icn_HexagonData

Addendum sobre Tratamiento de Datos Hexagon Match

Índice de contenido

El Addendum sobre el Tratamiento de Datos aplica a los datos personales que Hexagon Data trata bajo encargo y en nombre del Cliente, en virtud del uso de la plataforma Hexagon Match (la “Plataforma”),, según lo establecido en este Acuerdo, y en la medida que aplique i) la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento (“LFPDPPP”) o ii) cualquier otra ley de protección de datos identificada en este documento.

Al referirnos a “Hexagon Data”, “nosotros” o la “Empresa” nos referimos a Hexagon Data, S.A.P.I. de C.V. y a sus afiliadas que tratan los datos personales conforme a los términos aquí descritos. Tenemos el interés legítimo en proteger la información que nuestros Clientes comparten con nosotros.

El Cliente está conforme y acepta a nombre propio y en nombre de sus representados lo acordado en este documento.

Este Addendum sobre Tratamiento de Datos (el “Acuerdo” y/o “DPA Match”), forma parte de los Términos de Uso de la Plataforma, y refleja el Acuerdo entre las partes respecto del tratamiento de datos personales que se realiza en la misma. Las Partes acuerdan cumplir con las siguientes disposiciones y cada uno se compromete a actuar razonablemente y de buena fe. 

Definiciones

  • Afiliado: se refiere a cualquier entidad que directa o indirectamente, controle, sea controlada, o se encuentre en control conjunta del Cliente. “Control” significa propiedad directa o indirecta o control del 50% de los votos accionarios de la entidad. 
  • Anonimización: y/o disociación, se refiere al procedimiento mediante el cual los datos personales no pueden asociarse al Titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
  • CCPA: significa el “California Consumer Privacy Act” que regula la protección de datos de los habitantes del Estado de California, Estados Unidos de América.
  • Cliente: para efectos de este Acuerdo, el término “Cliente” se refiere a la persona física o moral, incluidos sus Afiliados, quien contrata el uso de la Plataforma. 
  • Contrato: se refiere al Contrato de Licencia por el cual Hexagon Data concede una Licencia de uso de la Plataforma y se establece la relación comercial con los Clientes. Firmamos contratos exclusivos con cada Cliente para atender las necesidades específicas, en donde se detallan los términos de la Licencia así como la duración de la misma. Este Acuerdo forma parte del Contrato de Licencia. 
  • Datos del Cliente: también referidos como “sus Datos”, significa cualquier dato y/o información que el Cliente comparta con Hexagon Data. Incluye a los datos personales de sus usuarios y/o consumidores y a los datos recolectados mediante tags y/o scripts que observan el comportamiento de sus usuarios y/o consumidores en su sitio web, APIs, apps y/o newsletters. Incluye las bases de datos que el Cliente comparta con nosotros.
  • Datos personales: cualquier información concerniente a una persona física identificada o identificable. 
  • Datos personales sensibles: aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
  • Delegado de Protección de Datos: el GDPR requiere que las empresas nombren a un responsable de supervisar cómo se tratan los datos personales y de informar y aconsejar a los empleados que tratan los datos sobre sus obligaciones. Hexagon Data ha nombrado a un Delegado de Protección de Datos. La persona designada puede ser contactada en [email protected]
  • Encargado: significa la persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del Responsable.
  • First Party Data: El tipo de datos depende de la forma por la que se adquieren estos datos. First Party Data son aquellos datos que se adquieren “de primera mano” del Cliente. Es decir, es aquella información que recopila de sus propias fuentes, como por ejemplo a través su sitio web, apps, newsletters y/o mediante la interacción directa con sus usuarios y/o consumidores. Es información de usuarios que han interactuado con el Cliente, se han interesado por el producto o servicio, y han dejado sus datos o incluso ya son clientes. 
  • GDPR, por sus siglas en inglés, se refiere al Reglamento (EU) 206/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Leyes y Reglamentos de Protección de Datos: significan todas las leyes y reglamentos aplicables a la protección de datos personales. En territorio Mexicano, específicamente la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento (“LFPDPPP”); para Colombia, en particular la Ley 1581 de 2012 y el Decreto 1377 de 2013. A nivel internacional, los instrumentos líderes son el GDPR de la Unión Europea y el CCPA del Estado de California, Estados Unidos de América. 
  • Plataforma Hexagon Match: es una plataforma en donde se ofrece el proceso de Data Onboarding. El cual consiste en encontrar la coincidencia (“match”) entre los datos offline con los datos online del Cliente.  
  • Responsable: significa la persona física o jurídica, que sola o conjuntamente, determina el propósito y la forma del tratamiento de datos personales. 
  • Sub-encargado: es aquella persona a quien Hexagon Data encarga el tratamiento de los Datos del Cliente y/o la persona que provee un servicio a Hexagon Data que se requiere para el cumplimiento de la prestación de los Servicios para el Cliente.
  • Información de terceros: El tipo de datos depende de la forma por la que se adquieren estos datos. Información de terceros son los datos de “tercera mano” que se adquieren de fuentes totalmente externas al Cliente, normalmente mediante empresas proveedoras de datos y de intermediarios de datos. Estos datos son agregados y anonimizados, pueden adquirirse a gran escala ya seleccionados, procesados y segmentados según el tipo de audiencia. La Plataforma no acepta este tipo de datos, por lo que el Cliente se compromete a no incluir este tipo de datos en el uso de la misma. 
  • Titular: significa la persona física identificada o identificable a quien corresponden los datos personales.
  • Transferencia: significa toda comunicación de datos realizada a persona distinta del Responsable o Encargado del tratamiento.  
  • Tratamiento, y/o “procesamiento” en los términos del GDPR, se refiere a la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

