Acuerdo de Tratamiento de Datos

Este Acuerdo de Tratamiento de Datos regula el tratamiento de datos personales y datos operativos que Axon Learning SAS, mediante Momentum, realiza por cuenta del cliente cuando este usa la plataforma para cargar contactos, operar comunicaciones, registrar respuestas, conservar evidencia, administrar bajas, consultar métricas o integrar sistemas autorizados.

Este Acuerdo forma parte de los Términos y Condiciones de Momentum y debe leerse junto con el Aviso de Privacidad Integral, la Política SMS, la Política de Retención y Eliminación, la lista de Subprocesadores, la Política de Campañas Sensibles y demás documentos publicados en la sección legal de Momentum.

1. Partes

Para efectos de este Acuerdo:

• "Axon Learning" significa Axon Learning SAS, operador de Momentum.
• "Momentum" significa la marca, sitio, aplicación, plataforma, documentación, integraciones, servicios y operación asociados a la capa de Communication Ops provista por Axon Learning.
• "Cliente" significa la persona física o moral, empresa, institución, dependencia, agencia, campaña, organización o entidad que contrata, administra o usa Momentum.
• "Usuario" significa cualquier persona autorizada por el Cliente para acceder al tenant, operar campañas, consultar datos o administrar configuraciones.
• "Contacto" o "destinatario" significa la persona cuyos datos son cargados, procesados o contactados por instrucciones del Cliente.

2. Roles de privacidad

El Cliente actúa como responsable del tratamiento respecto de los contactos, destinatarios, bases, audiencias, mensajes, listas, evidencias, finalidades, campañas e instrucciones que carga, configura o transmite a Momentum. El Cliente determina la finalidad, base legal, audiencia, contenido, oportunidad, frecuencia y alcance de sus comunicaciones.

Momentum actúa como encargado o procesador cuando trata datos del Cliente únicamente para prestar la plataforma, ejecutar instrucciones documentadas, operar mensajería, registrar evidencia, administrar bajas, procesar respuestas, generar reportes, prestar soporte, prevenir abuso, mantener seguridad o cumplir obligaciones contractuales relacionadas con el servicio.

Momentum actúa como responsable respecto de los datos que recaba y decide tratar para administrar su sitio, prospectos, relación comercial, usuarios, autenticación, cuentas, facturación, soporte, seguridad, cumplimiento, analítica propia, comunicaciones administrativas y defensa de derechos.

3. Objeto y alcance del tratamiento

El tratamiento por encargo tiene por objeto permitir que el Cliente use Momentum como capa de Communication Ops para operar comunicaciones SMS y flujos relacionados, incluyendo:

• Alojar, importar, validar, segmentar, consultar y actualizar contactos o audiencias.
• Preparar, programar, enviar, enrutar, monitorear y registrar mensajes SMS.
• Recibir respuestas entrantes, delivery reports, errores, bajas, quejas y eventos de proveedor.
• Mantener listas de supresión, evidencia de opt-out y trazabilidad de interacciones.
• Generar métricas, reportes, estados, clasificaciones, bitácoras y evidencia operativa.
• Procesar onboarding, revisión de uso previsto, billing, consumo, top-ups y soporte.
• Ejecutar integraciones, webhooks, importaciones, exportaciones y procesos técnicos autorizados.
• Prevenir spam, fraude, abuso, incumplimiento, incidentes de seguridad y uso no autorizado.

4. Instrucciones documentadas

Momentum tratará los datos del Cliente conforme a las instrucciones documentadas que resulten de:

• Los Términos y Condiciones y este Acuerdo.
• La configuración del tenant, usuarios, permisos, campañas, plantillas, integraciones y formularios.
• Las cargas, importaciones, API calls, webhooks, archivos, solicitudes de soporte o instrucciones operativas del Cliente.
• Las políticas legales publicadas por Momentum y aceptadas por el Cliente.
• Contratos, órdenes de servicio, anexos, tickets o comunicaciones escritas aceptadas por Axon Learning.
• Requerimientos legales, de proveedor, seguridad, prevención de abuso o conservación de evidencia aplicables.

Momentum podrá rechazar, pausar o no ejecutar instrucciones que considere ilegales, inseguras, abusivas, incompatibles con el servicio, contrarias a políticas de proveedores, imposibles técnicamente o inconsistentes con las obligaciones de privacidad, seguridad, uso aceptable o retención.

