icn_HexagonData

Addendum sobre Tratamiento de Datos

Índice de contenido

El Addendum sobre el Tratamiento de Datos se aplica al tratamiento de Datos del Cliente por parte de Hexagon Data en nombre del Cliente, en virtud de su relación contractual, con el fin de proporcionar y mejorar los servicios de  Hexagon Data, y según lo establecido en este Acuerdo, en la medida en que i) se aplique la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento (“LFPDPPP”) o ii) cualquier otra ley de protección de datos identificada en este documento.

Hexagon Data es una empresa mexicana que tiene actividades en México. Está constituida bajo leyes mexicanas y es denominada Hexagon Data S.A.P.I. de C.V. Tenemos el interés legítimo en proteger la información que nuestros Clientes comparten con nosotros. 

El Cliente acepta a nombre propio lo acordado en este documento. Este Acuerdo aplica para el tratamiento de los datos que Hexagon Data hace bajo encargo del Cliente como objeto de los Servicios que contrata con nosotros. 

La naturaleza de nuestros servicios es analizar las bases de datos del Cliente para optimizar los KPI’s indicados por el mismo. Por lo tanto, habitualmente Hexagon Data trata datos anonimizados en donde no es posible identificar personas específicas, es decir no considerados datos personales conforme a la Ley. Sin embargo, en la relación comercial, el Cliente excepcionalmente podrá encargarnos Datos Personales de sus usuarios y/o consumidores. 

Este Addendum sobre Tratamiento de Datos (el “Acuerdo” y/o “DPA”) forma parte del Contrato de Servicios entre Hexagon Data y el Cliente; refleja el acuerdo entre las partes respecto del tratamiento de los Datos del Cliente. Las Partes acuerdan cumplir con las siguientes disposiciones y cada uno se compromete a actuar razonablemente y de buena fe.

Definiciones

  • Afiliado: se refiere a cualquier entidad que directa o indirectamente, controle, sea controlada, o se encuentre en control conjunta del Cliente. “Control” significa propiedad directa o indirecta o control del 50% de los votos accionarios de la entidad.
  • Anonimización: se refiere a la disociación de acuerdo a la LFPDPPP, entendida como el procedimiento mediante el cual los datos personales no pueden asociarse al Titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo. 
  • Bases de datos del Cliente: se refiere a las bases de datos que contienen información general del comportamiento de sus usuarios y que pueden incluir datos anonimizados de los usuarios y/o consumidores del Cliente.
  • CCPA: significa el “California Consumer Privacy Act” que regula la protección de datos de los habitantes del Estado de California, Estados Unidos de América.
  • Cliente: para efectos de este Acuerdo, el término “Cliente” se refiere a la persona moral, incluidos sus afiliados, quien contrata los Servicios de Hexagon Data. 
  • Contrato: Hexagon Data establece su relación comercial con sus Clientes mediante contratos, órdenes de servicio, y/o acuerdos comerciales en donde se establecen los acuerdos bilaterales entre las partes (el “Contrato”). Firmamos contratos exclusivos con cada Cliente para atender las necesidades específicas, en donde se detallan el tipo de datos que se recolectarán, la duración y el objetivo. Este Acuerdo forma parte del Contrato. 
  • Datos del Cliente: para efectos de este Acuerdo, significa cualquier dato y/o información que el Cliente comparta con Hexagon Data. Se incluyen las bases de datos del Cliente y, de forma extraordinaria y explícitamente indicado por el Cliente, los Datos Personales de los usuarios y/o consumidores del Cliente. 
  • Datos Personales: cualquier información concerniente a una persona física identificada o identificable. 
  • Datos Personales Sensibles: aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
  • Delegado de Protección de Datos: el GDPR requiere que las empresas nombren a un responsable de supervisar cómo se tratan los datos personales y de informar y aconsejar a los empleados que tratan los datos sobre sus obligaciones. Hexagon Data ha nombrado a un Delegado de Protección de Datos. La persona designada puede ser contactada en [email protected]
  • Encargado: significa la persona física o jurídica que trata datos personales por cuenta del responsable.
  • First Party Data: el tipo de datos depende de la forma por la que se adquieren estos datos. First Party Data son aquellos datos que se adquieren “de primera mano” del Cliente. Es decir, es aquella información que recopila de sus propias fuentes, como por ejemplo a través su sitio web, APIs, apps, newsletters y/o mediante la interacción directa con sus usuarios y/o consumidores. Es información de usuarios que han interactuado con el Cliente, se han interesado por el producto o servicio y han dejado sus datos e incluso ya son clientes. 
  • GDPR, por sus siglas en inglés, se refiere al Reglamento (EU) 206/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Leyes y Reglamentos de Protección de Datos: significan todas las leyes y reglamentos aplicables a la protección de datos personales. En territorio Mexicano, específicamente la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento (“LFPDPPP”). A nivel internacional, los instrumentos líderes son el GDPR de la Unión Europea y el CCPA del Estado de California, Estados Unidos de América. 
  • Responsable: significa la persona física o jurídica, que sola o conjuntamente, determina el propósito y la forma del tratamiento de Datos Personales. 
  • Servicios: Hexagon Data presta servicios a la medida y necesidades del Cliente. En general nuestros servicios consisten en ser los administradores de la cuenta del Cliente en plataformas de DMP. Además nos encargamos de hacer análisis, crear audiencias, reportes y generar conexión entre diversas bases de datos. Las especificaciones del servicio son indicadas por el Cliente y se incluyen en el Contrato. 
  • Seudonimización, también conocida como disociación reversible. Se refiere al tratamiento de datos personales de tal manera que éstos ya no puedan atribuirse a un interesado concreto sin utilizar información adicional; la cual se debe conservar por separado y estar sujeta a medidas técnicas y organizativas que garanticen que los datos personales no se atribuyen a una persona física identificada o identificable. 
  • Sub-encargado: es aquella persona a quien Hexagon Data encarga el tratamiento de los Datos del Cliente y/o la persona que provee un servicio a Hexagon Data que se requiere para el cumplimiento de la prestación de los Servicios para el Cliente.
  • Titular: significa la persona física identificada o identificable a quien corresponden los datos personales.
  • Transferencia: significa toda comunicación de datos realizada a persona distinta del Responsable o Encargado del tratamiento.  
  • Tratamiento, bajo leyes mexicanas y/o “procesamiento” en los términos del GDPR, se refiere a la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