Todos los términos en mayúsculas que no se definan en el presente tendrán el significado que se establece en este Acuerdo. 

Cláusulas

1.Tratamiento de Datos Personales 

1.1 Relación entre las Partes. Las Partes acuerdan que en relación al tratamiento de los Datos del Cliente, el Cliente es el Responsable y Hexagon Data es el Encargado, quien puede sub-encargar a terceros en los términos aquí descritos. 

1.2 Detalles del tratamiento. El Anexo A establece el objeto, naturaleza y finalidad del procesamiento por parte de Hexagon Data, la duración, los tipos de datos y categorías de los Titulares de datos. Cada parte cumplirá con las obligaciones que le son aplicables en virtud de las leyes y reglamentos de protección de datos y este DPA Match. 

1.3 Tratamiento de datos personales por el Cliente. Antes de usar la Plataforma, el Cliente será responsable de informar a los Titulares el tratamiento que Hexagon Data hará de sus datos en calidad de Encargado y obtener su consentimiento. Es responsabilidad del Cliente la exactitud, calidad y legalidad de los datos así como los medios por los que el Cliente adquirió estos datos. En este sentido, el Cliente se compromete a únicamente usar datos que haya recolectado por sí mismo, es decir First Party Data.

1.4 Tratamiento de Datos del Cliente. Hexagon Data podrá procesar datos personales en nombre y bajo encargo del Cliente. Trataremos los datos como Información Confidencial, salvo lo dispuesto en contrario por el Cliente.  

1.5 Propósitos del procesamiento. Hexagon Data sólo procesa los Datos del Cliente de acuerdo con (i) las instrucciones por escrito del Cliente (ii) los términos de este DPA Match, y (iii) el  Contrato de Licencia firmado entre las partes. Hexagon Data podrá  procesar ciertas categorías de datos personales en nombre de Cliente para ciertos propósitos definidos, conforme al Anexo A.

2 Derecho de los Titulares

Los Titulares en todo momento tienen el derecho de modificar y/o revocar su consentimiento para el tratamiento de sus datos personales. Así mismo ostentan el derecho a ser olvidados y demás derechos que la regulación correspondiente les otorgue. Hexagon Data se compromete a cumplir, y a asistir en su cumplimiento, en todo momento. 

En caso de que Hexagon Data llegara a recibir una solicitud de un usuario y/o consumidor de quien el Cliente sea Responsable, para ejercer sus derechos ARCO o derechos específicos a su jurisdicción, Hexagon Data notificará al Cliente. En la medida en que lo permita la ley, Hexagon Data asistirá al Cliente con medidas técnicas y organizativas apropiadas para el cumplimiento de la obligación del Cliente de responder al requerimiento del Titular bajo las Leyes y Reglamentos de Protección de Datos. 

