Acuerdo de Tratamiento de Datos Personales
Data Processing Agreement (DPA) — Mindup
El presente Acuerdo de Tratamiento de Datos Personales ("DPA") regula las condiciones bajo las cuales Mindup, en calidad de Encargado, trata datos personales por cuenta del Cliente (Responsable) en el marco de la prestación del servicio descrito en los Términos y Condiciones publicados en https://mindup.mx/terminos-y-condiciones/.
Naturaleza pública e incorporación por referencia. Este DPA está publicado en https://mindup.mx/dpa y forma parte integrante de los Términos y Condiciones de Mindup conforme a la Sección 6.2 de los mismos. Se entiende aceptado por el Cliente desde el momento en que carga datos de Colaboradores, solicita la aplicación de cuestionarios o utiliza cualquier funcionalidad de la Plataforma que implique el tratamiento de datos personales.
Firma bilateral opcional. Los Clientes que requieran firma autógrafa o electrónica de una versión bilateral del DPA (por ejemplo, áreas de compliance con políticas internas de proveedores) podrán solicitarla a privacidad@mindup.mx. Mindup la facilitará sin modificar sustantivamente el contenido del DPA público vigente. La versión firmada bilateralmente prevalecerá sobre la versión publicada únicamente en lo expresamente pactado entre las Partes.
Identificación del Encargado
Encargado: Mindup, persona física con actividad empresarial, con domicilio fiscal en Mariano Ávila #112-B, col Tequisquiapan, 78250, San Luis Potosí, San Luis Potosí, México (en adelante, "Mindup" o el "Encargado").
Contacto en materia de datos personales: privacidad@mindup.mx
Identificación del Cliente
El "Cliente" o "Responsable" es la persona física o moral que ha aceptado los Términos y Condiciones de Mindup y, en su caso, ha suscrito una Orden de Servicio. La identidad específica del Cliente queda registrada en la Orden de Servicio aplicable o, a falta de ella, en los datos de registro proporcionados a la Plataforma por el administrador designado.
Mindup y el Cliente serán denominados, conjuntamente, las "Partes", e individualmente la "Parte".
Antecedentes
- I. El Cliente ha contratado a Mindup para acceder a la plataforma Mindup, una solución SaaS para apoyar el cumplimiento de la Norma Oficial Mexicana NOM-035-STPS-2018 sobre factores de riesgo psicosocial en el trabajo, conforme a los Términos y Condiciones de Mindup y, cuando aplique, una Orden de Servicio (en lo sucesivo, conjuntamente, el "Servicio").
- II. Para la prestación del Servicio, Mindup trata datos personales de colaboradores del Cliente, así como de los administradores designados por éste y de su representante legal.
- III. Las Partes reconocen que el Cliente actúa como Responsable y Mindup como Encargado del tratamiento, conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares ("LFPDPPP") y su Reglamento ("Reglamento").
- IV. Las Partes documentan en este DPA las condiciones específicas bajo las cuales Mindup tratará los datos personales por cuenta del Cliente, en cumplimiento de los artículos 49 a 51 del Reglamento.
1.Definiciones
Para los efectos de este DPA, los términos definidos en la LFPDPPP y en el Reglamento aplican con su mismo significado. Adicionalmente:
- "Titular": la persona física a quien corresponden los datos personales (colaborador, administrador o representante legal del Cliente).
- "Datos Personales" y "Datos Personales Sensibles": los definidos en el artículo 3 de la LFPDPPP.
- "Tratamiento": cualquier operación o conjunto de operaciones efectuadas sobre datos personales.
- "Vulneración de Seguridad": incidente que afecte de forma significativa los derechos patrimoniales o morales de los Titulares conforme al artículo 20 de la LFPDPPP.
- "Subprocesador": cualquier tercero contratado por Mindup para apoyar el tratamiento de los datos personales por cuenta del Cliente.
- "Servicio": el conjunto formado por los Términos y Condiciones de Mindup, la Orden de Servicio aplicable (cuando exista) y el uso de la Plataforma.
