1 January 2023 - Publicado por NATEEVO

Addendum on Data Processing

El Addendum sobre el Tratamiento de Datos aplica a los datos personales que Grupo Hexagon Data trata bajo encargo y en nombre del Cliente, en atención a la relación contractual, según lo establecido en este Acuerdo, y en la medida que aplique i) la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento (“LFPDPPP”) o ii) cualquier otra ley de protección de datos identificada en este documento.

When we refer to "Grupo Hexagon Data", "we", "us" or the "Company" we mean Hexagon Data, S.A.P.I. de C.V., a company incorporated in Mexico, Hexagon Data Colombia, S.A.S., a company incorporated in Colombia, Agradecemos Tu Pago, S.A.P.I. de C.V., a company incorporated in Mexico, and their affiliates, understood as any entity directly or indirectly controlling, controlled or under common control, that processes personal data in accordance with the terms described herein, a company incorporated in Mexico, and its affiliates, understood as any entity that directly or indirectly controls, is controlled or is under common control, that process personal data in accordance with the terms described herein. We have a legitimate interest in protecting the information that our Customers share with us. 

El Cliente esta conforme y acepta a nombre propio, así como en nombre de sus representados, lo acordado en este documento.

Este Addendum sobre Tratamiento de Datos (el “Acuerdo” y/o “DPA”) forma parte del Contrato entre Grupo Hexagon Data y el Cliente; refleja el acuerdo entre las partes respecto del tratamiento de los Datos del Cliente. Las Partes acuerdan cumplir con las siguientes disposiciones y cada uno se compromete a actuar razonablemente y de buena fe.

Definitions

  • Affiliated: means any entity that directly or indirectly controls, is controlled by, is controlled by, or is in joint control of the Client. "Control" means direct or indirect ownership or 50% control of the entity's equity votes.
  • AnonymizationDissociation: and/or dissociation, refers to the procedure by which personal data cannot be associated to the Data Subject or allow, due to its structure, content or degree of disaggregation, the identification of the Data Subject.
  • Bases de datos del Cliente: se refiere a las bases de datos que contienen información general del comportamiento de sus usuarios y que, en ocasiones especiales y expresamente indicadas como tal por el Cliente, pueden incluir datos personales de los usuarios y/o consumidores del Cliente.
  • CCPA: means the California Consumer Privacy Act, which regulates data protection for the residents of the State of California, United States of America.
  • Client: para efectos de este Acuerdo, el término “Cliente” se refiere a la persona moral, incluidos sus afiliados, quien contrata los Servicios de Grupo Hexagon Data. 
  • Contract: Grupo Hexagon Data establece su relación comercial con sus Clientes mediante contratos, órdenes de servicio, y/o acuerdos comerciales en donde se establecen los acuerdos bilaterales entre las partes (el “Contrato”). Firmamos contratos exclusivos con cada Cliente para atender las necesidades específicas, en donde se detallan el tipo de datos que se recolectarán, la duración y el objetivo. Este Acuerdo forma parte del Contrato. 
  • Customer Data: para efectos de este Acuerdo, significa cualquier dato y/o información que el Cliente comparta con Grupo Hexagon Data. Se incluyen las bases de datos del Cliente. 
  • Datos Personales: any information concerning an identified or identifiable natural person. 
  • Datos Personales Sensibles: those personal data that affect the most intimate sphere of its owner, or whose improper use may give rise to discrimination or entail a serious risk for the owner. In particular, data that may reveal aspects such as racial or ethnic origin, present and future health status, genetic information, religious, philosophical and moral beliefs, union membership, political opinions, sexual preference are considered sensitive.
  • Delegado de Protección de Datos: el GDPR requiere que las empresas nombren a un responsable de supervisar cómo se tratan los datos personales y de informar y aconsejar a los empleados que tratan los datos sobre sus obligaciones. Grupo Hexagon Data ha nombrado a un Delegado de Protección de Datos. La persona designada puede ser contactada en privacy@hexagondata.io
  • In charge: significa la persona física o jurídica que trata datos personales por cuenta del responsable.
  • First Party Data: el tipo de datos depende de la forma por la que se adquieren estos datos. First Party Data son aquellos datos que se adquieren “de primera mano” del Cliente. Es decir, es aquella información que recopila de sus propias fuentes, por ejemplo a través su sitio web, APIs, apps, newsletters y/o mediante la interacción directa con sus usuarios y/o consumidores. Es información de usuarios que han interactuado con el Cliente, se han interesado por el producto o servicio y han dejado sus datos e incluso ya son clientes. 
  • GDPR, by its acronym in English, refers to Regulation (EU) 206/679 of the European Parliament and of the Council of 27 April 2016 on data protection of natural persons with regard to the processing of personal data and on the free movement of such data.
  • Data Protection Laws and Regulations: means all laws and regulations applicable to the protection of personal data. In Mexican territory, specifically the Ley Federal de Protección de Datos Personales en Posesión de los Particulares and its Regulations ("LFPDPPP"); for Colombia, in particular Law 1581 of 2012 and Decree 1377 of 2013. Internationally, the leading instruments are the GDPR of the European Union and the CCPA of the State of California, United States of America. 
  • Responsible: significa la persona física o jurídica, que sola o conjuntamente, determina el propósito y la forma del tratamiento de Datos Personales. 
  • Servicios: Grupo Hexagon Data presta servicios a la medida y necesidades del Cliente. En general nuestros servicios consisten en ser los administradores de la cuenta del Cliente en plataformas de DMP. Además nos encargamos de hacer análisis, crear audiencias, reportes y generar conexión entre diversas bases de datos. Las especificaciones del servicio son indicadas por el Cliente y se incluyen en el Contrato. 
  • Seudonimización, también conocida como disociación reversible. Se refiere al tratamiento de datos personales de tal manera que éstos ya no puedan atribuirse a un interesado concreto sin utilizar información adicional; la cual se debe conservar por separado y estar sujeta a medidas técnicas y organizativas que garanticen que los datos personales no se atribuyen a una persona física identificada o identificable. 
  • Sub-managerThe person to whom Hexagon Data Group entrusts the processing of Customer Data and/or the person who provides a service to Hexagon Data Group that is required for the performance of the Services for the Customer.
  • Holdermeans the identified or identifiable natural person to whom the personal data pertains.
  • Transfermeans any communication of data to a person other than the Controller or Processor.  
  • Treatment, and/or "processing" in the terms of the GDPR, refers to the collection, use, disclosure or storage of personal data, by whatever means. Use encompasses any action of accessing, handling, using, exploiting, transferring or disposing of personal data.

