs en lo relativo a transferencias internacionales de datos personales.

Anexo 4 — Medidas Suplementarias para Transferencias Internacionales

Este Anexo describe las medidas suplementarias que Nevent implementa para garantizar un nivel de protección esencialmente equivalente al proporcionado dentro del EEE, Reino Unido y Suiza cuando se transfieren Datos del Cliente a países terceros.

1. Medidas Técnicas

1.1 Cifrado en tránsito

  • Cifrado fuerte (TLS 1.2 o superior) para todas las transmisiones de datos entre el Cliente y Nevent.
  • Cifrado fuerte para todas las transmisiones de datos entre Nevent y sus Subencargados.
  • Uso de algoritmos de cifrado que cumplan con estándares de la industria (p. ej., AES-256).

1.2 Cifrado en reposo

  • Cifrado de bases de datos y almacenamiento que contienen Datos del Cliente.
  • Gestión segura de claves de cifrado mediante servicios gestionados (p. ej., AWS KMS, Google Cloud KMS).
  • Separación lógica de datos entre clientes (multi-tenancy seguro).

2. Medidas Organizativas

2.1 Gobernanza interna

  • Políticas internas de gobernanza para la gestión de transferencias internacionales.
  • Formación del personal sobre procedimientos de respuesta a solicitudes de acceso a datos por parte de autoridades públicas.
  • Revisión periódica de políticas y procedimientos relacionados con transferencias internacionales.

2.2 Transparencia

  • Reportes de transparencia periódicos sobre solicitudes de acceso a datos por autoridades (donde lo permita la ley local).
  • Cooperación con Delegados de Protección de Datos (DPOs) y revisión legal sobre transferencias internacionales.
  • Evaluación periódica de la adecuación de las medidas implementadas.

3. Medidas Contractuales

3.1 Obligaciones de transparencia

Nevent declara que:

  • No ha creado ni mantenido backdoors intencionales en sus sistemas que permitan el acceso no autorizado a Datos del Cliente.
  • No ha realizado cambios en sus procesos de negocio que faciliten el acceso a Datos del Cliente por parte de autoridades públicas de manera que infrinja la Legislación de Protección de Datos.
  • No existe ningún requisito legal o contractual vigente que obligue a Nevent a mantener backdoors o proporcionar claves de cifrado a autoridades públicas.

3.2 Verificación periódica

  • Nevent verifica la validez de las declaraciones del cuestionario del DPA de forma periódica.
  • Nevent reportará al Cliente cualquier cambio material en las circunstancias que afecten las garantías de transferencia.

3.3 Solicitudes de autoridades públicas

Cuando Nevent esté legalmente obligado a divulgar Datos del Cliente a autoridades públicas:

  • Nevent informará a la autoridad solicitante sobre los conflictos con las garantías de transferencia del GDPR y las obligaciones contractuales hacia el Cliente.
  • Nevent solicitará a la autoridad que reconozca dichos conflictos y considere alternativas que minimicen el impacto en los derechos de los interesados.

3.4 Indemnización de interesados

Nevent acepta indemnizar equitativamente a los interesados por daños materiales e inmateriales derivados de divulgación no autorizada de sus datos personales a autoridades públicas en violación de la Legislación de Protección de Datos, sujeto a las siguientes limitaciones:

  • Limitado a daños reconocidos bajo el GDPR (art. 82).
  • Excluye daños consecuenciales, lucro cesante e indirectos.
  • Sin doble recuperación: si el interesado ya ha sido indemnizado por el Cliente o por otra vía, no habrá indemnización adicional por la misma causa.

4. Obligaciones de Acceso de Autoridades Públicas

4.1 Notificación inmediata antes de divulgación

Si Nevent recibe una solicitud legalmente vinculante de divulgación de Datos del Cliente por parte de una autoridad pública (p. ej., orden judicial, citación, solicitud de inteligencia):

  • Nevent notificará al Cliente inmediatamente y antes de divulgar los datos, salvo que esté legalmente prohibido.
  • La notificación incluirá:
    • Descripción de los datos solicitados.
    • Identificación de la autoridad solicitante.
    • Base legal de la solicitud.
    • Fecha límite de respuesta.
    • Respuesta que Nevent propone proporcionar.