- "Términos y Condiciones" o "T&C": los Términos y Condiciones de Mindup publicados en https://mindup.mx/terminos-y-condiciones/.
- "Orden de Servicio": documento (cotización, propuesta, contrato o equivalente) suscrito o aceptado por el Cliente donde se especifican términos comerciales.
2.Objeto
El presente DPA regula los términos y condiciones bajo los cuales Mindup, en calidad de Encargado, tratará los datos personales del Cliente conforme al Servicio y de conformidad con la LFPDPPP, el Reglamento y demás normativa aplicable.
Las disposiciones del presente DPA prevalecerán sobre cualquier disposición en contrario contenida en el Servicio, exclusivamente en lo relacionado con el tratamiento de datos personales.
3.Rol de las Partes y declaraciones del Cliente
3.1. El Cliente actúa como Responsable y conserva la determinación de los medios y fines del tratamiento de los datos personales de sus colaboradores.
3.2. Mindup actúa como Encargado y trata los datos personales únicamente conforme a las instrucciones documentadas del Cliente.
3.3. El Cliente declara y garantiza que:
- Cuenta con base legal legítima para tratar los datos personales de sus colaboradores, incluida la relación laboral y la obligación regulatoria derivada de la NOM-035-STPS-2018.
- Ha publicado o publicará su propio Aviso de Privacidad laboral, en el que informe a los colaboradores que sus datos serán tratados a través de la plataforma Mindup como encargado.
- Cumplirá con recabar y conservar los consentimientos que la legislación aplicable requiera del Titular, así como con dar a conocer el Aviso de Privacidad para Colaboradores de Mindup a través de los canales de la Plataforma.
- Los datos personales que cargue en la Plataforma son veraces, exactos y actualizados, y se han obtenido lícitamente.
- Designará administradores con la competencia y autoridad necesarias para operar la Plataforma, y será responsable de las acciones de dichos administradores.
- Cuando aplique el flujo de cuestionarios en papel con captura por OCR, recolectará y custodiará las hojas físicas y los consentimientos firmados conforme a sus propias políticas y a la regulación aplicable, en términos de la Sección 8 de las T&C.
4.Categorías de Titulares y Datos
Las categorías de Titulares y Datos Personales objeto del tratamiento se describen en el Anexo A — Categorías de Datos y Titulares, que forma parte integral del presente DPA.
5.Finalidades del Tratamiento
Mindup tratará los datos personales exclusivamente para las siguientes finalidades:
- Permitir a los colaboradores responder los cuestionarios oficiales de la NOM-035 (Guías I, II, III y V).
- Calcular niveles de riesgo psicosocial a nivel individual, departamental y organizacional.
- Generar evidencia documental y registros de auditoría (audit trail) para acreditar el cumplimiento ante la STPS.
- Facilitar la canalización a atención profesional de colaboradores identificados en riesgo.
- Brindar soporte técnico al Cliente y a los Titulares.
- Las demás finalidades específicamente instruidas por el Cliente que sean compatibles con el Servicio.
Mindup no tratará los datos personales para finalidades distintas a las anteriores, salvo instrucción documentada y verificable del Cliente.
6.Obligaciones del Encargado
Mindup se obliga a:
- Tratar los datos personales exclusivamente conforme a las instrucciones documentadas del Cliente y conforme a este DPA.
- No transferir los datos personales a terceros distintos de los Subprocesadores aprobados, salvo instrucción expresa del Cliente o mandato de autoridad competente, en cuyo caso notificará al Cliente con la mayor brevedad posible salvo prohibición legal.
- Implementar y mantener las medidas de seguridad técnicas, administrativas y físicas descritas en el Anexo B — Medidas de Seguridad.
- Guardar confidencialidad respecto de los datos personales tratados, obligación que subsistirá aun después de la terminación del Servicio.
- Asegurar que su personal y los Subprocesadores estén sujetos a obligaciones de confidencialidad equivalentes.
