- Inicio
- Blog
- Privacidad
- Addendum sobre Tratamiento de Datos
Addendum sobre Tratamiento de Datos
El Addendum sobre el Tratamiento de Datos aplica a los datos personales que Grupo Hexagon Data trata bajo encargo y en nombre del Cliente, en atención a la relación contractual, según lo establecido en este Acuerdo, y en la medida que aplique i) la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento (“LFPDPPP”) o ii) cualquier otra ley de protección de datos identificada en este documento.
Al referirnos a “Grupo Hexagon Data”, “nosotros” o la “Empresa” nos referimos a Hexagon Data, S.A.P.I. de C.V., empresa constituida en México, Hexagon Data Colombia, S.A.S., empresa constituida en Colombia, Agradecemos Tu Pago, S.A.P.I. de C.V., empresa constituida en México, y a sus afiliadas, entendidas como cualquier entidad que directa o indirectamente controle, sea controlada o esté bajo control común, que tratan los datos personales conforme a los términos aquí descritos. Tenemos el interés legítimo en proteger la información que nuestros Clientes comparten con nosotros.
El Cliente esta conforme y acepta a nombre propio, así como en nombre de sus representados, lo acordado en este documento.
Este Addendum sobre Tratamiento de Datos (el “Acuerdo” y/o “DPA”) forma parte del Contrato entre Grupo Hexagon Data y el Cliente; refleja el acuerdo entre las partes respecto del tratamiento de los Datos del Cliente. Las Partes acuerdan cumplir con las siguientes disposiciones y cada uno se compromete a actuar razonablemente y de buena fe.
Definiciones
- Afiliado: se refiere a cualquier entidad que directa o indirectamente, controle, sea controlada, o se encuentre en control conjunta del Cliente. “Control” significa propiedad directa o indirecta o control del 50% de los votos accionarios de la entidad.
- Anonimización: y/o disociación, se refiere al procedimiento mediante el cual los datos personales no pueden asociarse al Titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
- Bases de datos del Cliente: se refiere a las bases de datos que contienen información general del comportamiento de sus usuarios y que, en ocasiones especiales y expresamente indicadas como tal por el Cliente, pueden incluir datos personales de los usuarios y/o consumidores del Cliente.
- CCPA: significa el “California Consumer Privacy Act” que regula la protección de datos de los habitantes del Estado de California, Estados Unidos de América.
- Cliente: para efectos de este Acuerdo, el término “Cliente” se refiere a la persona moral, incluidos sus afiliados, quien contrata los Servicios de Grupo Hexagon Data.
- Contrato: Grupo Hexagon Data establece su relación comercial con sus Clientes mediante contratos, órdenes de servicio, y/o acuerdos comerciales en donde se establecen los acuerdos bilaterales entre las partes (el “Contrato”). Firmamos contratos exclusivos con cada Cliente para atender las necesidades específicas, en donde se detallan el tipo de datos que se recolectarán, la duración y el objetivo. Este Acuerdo forma parte del Contrato.
- Datos del Cliente: para efectos de este Acuerdo, significa cualquier dato y/o información que el Cliente comparta con Grupo Hexagon Data. Se incluyen las bases de datos del Cliente.
- Datos Personales: cualquier información concerniente a una persona física identificada o identificable.
- Datos Personales Sensibles: aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
- Delegado de Protección de Datos: el GDPR requiere que las empresas nombren a un responsable de supervisar cómo se tratan los datos personales y de informar y aconsejar a los empleados que tratan los datos sobre sus obligaciones. Grupo Hexagon Data ha nombrado a un Delegado de Protección de Datos. La persona designada puede ser contactada en privacy@hexagondata.io.
- Encargado: significa la persona física o jurídica que trata datos personales por cuenta del responsable.
- First Party Data: el tipo de datos depende de la forma por la que se adquieren estos datos. First Party Data son aquellos datos que se adquieren “de primera mano” del Cliente. Es decir, es aquella información que recopila de sus propias fuentes, por ejemplo a través su sitio web, APIs, apps, newsletters y/o mediante la interacción directa con sus usuarios y/o consumidores. Es información de usuarios que han interactuado con el Cliente, se han interesado por el producto o servicio y han dejado sus datos e incluso ya son clientes.