Todos los términos en mayúsculas que no se definan en el presente tendrán el significado que se establece en este Acuerdo. 

Cláusulas

1. Tratamiento de Datos Personales 

1.1 Relación entre las Partes.  Las Partes acuerdan que en relación al tratamiento de los Datos del Cliente, el Cliente es el Responsable y Hexagon Data es el Encargado, quien puede sub-encargar a terceros en los términos aquí descritos. 

1.2 Detalles del tratamiento. El Anexo A establece el objeto, naturaleza y finalidad del tratamiento por parte de Hexagon Data, la duración, los tipos de datos y categorías de los Titulares de datos. Cada parte cumplirá con las obligaciones que le son aplicables en virtud de las leyes y reglamentos de protección de datos y este DPA.

1.3 Tratamiento de datos personales por el Cliente. El Cliente es el responsable de obtener el consentimiento de los Titulares e informar el tratamiento de los datos; así como en la medida de lo posible anonimizar o seudonimizar dichos datos, por sí mismo o por medio de un tercero, antes de encargarnos su tratamiento. Es responsabilidad del Cliente la exactitud, calidad y legalidad de los datos y los medios por los que el Cliente adquirió esos datos. 

En caso de que el Cliente nos encargue el tratamiento de Datos Personales, se compromete a únicamente compartir y/o dar acceso a datos que haya recolectado por sí mismo, o bajo encargo a sus proveedores o terceros autorizados, pero que en todo momento sea First Party Data. El Cliente es el único responsable de esos datos. Hexagon Data se deslinda de cualquier responsabilidad y/o reclamación que sus proveedores o terceros autorizados reclamen al Cliente, ya que todas las acciones que Hexagon Data realice son encomendadas por él. 

1.4 Tratamiento de Datos del Cliente. Para la prestación de nuestros Servicios, habitualmente Hexagon Data no analiza Datos Personales (en el sentido que lo establece la Ley), sino que tratamos datos anonimizados. Sin embargo, a petición explícita del Cliente podremos procesar Datos Personales en nombre y bajo encargo del Cliente. En caso de recibir Datos Personales nos comprometemos a anonimizarlos y a tratarlos como Información Confidencial, salvo lo dispuesto en contrario por el Cliente.

