������ý

Última actualización:����20 de noviembre de 2025

Este anexo forma parte de los��Términos del Sistema �Ѳ���Բ�������ٲ�®, el Acuerdo Maestro de MyInsights u otro acuerdo escrito o electrónico entre nosotros ("la Compañía") y el Cliente que incorpore este anexo por referencia (el "Acuerdo") para el uso del Sistema, y establece los términos relativos a la privacidad, confidencialidad y seguridad de la Información Personal (según se define a continuación). En caso de cualquier conflicto entre este anexo y el Acuerdo, prevalecerá este anexo respecto al Tratamiento de Información Personal. Cualquier término en mayúscula utilizado, pero no definido en este anexo, tiene los significados atribuidos a esos términos en el Acuerdo.

��

Las partes acuerdan lo siguiente:

"Afiliado" significa cualquier entidad que controle, esté controlada o esté bajo control común con la parte correspondiente, donde "Control" significa la posesión, directa o indirectamente, del poder de dirigir o causar la dirección de la gestión o las políticas de otra empresa o entidad legal, ya sea: (i) a través de la propiedad de acciones o valores con derecho a voto; (ii) mediante la propiedad de una sociedad o participación como socio; (iii) por contrato; o (iv) de otra manera.

��

"Afiliados Autorizados" significa cualquiera de los Afiliados del Cliente que esté autorizado a utilizar el Sistema bajo el Acuerdo.

��

"CCPA" significa la Ley de Privacidad del Consumidor de California, Código Civil, Código Civil, § 1798.100 y siguientes, tal como enmendada por la Ley de Derechos de Privacidad de California, y sus reglamentos de aplicación.

��

"Responsable de Datos" significa una persona que, sola o conjuntamente, determina los fines y medios del Tratamiento de Información Personal, incluyendo cualquier "negocio" tal y como lo define la CCPA.

��

"Procesador de Datos" significa una persona que procesa información personal en nombre del Responsable de Tratamiento de Datos, incluyendo cualquier "proveedor de servicios" según lo definido por la CCPA u otras leyes de privacidad aplicables.����

��

"Europa" significa la Unión Europea, el Espacio Económico Europeo, Suiza y el Reino Unido.

��

"Solicitud de Autoridad Gubernamental" significa cualquier citación, orden judicial u otra orden judicial, reguladora, gubernamental o administrativa, procedimiento, demanda o solicitud (ya sea formal o informal) por parte de una autoridad gubernamental o cuasi-gubernamental u otra autoridad reguladora (incluidas agencias de seguridad o inteligencia) que busque o exija acceso o divulgación de información personal.

��

"Incidente de Seguridad de la Información" significa (i) cualquier destrucción, pérdida, uso indebido, modificación, acceso no autorizado a, divulgación o adquisición de cualquier Información Personal; o (ii) cualquier "violación de salvaguardas de seguridad" o "incidente de confidencialidad" según lo definido conforme a las leyes de privacidad aplicables.�� El incidente de seguridad de la información no incluye intentos o actividades fallidas que no comprometan la seguridad de la Información Personal, incluyendo intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques a la red contra cortafuegos o sistemas conectados en red.

��

"Información Personal" significa cualquier dato electrónico proporcionado por o para el Cliente o sus Afiliados Autorizados a los Servicios en la Nube, incluidos los datos MyInsights, que identifique, se relacione, describa, pueda asociarse o razonablemente vincularse, directa o indirectamente, con una persona o hogar identificado, identificable o particular, independientemente del medio en el que se encuentre.��

��

"PIPEDA" significa la Ley de Protección de Información Personal y Documentos Electrónicos (Canadá), S.C. 2000, c. 5, enmendada periódicamente, junto con las regulaciones correspondientes.