- GDPR, por sus siglas en inglés, se refiere al Reglamento (EU) 206/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- Leyes y Reglamentos de Protección de Datos: significan todas las leyes y reglamentos aplicables a la protección de datos personales. En territorio Mexicano, específicamente la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento (“LFPDPPP”); para Colombia, en particular la Ley 1581 de 2012 y el Decreto 1377 de 2013. A nivel internacional, los instrumentos líderes son el GDPR de la Unión Europea y el CCPA del Estado de California, Estados Unidos de América.
- Responsable: significa la persona física o jurídica, que sola o conjuntamente, determina el propósito y la forma del tratamiento de Datos Personales.
- Servicios: Grupo Hexagon Data presta servicios a la medida y necesidades del Cliente. En general nuestros servicios consisten en ser los administradores de la cuenta del Cliente en plataformas de DMP. Además nos encargamos de hacer análisis, crear audiencias, reportes y generar conexión entre diversas bases de datos. Las especificaciones del servicio son indicadas por el Cliente y se incluyen en el Contrato.
- Seudonimización, también conocida como disociación reversible. Se refiere al tratamiento de datos personales de tal manera que éstos ya no puedan atribuirse a un interesado concreto sin utilizar información adicional; la cual se debe conservar por separado y estar sujeta a medidas técnicas y organizativas que garanticen que los datos personales no se atribuyen a una persona física identificada o identificable.
- Sub-encargado: es aquella persona a quien Grupo Hexagon Data encarga el tratamiento de los Datos del Cliente y/o la persona que provee un servicio a Grupo Hexagon Data que se requiere para el cumplimiento de la prestación de los Servicios para el Cliente.
- Titular: significa la persona física identificada o identificable a quien corresponden los datos personales.
- Transferencia: significa toda comunicación de datos realizada a persona distinta del Responsable o Encargado del tratamiento.
- Tratamiento, y/o “procesamiento” en los términos del GDPR, se refiere a la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
Todos los términos en mayúsculas que no se definan en el presente tendrán el significado que se establece en este Acuerdo.
Cláusulas
1. Tratamiento de Datos Personales
1.1 Relación entre las Partes. Las Partes acuerdan que en relación al tratamiento de los Datos del Cliente, el Cliente es el Responsable y Grupo Hexagon Data es el Encargado, quien puede sub-encargar a terceros en los términos aquí descritos.
1.2 Detalles del tratamiento. El Anexo A establece el objeto, naturaleza y finalidad del tratamiento por parte de Grupo Hexagon Data, la duración, los tipos de datos y categorías de los Titulares de datos. Cada parte cumplirá con las obligaciones que le son aplicables en virtud de las leyes y reglamentos de protección de datos y este DPA.
1.3 Tratamiento de datos personales por el Cliente. El Cliente es el responsable de obtener el consentimiento de los Titulares e informar el tratamiento de los datos; así como en la medida de lo posible anonimizar o seudonimizar dichos datos, por sí mismo o por medio de un tercero, antes de encargarnos su tratamiento. Es responsabilidad del Cliente la exactitud, calidad y legalidad de los datos y los medios por los que el Cliente adquirió esos datos.
El Cliente se compromete a únicamente compartir y/o dar acceso a datos que haya recolectado por sí mismo, o bajo encargo a sus proveedores o terceros autorizados, pero que en todo momento sea First Party Data. El Cliente es el único responsable de esos datos. Grupo Hexagon Data se deslinda de cualquier responsabilidad y/o reclamación que sus proveedores o terceros autorizados reclamen al Cliente, ya que todas las acciones que Grupo Hexagon Data realice son encomendadas por él.
1.4 Tratamiento de Datos del Cliente. Grupo Hexagon Data podrá procesar Datos Personales en nombre y bajo encargo del Cliente. Trataremos los datos como Información Confidencial, salvo lo dispuesto en contrario por el Cliente.
1.5 Propósitos del tratamiento. Los Servicios de Grupo Hexagon Data son personalizados a las necesidades e intereses de cada Cliente, por lo que las especificaciones se encuentran inscritas en cada Contrato correspondiente. En este sentido, Grupo Hexagon Data sólo procesa los Datos del Cliente de acuerdo con (i) las instrucciones por escrito del Cliente (ii) los términos de este DPA, y (iii) cualquier Contrato y/o declaraciones entre las Partes. Grupo Hexagon Data podrá procesar ciertas categorías de datos personales en nombre de Cliente para ciertos propósitos definidos, conforme al Anexo A.