All capitalized terms not defined herein shall have the meanings set forth in this Agreement. 

Clauses

1. Tratamiento de Datos Personales 

1.1 Relationship between the Parties.  Las Partes acuerdan que en relación al tratamiento de los Datos del Cliente, el Cliente es el Responsable y Grupo Hexagon Data es el Encargado, quien puede sub-encargar a terceros en los términos aquí descritos. 

1.2 Detalles del tratamiento. El Anexo A establece el objeto, naturaleza y finalidad del tratamiento por parte de Grupo Hexagon Data, la duración, los tipos de datos y categorías de los Titulares de datos. Cada parte cumplirá con las obligaciones que le son aplicables en virtud de las leyes y reglamentos de protección de datos y este DPA.

1.3 Processing of personal data by the Customer. El Cliente es el responsable de obtener el consentimiento de los Titulares e informar el tratamiento de los datos; así como en la medida de lo posible anonimizar o seudonimizar dichos datos, por sí mismo o por medio de un tercero, antes de encargarnos su tratamiento. Es responsabilidad del Cliente la exactitud, calidad y legalidad de los datos y los medios por los que el Cliente adquirió esos datos. 

El Cliente se compromete a únicamente compartir y/o dar acceso a datos que haya recolectado por sí mismo, o bajo encargo a sus proveedores o terceros autorizados, pero que en todo momento sea First Party Data. El Cliente es el único responsable de esos datos. Grupo Hexagon Data se deslinda de cualquier responsabilidad y/o reclamación que sus proveedores o terceros autorizados reclamen al Cliente, ya que todas las acciones que Grupo Hexagon Data realice son encomendadas por él. 

1.4 Processing of Customer Data. Grupo Hexagon Data podrá procesar Datos Personales en nombre y bajo encargo del Cliente. Trataremos los datos como Información Confidencial, salvo lo dispuesto en contrario por el Cliente.