��

"Procesar", "Procesar" o "Procesar" significa cualquier operación o conjunto de operaciones realizado sobre Información Personal o sobre conjuntos de Información Personal, ya sea por medios automáticos, como crear, recopilar, obtener, retener, acceder, registrar, organizar, estructurar, almacenar, adaptar, alterar, recuperar, consultar, usar, divulgar, transmitir, alinear, combinar, restringir, anónimo, eliminar o destruir los datos.

��

"Leyes de Privacidad" significa las leyes, normas, regulaciones, directivas y requisitos gubernamentales que se aplican al Tratamiento de Información Personal conforme al Acuerdo, incluyendo, cuando corresponda, CCPA, PIPEDA y las Leyes Provinciales de Privacidad.

��

"Leyes provinciales de privacidad" significa la Ley de Protección de Información Personal, SA 2003, c P-6.5 (Alberta), la Ley de Protección de Información Personal, SBC 2003, c 63 (Columbia Británica), y la Ley relativa a la protección de la información personal en el sector privado, CQLR c P-39.1 (Quebec), cada una enmendada periódicamente y junto con las regulaciones correspondientes.

��

"Vender" y "Compartir" tienen los significados atribuidos a esos términos en la Ley de Privacidad aplicable.

��

"Subprocesador" significa un tercero autorizado como otro Procesador de Datos bajo este anexo para tener acceso y procesar información personal para proporcionar partes del Sistema.

��

��

������������������������(a.) ���� �� ������ �� �� �� El cliente tendrá autoridad exclusiva para determinar los fines para los cuales la Compañía y sus Subprocesadores pueden Procesar Información Personal. La Compañía y sus Subprocesadores deberán procesar información personal con el único propósito de (i) cumplir con las obligaciones de la Compañía conforme al Acuerdo y las instrucciones escritas documentadas del Cliente (incluyendo, sin limitación, la provisión del Sistema), o (ii) según se requiera o esté autorizado según la ley aplicable o el Acuerdo (colectivamente, los "�ʰ��DZ�ó�����ٴDz�”). Salvo que lo permitan las Leyes de Privacidad, la Empresa no procesará Información Personal para ningún otro propósito ni fuera de la relación comercial directa entre el Cliente y la Empresa, ni combinará Información Personal con otra información personal que la Compañía haya recibido de una tercera parte o recopile de forma independiente del Acuerdo.����

�� �� �� ������ �� (b.) �� �� ���� �� �� �� �� Las partes anticipan que el Cliente actúe como Responsable de Tratamiento de Datos y la Empresa actúe como Responsable de Tratamiento de Datos en lo relativo al Tratamiento de Información Personal bajo el Acuerdo tal y como se describe actualmente en el Anexo��1 de este anexo. ��El cliente deberá proporcionar todos los avisos requeridos y obtener todos los consentimientos requeridos de todas las personas relevantes antes de proporcionar, transferir, comunicar o hacer accesible cualquier Información Personal sobre dichas personas a la Compañía o a sus Subprocesadores (incluyendo cualquier aviso y consentimiento requerido para que la Compañía y sus Subprocesadores procesen legalmente la Información Personal con los Fines y de otro modo, de acuerdo con el Acuerdo y este anexo). cada uno en una forma o formularios que cumplan con todas las Leyes de Privacidad y cualquier guía aplicable emitida o publicada por cualquier autoridad gubernamental o reguladora relevante (incluyendo cualquier autoridad supervisora o comisionada de privacidad relevante); (ii) conservar los registros apropiados de los avisos y consentimientos descritos anteriormente, y proporcionar rápidamente pruebas de dichas notificaciones y consentir a la Compañía a petición de la Compañía; y (iii) tomar todas las medidas razonables para garantizar que la Información Personal sea precisa, actualizada y esté restringida únicamente a la información personal mínima requerida por la Compañía para cumplir con sus obligaciones bajo el Acuerdo.��

������������������������(c.) �� �� ���� �� �� �� �� Cualquier Información Personal será, en todo momento, y seguirá siendo propiedad exclusiva del Cliente y la Compañía no tendrá ni obtendrá ningún derecho en ella salvo lo que se disponga en el Acuerdo.��

�� �� �� �� �� �� (d.)������������������������������ El cliente celebra este anexo en su nombre y, en la medida requerida por las Leyes de Privacidad aplicables, en nombre y en nombre de sus Afiliados Autorizados, si y en la medida en que la Empresa Procesa Información Personal para la cual dichos Afiliados Autorizados califican como Responsables de Tratamiento de Datos. Para evitar dudas, un Afiliado Autorizado no es ni se convierte en parte del Acuerdo. Todo el acceso y uso del Sistema por parte de Afiliados Autorizados debe cumplir con los términos del Acuerdo y cualquier violación de los términos del Acuerdo por parte de un Afiliado Autorizado será considerada una infracción por parte del Cliente. El cliente seguirá siendo responsable de coordinar todas las comunicaciones con la Compañía bajo este anexo y tendrá derecho a realizar y recibir cualquier comunicación relacionada con este anexo en nombre de sus Afiliados Autorizados.

�� �� �� �� �� ����(a.) ���� �� ������ �� �� �� La empresa no deberá compartir, transferir, divulgar, comunicar, poner a disposición ni proporcionar acceso a ninguna Información Personal a ningún tercero, salvo cuando sea necesario para la provisión del Sistema al Cliente, según lo indique o acuerde el Cliente, o lo permita el Acuerdo o lo requiera la ley aplicable. El cliente acepta que la Compañía contrate a Subprocesadores para proporcionar el Sistema, y los conocimientos que dichos Subprocesadores puedan recibir, tengan acceso y procesen información personal en nombre de la Compañía.�� La Compañía celebrará un acuerdo escrito con cada Subprocesador que imponga obligaciones sustancialmente similares al Subprocesador a las impuestas a la Compañía bajo este anexo. A solicitud por escrito, la Compañía deberá proporcionar al Cliente una lista de sus Subprocesadores que Procesan Información Personal.��

�� �� �� �� �� ����(b.)������������������������������ La Empresa no venderá ni compartirá información personal, y las Partes aquí reconocen y acuerdan que el Cliente no vende ni comparte Información Personal a la Compañía en relación con el Sistema proporcionado por la Compañía en nombre del Cliente conforme al Acuerdo.

�� �� �� ������ �� (c.) �� ������ �� �� �� �� El cliente acepta que la Compañía y sus Subprocesadores pueden transferir, transmitir, divulgar, comunicar, almacenar o procesar Información Personal en cualquier lugar del mundo donde la Compañía o sus Subprocesadores mantengan operaciones de Procesamiento de Datos.�� Para evitar dudas, el Cliente reconoce que la Compañía y sus Subprocesadores transfieren, comunicar, almacenar y procesar de otro modo los datos de MyInsights, incluida cualquier información personal, en Estados Unidos.�� El cliente deberá tomar todas las medidas necesarias conforme a las leyes de privacidad para permitir que la empresa y sus subprocesadores procesen información personal fuera de la provincia y país donde se encuentren el cliente y las personas relevantes, incluyendo, sin limitación, la entrega de cualquier notificación requerida y la realización de evaluaciones necesarias respecto a dichos datos transfronterizos Actividades de procesamiento.�� Sin limitar lo anterior, el Cliente deberá, en la medida requerida por las Leyes de Privacidad, garantizar que todas las personas a las que se refiere la Información Personal sean notificadas de que su Información Personal será transferida y almacenada fuera de Canadá (y, si se encuentran en Quebec, será comunicada fuera de Quebec) y podrá ser accedida por tribunales extranjeros, las autoridades policiales y de seguridad nacional.