4.2 Mejores esfuerzos para levantar prohibición de notificación

Si la ley prohíbe a Nevent notificar al Cliente sobre una solicitud:

  • Nevent realizará mejores esfuerzos para obtener una exención de dicha prohibición.
  • Nevent documentará dichos esfuerzos y los pondrá a disposición del Cliente cuando sea legalmente posible.

4.3 Desafiar solicitudes ilícitas

Nevent se compromete a:

  • Desafiar solicitudes de acceso a datos que sean ilícitas, desproporcionadas o que infrinjan la Legislación de Protección de Datos, donde lo permita la ley del país de destino.
  • Agotar todos los remedios procedimentales razonables disponibles antes de divulgar datos.
  • Solicitar que las autoridades fundamenten adecuadamente sus solicitudes y demuestren que cumplen con estándares de necesidad y proporcionalidad.

4.4 Divulgación mínima necesaria

En el caso de que Nevent esté legalmente obligado a divulgar Datos del Cliente tras agotar los remedios disponibles:

  • Nevent divulgará únicamente la información mínima necesaria para cumplir con la solicitud legal.
  • Nevent no proporcionará acceso directo a sistemas ni claves de cifrado, salvo orden judicial específica que así lo exija.

4.5 Manejo especial de solicitudes de vigilancia masiva

Para solicitudes bajo leyes de vigilancia masiva (p. ej., FISA 702, Executive Order 12333 de EE.UU. o equivalentes):

  • Nevent seguirá procedimientos especiales para minimizar el acceso a Datos del Cliente.
  • Nevent notificará al Cliente tan pronto como sea legalmente posible.
  • Nevent proporcionará información agregada sobre dichas solicitudes en reportes de transparencia cuando la ley lo permita.

4.6 Registros y auditoría

  • Nevent mantendrá registros de todas las solicitudes de acceso a datos por autoridades públicas durante el término del Acuerdo.
  • Dichos registros se pondrán a disposición de autoridades de control competentes si lo requieren.
  • Nevent proporcionará al Cliente información razonable sobre el volumen y naturaleza de solicitudes recibidas (sin violar órdenes de confidencialidad).

5. Revisión y Actualización Continua

Nevent revisará y actualizará estas medidas suplementarias de forma periódica (al menos anualmente) para:

  • Asegurar que siguen siendo apropiadas y efectivas.
  • Reflejar cambios en la jurisprudencia, orientación de autoridades de control o desarrollos técnicos.
  • Responder a amenazas emergentes o debilidades identificadas.

Cualquier cambio material será notificado al Cliente conforme a la sección 19 del DPA.

Anexo 5 — Adendums para UK y Suiza

Sección 1: UK Addendum

Si aplica UK GDPR, el UK Addendum (International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, versión B.1.0, UK Information Commissioner, 2 de febrero de 2022) se incorpora automáticamente como suplemento a las SCCs para transferencias desde el Reino Unido.

El UK Addendum modifica las SCCs conforme a los Mandatory Requirements (Sección 18). Las Partes son las especificadas en el Anexo 1 de este DPA. Los Módulos y Cláusulas son los descritos en la sección 12.1 del DPA con las modificaciones del UK Addendum.

En caso de conflicto entre las SCCs y el UK Addendum, prevalece el UK Addendum para transferencias desde el Reino Unido.

Sección 2: Swiss Addendum

Si aplica legislación suiza de protección de datos (Federal Data Protection Act de 1992 y su Ordenanza de implementación de 1993, o sus versiones revisadas), las SCCs se interpretarán con las siguientes adaptaciones:

  • Referencias a "GDPR" o "normativa de la UE" se sustituyen por "legislación suiza de protección de datos".
  • La autoridad de control competente es el Federal Data Protection and Information Commissioner (FDPIC) de Suiza.
  • Los tribunales competentes son los tribunales suizos.
  • Hasta que la revisión de la ley suiza entre en vigor: las personas jurídicas reciben la misma protección que las personas físicas.

Cuando apliquen tanto el GDPR como la legislación suiza: este DPA se aplicará en su totalidad, y luego se aplicarán las modificaciones suizas sin cambiar la Cláusula 17 de las SCCs (ley aplicable).