Si el Cliente o cualquier tercero interesado quisiera ejercer sus derechos sobre datos personales de los cuales nosotros somos el Responsable, podrá ejercer sus derechos con el procedimiento que se explica en el apartado “MEDIOS PARA EJERCER SUS DERECHOS” de nuestro Aviso de Privacidad.

3 Colaboradores de Hexagon Data

Hexagon Data cuenta con un equipo de programadores, analistas y colaboradores (los “Colaboradores”) capacitados para ofrecer servicios de alta calidad a nuestros Clientes. Estamos comprometidos con la protección de los datos que tratamos, por lo que implementamos medidas internas para el manejo de datos y además capacitamos a los Colaboradores para que traten los datos en los estándares descritos en este Acuerdo. A continuación enlistamos medidas de seguridad diseñadas para proteger la seguridad y privacidad de nuestros clientes:

3.1 Confidencialidad. Nos aseguramos que los Colaboradores dedicados al tratamiento de datos sean informados del carácter confidencial de los Datos del Cliente, reciban la capacitación adecuada sobre sus responsabilidades y firmen acuerdos de confidencialidad por escrito. Estas obligaciones de confidencialidad sobreviven a la terminación del contrato de los Colaboradores. 

3.2 Limitación del acceso. El acceso a los Datos del Cliente se limita a los Colaboradores que realizan los servicios de conformidad con el Contrato. Además se le proporciona a cada Colaborador una computadora para el uso exclusivo de su colaboración en Hexagon Data. Cualquier trabajo que realicen respecto del Servicio al Cliente, será en equipos de trabajo propiedad de Hexagon Data.

3.3 Delegado de Protección de Datos. Hexagon Data ha nombrado un delegado de protección de datos. La persona designada puede ser contactada en [email protected].

4 Sub-encargados

El Cliente acepta y autoriza que Hexagon Data puede contratar a terceras personas (los “Proveedores”) en relación con la prestación de los Servicios, quienes serán catalogados como Sub-encargados en conformidad con este DPA Match. Hexagon Data firma un contrato por escrito con cada Sub-encargado que contiene las obligaciones  respecto a la protección de datos personales no menos protectoras que las de este DPA Match. La lista de Sub-encargados se encuentra en el Anexo B. 

En caso de que Hexagon Data quiera hacer un cambio de Sub-encargado, notificará al Cliente y deberá obtener su consentimiento para hacer efectivo dicho cambio. El Cliente podrá oponerse al uso de Hexagon Data de un nuevo Proveedor dentro de los 5 (cinco) días en que se notifique el cambio. Si el Cliente omite responder en ese periodo y sigue actuando conforme al Contrato, se entenderá como aceptada la propuesta. 

Al contratar a los Proveedores nos comprometemos a:

a. contratar empresas reconocidas y líderes en el mercado, que implementen medidas de seguridad no menos protectoras que las establecidas en el presente Acuerdo para cumplir con la protección de datos, en la medida en que sean aplicables a la naturaleza de los servicios prestados por dicho Sub-encargado;

b. restringir el acceso del Sub-encargado a los Datos del Cliente sólo a lo que es necesario para mantener los servicios o para proporcionar los servicios al Cliente;

c. Hexagon Data es responsable del cumplimiento de las obligaciones del presente Acuerdo y de cualquier acto u omisión que los Sub-encargados hagan que incumpla alguna de las obligaciones inscritas en el presente, salvo lo dispuesto en contrario. 

5 Seguridad

Hexagon Data implementará las medidas técnicas y organizativas apropiadas para la protección de la seguridad, confidencialidad y la integridad de los Datos del Cliente. 

5.1 Medidas de seguridad. Establecemos y mantenemos medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. No adoptamos medidas de seguridad menores a aquellas que mantenemos para el manejo de nuestra información. 

Las medidas de seguridad incluyen: (a) restricción de acceso a la Plataforma; (b) protegemos la seguridad de su información durante la transmisión hacia o desde sitios web, aplicaciones, productos o servicios de Hexagon Data mediante el uso de software y protocolos de cifrado; (c) creamos llaves de acceso específicas para cada actor involucrado en el tratamiento de datos; (d) adoptamos medidas internas para el manejo de datos por los colaboradores; y (e) nos cercioramos que nuestros Proveedores cumplan con los más altos estándares de seguridad de datos y privacidad, en atención a las Leyes aplicables.

a. Restricción de acceso a la Plataforma. El acceso a la Plataforma está restringido por medio de elementos de autenticación. Concluido el proceso de Alta del Cliente, Hexagon Data creará un perfil exclusivo al Cliente quien contará con una cuenta de Usuario y Contraseña. La contraseña que Hexagon Data crea es temporal por lo que el Cliente debe cambiarla en su primera entrada en la Plataforma. Favor de leer los Términos de Uso de la Plataforma para mayor información. 