1.5 Propósitos del tratamiento. Los Servicios de Hexagon Data son personalizados a las necesidades e intereses de cada Cliente, por lo que las especificaciones se encuentran inscritas en cada Contrato correspondiente. En este sentido, Hexagon Data sólo procesa los Datos del Cliente de acuerdo con (i) las instrucciones por escrito del Cliente (ii) los términos de este DPA, y (iii) cualquier Contrato y/o declaraciones entre las Partes. Hexagon Data podrá procesar ciertas categorías de datos personales en nombre de Cliente para ciertos propósitos definidos, conforme al Anexo A.

2. Derecho de los Titulares

En caso de que Hexagon Data llegara a recibir una solicitud de un usuario y/o consumidor de quien el Cliente sea Responsable, para ejercer sus derechos ARCO o derechos específicos a su jurisdicción, Hexagon Data notificará al Cliente. En la medida en que lo permita la ley, Hexagon Data asistirá al Cliente con medidas técnicas y organizativas apropiadas para el cumplimiento de la obligación del Cliente de responder al requerimiento del Titular bajo las Leyes y Reglamentos de Protección de Datos. 

Si el Cliente o cualquier tercero interesado quisiera ejercer sus derechos sobre datos personales de los cuales nosotros somos el Responsable, podrá ejercer sus derechos con el procedimiento que se explica en el apartado “MEDIOS PARA EJERCER SUS DERECHOS” de nuestro Aviso de Privacidad

3. Colaboradores de Hexagon Data

3.1 Confidencialidad. Nos aseguramos que los colaboradores dedicados al tratamiento de datos sean informados del carácter confidencial de los Datos del Cliente, reciban la capacitación adecuada sobre sus responsabilidades y firmen acuerdos de confidencialidad por escrito. Estas obligaciones de confidencialidad sobreviven a la terminación del contrato de los colaboradores. 

3.2 Limitación del acceso. El acceso a los Datos del Cliente se limita a los colaboradores que realizan los Servicios de conformidad con el Contrato. Además se le proporciona a cada colaborador una computadora para el uso exclusivo de su colaboración en Hexagon Data. Cualquier trabajo que realicen respecto del Servicio al Cliente, será en equipos de trabajo propiedad de Hexagon Data.

3.3 Delegado de Protección de Datos. Hexagon Data ha nombrado un delegado de protección de datos. La persona designada puede ser contactada en [email protected]  

4 Sub-encargados

El Cliente acepta y autoriza que Hexagon Data puede contratar a terceras personas (los “Proveedores”) en relación con la prestación de los Servicios, quienes serán catalogados como Sub-encargados en conformidad con este DPA. Hexagon Data firma un contrato por escrito con cada Sub-encargado que contiene las obligaciones respecto a la protección de datos personales no menos protectoras que las de este DPA. La lista de Sub-encargados se encuentra en el Anexo B

En caso de que Hexagon Data quiera hacer un cambio de Sub-procesador, notificará al Cliente y deberá obtener su consentimiento para hacer efectivo dicho cambio. El Cliente podrá oponerse al uso de Hexagon Data de un nuevo Proveedor dentro de los 5 (cinco) días siguientes en que se notifique el cambio. Si el Cliente omite responder y sigue actuando conforme al Contrato, se entenderá como aceptada tácitamente la propuesta. 

Al contratar a los Proveedores nos comprometemos a :

a. contratar empresas reconocidas y líderes en el mercado, que implementen medidas de seguridad no menos protectoras que las establecidas en el presente Acuerdo para cumplir con la protección de datos, en la medida en que sean aplicables a la naturaleza de los servicios prestados por dicho Sub-encargado;

b. restringir el acceso del Sub-encargado a los Datos del Cliente sólo a lo que es necesario para mantener o proporcionar los servicios al Cliente;

c. Hexagon Data es responsable del cumplimiento de las obligaciones del presente Acuerdo y de cualquier acto u omisión que los Sub-encargados hagan que incumpla alguna de las obligaciones inscritas en el presente, salvo lo dispuesto en contrario.

