Legal

Trust Center

Anexo de Tratamiento de Datos

Última actualización: 27 de abril de 2026

Este Anexo de Procesamiento de Datos ("Anexo") forma parte de los Términos y Condiciones de PaySeats (el "Acuerdo Principal") entre:

  1. PaySeats Europe SL ("PaySeats" o "Encargado del Tratamiento"), una sociedad constituida en España.
  2. El Organizador ("Cliente" o "Responsable del Tratamiento"), según se define en el Acuerdo Principal.

Este Anexo se aplicará en la medida en que PaySeats trate Datos Personales en nombre del Cliente durante la prestación del Servicio, y en la medida en que el Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD") u otras leyes de protección de datos aplicables rijan dicho tratamiento.

1. Definiciones

Los términos en mayúscula no definidos en este documento tendrán el significado que se les atribuye en el Acuerdo Principal.

  • "Leyes de Protección de Datos" significa todas las leyes y regulaciones de privacidad y protección de datos aplicables, incluido el RGPD.
  • "Responsable del Tratamiento", "Encargado del Tratamiento", "Interesado", "Datos Personales", "Violación de la seguridad de los Datos Personales" y "Tratamiento" tendrán los significados que se les atribuyen en el RGPD.
  • "Subencargado" significa cualquier tercero contratado por PaySeats para tratar Datos Personales en nombre del Cliente.

2. Tratamiento de Datos Personales

2.1. Roles y Responsabilidades

Las partes reconocen y aceptan que, con respecto al Tratamiento de Datos Personales, el Cliente es el Responsable del Tratamiento y PaySeats es el Encargado del Tratamiento.

2.2. Instrucciones del Responsable

PaySeats solo tratará Datos Personales en nombre y de acuerdo con las instrucciones documentadas y lícitas del Cliente. La prestación del Servicio de conformidad con el Acuerdo Principal se considerará una instrucción documentada.

2.3. Detalles del Tratamiento

Los detalles del Tratamiento de Datos Personales se especifican en el Anexo 1 de este Anexo.

3. Confidencialidad y Seguridad

3.1. Confidencialidad

PaySeats se asegurará de que todo el personal autorizado para tratar Datos Personales esté sujeto a estrictas obligaciones de confidencialidad.

3.2. Medidas de Seguridad

PaySeats implementará y mantendrá medidas técnicas y organizativas apropiadas para proteger los Datos Personales contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidental. Dichas medidas se describen en el Anexo 2.

4. Subencargados

4.1. Autorización General

El Cliente otorga a PaySeats una autorización general para contratar a Subencargados para la prestación del Servicio.

4.2. Lista y Notificación

PaySeats mantendrá una lista actualizada de sus Subencargados, como se detalla en el Anexo 3. PaySeats notificará al Cliente cualquier cambio previsto relativo a la adición o sustitución de Subencargados, dando así al Cliente la oportunidad de oponerse a dichos cambios.

4.3. Responsabilidad

PaySeats impondrá a sus Subencargados obligaciones de protección de datos equivalentes a las establecidas en este Anexo. PaySeats sigue siendo plenamente responsable ante el Cliente por los actos y omisiones de sus Subencargados.

5. Derechos de los Interesados

PaySeats, en la medida en que sea legalmente permitido, notificará sin demora al Cliente cualquier solicitud de un Interesado para ejercer sus derechos (como los derechos de acceso, rectificación, supresión, etc.). PaySeats proporcionará al Cliente una cooperación y asistencia razonables en relación con la gestión de la solicitud de un Interesado.

6. Notificación de Violación de la Seguridad de los Datos Personales

PaySeats notificará al Cliente sin dilación indebida tras tener conocimiento de una Violación de la seguridad de los Datos Personales. PaySeats proporcionará al Cliente la información necesaria para que este pueda cumplir con sus obligaciones de notificar a las autoridades de control y a los Interesados.

7. Evaluaciones de Impacto relativas a la Protección de Datos (EIPD)

PaySeats prestará una asistencia razonable al Cliente en cualquier Evaluación de Impacto relativa a la Protección de Datos y en las consultas previas con las autoridades de control, según lo exijan las Leyes de Protección de Datos.

8. Supresión o Devolución de Datos

A la terminación del Acuerdo Principal, PaySeats, a elección del Cliente, suprimirá o devolverá todos los Datos Personales al Cliente, y suprimirá las copias existentes, a menos que la legislación de la Unión o de los Estados miembros requiera la conservación de los datos.

Cuando el Servicio mantenga un subconjunto minimizado de evidencias necesario para conciliación de pagos, cumplimiento contable o fiscal, defensa ante disputas, prevención del fraude, seguridad o gestión de bloqueos legales, PaySeats podrá conservar únicamente ese subconjunto limitado hasta que expire la base de conservación aplicable o resulte posible la devolución o supresión conforme a Derecho.

9. Auditorías

PaySeats pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Anexo y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, realizadas por el Cliente u otro auditor encargado por el Cliente, con sujeción a un preaviso razonable y a obligaciones de confidencialidad.

10. Disposiciones Generales

10.1. Prevalencia

En caso de conflicto entre este Anexo y el Acuerdo Principal, las disposiciones de este Anexo prevalecerán en lo que respecta a las cuestiones de protección de datos.

10.2. Ley Aplicable

Este Anexo se regirá por las leyes de España.

Anexo 1: Detalles del tratamiento

A. Objeto y duración del tratamiento

Objeto del tratamiento: PaySeats trata Datos Personales para prestar la plataforma y los servicios relacionados al Cliente, según el Acuerdo Principal.

Duración: El tratamiento dura lo que dure el Acuerdo Principal y los plazos de conservación exigidos por ley.

