Privacy & Data Protection Policy

PRIVACY & DATA PROTECTION POLICY

WhatsApp Business API — Meta Tech Provider Application

Hyperion Ingeniería Digital de Vanguardia SAS

This Policy applies to:

• All personal data processed through Hyperion's WhatsApp Business API integration, AI-powered chatbots, and digital communication platforms.
• All business clients (Data Controllers) that subscribe to Hyperion's services.
• End users whose personal data is processed as part of conversational interactions on behalf of Hyperion's clients.
• All employees, contractors, and sub-processors who handle personal data within Hyperion's operations.

This Policy does NOT apply to:

• Third-party websites accessible via links within Hyperion's platforms, for which Hyperion assumes no responsibility.
• Data processed directly by Meta Platforms, Inc. under its own terms of service and privacy policy.

3.1 Data Controller (Responsable del Tratamiento)

Each business client of Hyperion is the Data Controller for the personal data of their end users. The Data Controller is responsible for:

• Obtaining valid, informed consent from end users prior to initiating automated conversations.
• Defining the purposes of data processing and communicating them to end users.
• Ensuring compliance with applicable data protection laws in their jurisdiction.
• Providing Hyperion with documented processing instructions.
• Responding to data subject rights requests from their end users.
• The Data Controller shall obtain the prior, express, and informed authorization of the Data Subjects when required by Law 1581 of 2012 and its regulatory decrees.

3.2 Data Processor (Encargado del Tratamiento) — Hyperion

Hyperion acts strictly as a Data Processor. In this capacity, Hyperion:

• Processes personal data only on documented instructions from the Data Controller.
• Does not process personal data for purposes other than those specified in the service agreement.
• Implements appropriate technical and organizational security measures.
• Assists the Data Controller in fulfilling data subject rights requests.
• Notifies the Data Controller without undue delay upon becoming aware of a data breach.
• Deletes or returns all personal data upon termination of the service agreement.

4.1 Categories of Personal Data

Hyperion processes personal data solely for the following purposes, consistent with the Data Controller's instructions:

• Enabling automated and AI-assisted conversational interactions via WhatsApp Business API.
• Customer service, technical support, and query resolution on behalf of business clients.
• Appointment scheduling, reminders, and service notifications.
• Delivery of digital documents, reports, and results.
• Management of mass communication campaigns (compliant with WhatsApp message template policies).
• Platform security monitoring, fraud prevention, and quality assurance.
• Continuous improvement of AI models and conversational flows (using anonymized/aggregated data only).
• Compliance with legal, regulatory, and contractual obligations.

Hyperion does NOT use personal data for:

• Selling or renting data to third parties for commercial gain.
• Targeted advertising or profiling for marketing purposes unrelated to the contracted service.
• Sharing data with government entities, except where legally required and following a verified, documented legal obligation.

6.1 Relationship with Meta Platforms, Inc.

Hyperion is applying to become an official Meta Tech Provider / Business Solution Provider (BSP) for the WhatsApp Business Platform. In this capacity:

• Hyperion is NOT an affiliate, representative, or subsidiary of Meta Platforms, Inc. or WhatsApp LLC.
• All communications through the WhatsApp Business API are subject to Meta's WhatsApp Business Terms of Service and WhatsApp Business Messaging Policy.
• Hyperion ensures its platform operations and those of its business clients comply with Meta's policies at all times.

6.2 Meta Policy References

6.3 Message Template Compliance

Hyperion ensures that all WhatsApp message templates used by its business clients:

• Are submitted for approval through the official Meta Business Manager review process.
• Contain only approved categories of content (utility, authentication, or marketing where applicable).
• Include clear opt-out instructions in every marketing message.
• Are not used to send prohibited content as defined in WhatsApp's policies.