Las instrucciones para comunicaciones de gobierno institucional y para operaciones políticas o político-electorales deben mantenerse en tenants separados cuando provengan del mismo Cliente, grupo, agencia o equipo. Cada tenant debe conservar finalidad, usuarios, fuentes, reportes, números, subcuentas, integraciones y evidencias separadas cuando aplique. Momentum podrá rechazar o pausar instrucciones que pretendan mezclar bases institucionales con finalidades político-electorales no autorizadas.

5. Categorías de titulares

El tratamiento puede involucrar, según el uso contratado:

• Usuarios, administradores, operadores, coordinadores, responsables de cuenta y miembros del equipo del Cliente.
• Contactos, leads, prospectos, destinatarios, ciudadanos, clientes finales, pacientes, deudores, alumnos, usuarios o cualquier persona cargada por el Cliente.
• Personas que responden mensajes, solicitan baja, presentan quejas, piden información o interactúan con campañas.
• Responsables fiscales, pagadores, representantes legales o contactos administrativos del Cliente.
• Personas incluidas en tickets, soporte, auditorías, incidencias, archivos o evidencias enviados por el Cliente.

6. Categorías de datos

Momentum puede tratar las siguientes categorías de datos por cuenta del Cliente:

• Datos de identificación y contacto, como nombre, teléfono, correo, organización, etiquetas, listas, segmentos o identificadores externos.
• Datos de mensajería, como contenido de mensajes, plantillas, variables, respuestas, DLR, estado de entrega, fecha, hora, número de origen o destino, proveedor, remitente y errores.
• Datos de consentimiento, origen lícito, base legal, opt-in, opt-out, bajas, preferencias, listas de supresión y evidencias asociadas.
• Datos operativos, como asignaciones, notas, estados, clasificaciones, prioridades, campañas, responsables, resultados y métricas.
• Datos técnicos, como IP, user-agent, logs, headers, payloads sanitizados, idempotency keys, correlation IDs, tokens o identificadores técnicos necesarios.
• Datos de billing, onboarding, documentos, representación, validación, riesgo y soporte cuando sean necesarios para activar, mantener o auditar el servicio.

El Cliente debe evitar cargar datos excesivos, innecesarios, sensibles, confidenciales, de menores o de alto riesgo salvo que cuente con base legal suficiente, aviso o consentimiento aplicable, controles reforzados y aprobación operativa de Momentum cuando corresponda.

7. Obligaciones de Momentum como encargado

Cuando Momentum actúe como encargado o procesador, se obliga a:

• Tratar los datos conforme a instrucciones documentadas del Cliente y a este Acuerdo.
• Utilizar los datos únicamente para prestar, mantener, asegurar, soportar, auditar y mejorar razonablemente el servicio contratado.
• Mantener confidencialidad respecto de datos del Cliente.
• Implementar medidas administrativas, técnicas y organizativas razonables conforme al riesgo, la naturaleza del servicio y los controles descritos en la documentación de Seguridad.
• Limitar el acceso a personal, proveedores o subprocesadores que requieran conocer los datos para prestar el servicio o cumplir obligaciones.
• Registrar evidencia operativa necesaria para demostrar instrucciones, aceptaciones, envíos, respuestas, bajas, estados, soporte, facturación, seguridad y cumplimiento.
• Asistir razonablemente al Cliente, en la medida de lo posible, para atender solicitudes de titulares relacionadas con datos que el Cliente controla.
• Notificar incidentes relevantes conforme a la ley, contrato y disponibilidad de información.
• Usar subprocesadores conforme a este Acuerdo y mantener una lista pública o disponible de proveedores relevantes.
• Eliminar, devolver, bloquear, anonimizar o conservar datos conforme a la Política de Retención y Eliminación, obligaciones legales, seguridad y defensa de derechos.

8. Obligaciones del Cliente

El Cliente se obliga a:

• Contar con base legal, consentimiento, relación jurídica, interés legítimo documentado u otro fundamento aplicable para cargar y contactar destinatarios.
• Proporcionar avisos de privacidad, términos, mecanismos de consentimiento, opt-out y demás información exigida por ley a los titulares.
• Mantener evidencia suficiente del origen de sus bases, consentimientos, instrucciones, finalidades, autorizaciones y campañas.
• No cargar datos obtenidos por scraping, compra irregular, filtración, cesión inválida, engaño o cualquier fuente incompatible con la ley o con la Política SMS.
• No cargar datos sensibles, datos de menores, información de salud, financiera, penal, política, sindical, biométrica o altamente riesgosa sin base legal reforzada y autorización operativa cuando aplique.
• Configurar usuarios, roles, permisos, integraciones, API keys, webhooks y accesos bajo el principio de mínimo privilegio.
• Configurar tenants separados cuando existan finalidades institucionales y político-electorales distintas, evitando mezclar bases, reportes, evidencias, números, subcuentas, usuarios o integraciones entre dichas finalidades.
• Atender derechos ARCO, revocaciones, oposiciones, bajas, quejas, requerimientos de autoridad y reclamaciones vinculadas con sus contactos, bases o campañas.
• Mantener actualizados sus sistemas maestros, CRM, ERP, helpdesk, hojas de cálculo u otros sistemas externos cuando reciban bajas, correcciones o señales de supresión.
• Mantener indemne a Axon Learning y Momentum frente a reclamaciones derivadas de datos, mensajes, finalidades, bases, consentimientos o instrucciones ilícitas del Cliente.

9. Subprocesadores

El Cliente autoriza a Momentum a usar subprocesadores y proveedores necesarios para operar mensajería, pagos, infraestructura, hosting, correo, seguridad, analítica, soporte, observabilidad, captcha, almacenamiento, respaldos, integraciones y demás componentes del servicio.

La lista vigente de subprocesadores relevantes se publica en https://momentumsms.com/legal/subprocesadores. Momentum exigirá a sus subprocesadores obligaciones contractuales, técnicas u organizativas razonables, proporcionales a su función y al tipo de datos tratados.

Momentum podrá agregar, sustituir o retirar subprocesadores por razones técnicas, comerciales, legales, de seguridad, disponibilidad, soporte, cumplimiento o mejora del servicio. Cuando el cambio sea material, Momentum lo publicará en la página de Subprocesadores y podrá notificar por medios razonables. El Cliente podrá objetar un subprocesador material cuando tenga fundamento razonable, escribiendo a legal@momentumsms.com dentro del plazo indicado en dicha página o en el contrato aplicable.

10. Transferencias internacionales

Algunos subprocesadores, proveedores, operadores, infraestructura, soporte o herramientas pueden encontrarse o tratar datos fuera de México. Esto puede ocurrir, por ejemplo, con proveedores de SMS, pagos, nube, analítica, captcha, observabilidad, correo o soporte.

Momentum procurará que dichos tratamientos se realicen bajo condiciones contractuales, técnicas y organizativas razonables, incluyendo medidas de confidencialidad, seguridad, acceso limitado, retención controlada y mecanismos de transferencia aplicables según el proveedor y la legislación correspondiente.

El Cliente reconoce que el envío de SMS puede requerir tratamiento por proveedores, agregadores, operadores o rutas ubicadas en distintas jurisdicciones, dependiendo del destino, número, operador, ruta, proveedor y configuración técnica.

11. Seguridad

Momentum mantendrá medidas razonables para proteger datos del Cliente contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado. Estas medidas pueden incluir controles de acceso, roles, aislamiento lógico por tenant, autenticación, gestión de sesiones, bitácoras, monitoreo, validaciones, rate limits, protección de webhooks, respaldos, controles de proveedores y reducción de PII en logs.

El Cliente reconoce que ningún sistema es infalible y que la seguridad también depende de sus propias prácticas, incluyendo administración de usuarios, contraseñas, dispositivos, API keys, integraciones, listas, archivos, permisos y sistemas externos.

12. Incidentes

Si Momentum detecta un incidente de seguridad que afecte datos del Cliente de forma relevante, investigará el evento, adoptará medidas razonables de contención y mitigación, y notificará al Cliente conforme a la información disponible, la naturaleza del incidente, la ley aplicable y las obligaciones contractuales.

La notificación podrá incluir, en la medida razonablemente disponible: descripción general del incidente, categorías de datos afectadas, fecha o periodo estimado, medidas adoptadas, recomendaciones y punto de contacto. Momentum no estará obligado a revelar información que comprometa seguridad, investigaciones, otros tenants, secretos, infraestructura, proveedores o defensa legal.

El Cliente será responsable de notificar a titulares, autoridades, clientes finales o terceros cuando la ley le imponga dicha obligación como responsable del tratamiento, salvo que Momentum tenga una obligación directa como responsable respecto de sus propios datos.

13. Derechos de titulares y solicitudes ARCO

Cuando una solicitud de acceso, rectificación, cancelación, oposición, revocación, limitación, baja o queja se relacione con datos que el Cliente controla, Momentum podrá canalizarla al Cliente o asistirlo razonablemente para localizar, exportar, bloquear, corregir o eliminar datos disponibles en la plataforma, sujeto a permisos, seguridad, viabilidad técnica, retención y obligaciones legales.