5. Seguridad

Hexagon Data implementará las medidas técnicas y organizativas apropiadas para la protección de la seguridad, confidencialidad y la integridad de los Datos del Cliente.

5.1. Medidas de seguridad. Establecemos y mantenemos medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. No adoptamos medidas de seguridad menores a aquellas que mantenemos para el manejo de nuestra información. 

Las medidas de seguridad incluyen: (a) implementamos la anonimización los Datos Personales; (b) protegemos la seguridad de su información durante la transmisión hacia o desde sitios web, APIs, aplicaciones, productos o servicios de Hexagon Data mediante el uso de software y protocolos de cifrado; (c) creamos llaves de acceso específicas para cada actor involucrado en el tratamiento de datos; (d) adoptamos medidas internas para el manejo de datos por los colaboradores; y (e) nos cercioramos que nuestros Proveedores cumplan con los más altos estándares de seguridad de datos y privacidad, en atención a las Leyes aplicables.

5.2. Confidencialidad. En todo momento, Hexagon Data tratará los Datos del Cliente como Información Confidencial y se asegura de que todo el personal responsable de procesar los mismos firmen acuerdos de confidencialidad, que regirán el acceso, la utilización y el tratamiento de los Datos del Cliente.

5.3. Gestión y notificación de incidentes de seguridad. En caso de incidentes de seguridad, Hexagon Data notificará al Cliente en cuanto sea de su conocimiento la accidental o ilegal destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos del Cliente, incluidos los datos anonimizados, transmitidos, almacenados o procesados de otra manera por Hexagon Data o sus Sub-encargados. 

Hexagon Data hará esfuerzos razonables para identificar la causa de tal incidente y tomará las medidas que considere necesarias y razonables para remediar la causa en la medida en que la reparación esté dentro del control razonable de Hexagon Data. Las obligaciones aquí establecidas no se aplicarán a los incidentes causados por el Cliente o usuarios del Cliente.

6. Transferencia de datos

Transferimos datos en la menor medida de lo posible. En caso de realizarlo será con nuestros Proveedores, quienes son Sub-encargados en los términos descritos en el apartado correspondiente dentro de este DPA. Las transferencias que realizaremos son únicamente las previstas dentro del artículo 37 de la LFPDPPP. Asimismo nos aseguramos que sea hacia jurisdicciones en donde cumplan con los mismos o mayores estándares de seguridad descritos en este Acuerdo.

7.  Eliminación de datos

Durante la relación contractual con el Cliente, podremos almacenar los Datos del Cliente en cualquiera de nuestras bases de datos. Nos comprometemos a únicamente almacenar los datos estrictamente necesarios y a eliminarlos una vez cumplida la finalidad para la cual fueron recabados o hasta el plazo de prescripción legal. Así mismo, en la medida de los posible y previa solicitud, nos comprometemos a devolver los Datos del Cliente al término de la relación contractual. 

8. Información adicional para ciertas jurisdicciones

Proporcionamos información adicional acerca de la privacidad, recopilación y uso de información personal de clientes actuales y futuros de Hexagon Data situados en determinadas jurisdicciones. 

8.1 Unión Europea: GDPR

Hexagon Data procesa datos personales, en la medida de lo posible, de conformidad con los requisitos de la GDPR directamente aplicables a la prestación de sus Servicios y a lo dispuesto por sus Clientes. El Cliente reconoce específicamente que su uso de los Servicios no violará los derechos de ningún Titular sujeto a la protección del GDPR. 

8.2 CCPA

Hexagon Data procesa datos personales, en la medida de lo posible, de conformidad con los requisitos de la CCPA directamente aplicables a la prestación de sus Servicios y a lo dispuesto por sus Clientes. Dentro de ni por virtud de nuestros Servicios, no vendemos bases de datos ni Datos Personales del Cliente ni de sus usuarios y/o consumidores. El Cliente reconoce específicamente que su uso de los Servicios no violará los derechos de ningún Titular que haya optado por no vender o divulgar sus Datos Personales, en la medida en que sea aplicable bajo el CCPA.