2. Derecho de los Titulares
Los Titulares en todo momento tienen el derecho de modificar y/o revocar su consentimiento para el tratamiento de sus Datos Personales. Así mismo ostentan el derecho a ser olvidados y demás derechos que la regulación correspondiente les otorgue. Grupo Hexagon Data se compromete a cumplir, y a asistir en su cumplimiento, en todo momento.
En caso de que Grupo Hexagon Data llegara a recibir una solicitud de un usuario y/o consumidor de quien el Cliente sea Responsable, para ejercer sus derechos ARCO o derechos específicos a su jurisdicción, Grupo Hexagon Data notificará al Cliente. En la medida en que lo permita la ley, Grupo Hexagon Data asistirá al Cliente con medidas técnicas y organizativas apropiadas para el cumplimiento de la obligación del Cliente de responder al requerimiento del Titular bajo las Leyes y Reglamentos de Protección de Datos.
Si el Cliente o cualquier tercero interesado quisiera ejercer sus derechos sobre datos personales de los cuales nosotros somos el Responsable, podrá ejercer sus derechos con el procedimiento que se explica en el apartado “MEDIOS PARA EJERCER SUS DERECHOS” de nuestro Aviso de Privacidad
3. Colaboradores de Hexagon Data
Grupo Hexagon Data cuenta con un equipo de especialistas, analistas y colaboradores (los “colaboradores”) capacitados para ofrecer Servicios de alta calidad a nuestros Clientes. Estamos comprometidos con la protección de los datos que tratamos, por lo que implementamos medidas internas para el manejo de datos y además capacitamos a los colaboradores para que traten los datos en los estándares descritos en este Acuerdo. A continuación enlistamos medidas de seguridad diseñadas para proteger la seguridad y privacidad de nuestros Clientes:
3.1 Confidencialidad. Nos aseguramos que los colaboradores dedicados al tratamiento de datos sean informados del carácter confidencial de los Datos del Cliente, reciban la capacitación adecuada sobre sus responsabilidades y firmen acuerdos de confidencialidad por escrito. Estas obligaciones de confidencialidad sobreviven a la terminación del contrato de los colaboradores.
3.2 Limitación del acceso. El acceso a los Datos del Cliente se limita a los colaboradores que realizan los Servicios de conformidad con el Contrato. Además se le proporciona a cada colaborador una computadora para el uso exclusivo de su colaboración en Grupo Hexagon Data. Cualquier trabajo que realicen respecto del Servicio al Cliente, será en equipos de trabajo propiedad de Grupo Hexagon Data.
3.3 Delegado de Protección de Datos. Grupo Hexagon Data ha nombrado un delegado de protección de datos. La persona designada puede ser contactada en privacy@hexagondata.io.
4 Sub-encargados
El Cliente acepta y autoriza que Grupo Hexagon Data puede contratar a terceras personas (los “Proveedores”) en relación con la prestación de los Servicios, quienes serán catalogados como Sub-encargados en conformidad con este DPA. Grupo Hexagon Data firma un contrato por escrito con cada Sub-encargado que contiene las obligaciones respecto a la protección de datos personales no menos protectoras que las de este DPA. La lista de Sub-encargados se encuentra en el Anexo B.
En caso de que Grupo Hexagon Data quiera hacer un cambio de Sub-procesador, notificará al Cliente y deberá obtener su consentimiento para hacer efectivo dicho cambio. El Cliente podrá oponerse al uso de Grupo Hexagon Data de un nuevo Proveedor dentro de los 5 (cinco) días siguientes en que se notifique el cambio. Si el Cliente omite responder y sigue actuando conforme al Contrato, se entenderá como aceptada tácitamente la propuesta.
Al contratar a los Proveedores nos comprometemos a :
a. contratar empresas reconocidas y líderes en el mercado, que implementen medidas de seguridad no menos protectoras que las establecidas en el presente Acuerdo para cumplir con la protección de datos, en la medida en que sean aplicables a la naturaleza de los servicios prestados por dicho Sub-encargado;
b. restringir el acceso del Sub-encargado a los Datos del Cliente sólo a lo que es necesario para mantener o proporcionar los servicios al Cliente;
c. Grupo Hexagon Data es responsable del cumplimiento de las obligaciones del presente Acuerdo y de cualquier acto u omisión que los Sub-encargados hagan que incumpla alguna de las obligaciones inscritas en el presente, salvo lo dispuesto en contrario.