1.5 Propósitos del tratamiento. Los Servicios de Grupo Hexagon Data son personalizados a las necesidades e intereses de cada Cliente, por lo que las especificaciones se encuentran inscritas en cada Contrato correspondiente. En este sentido, Grupo Hexagon Data sólo procesa los Datos del Cliente de acuerdo con (i) las instrucciones por escrito del Cliente (ii) los términos de este DPA, y (iii) cualquier Contrato y/o declaraciones entre las Partes. Grupo Hexagon Data podrá procesar ciertas categorías de datos personales en nombre de Cliente para ciertos propósitos definidos, conforme al Anexo A.

2. Right of Owners

Los Titulares en todo momento tienen el derecho de modificar y/o revocar su consentimiento para el tratamiento de sus Datos Personales. Así mismo ostentan el derecho a ser olvidados y demás derechos que la regulación correspondiente les otorgue. Grupo Hexagon Data se compromete a cumplir, y a asistir en su cumplimiento, en todo momento.

In the event that Hexagon Data Group receives a request from a user and/or consumer for whom the Customer is Responsible to exercise their ARCO rights or rights specific to their jurisdiction, Hexagon Data Group will notify the Customer. To the extent permitted by law, Hexagon Data Group will assist the Client with appropriate technical and organizational measures for the fulfillment of the Client's obligation to respond to the Data Subject's request under the Data Protection Laws and Regulations. 

If the Customer or any interested third party would like to exercise their rights over personal data for which we are the Controller, they may exercise their rights using the procedure explained in the "MEANS TO EXERCISE YOUR RIGHTS" section of our Privacy Notice

3. Colaboradores de Hexagon Data

Grupo Hexagon Data cuenta con un equipo de especialistas, analistas y colaboradores (los “colaboradores”) capacitados para ofrecer Servicios de alta calidad a nuestros Clientes. Estamos comprometidos con la protección de los datos que tratamos, por lo que implementamos medidas internas para el manejo de datos y además capacitamos a los colaboradores para que traten los datos en los estándares descritos en este Acuerdo. A continuación enlistamos medidas de seguridad diseñadas para proteger la seguridad y privacidad de nuestros Clientes:

3.1 Confidentiality. Nos aseguramos que los colaboradores dedicados al tratamiento de datos sean informados del carácter confidencial de los Datos del Cliente, reciban la capacitación adecuada sobre sus responsabilidades y firmen acuerdos de confidencialidad por escrito. Estas obligaciones de confidencialidad sobreviven a la terminación del contrato de los colaboradores. 

3.2 Limitation of access. El acceso a los Datos del Cliente se limita a los colaboradores que realizan los Servicios de conformidad con el Contrato. Además se le proporciona a cada colaborador una computadora para el uso exclusivo de su colaboración en Grupo Hexagon Data. Cualquier trabajo que realicen respecto del Servicio al Cliente, será en equipos de trabajo propiedad de Grupo Hexagon Data.

3.3 Data Protection Delegate. Hexagon Data Group has appointed a data protection officer. The appointed person can be contacted at privacy@hexagondata.io  

4 Sub-managers

El Cliente acepta y autoriza que Grupo Hexagon Data puede contratar a terceras personas (los “Proveedores”) en relación con la prestación de los Servicios, quienes serán catalogados como Sub-encargados en conformidad con este DPA. Grupo Hexagon Data firma un contrato por escrito con cada Sub-encargado que contiene las obligaciones respecto a la protección de datos personales no menos protectoras que las de este DPA. La lista de Sub-encargados se encuentra en el Annex B

En caso de que Grupo Hexagon Data quiera hacer un cambio de Sub-procesador, notificará al Cliente y deberá obtener su consentimiento para hacer efectivo dicho cambio. El Cliente podrá oponerse al uso de Grupo Hexagon Data de un nuevo Proveedor dentro de los 5 (cinco) días siguientes en que se notifique el cambio. Si el Cliente omite responder y sigue actuando conforme al Contrato, se entenderá como aceptada tácitamente la propuesta. 