9. Misceláneo

9.1 Modificaciones. Estamos en constante actualización de nuestras políticas para ofrecer la mayor protección posible. Hexagon Data se reserva el derecho de hacer modificaciones y adaptaciones al presente Acuerdo. La nueva versión entrará en vigor en la fecha en que se indique al inicio de esta Política. En caso de que consideremos que existen cambios sustanciales le avisaremos previamente a través de la publicación de un aviso visible en nuestro sitio web o mediante cualquiera de los medios de comunicación disponibles. Entrada en vigor se considerará aceptada por usted. Le sugerimos revisar constantemente nuestro sitio web durante la vigencia de nuestra relación.

9.2 Vigencia. Este Acuerdo mantiene su vigencia durante la relación contractual con el Cliente. Cualquier obligación o responsabilidad acumulada hasta el momento de la terminación, permanecerá válida hasta su cumplimiento. 

Este Acuerdo será legalmente vinculante en el momento en que se ponga a disposición del Cliente. Se entenderá que el Cliente consiente al tratamiento de sus datos, cuando habiéndose puesto a su disposición este Acuerdo, no manifieste su oposición.

Anexo A

Detalles del Tratamiento

1.1. Naturaleza del tratamiento

Hexagon Data trata los Datos del Cliente con el propósito de brindar los Servicios que ofrece al Cliente y conforme a las indicaciones del mismo. El tratamiento tiene el objetivo de analizar los datos para optimizar los KPIs indicados por el Cliente. Tratamos bases de datos de nuestros Clientes que contienen información general del comportamiento de sus usuarios anonimizados. Por lo tanto, habitualmente tratamos datos anonimizados, sin embargo, existen casos determinados y excepcionales en que el Cliente solicita que tratemos Datos Personales de sus usuarios y/o consumidores. 

En ocasiones, Hexagon Data podrá requerir que el Cliente nos dé acceso a sus fuentes de datos. Únicamente accederemos a los datos necesarios para prestar los Servicios contratados y bajo las instrucciones del Cliente.

1.2. Propósito del tratamiento

El propósito de tratamiento de Datos del Cliente puede incluir alguno de los siguientes:

  • Conexión a bases de datos del Cliente
  • Conexión de datos a visualizadores elegidos por el Cliente
  • Creación de reportes de campaña
  • Cross device matching 
  • Entrega de contenido personalizado
  • Generar insights de audiencia
  • Investigación de mercado
  • Mantenimiento y administración de las cuentas a nombre del Cliente
  • Servicios de Análisis que pueden incluir análisis de campañas, sitios web, y/o bases de datos 

1.3. Duración del Tratamiento

Conforme a lo previsto en la sección respectiva a la vigencia del DPA, Hexagon Data procesa los Datos del Cliente durante la validez de la relación contractual con el Cliente.

1.4. Tipos de Datos Personales

En el caso excepcional que tratemos Datos Personales, es el Cliente quien recolecta, por sí mismo o por un tercero autorizado, los Datos Personales. Hexagon Data recaba los datos mediante transferencia directa por el Cliente o mediante acceso a las bases de datos por el Cliente. En todo momento es el Cliente, por sí mismo o por medio de un tercero autorizado, quien recolecta los datos. Es First Party Data del Cliente. 

Los tipos de Datos Personales pueden incluir, sin limitarse a:

  • Cookie IDs 
  • Correo electrónico
  • Datos de comportamiento inferidos y declarados 
  • Datos no precisos de geolocalización 
  • Domicilio
  • Edad
  • Estado civil
  • Género
  • Información de navegación en la red
  • Información sobre el uso de aplicaciones móviles
  • Mobile Advertising IDs
  • Nombre y apellido
  • Número de hijos

1.5. Categorías de los Titulares de Datos

Los Datos del Cliente están relacionados a las siguientes categorías de Titulares:

  • Usuarios, consumidores y prospectos
  • Clientes y vendedores del Cliente

1.6. Datos  Personales sensibles

Hexagon Data no trata datos sensibles dentro de la prestación de nuestros Servicios.

Anexo B

Sub-encargados

  • Amazon Web Services, Inc. 
  • Datorama, Inc.
  • Google LLC. 
  • Lotame Solutions, Inc.
  • Microsoft Power Bi
  • QlikView de QlikTech Inc. 
  • Tableau Software LLC.
  • TapClicks, Inc.