5. Seguridad
Grupo Hexagon Data implementará las medidas técnicas y organizativas apropiadas para la protección de la seguridad, confidencialidad y la integridad de los Datos del Cliente.
5.1. Medidas de seguridad. Establecemos y mantenemos medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. No adoptamos medidas de seguridad menores a aquellas que mantenemos para el manejo de nuestra información.
Las medidas de seguridad incluyen: (a) anonimización y/o seudonimización de los datos personales, en la medida de los posible; (b) protegemos la seguridad de su información durante la transmisión hacia o desde sitios web, APIs, aplicaciones, productos o servicios de Grupo Hexagon Data mediante el uso de software y protocolos de cifrado; (c) creamos llaves de acceso específicas para cada actor involucrado en el tratamiento de datos; (d) adoptamos medidas internas para el manejo de datos por los colaboradores; y (e) nos cercioramos que nuestros Proveedores cumplan con los más altos estándares de seguridad de datos y privacidad, en atención a las Leyes aplicables.
5.2. Confidencialidad. En todo momento, Grupo Hexagon Data tratará los Datos del Cliente como Información Confidencial y se asegura de que todo el personal responsable de procesar los mismos firmen acuerdos de confidencialidad, que regirán el acceso, la utilización y el tratamiento de los Datos del Cliente.
5.3. Gestión y notificación de incidentes de seguridad. En caso de incidentes de seguridad, Grupo Hexagon Data notificará al Cliente en cuanto sea de su conocimiento la accidental o ilegal destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos del Cliente, incluidos los datos anonimizados, transmitidos, almacenados o procesados de otra manera por Grupo Hexagon Data o sus Sub-encargados.
Grupo Hexagon Data hará esfuerzos razonables para identificar la causa de tal incidente y tomará las medidas que considere necesarias y razonables para remediar la causa en la medida en que la reparación esté dentro del control razonable de Grupo Hexagon Data. Las obligaciones aquí establecidas no se aplicarán a los incidentes causados por el Cliente o usuarios del Cliente.
6. Transferencia de datos
Transferimos datos en la menor medida de lo posible. En caso de realizarlo será con nuestros Proveedores, quienes son Sub-encargados en los términos descritos en el apartado correspondiente dentro de este DPA. Las transferencias que realizaremos son únicamente las permitidas por las Leyes y Reglamentos de Protección de Datos aplicables. Asimismo nos aseguramos que sea hacia jurisdicciones en donde cumplan con los mismos o mayores estándares de seguridad descritos en este Acuerdo.
7. Eliminación de datos
Durante la relación contractual con el Cliente, podremos almacenar los Datos del Cliente en cualquiera de nuestras bases de datos. Nos comprometemos a únicamente almacenar los datos estrictamente necesarios y a eliminarlos una vez cumplida la finalidad para la cual fueron recabados o hasta el plazo de prescripción legal. Así mismo, en la medida de los posible y previa solicitud, nos comprometemos a devolver los Datos del Cliente al término de la relación contractual.
8. Información adicional para ciertas jurisdicciones
Proporcionamos información adicional acerca de la privacidad, recopilación y uso de información personal de clientes actuales y futuros de Grupo Hexagon Data situados en determinadas jurisdicciones.
8.1 Unión Europea: GDPR
Grupo Hexagon Data procesa datos personales, en la medida de lo posible, de conformidad con los requisitos de la GDPR directamente aplicables a la prestación de sus Servicios y a lo dispuesto por sus Clientes. El Cliente reconoce específicamente que su uso de los Servicios no violará los derechos de ningún Titular sujeto a la protección del GDPR.
8.2 CCPA
Grupo Hexagon Data procesa datos personales, en la medida de lo posible, de conformidad con los requisitos de la CCPA directamente aplicables a la prestación de sus Servicios y a lo dispuesto por sus Clientes. Dentro de ni por virtud de nuestros Servicios, no vendemos bases de datos ni Datos Personales del Cliente ni de sus usuarios y/o consumidores. El Cliente reconoce específicamente que su uso de los Servicios no violará los derechos de ningún Titular que haya optado por no vender o divulgar sus Datos Personales, en la medida en que sea aplicable bajo el CCPA.