6.4 Opt-In and Consent Management

Hyperion requires its business clients to implement and document explicit opt-in consent before sending any WhatsApp messages. This includes:

• Clear disclosure of the business name and nature of messages to be received.
• A documented opt-in mechanism (web form, SMS, in-app, point of sale, or other verifiable method).
• A functional and accessible opt-out mechanism honored within 24 hours.
• Maintenance of opt-in records for audit purposes.

The following principles govern AI-based processing within Hyperion's platform:

• AI responses are assistive in nature and do not constitute professional advice (medical, legal, financial, or otherwise).
• Human oversight is available and can be triggered at any time based on conversation context or client configuration.
• AI models are trained using anonymized or synthetic datasets. Personal data from live conversations is NOT used to train AI models without explicit authorization from the Data Controller.
• Automated decisions that produce significant legal effects on individuals are not made without appropriate safeguards and human review.
• End users are informed when they are interacting with an automated system.

9.1 Technical Measures

• Encryption in transit: TLS 1.2+ for all data transmissions.
• Encryption at rest: AES-256 or equivalent for stored sensitive data.
• Access controls: Role-based access control (RBAC) with least-privilege principles.
• Multi-factor authentication (MFA) for all platform administrators.
• Intrusion detection and continuous security monitoring.
• Regular vulnerability assessments and penetration testing.
• Secure software development lifecycle (SSDLC) practices.

9.2 Organizational Measures

• Confidentiality agreements (NDAs) with all employees and contractors with access to personal data.
• Data protection training for personnel handling personal data.
• Defined incident response plan with notification procedures.
• Internal data protection policies and periodic compliance audits.
• Vendor due diligence process for all sub-processors.

Hyperion's infrastructure may involve cloud services operating from servers located outside Colombia. In such cases, Hyperion ensures:

• All international transfers comply with Colombian Ley 1581 de 2012, Article 26, and are conducted only to countries or organizations with adequate levels of data protection.
• Contractual clauses equivalent to standard data transfer agreements are in place with sub-processors in other jurisdictions.
• Meta Platforms, Inc.'s infrastructure operates under its own certified data protection framework.

All sub-processors are bound by data processing agreements ensuring equivalent levels of protection:

End users may exercise the following rights through the Data Controller (their service provider):

Requests directed to Hyperion can be sent to datos@hyperion.com.co. Hyperion will respond within 15 business days as required by Colombian law.

In the event of a personal data breach, Hyperion will:

• Notify the affected Data Controller without undue delay and within 72 hours of becoming aware of the breach.
• Provide information on the nature of the breach, categories and approximate number of individuals affected, likely consequences, and measures taken or proposed.
• Cooperate with the Data Controller in fulfilling their notification obligations to the Colombian Superintendencia de Industria y Comercio (SIC) and affected data subjects where required.
• Maintain a record of all data breaches, including those not subject to mandatory notification.

Breach notifications: datos@hyperion.com.co

When Hyperion's services are used by clients who process special categories of data — including but not limited to health data, financial data, data relating to minors, biometric data, or any other sensitive category as defined by applicable law — the following principles apply:

• Hyperion acts exclusively as a technology transmission channel. It does not store, retain, or take custody of special category data at any point.
• Special category data transits through Hyperion's platform solely during the transmission process and is discarded immediately upon completion of delivery.
• Full custody, storage, and legal responsibility over special category data rests entirely with the Data Controller (the business client), who must ensure compliance with all applicable legal requirements for such data.
• Hyperion does not interpret, analyze, or make decisions based on special category data. Its role is strictly limited to secure transmission as instructed by the Data Controller.
• Data Controllers processing special categories of data through Hyperion's platform are solely responsible for obtaining the required authorizations, consents, and legal bases applicable to such data under Colombian law and any other relevant jurisdiction.

• Essential cookies: Required for the platform to function (authentication, session management, security).
• Analytical cookies: To understand usage patterns and improve platform performance (anonymized data only).
• Preference cookies: To remember user settings and configurations.

Marketing or third-party advertising cookies are NOT used by Hyperion on its core platform.