- Apoyar al Cliente, en la medida razonable, en el cumplimiento de sus obligaciones frente a los Titulares y autoridades.
- Permitir y contribuir a auditorías conforme a la Cláusula 11.
- Devolver o eliminar los datos personales a la terminación del Servicio conforme a la Cláusula 12.
7.Subprocesadores
7.1. El Cliente autoriza a Mindup a contratar Subprocesadores para la prestación del Servicio. La lista actualizada de Subprocesadores se publica en https://mindup.mx/subprocesadores y se reproduce a la fecha de esta versión en el Anexo C — Subprocesadores Autorizados.
7.2. Mindup será responsable del cumplimiento de las obligaciones de cualquier Subprocesador como si fueran propias.
7.3. Mindup notificará al Cliente por correo electrónico, o mediante publicación en su sitio web acompañada de aviso al Cliente, cualquier alta o cambio de Subprocesador con al menos treinta (30) días naturales de anticipación. El Cliente podrá objetar fundadamente al nuevo Subprocesador dentro de dicho plazo. De no haber acuerdo, cualquiera de las Partes podrá terminar el Servicio sin responsabilidad conforme al procedimiento previsto en las T&C.
7.4. Mindup celebrará con cada Subprocesador un acuerdo que imponga obligaciones de protección de datos equivalentes a las del presente DPA.
8.Transferencias Internacionales
8.1. Las Partes reconocen que algunos Subprocesadores se ubican en Estados Unidos de América, lo que implica una transferencia internacional de los datos personales al amparo del artículo 36 de la LFPDPPP.
8.2. Mindup garantiza que cada destinatario internacional adopta medidas equivalentes a las exigidas por la LFPDPPP, mediante términos contractuales vinculantes y, cuando aplique, acuerdos de no retención de datos en modelos de inteligencia artificial.
8.3. Las transferencias se realizan exclusivamente para las finalidades autorizadas y bajo las medidas de seguridad descritas en el Anexo B.
9.Vulneraciones de Seguridad
9.1. Mindup notificará al Cliente cualquier Vulneración de Seguridad de la que tenga conocimiento confirmado en un plazo máximo de setenta y dos (72) horas a partir de dicho conocimiento.
9.2. La notificación incluirá al menos:
- La naturaleza del incidente.
- Las categorías y volumen aproximado de Titulares y registros afectados.
- Las posibles consecuencias para los Titulares.
- Las medidas adoptadas o propuestas para mitigar y remediar el incidente.
- Un punto de contacto para obtener información adicional.
9.3. Mindup cooperará razonablemente con el Cliente para que éste cumpla con sus obligaciones de notificación al Titular y, en su caso, a la autoridad competente.
10.Asistencia con Derechos ARCO y otros derechos
10.1. Mindup asistirá al Cliente, en la medida técnica y operativamente razonable, para responder a las solicitudes de los Titulares para ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición (Derechos ARCO), así como portabilidad y limitación del uso.
10.2. Cuando un Titular se dirija directamente a Mindup, Mindup informará al Titular que su solicitud debe dirigirse al Cliente como Responsable, sin perjuicio de poner la solicitud en conocimiento del Cliente dentro de los cinco (5) días hábiles siguientes.
10.3. Mindup no responderá unilateralmente a una solicitud de un Titular relacionada con datos tratados por cuenta del Cliente, salvo autorización expresa del Cliente o mandato de autoridad competente.
11.Auditoría
11.1. Mindup pondrá a disposición del Cliente, previa solicitud razonable y con al menos quince (15) días hábiles de anticipación, la información necesaria para acreditar el cumplimiento de las obligaciones del presente DPA.
11.2. El Cliente podrá realizar auditorías, por sí o mediante un tercero independiente designado, en horario laboral y con la mínima interrupción posible a la operación de Mindup. Las auditorías no podrán realizarse más de una vez por año calendario, salvo que exista un incidente de seguridad o requerimiento de autoridad.