Al contratar a los Proveedores nos comprometemos a :

a. hire recognized, market-leading companies that implement security measures no less protective than those set forth in this Agreement to comply with data protection, to the extent applicable to the nature of the services provided by such Sub-provider;

b. restringir el acceso del Sub-encargado a los Datos del Cliente sólo a lo que es necesario para mantener o proporcionar los servicios al Cliente;

c. Hexagon Data Group is responsible for the performance of the obligations of this Agreement and for any act or omission by the Sub-Intendants in breach of any of the obligations set forth herein, except as otherwise provided.

5. Seguridad

Hexagon Data Group will implement appropriate technical and organizational measures for the protection of the security, confidentiality and integrity of Customer Data.

5.1. Safety measures. We establish and maintain administrative, technical and physical security measures to protect personal data against damage, loss, alteration, destruction or unauthorized use, access or processing. We do not adopt lesser security measures than those we maintain for the management of our information. 

Las medidas de seguridad incluyen: (a) anonimización y/o seudonimización de los datos personales, en la medida de los posible; (b) protegemos la seguridad de su información durante la transmisión hacia o desde sitios web, APIs, aplicaciones, productos o servicios de Grupo Hexagon Data mediante el uso de software y protocolos de cifrado; (c) creamos llaves de acceso específicas para cada actor involucrado en el tratamiento de datos; (d) adoptamos medidas internas para el manejo de datos por los colaboradores; y (e) nos cercioramos que nuestros Proveedores cumplan con los más altos estándares de seguridad de datos y privacidad, en atención a las Leyes aplicables.

5.2. Confidentiality. En todo momento, Grupo Hexagon Data tratará los Datos del Cliente como Información Confidencial y se asegura de que todo el personal responsable de procesar los mismos firmen acuerdos de confidencialidad, que regirán el acceso, la utilización y el tratamiento de los Datos del Cliente.

5.3. Management and notification of security incidents. In the event of security incidents, Hexagon Data Group will notify Customer as soon as it becomes aware of the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to Customer Data, including anonymized data, transmitted, stored or otherwise processed by Hexagon Data Group or its Sub-agents. 

Hexagon Data Group will use reasonable efforts to identify the cause of such incident and will take such steps as it deems necessary and reasonable to remedy the cause to the extent remediation is within Hexagon Data Group's reasonable control. The obligations set forth herein shall not apply to incidents caused by Customer or Customer's users.

6. Transferencia de datos

Transferimos datos en la menor medida de lo posible. En caso de realizarlo será con nuestros Proveedores, quienes son Sub-encargados en los términos descritos en el apartado correspondiente dentro de este DPA. Las transferencias que realizaremos son únicamente las permitidas por las Leyes y Reglamentos de Protección de Datos aplicables. Asimismo nos aseguramos que sea hacia jurisdicciones en donde cumplan con los mismos o mayores estándares de seguridad descritos en este Acuerdo.

7.  Eliminación de datos

Durante la relación contractual con el Cliente, podremos almacenar los Datos del Cliente en cualquiera de nuestras bases de datos. Nos comprometemos a únicamente almacenar los datos estrictamente necesarios y a eliminarlos una vez cumplida la finalidad para la cual fueron recabados o hasta el plazo de prescripción legal. Así mismo, en la medida de los posible y previa solicitud, nos comprometemos a devolver los Datos del Cliente al término de la relación contractual. 

8. Información adicional para ciertas jurisdicciones

We provide additional information about the privacy, collection and use of personal information of current and prospective Hexagon Data Group customers located in certain jurisdictions. 

8.1 European Union: GDPR

Grupo Hexagon Data procesa datos personales, en la medida de lo posible, de conformidad con los requisitos de la GDPR directamente aplicables a la prestación de sus Servicios y a lo dispuesto por sus Clientes. El Cliente reconoce específicamente que su uso de los Servicios no violará los derechos de ningún Titular sujeto a la protección del GDPR. 

8.2 CCPA

Grupo Hexagon Data procesa datos personales, en la medida de lo posible, de conformidad con los requisitos de la CCPA directamente aplicables a la prestación de sus Servicios y a lo dispuesto por sus Clientes. Dentro de ni por virtud de nuestros Servicios, no vendemos bases de datos ni Datos Personales del Cliente ni de sus usuarios y/o consumidores. El Cliente reconoce específicamente que su uso de los Servicios no violará los derechos de ningún Titular que haya optado por no vender o divulgar sus Datos Personales, en la medida en que sea aplicable bajo el CCPA.