El Cliente debe responder a los titulares conforme a la ley aplicable y mantener actualizadas sus instrucciones. Momentum podrá rechazar solicitudes directas cuando no pueda verificar identidad, autoridad, tenant, base legal o relación con el Cliente responsable.

14. Retención, devolución y eliminación

La retención, bloqueo, devolución, exportación, eliminación o anonimización de datos se regirá por la Política de Retención y Eliminación, los Términos, el Aviso de Privacidad, este Acuerdo, obligaciones legales, seguridad, facturación, auditoría, soporte, prevención de abuso, conservación de opt-outs y defensa de derechos.

Durante la vigencia de la cuenta y, cuando sea técnicamente posible, durante una ventana razonable posterior a la terminación, el Cliente podrá solicitar exportación o devolución de ciertos datos conforme al plan, permisos, formatos disponibles, estado de pago, seguridad y límites técnicos.

Momentum no está obligado a conservar datos indefinidamente ni a restaurar datos eliminados, anonimizados, vencidos, no disponibles por proveedor, contenidos en respaldos expirados o bloqueados por obligación legal.

15. Auditoría y evidencia

Momentum podrá conservar bitácoras, eventos, snapshots, metadatos, registros de aceptación, webhooks, DLR, respuestas, bajas, reportes, auditoría de usuarios y evidencia técnica necesaria para demostrar instrucciones, prestación del servicio, cumplimiento, seguridad, facturación, soporte, prevención de abuso y defensa de derechos.

El Cliente podrá solicitar información razonable sobre el cumplimiento de este Acuerdo. Momentum podrá responder mediante documentación, resúmenes de controles, evidencias disponibles o certificaciones de proveedores cuando existan. Cualquier auditoría deberá ser razonable, previamente acordada, no intrusiva, limitada al servicio contratado, sujeta a confidencialidad y sin poner en riesgo seguridad, secretos, infraestructura, proveedores u otros clientes.

16. Confidencialidad

Cada parte deberá proteger la información confidencial de la otra con medidas razonables y utilizarla únicamente para cumplir la relación comercial, operar Momentum, atender soporte, seguridad, cumplimiento, facturación, auditoría, defensa de derechos o finalidades autorizadas.

Las obligaciones de confidencialidad sobrevivirán a la terminación de la relación durante el tiempo necesario conforme a su naturaleza, ley aplicable y contratos relevantes.

17. Responsabilidad

El Cliente conserva responsabilidad frente a sus contactos, destinatarios, usuarios, clientes finales, autoridades, proveedores y terceros por la licitud de sus bases, avisos, consentimientos, mensajes, finalidades, instrucciones, campañas, integraciones y sistemas externos.

Momentum no presta asesoría legal, no certifica la legalidad de bases o campañas del Cliente y no sustituye la revisión jurídica, sectorial, electoral, de consumidor, telecomunicaciones, privacidad o cumplimiento que corresponda al Cliente.

La responsabilidad de las partes se regirá por los Términos y Condiciones, el contrato aplicable y la ley correspondiente.

18. Vigencia y terminación

Este Acuerdo permanecerá vigente mientras el Cliente use Momentum o mientras Momentum trate datos por cuenta del Cliente. Las obligaciones de confidencialidad, seguridad, retención, eliminación, auditoría, evidencia, responsabilidad, indemnidad y defensa de derechos sobrevivirán en la medida necesaria por su naturaleza o por obligación legal.

Si el Cliente deja de usar Momentum, cancela su cuenta o termina el contrato, Momentum tratará los datos remanentes conforme a la Política de Retención y Eliminación, los Términos y las obligaciones legales o contractuales aplicables.

19. Cambios a este Acuerdo

Momentum podrá actualizar este Acuerdo para reflejar cambios legales, técnicos, operativos, de proveedores, seguridad, producto, privacidad o cumplimiento. La versión vigente se publicará en https://momentumsms.com/legal/acuerdo-tratamiento-datos.

Cuando el cambio sea material, Momentum podrá notificarlo por correo electrónico, dentro de la aplicación, en el sitio, durante el onboarding o por otros medios razonables, y podrá solicitar reaceptación cuando corresponda.

20. Contacto

Para dudas sobre este Acuerdo, tratamiento de datos, subprocesadores, solicitudes de titulares o privacidad, puedes escribir a legal@momentumsms.com.