5.2  Confidencialidad. En todo momento, Hexagon Data tratará los Datos del Cliente como Información Confidencial y se asegura de que todo el personal responsable de procesar los mismos firme acuerdos de confidencialidad, que regirán el acceso, la utilización y el tratamiento de los Datos del Cliente.

5.3 Gestión y notificación de incidentes de seguridad. En caso de incidentes de seguridad, Hexagon Data notificará al Cliente en cuanto sea de su conocimiento la accidental o ilegal destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos del Cliente, incluidos los datos anonimizados, transmitidos, almacenados o procesados de otra manera por Hexagon Data o sus Sub-encargados. 

Hexagon Data hará esfuerzos razonables para identificar la causa de tal incidente y tomará las medidas que considere necesarias y razonables para remediar la causa en la medida en que la reparación esté dentro del control razonable de Hexagon Data. Las obligaciones aquí establecidas no se aplicarán a los incidentes causados por el Cliente o usuarios del Cliente.

6 Transferencia de datos

Transferimos datos en la menor medida de lo posible. En caso de realizarlo será con nuestros Proveedores, quienes son Sub-encargados en los términos descritos en el apartado correspondiente dentro de este DPA Match. Las transferencias que realizaremos son únicamente las permitidas por las Leyes y Reglamentos de Protección de Datos aplicable. Asimismo nos aseguramos que sea hacia jurisdicciones en donde cumplan con los mismos o mayores estándares de seguridad descritos en este Acuerdo.

7 Eliminación de datos

Durante la relación contractual con el Cliente, podremos almacenar los Datos del Cliente en cualquiera de nuestras bases de datos. Nos comprometemos a únicamente almacenar los datos estrictamente necesarios y a eliminarlos dentro de los 3 meses siguientes a la terminación del uso de la Plataforma o hasta el plazo de prescripción legal.  Así mismo, en la medida de los posible y previa solicitud, nos comprometemos a devolver los Datos del Cliente mediante la transferencia de datos de forma física a través de un archivo CSV. 

8 Información adicional para ciertas jurisdicciones

Proporcionamos información adicional acerca de la privacidad, recopilación y uso de información personal de clientes actuales y futuros de Hexagon Data situados en determinadas jurisdicciones. 

8.1 Unión Europea: GDPR

Hexagon Data procesa datos personales, en la medida de lo posible, de conformidad con los requisitos de la GDPR directamente aplicables a la prestación de sus Servicios y a lo dispuesto por sus Clientes. El Cliente reconoce específicamente que su uso de la Plataforma no violará los derechos de ningún Titular sujeto a la protección del GDPR.

8.2 CCPA

Hexagon Data procesa datos personales, en la medida de lo posible, de conformidad con los requisitos de la CCPA directamente aplicables a la prestación de sus Servicios y a lo dispuesto por sus Clientes. Dentro de ni por virtud de nuestros servicios, no vendemos bases de datos ni datos personales del Cliente ni de sus usuarios y/o consumidores. El Cliente reconoce específicamente que su uso de la Plataforma no viola los derechos de ningún Titular que haya optado por no vender o divulgar sus datos personales, en la medida en que sea aplicable bajo el CCPA.

9 Misceláneo

9.1 Modificaciones. Estamos en constante actualización de nuestras políticas para ofrecer la mayor protección posible. Hexagon Data se reserva el derecho de hacer modificaciones y adaptaciones al presente Acuerdo.  La nueva versión entrará en vigor en la fecha en que se indique al inicio de esta Política. En caso de que consideremos que existen cambios sustanciales le avisaremos previamente a través de la publicación de un aviso visible en nuestro sitio web o mediante cualquiera de los medios de comunicación disponibles. Entrada en vigor se considerará aceptada por usted. Le sugerimos revisar constantemente nuestro sitio web durante la vigencia de nuestra relación.