En caso de conflicto, prevalecerá la garantía que proporcione mayor protección a los interesados.

Anexo 6 — Adendum de Leyes de Protección de Datos de EE.UU.

Este Anexo aplica cuando el tratamiento de Datos del Cliente está sujeto a leyes federales o estatales de protección de datos de Estados Unidos, incluyendo pero no limitado a:

  • California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA)
  • Virginia Consumer Data Protection Act (VCDPA)
  • Colorado Privacy Act (CPA)
  • Connecticut Data Privacy Act (CTDPA)
  • Utah Consumer Privacy Act (UCPA)
  • Otras leyes estatales o federales de protección de datos que sean aplicables

1. Prohibiciones aplicables a Nevent

En relación con el tratamiento de Datos del Cliente sujetos a leyes de protección de datos de EE.UU., Nevent se encuentra prohibido de:

1.1 Venta de Datos del Cliente

Nevent no venderá Datos del Cliente ni los divulgará a terceros a cambio de consideración monetaria o de valor, según lo definen las leyes aplicables de protección de datos de EE.UU.

1.2 Publicidad comportamental en contextos cruzados (Cross-Context Behavioral Advertising)

Nevent no compartirá Datos del Cliente con terceros para fines de publicidad comportamental dirigida basada en la actividad del consumidor en diferentes negocios, sitios web, aplicaciones o servicios, salvo que el Cliente haya instruido expresamente dicho uso conforme a la ley aplicable.

1.3 Limitación de propósito

Nevent solo retendrá, usará o divulgará Datos del Cliente para:

  • Los propósitos comerciales específicos descritos en el Acuerdo y en el Anexo 1 de este DPA.
  • Otros propósitos permitidos por las leyes aplicables de protección de datos de EE.UU. que no requieran el consentimiento del consumidor.

1.4 Limitación de relación

Nevent no utilizará Datos del Cliente fuera del contexto de la relación comercial directa entre Nevent y el Cliente, salvo que esté permitido por las leyes aplicables de protección de datos de EE.UU.

1.5 Combinación de datos

Nevent no combinará Datos del Cliente con datos personales que Nevent reciba de otras fuentes o de su propia interacción con consumidores, excepto cuando:

  • El Cliente haya instruido expresamente dicha combinación.
  • Sea necesario para prestar los Servicios al Cliente.
  • Esté permitido por las leyes aplicables de protección de datos de EE.UU. sin requerir consentimiento adicional.

2. Derechos de los consumidores bajo leyes de EE.UU.

Nevent asistirá razonablemente al Cliente en el cumplimiento de solicitudes de derechos de los consumidores bajo leyes de EE.UU., incluyendo:

  • Derecho de acceso (derecho a saber)
  • Derecho de rectificación
  • Derecho de supresión
  • Derecho de portabilidad
  • Derecho de oposición (opt-out) a venta o publicidad dirigida
  • Derecho a limitar el uso de datos sensibles

La asistencia se proporcionará conforme a la sección 8 del DPA, con funcionalidades de autoservicio cuando estén disponibles.

3. Certificación y cumplimiento

Nevent certifica que:

  • Comprende las restricciones impuestas por este Anexo.
  • Cumplirá con las obligaciones aplicables bajo las leyes de protección de datos de EE.UU.
  • Notificará al Cliente si determina que no puede cumplir con sus obligaciones bajo este Anexo.

4. Auditoría y evidencia de cumplimiento

El Cliente tiene derecho a solicitar evidencia razonable del cumplimiento de Nevent con este Anexo, conforme a la sección 11 del DPA.

5. Subencargados

Cuando Nevent contrate Subencargados que traten Datos del Cliente sujetos a leyes de EE.UU., Nevent impondrá obligaciones contractuales equivalentes a las de este Anexo, conforme a la sección 7.6 del DPA.

6. Terminación por incumplimiento

Si Nevent incumple materialmente las obligaciones de este Anexo y no subsana el incumplimiento dentro de un plazo razonable tras notificación del Cliente, el Cliente podrá:

  • Solicitar la supresión inmediata de los Datos del Cliente afectados, y/o
  • Rescindir el Acuerdo en lo relativo al tratamiento de datos sujetos a leyes de EE.UU., conforme a los términos del Acuerdo.