11.3. Los gastos de auditoría serán asumidos por el Cliente, salvo que la auditoría revele incumplimientos materiales por parte de Mindup, en cuyo caso Mindup asumirá los gastos.
12.Devolución y eliminación de datos
12.1. A la terminación del Servicio, el Cliente podrá optar por la devolución o la eliminación segura de los datos personales tratados, dentro de los treinta (30) días naturales siguientes a la terminación.
12.2. La devolución se realizará en formato estructurado y legible por medios automatizados, comúnmente utilizado en la industria.
12.3. Sin perjuicio de lo anterior, Mindup podrá conservar los datos por los plazos exigidos por la legislación aplicable (incluidos plazos fiscales, contables y de validez probatoria de evidencias NOM-035), aplicando técnicas de pseudonimización o anonimización cuando proceda.
12.4. Mindup conservará los registros de auditoría (audit trail) generados durante la vigencia del Servicio por un plazo de cinco (5) años conforme a las buenas prácticas de validez probatoria.
13.Confidencialidad
Mindup y su personal mantendrán la más estricta confidencialidad respecto de los datos personales tratados conforme a este DPA, obligación que subsistirá indefinidamente tras la terminación del Servicio.
14.Responsabilidad y limitación
14.1. La responsabilidad de Mindup conforme al presente DPA se sujeta a los límites y exclusiones establecidos en los Términos y Condiciones (Sección 17) y, cuando aplique, en la Orden de Servicio.
14.2. Mindup será responsable únicamente cuando incumpla obligaciones específicamente impuestas a los encargados por la LFPDPPP o por el presente DPA.
15.Vigencia y terminación
El presente DPA entrará en vigor para cada Cliente en el momento en que acepta las T&C, suscribe una Orden de Servicio o, en general, comienza a utilizar la Plataforma para tratar datos personales. Permanecerá vigente mientras Mindup trate datos personales por cuenta del Cliente. Las obligaciones de confidencialidad, devolución/eliminación y notificación de incidentes subsistirán tras la terminación.
16.Cambios al DPA
Mindup podrá actualizar este DPA para reflejar cambios regulatorios, en el producto o en sus subprocesadores. Las modificaciones sustantivas se notificarán al Cliente con al menos treinta (30) días naturales de anticipación a través de los canales de contacto registrados o mediante publicación en el sitio web de Mindup acompañada de aviso al Cliente.
El uso continuado de la Plataforma después de la entrada en vigor de la nueva versión constituye aceptación. Si el Cliente cuenta con una versión firmada bilateralmente del DPA, los cambios al DPA público no le aplicarán de forma automática y se gestionarán mediante adenda escrita.
Las versiones anteriores de este DPA estarán disponibles para consulta a solicitud al correo privacidad@mindup.mx.
17.Ley aplicable y jurisdicción
El presente DPA se rige por las leyes de los Estados Unidos Mexicanos. Para la interpretación y cumplimiento del mismo, las Partes se someten a la jurisdicción de los tribunales competentes en San Luis Potosí, S.L.P., renunciando expresamente a cualquier otro fuero que pudiera corresponderles.
Aceptación
La aceptación del presente DPA se produce mediante cualquiera de los siguientes actos:
- Aceptación electrónica (clickwrap) de los Términos y Condiciones de Mindup.
- Suscripción o aceptación de una Orden de Servicio que incorpore las T&C por referencia.
- Carga de datos de Colaboradores en la Plataforma.
- Uso de cualquier funcionalidad de la Plataforma que implique el tratamiento de datos personales.
La aceptación electrónica se considera, para efectos del Código de Comercio y del Código Federal de Procedimientos Civiles, manifestación válida del consentimiento del Cliente para obligarse en los términos del presente DPA.
Solicitud de firma bilateral. Los Clientes que requieran formalizar este DPA mediante firma autógrafa o electrónica de una versión bilateral podrán solicitarla por correo a privacidad@mindup.mx. Mindup pondrá a disposición la versión bilateral en un plazo razonable, conservando sustantivamente el mismo contenido que la versión pública vigente.