9. Misceláneo

9.1 Modifications. Estamos en constante actualización de nuestras políticas para ofrecer la mayor protección posible. Grupo Hexagon Data se reserva el derecho de hacer modificaciones y adaptaciones al presente Acuerdo. La nueva versión entrará en vigor en la fecha en que se indique al inicio de esta Política. En caso de que consideremos que existen cambios sustanciales le avisaremos a través de la publicación de un aviso visible en nuestro sitio web o mediante cualquiera de los medios de comunicación disponibles. Entrada en vigor se considerará aceptada por usted. Le sugerimos revisar constantemente nuestro sitio web durante la vigencia de nuestra relación.

9.2 Validity. Este Acuerdo mantiene su vigencia durante la relación contractual con el Cliente. Cualquier obligación o responsabilidad acumulada hasta el momento de la terminación, permanecerá válida hasta su cumplimiento. 

Este Acuerdo será legalmente vinculante en el momento en que se ponga a disposición del Cliente. Se entenderá que el Cliente consiente al tratamiento de sus datos, cuando habiéndose puesto a su disposición este Acuerdo, no manifieste su oposición.

Annex A

Treatment Details

1.1. Nature of the treatment

Grupo Hexagon Data trata los Datos del Cliente con el propósito de prestar los Servicios contratados por el Cliente y conforme a sus indicaciones. En ocasiones, Grupo Hexagon Data podrá requerir que el Cliente dé acceso a sus fuentes de datos. Únicamente accederemos a los datos necesarios para prestar los Servicios contratados y bajo las instrucciones del Cliente.

En caso de que, en virtud del Contrato, se acuerde que un servicio basado en la nube sea prestado por un Proveedor (Amazon Web Services, Google u otro), las partes reconocen que cualquier Dato Personal tratado dentro del servicio en la nube se regirá exclusivamente por los términos y condiciones del mismo según lo estipulado y modificado de vez en cuando por el Proveedor.

1.2. Propósito del tratamiento

The purpose of processing Customer Data may include any of the following:

  • Conexión a bases de datos del Cliente
  • Conexión de datos a visualizadores elegidos por el Cliente
  • Creación de reportes de campaña
  • Cross device matching 
  • Entrega de contenido personalizado
  • Generar insights de audiencia
  • Investigación de mercado
  • Mantenimiento y administración de las cuentas a nombre del Cliente
  • Servicios de Análisis que pueden incluir análisis de campañas, sitios web, y/o bases de datos 

Duration of Treatment

Conforme a lo previsto en la sección respectiva a la vigencia del DPA, Grupo Hexagon Data procesa los Datos del Cliente durante la validez de la relación contractual con el Cliente.

Types of Personal Data

Grupo Hexagon Data recaba los datos mediante transferencia directa por el Cliente o mediante acceso a las bases de datos por el Cliente. En todo momento es el Cliente, por sí mismo o por medio de un tercero autorizado, quien recolecta los datos. Es First Party Data del Cliente. 

Los tipos de Datos Personales pueden incluir, sin limitarse a:

  • Cookie IDs 
  • E-mail address
  • Datos de comportamiento inferidos y declarados 
  • Datos no precisos de geolocalización 
  • Address
  • Age
  • Marital status
  • Genre
  • Información de navegación en la red
  • Información sobre el uso de aplicaciones móviles
  • Mobile Advertising IDs
  • First and last name
  • Number of children

1.5. Categories of Data Subjects

Los Datos del Cliente están relacionados a las siguientes categorías de Titulares:

  • Usuarios, consumidores y prospectos
  • Clientes y vendedores del Cliente

1.6. Datos  Personales sensibles

Grupo Hexagon Data no trata datos sensibles.

Annex B

Sub-managers

  • Amazon Web Services, Inc. 
  • Datorama, Inc.
  • Google LLC. 
  • Linkedln Corporation
  • Lotame Solutions, Inc.
  • Microsoft Power Bi
  • QlikView de QlikTech Inc. 
  • Tableau Software LLC.
  • TapClicks, Inc. 
  • TikTok Pte. Ltd.