9. Misceláneo
9.1 Modificaciones. Estamos en constante actualización de nuestras políticas para ofrecer la mayor protección posible. Grupo Hexagon Data se reserva el derecho de hacer modificaciones y adaptaciones al presente Acuerdo. La nueva versión entrará en vigor en la fecha en que se indique al inicio de esta Política. En caso de que consideremos que existen cambios sustanciales le avisaremos a través de la publicación de un aviso visible en nuestro sitio web o mediante cualquiera de los medios de comunicación disponibles. Entrada en vigor se considerará aceptada por usted. Le sugerimos revisar constantemente nuestro sitio web durante la vigencia de nuestra relación.
9.2 Vigencia. Este Acuerdo mantiene su vigencia durante la relación contractual con el Cliente. Cualquier obligación o responsabilidad acumulada hasta el momento de la terminación, permanecerá válida hasta su cumplimiento.
Este Acuerdo será legalmente vinculante en el momento en que se ponga a disposición del Cliente. Se entenderá que el Cliente consiente al tratamiento de sus datos, cuando habiéndose puesto a su disposición este Acuerdo, no manifieste su oposición.
Anexo A
Detalles del Tratamiento
1.1. Naturaleza del tratamiento
Grupo Hexagon Data trata los Datos del Cliente con el propósito de prestar los Servicios contratados por el Cliente y conforme a sus indicaciones. En ocasiones, Grupo Hexagon Data podrá requerir que el Cliente dé acceso a sus fuentes de datos. Únicamente accederemos a los datos necesarios para prestar los Servicios contratados y bajo las instrucciones del Cliente.
En caso de que, en virtud del Contrato, se acuerde que un servicio basado en la nube sea prestado por un Proveedor (Amazon Web Services, Google u otro), las partes reconocen que cualquier Dato Personal tratado dentro del servicio en la nube se regirá exclusivamente por los términos y condiciones del mismo según lo estipulado y modificado de vez en cuando por el Proveedor.
1.2. Propósito del tratamiento
El propósito de tratamiento de Datos del Cliente puede incluir alguno de los siguientes:
- Conexión a bases de datos del Cliente
- Conexión de datos a visualizadores elegidos por el Cliente
- Creación de reportes de campaña
- Cross device matching
- Entrega de contenido personalizado
- Generar insights de audiencia
- Investigación de mercado
- Mantenimiento y administración de las cuentas a nombre del Cliente
- Servicios de Análisis que pueden incluir análisis de campañas, sitios web, y/o bases de datos
1.3. Duración del Tratamiento
Conforme a lo previsto en la sección respectiva a la vigencia del DPA, Grupo Hexagon Data procesa los Datos del Cliente durante la validez de la relación contractual con el Cliente.
1.4. Tipos de Datos Personales
Grupo Hexagon Data recaba los datos mediante transferencia directa por el Cliente o mediante acceso a las bases de datos por el Cliente. En todo momento es el Cliente, por sí mismo o por medio de un tercero autorizado, quien recolecta los datos. Es First Party Data del Cliente.
Los tipos de Datos Personales pueden incluir, sin limitarse a:
- Cookie IDs
- Correo electrónico
- Datos de comportamiento inferidos y declarados
- Datos no precisos de geolocalización
- Domicilio
- Edad
- Estado civil
- Género
- Información de navegación en la red
- Información sobre el uso de aplicaciones móviles
- Mobile Advertising IDs
- Nombre y apellido
- Número de hijos
1.5. Categorías de los Titulares de Datos
Los Datos del Cliente están relacionados a las siguientes categorías de Titulares:
- Usuarios, consumidores y prospectos
- Clientes y vendedores del Cliente
1.6. Datos Personales sensibles
Grupo Hexagon Data no trata datos sensibles.
Anexo B
Sub-encargados
- Amazon Web Services, Inc.
- Datorama, Inc.
- Google LLC.
- Linkedln Corporation
- Lotame Solutions, Inc.
- Microsoft Power Bi
- QlikView de QlikTech Inc.
- Tableau Software LLC.
- TapClicks, Inc.
- TikTok Pte. Ltd.