9.2 Vigencia. Este Acuerdo mantiene su vigencia durante la relación contractual con el Cliente y/o mientras que el Cliente, por sí mismo o sus Usuarios, haga uso de la Plataforma. Cualquier obligación o responsabilidad acumulada hasta el momento de la terminación, permanecerá válida hasta su cumplimiento. 

Este Acuerdo será legalmente vinculante en el momento en que se ponga a disposición del Cliente. Se entenderá que el Cliente consiente al tratamiento de sus datos, cuando habiéndose puesto a su disposición este Acuerdo, no manifieste su oposición y continué su uso de la Plataforma. 

Anexo A

Detalles del Tratamiento

1.1. Naturaleza del tratamiento

Hexagon Data trata los datos personales para ofrecer sus Productos y Servicios dentro de la Plataforma y conforme el Cliente lo indique.

En caso de que, en virtud del Contrato, se acuerde que un servicio basado en la nube sea prestado por un Proveedor (Amazon Web Services, Google u otro), las partes reconocen que cualquier dato personal tratado dentro del servicio en la nube se regirá exclusivamente por los términos y condiciones del mismo según lo estipulado y modificado de vez en cuando por el Proveedor.

1.2. Propósito de tratamiento

El propósito de tratamiento de Datos del Cliente puede incluir alguno de los siguientes:

  • Almacenar los datos de contacto en un solo lugar  
  • Generar audiencias anónimas
  • Generar una tabla de coincidencias (“match table”) 
  • Mejorar la eficiencia de la Plataforma
  • Transferir las audiencias a las fuentes que el Cliente indique
  • Sincronización de IDs (“ID Syncing”)

1.3. Duración del Tratamiento

Conforme a lo previsto en la sección respectiva a la vigencia del DPA Match, Hexagon Data procesa los Datos del Cliente durante la validez de la relación contractual con el Cliente y/o mientras que el Cliente, por sí mismo o mediante sus Usuarios, haga uso de la Plataforma

1.4. Tipos de Datos Personales

Los datos que tratamos son de dos fuentes:

  • Datos que el Cliente, por sí mismo o por sus Usuarios, carga a la Plataforma. Los tipos de datos pueden incluir, sin limitarse a:
    • Código Postal
    • Código del país en dos caracteres
    • Correo electrónico
    • Domicilio
    • Edad
    • Estado civil
    • Género
    • Nombre y apellido
    • Número de hijos 
    • Rango de edad 
  • Datos que Hexagon Data podrá recolectar a nombre del Cliente mediante tags y/o scripts directamente incorporados en el sitio web, APIs, apps y newsletter del Cliente. Mediante el tag, Hexagon Data podrá crear un Unique ID para recolectar los datos que utilizará en el match; en ningún momento hará match entre datos de diferentes Clientes. El tipo de datos que se pueden incluir, sin limitarse a, son:
    • Customer ID 
    • Email 
    • Mobile Advertising ID
    • Teléfono móvil

Cuando el Cliente sube sus Datos a la Plataforma, se genera un data source dentro de la misma; el Cliente podrá elegir encriptar (anonimizar) los datos, de otra forma los datos no serán anonimizados, y entre esos datos algunos podrán ser datos personales. Independiente a la elección del Cliente, cuando los datos sean transferidos a las fuentes que el Cliente indique serán anonimizados. Los datos tratados son a total discreción del Cliente para cumplir con el uso deseado de la Plataforma.

1.5. Categorías de los Titulares de Datos

Los datos personales son First Party Data que el Cliente recolecta por sí mismo. Los Datos del Cliente están relacionados a las siguientes categorías de titulares: 

  • Consumidores
  • Usuarios

1.6. Categoría especial de datos

Datos personales sensibles. Hexagon Data no trata datos sensibles dentro de la Plataforma. 

Información de terceros. Los datos que tratamos son Datos del Cliente recabados por él mismo o bajo encargo a un tercero, pero de los cuales el Cliente es “Responsable”. La Plataforma no está diseñada para tratar información de terceros ajena a la recabada por el Cliente.

Anexo B

Sub-encargados

  • Amazon Web Services, Inc. 
  • Oracle Corporation
  • Facebook, Inc. 
  • Google LLC. 
  • Lotame Solutions, Inc.
  • Salesforce.com, Inc.