�� �� ������ �� �� (d.)������������������������������ El cliente reconoce que su uso del Sistema está restringido a Canadá, México y Estados Unidos.�� El cliente afirma que la empresa no procesará información personal relacionada con individuos en Europa.����

�� �� �� �� �� ����(e.) ���� �� �� �� �� �� �� La empresa deberá informar rápidamente al cliente por escrito de cualquier consulta, queja o solicitud relativa a información personal recibida de consumidores, empleados, agentes, consultores, contratistas u otros, salvo que la ley aplicable le restrinja hacerlo. Sujeto a cualquier requisito aplicable a la Compañía bajo las leyes aplicables, incluidas las Leyes de Privacidad, el Cliente deberá responder a dichas solicitudes.��

�� �� �� �� �� ����(f.)������������������������������ La Compañía y el Cliente cooperarán razonablemente si una persona solicita acceso, actualizaciones o eliminaciones de su Información Personal, solicita la restricción o se opone al Tratamiento de su Información Personal, o realiza una solicitud de portabilidad de datos por cualquier motivo.�� El cliente será responsable de cualquier gasto que la Compañía incurra conforme a esta sección III(F).

�� �� �� �� �� ����(g.)������������������������������ La empresa implementará y mantendrá un procedimiento documentado para revisar y responder a las solicitudes de las autoridades gubernamentales. Dicho procedimiento requerirá que la Compañía:

�� �� �� �� �� �� �� �� �� �� �� �� �� ���������� (1.)���������������������������������� En la máxima medida permitida por la ley, notificar rápidamente al Cliente, por escrito, cualquier solicitud de dicha Autoridad Gubernamental y cooperar con el Cliente para responder a dicha solicitud;

�� �� �� �� �� �� �� �� �� �� �� �� �� �� �� �� (2.)�� �� �� �� ���� �� �� �� Examinar cualquier solicitud de autoridad gubernamental para determinar si es válida, legalmente vinculante y legal, y rechazar o impugnar cualquier solicitud que no sea válida, legalmente vinculante y legal; y

�� �� �� �� �� �� �� �� �� �� �� �� �� �� �� �� (3.)�� �� �� �� �� �� �� �� Asegúrese de que la información personal divulgada o a la que se acceda sea proporcional y esté limitada a la cantidad mínima estrictamente necesaria para cumplir con la Solicitud de la Autoridad Gubernamental. La empresa deberá, en la medida en que lo permita la ley aplicable, eliminar cualquier información antes de su divulgación o acceso que permita identificar directamente a una persona a partir de los datos divulgados o a los que se ha proporcionado acceso.

�� �� �� �� �� �� (h.) �� �� ���� �� �� �� �� Sujeto a cualquier restricción legal, el Cliente deberá cooperar razonablemente con la Compañía y sus Afiliados para responder a cualquier Solicitud de la Autoridad Gubernamental u otra demanda, reclamación, acción, queja, investigación o auditoría de un tercero relacionada con el Tratamiento de Información Personal en relación con el Acuerdo ("Acción Legal"), incluyendo, pero no limitado a, cualquier acción legal de este tipo por parte de cualquier individuo cuya información personal sea procesada por la Compañía o sus Subprocesadores en relación con el Acuerdo y/o cualquier autoridad supervisora o comisionado de privacidad relevante.

�� �� �� �� �� ����(i.) ���� �� �� �� �� �� �� La empresa implementará y mantendrá medidas apropiadas, físicas, técnicas, administrativas y organizativas para proteger la Información Personal frente a Incidentes de Seguridad de la Información y para preservar la seguridad y confidencialidad de la Información Personal Procesada por la Empresa. Las medidas físicas, técnicas, administrativas y organizativas están sujetas a progreso y desarrollo técnico, y la Compañía puede actualizar o modificar dichas medidas de vez en cuando siempre que las actualizaciones y modificaciones no degraden materialmente la seguridad de la Información Personal.��

�� �� �� �� �� ����(a.) ���� �� ���� �� �� �� Cada parte deberá cumplir con todas las Leyes de Privacidad relacionadas con el Tratamiento de Información Personal conforme al Acuerdo. La Compañía deberá informar rápidamente al Cliente si, en opinión de la Compañía, una instrucción del Cliente infringe las Leyes de Privacidad aplicables. No obstante lo anterior, el Cliente será el único responsable de evaluar y confirmar que su configuración, uso y recepción del Sistema (y el Procesamiento de Información Personal necesario para que la Compañía proporcione el Sistema) cumple con las obligaciones del Cliente y sus Afiliados Autorizados bajo las Leyes de Privacidad en todos los aspectos.