Anexo A — Categorías de Datos y Titulares
A.1 Titulares cuyos datos son tratados
| Categoría de Titular | Descripción |
|---|---|
| Colaboradores del Cliente | Personas físicas que prestan servicios para el Cliente y son evaluadas conforme a NOM-035. |
| Administradores | Personas designadas por el Cliente para operar la Plataforma. |
| Representante Legal | Persona física que acepta las T&C o suscribe una Orden de Servicio en representación del Cliente. |
A.2 Categorías de Datos Personales tratados
| Categoría | Datos específicos |
|---|---|
| Identificación | Nombres, apellidos, CURP, ID de empleado, fotografía si se sube. |
| Contacto | Correo electrónico, teléfono celular. |
| Demográficos | Género, fecha de nacimiento, estado civil, nivel de estudios. |
| Laborales | Departamento, puesto, tipo de puesto, tipo de contratación, tipo de personal, tipo de jornada, rotación de turnos, antigüedad. |
| Datos sensibles (Art. 9 LFPDPPP) | Respuestas a cuestionarios Guía I, II y III que pueden revelar estado emocional, condiciones laborales adversas, experiencias de violencia o acoso. |
| Datos técnicos | Dirección IP, identificador de dispositivo, fecha y hora de eventos, folio único de registro. |
| Datos profesionales | Cédula profesional cuando aplique (administradores). |
Anexo B — Medidas de Seguridad Técnicas, Administrativas y Físicas
B.1 Medidas Técnicas
- Cifrado en tránsito mediante TLS 1.2 o superior.
- Cifrado en reposo en AWS para bases de datos y almacenamiento de archivos.
- Autenticación basada en credenciales con hash bcrypt o equivalente.
- Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
- Registros de auditoría inalterables de eventos críticos.
- Aislamiento lógico de datos entre clientes (multi-tenant).
- Monitoreo continuo y alertas ante actividad sospechosa.
- Respaldos cifrados con prueba periódica de restauración.
- Hash criptográfico (huella digital) de imágenes de cuestionarios en papel para fines de integridad en el flujo OCR.
B.2 Medidas Administrativas
- Política interna de protección de datos personales y código de conducta.
- Acuerdos de confidencialidad con todo el personal con acceso a datos.
- Capacitación inicial y recurrente del personal en protección de datos.
- Procedimiento documentado de gestión de incidentes con SLA de 72 horas.
- Revisión periódica de accesos y revocación al cese del personal.
- Revisión anual del programa de protección de datos.
B.3 Medidas Físicas
- Infraestructura alojada en centros de datos de AWS con certificaciones internacionales de seguridad física (ISO 27001, SOC 2).
- Acceso restringido a equipos del personal con autenticación multifactor cuando aplique.
Anexo C — Subprocesadores Autorizados
A la fecha de vigencia de la presente versión del DPA, Mindup tiene contratados los siguientes Subprocesadores:
| Subprocesador | Finalidad | País de los datos |
|---|---|---|
| Amazon Web Services Inc. | Alojamiento de aplicación, base de datos y archivos. | EE.UU. |
| Twilio Inc. (SendGrid) | Envío de correos electrónicos transaccionales. | EE.UU. |
| Twilio Inc. | Envío de mensajes SMS y WhatsApp. | EE.UU. |
| Anthropic Inc. | Procesamiento de IA para análisis de patrones, con acuerdo de no retención. | EE.UU. |
| OpenAI L.L.C. | Procesamiento de IA, con acuerdo de no retención. | EE.UU. |
| Google LLC | Procesamiento de IA (Gemini), analítica web (Analytics) y orquestación de etiquetas (Tag Manager). | EE.UU. |
La lista actualizada estará disponible en https://mindup.mx/subprocesadores. Cualquier alta o cambio será notificada al Cliente con al menos treinta (30) días naturales de anticipación conforme a la Cláusula 7.3.