• Contractual performance: Processing necessary for the execution of the service agreement between Hyperion and its business clients.
• Legitimate interests: Processing for platform security, fraud prevention, and service quality, balanced against the rights of data subjects.
• Legal obligation: Processing required by applicable Colombian law or regulation.
• Consent: Where the Data Controller has obtained valid consent from end users and instructs Hyperion to process accordingly.

Hyperion reserves the right to update this Privacy & Data Protection Policy at any time. Changes will take effect upon publication at https://hyperion.com.co. Business clients will be notified of material changes via email at least 15 days before they take effect.

Requests for data access, rectification, deletion, or any data protection matter will be addressed within 15 business days as required by Colombian law.

Hyperion Ingeniería Digital de Vanguardia SAS — Colombia

POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS

WhatsApp Business API — Aplicación como Tech Provider de Meta

Hyperion Ingeniería Digital de Vanguardia SAS

La presente Política aplica a:

• Todos los datos personales procesados a través de la integración de WhatsApp Business API de Hyperion, chatbots con inteligencia artificial y plataformas de comunicación digital.
• Todos los clientes empresariales (Responsables del Tratamiento) que suscriban los servicios de Hyperion.
• Los usuarios finales cuyos datos personales son procesados en el marco de las interacciones conversacionales en nombre de los clientes de Hyperion.
• Todos los empleados, contratistas y sub-encargados que traten datos personales dentro de las operaciones de Hyperion.

La presente Política NO aplica a:

• Sitios web de terceros accesibles mediante enlaces dentro de las plataformas de Hyperion, por los cuales Hyperion no asume responsabilidad alguna.
• Datos procesados directamente por Meta Platforms, Inc. bajo sus propios términos de servicio y política de privacidad.

3.1 Responsable del Tratamiento

Cada cliente empresarial de Hyperion es el Responsable del Tratamiento de los datos personales de sus usuarios finales. El Responsable del Tratamiento es responsable de:

• Obtener el consentimiento válido e informado de los usuarios finales antes de iniciar conversaciones automatizadas.
• Definir las finalidades del tratamiento de datos y comunicarlas a los usuarios finales.
• Garantizar el cumplimiento de las leyes de protección de datos aplicables en su jurisdicción.
• Suministrar a Hyperion instrucciones documentadas de tratamiento.
• Atender las solicitudes de derechos de los titulares de sus usuarios finales.
• El Responsable del Tratamiento deberá obtener autorización previa, expresa e informada de los titulares cuando sea exigida por la Ley 1581 de 2012 y sus normas reglamentarias.

3.2 Encargado del Tratamiento — Hyperion

Hyperion actúa estrictamente como Encargado del Tratamiento. En tal calidad, Hyperion:

• Trata los datos personales únicamente conforme a las instrucciones documentadas del Responsable del Tratamiento.
• No trata datos personales para finalidades distintas a las especificadas en el acuerdo de servicios.
• Implementa medidas de seguridad técnicas y organizacionales apropiadas.
• Asiste al Responsable del Tratamiento en el cumplimiento de las solicitudes de derechos de los titulares.
• Notifica al Responsable del Tratamiento sin demora indebida cuando tenga conocimiento de una brecha de seguridad.
• Elimina o devuelve todos los datos personales a la terminación del acuerdo de servicios.

4.1 Categorías de Datos Personales

Hyperion trata los datos personales exclusivamente para las siguientes finalidades, conforme a las instrucciones del Responsable del Tratamiento:

• Habilitación de interacciones conversacionales automatizadas y asistidas por IA a través de la API de WhatsApp Business.
• Atención al cliente, soporte técnico y resolución de consultas en nombre de los clientes empresariales.
• Agendamiento de citas, recordatorios y notificaciones de servicios.
• Entrega de documentos digitales, informes y resultados.
• Gestión de campañas de comunicación masiva (conforme a las políticas de plantillas de mensajes de WhatsApp).
• Monitoreo de seguridad de la plataforma, prevención de fraude y aseguramiento de la calidad.
• Mejora continua de modelos de IA y flujos conversacionales (utilizando únicamente datos anonimizados o agregados).
• Cumplimiento de obligaciones legales, regulatorias y contractuales.