�� �� �� �� ������ (b.)������������������������������ La empresa certifica que entiende y cumplirá con los requisitos y restricciones establecidos en este anexo.��

�� �� �� �� �� ����(c.) ���� �� �� �� �� �� �� A petición del Cliente, la Empresa deberá proporcionar la asistencia razonable necesaria para cumplir con la obligación del Cliente bajo las Leyes de Privacidad de llevar a cabo una evaluación de impacto en la privacidad o la protección de datos y cualquier consulta regulatoria relacionada con el uso del Sistema por parte del Cliente, en la medida en que el Cliente no tenga acceso a la información relevante y dicha información esté disponible para Compañía. Salvo cualquier dispuesto en sentido contrario en el Acuerdo, la Compañía proporcionará dicha asistencia a costa del Cliente.

�� �� �� �� �� ����(d.)������������������������������ La Compañía tomará medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de la Compañía que pueda tener acceso a la Información Personal, asegurando que todas dichas personas estén sujetas a compromisos de confidencialidad o obligaciones profesionales o legales de confidencialidad.

�� �� �� ������ �� (e.) �� �������� �� �� �� �� La Compañía deberá informar rápidamente por escrito al Cliente de cualquier Incidente de Seguridad de la Información del que la Compañía tenga conocimiento.�� La Compañía deberá hacer esfuerzos razonables para identificar la causa de dicho Incidente de Seguridad de la Información y tomar las medidas que la Compañía considere necesarias y razonables para remediar la causa de dicho Incidente de Seguridad de la Información en la medida en que dicha remediación esté dentro de los límites El control razonable de la Compañía.�� Las obligaciones aquí establecidas no se aplicarán a incidentes causados por el Cliente o sus Afiliados Autorizados.��

En la medida en que la eliminación o devolución de Información Personal no esté especificada en el Acuerdo, la Empresa, al recibir la solicitud por escrito del Cliente, eliminará o devolverá, según lo determine a discreción exclusiva de la Compañía, la Información Personal dentro de un plazo razonable que la Compañía confirmará.�� No obstante la frase anterior, la Compañía y sus Subprocesadores podrán conservar cualquier Información Personal (i) requerida para el cumplimiento de cualquier obligación legal o regulatoria aplicable a la Compañía o cualquier Subprocesador, incluyendo Información Personal sujeta a una retención de documentos establecida en relación con cualquier investigación, auditoría o litigio civil, regulatorio o penal; (ii) contenida en el almacenamiento archivístico o de respaldo informático de la Compañía o de cualquier Subprocesador, que la Compañía o Subprocesador, según corresponda, será eventualmente eliminada de acuerdo con las políticas de eliminación de la Compañía o Subprocesador; o (iii) de otro modo permitido por el Acuerdo.����

A solicitud por escrito del Cliente, no más de una vez al año y sujeto a las obligaciones confiadas establecidas en el Acuerdo, la Compañía deberá proporcionar al Cliente o a su auditor mandatado las certificaciones más recientes, informes de auditoría resumen o ambos, que la Compañía haya adquirido para demostrar el cumplimiento de este anexo. Si es necesaria información adicional para que el Cliente cumpla con sus obligaciones legales bajo las Leyes de Privacidad, el Cliente deberá presentar por escrito a la Empresa una solicitud de dicha información.�� Cualquier información proporcionada por la Empresa en respuesta a dicha solicitud será proporcionada a cargo del Cliente.

Este anexo sobrevivirá a cualquier terminación o expiración del Acuerdo solo en la medida en que la Compañía mantenga cualquier Información Personal.