B. Naturaleza y finalidad del tratamiento

  • Proporcionar al Cliente herramientas para publicar y gestionar eventos, clases, acceso puntual, reservas, membresías, pases o créditos, páginas orientadas al cliente, configuraciones de dominio o redirección, buzones alojados, flujos de códigos promocionales y operaciones terminales presenciales.
  • Procesar pedidos, registros, compras como invitado, suscripciones, registros de pases o créditos, canjes de códigos promocionales o descuentos, artefactos de acceso puntual, reservas y flujos de venta en taquilla o presenciales en nombre del Cliente.
  • Gestionar registros de asistentes, clientes, perfiles CRM, transacciones, dispositivos terminales y sesiones de operador relacionados con los servicios del Cliente, incluidos segmentos, tareas de seguimiento, conversaciones con clientes, flujos de campañas, preferencias de comunicación, controles de bloqueo y colas de solicitudes de privacidad.
  • Gestionar contactos de registro de dominios, registros DNS o de redirección, datos del ciclo de vida SSL, aprovisionamiento de buzones alojados, ajustes de estado o cuota del buzón, enrutamiento catch-all y registros de referencia del proveedor solicitados por el Cliente.
  • Facilitar comunicaciones transaccionales, flujos de soporte, mensajes a clientes iniciados por el Organizador, cambios de consentimiento o bloqueo de comunicaciones, flujos de ejercicio de derechos de privacidad y flujos de recuperación de dispositivos o autenticación de operadores.
  • Prevenir fraudes, proteger el Servicio y resolver incidencias operativas.

C. Tipos de Datos Personales tratados

Los datos del Cliente y de sus clientes pueden incluir nombre, correo electrónico, teléfono o datos de facturación si se aportan, registros de contactos de registro de dominio (incluidos datos de registrante, admin o técnico), configuración de DNS, redirecciones o ciclo de vida SSL, direcciones de buzones alojados, identificadores de buzón (parte local), ajustes de estado, cuota o catch-all del buzón, credenciales de buzón enviadas por el Cliente para aprovisionamiento o cambios de contraseña, registros de acceso puntual, reservas, suscripciones, pases o créditos, canjes de códigos promocionales, estado de pago, asistencia, escaneo y check-in, metadatos de dispositivos terminales (como nombre del dispositivo, plataforma, modelo, versión de app/SO, estado, permisos, datos de aprobación y última actividad), identificadores y sesiones de operador, mensajes y adjuntos de soporte, notas de CRM, etiquetas, membresías de segmentos, tareas de seguimiento, registros de envío o rendimiento de campañas vinculados a un cliente, registros de preferencias de comunicación o de bloqueo, solicitudes de privacidad del cliente y cualquier campo personalizado o nota configurados por el Cliente. Los datos de tarjeta y cuenta bancaria son tratados por el proveedor de pagos y no almacenados por PaySeats, salvo la información limitada de estado o referencia necesaria para operar el Servicio.

D. Categorías de interesados

Organizadores y su personal autorizado, incluidos operadores terminales u otro personal presencial; asistentes, alumnos, miembros, compradores, invitados y otras personas cuyos datos el Cliente envíe al Servicio; y personas que contacten con el Cliente o con PaySeats a través de los flujos del Servicio.

Anexo 2: Medidas técnicas y organizativas de seguridad

PaySeats aplica, como mínimo, las siguientes medidas:

  • Control de acceso: Políticas de contraseñas robustas, controles de acceso basados en roles, autenticación adicional para accesos privilegiados cuando corresponda y principio de mínimo privilegio.
  • Cifrado: Cifrado en tránsito (TLS/SSL) y uso de almacenamiento cifrado o protecciones gestionadas por el proveedor para datos almacenados cuando esté soportado.
  • Resiliencia del sistema: Infraestructura en proveedores cloud con alta disponibilidad, redundancia y planes de recuperación.
  • Seguridad de red: Protecciones de red gestionadas, registros y acceso administrativo restringido para proteger la infraestructura.
  • Gestión de incidentes: Plan de respuesta para detectar, gestionar y notificar brechas de datos con rapidez.
  • Formación del personal: Formación periódica en seguridad y protección de datos para el personal con acceso.
  • Desarrollo seguro: Prácticas de SDLC para minimizar vulnerabilidades en las aplicaciones.

Anexo 3: Lista de Subencargados

El Cliente autoriza a PaySeats a utilizar los tipos de Subencargados indicados a continuación para prestar el Servicio. La lista completa y actualizada se mantiene en payseats.com/subprocessors.

Categoría del servicioFinalidadUbicación principal
Infraestructura cloudAlojamiento de la plataforma y bases de datosUE / EE. UU. (según localización)
Procesamiento de pagosGestión segura de transacciones con tarjeta y pagosGlobal
Monitorización y registro de erroresMonitorización de infraestructura, telemetría y recepción de registros de erroresUE / EE. UU.
Ayuda de producto con IAGeneración de respuestas de ayuda de PaySeats Pulse mediante el proveedor de IA habilitadoEE. UU. / Global (depende del proveedor)
Sincronización CRM y envío de eventosEnvío de cargas de sincronización CRM de clientes o eventos cuando la sincronización CRM externa está habilitadaEE. UU. / Global
Envío de correo (Transaccional)Envío de emails transaccionales (tickets, confirmaciones, avisos operativos)EE. UU. / UE
Registro de dominios y email alojadoRegistro de dominios, enrutamiento DNS o de email y aprovisionamiento o gestión de buzones alojadosCanadá / EE. UU.
Envío de correo (Marketing)Comunicaciones de marketing con consentimiento vía APIReino Unido / UE / EE. UU. (depende de la cuenta)