�� �� �� ������ �� (a) �� �� ���� �� �� �� �� Para evitar dudas, cualquier reclamación o remedio que el Cliente pueda tener contra la Compañía o cualquier Subprocesador que surja bajo o en relación con este anexo estará sujeto a cualquier cláusula de limitación de responsabilidad (incluido cualquier límite financiero agregado acordado) que se aplique bajo el Acuerdo.�� El cliente indemnizará y exentará a la Compañía y a sus Subprocesadores de y en contra cualquier pérdida, daño, obligación, multa, sanción regulatoria, coste o gasto (incluidos honorarios legales y desembolsos) incurridos por la Compañía o cualquier Subprocesador que surjan debido a, o en relación con el incumplimiento de sus obligaciones bajo este anexo o cualquier Ley de Privacidad aplicable por parte del Cliente o de cualquier Afiliado Autorizado.�� El Cliente reconoce además que cualquier pérdida, los daños, responsabilidades, multas, sanciones regulatorias, costes o gastos incurridos por la Compañía que surjan debido a, o en relación con, el incumplimiento de sus obligaciones bajo este anexo o cualquier Afiliado Autorizado a sus obligaciones bajo este anexo o cualquier Ley de Privacidad aplicable contarán y reducirán la responsabilidad de la Compañía bajo el Acuerdo como si fuera responsabilidad para el Cliente según el Acuerdo.

�� ������ �� �� �� (b) �� �� �������� �� �� �� �� El Cliente y la Compañía reconocen que las leyes relacionadas con la privacidad y la protección de datos, incluidas las Leyes de Privacidad, están evolucionando y que puede ser necesaria una enmienda al Acuerdo o este anexo para garantizar el cumplimiento de dichos desarrollos.�� Las partes acuerdan tomar las medidas necesarias para implementar los estándares y requisitos de cualquier Privacidad aplicable Leyes, incluyendo negociar de buena fe para modificar el Acuerdo o este anexo según sea necesario para el cumplimiento de dichas leyes.

�� ������ �� �� �� (c)�� �� �� �� ������ �� �� �� Las partes han solicitado expresamente que este anexo y todos los documentos relacionados se redacten únicamente en inglés.�� Les parties ont expressément exigé que le présent avenant relatif au traitement des renseignements personnels ainsi que tout document s'y rattachant soient rédigés en anglais seulement.

Este anexo 1 forma parte del anexo y debe ser completado por las Partes.

��

a)�� ���� �� �� �� �� �� �� �� Objeto y duración de las actividades de Procesamiento: Las partes reconocen y acuerdan que la Empresa y sus Subprocesadores pueden Procesar Información Personal en nombre del Cliente con el fin de proporcionar el Sistema bajo el Acuerdo y para los demás fines descritos en este anexo. La duración del Procesamiento es igual a la duración del Acuerdo, sujeto a la sección V del anexo.��

a.�������������������������������������� Personas Implicadas: La información personal se refiere a las siguientes categorías de individuos:

-������������������ Empleados y contratistas del cliente.

b.����������������������������������������Categorías de información personal: El cliente puede enviar Información Personal a los Servicios en la Nube, cuyo alcance está determinado y controlado por el Cliente, y que puede incluir las siguientes categorías de Información Personal:

-����������������Nombre y apellido

-����������������Título/Posición/Rol de usuario

-����������������Información de contacto empresarial (por ejemplo, empresa, dirección de correo electrónico, número de teléfono, dirección física del negocio)

-����������������Datos de geolocalización (por ejemplo, paradero de empleados y contratistas del cliente al utilizar vehículos dentro de las instalaciones del cliente)

-����������������Tareas y actividades, y fechas, horas y duraciones asociadas, al operar los Vehículos.

-����������������Otros usuarios autorizados de información personal de clientes introducidos manualmente en los servicios en la nube.

c.�������������������������������������� Categorías especiales de información personal (si corresponde): Ninguno.