Hyperion NO utiliza los datos personales para:

• Vender o arrendar datos a terceros con fines comerciales.
• Publicidad dirigida o elaboración de perfiles para fines de mercadeo ajenos al servicio contratado.
• Compartir datos con entidades gubernamentales, salvo cuando exista una obligación legal previa verificada y documentada.

6.1 Relación con Meta Platforms, Inc.

Hyperion está en proceso de aplicación como Tech Provider / Business Solution Provider (BSP) oficial de Meta para la Plataforma de WhatsApp Business. En tal calidad:

• Hyperion NO es un afiliado, representante ni subsidiaria de Meta Platforms, Inc. o WhatsApp LLC.
• Todas las comunicaciones a través de la API de WhatsApp Business están sujetas a los Términos de Servicio y la Política de Mensajes de WhatsApp Business de Meta.
• Hyperion garantiza que sus operaciones y las de sus clientes empresariales cumplan en todo momento con las políticas de Meta.

6.2 Referencias a Políticas de Meta

6.3 Cumplimiento de Plantillas de Mensajes

Hyperion garantiza que todas las plantillas de mensajes de WhatsApp utilizadas por sus clientes empresariales:

• Sean sometidas al proceso de aprobación oficial a través del Meta Business Manager.
• Contengan únicamente categorías de contenido aprobadas (utilidad, autenticación o marketing, según aplique).
• Incluyan instrucciones claras de cancelación de suscripción en todo mensaje de marketing.
• No sean utilizadas para enviar contenido prohibido conforme a las políticas de WhatsApp.

6.4 Gestión del Opt-In y Consentimiento

Hyperion exige a sus clientes empresariales implementar y documentar el consentimiento explícito de opt-in antes de enviar cualquier mensaje de WhatsApp. Esto incluye:

• Divulgación clara del nombre de la empresa y la naturaleza de los mensajes que se recibirán.
• Un mecanismo de opt-in documentado (formulario web, SMS, aplicación, punto de venta u otro método verificable).
• Un mecanismo de opt-out funcional y accesible, honrado dentro de las 24 horas siguientes.
• Mantenimiento de registros de opt-in para fines de auditoría.

Los siguientes principios rigen el procesamiento basado en IA dentro de la plataforma de Hyperion:

• Las respuestas generadas por IA tienen carácter asistencial y no constituyen asesoramiento profesional (médico, legal, financiero ni de ninguna otra índole).
• La supervisión humana está disponible y puede activarse en cualquier momento según el contexto de la conversación o la configuración del cliente.
• Los modelos de IA son entrenados con conjuntos de datos anonimizados o sintéticos. Los datos personales de conversaciones en tiempo real NO son utilizados para entrenar modelos de IA sin autorización expresa del Responsable del Tratamiento.
• Las decisiones automatizadas que produzcan efectos legales significativos sobre las personas no se toman sin salvaguardas apropiadas y revisión humana.
• Los usuarios finales son informados cuando interactúan con un sistema automatizado.

9.1 Medidas Técnicas

• Cifrado en tránsito: TLS 1.2+ para todas las transmisiones de datos.
• Cifrado en reposo: AES-256 o equivalente para datos sensibles almacenados.
• Controles de acceso: Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
• Autenticación multifactor (MFA) para todos los administradores de la plataforma.
• Detección de intrusiones y monitoreo continuo de seguridad.
• Evaluaciones periódicas de vulnerabilidades y pruebas de penetración.
• Prácticas de ciclo de vida de desarrollo de software seguro (SSDLC).

9.2 Medidas Organizacionales

• Acuerdos de confidencialidad (NDA) con todos los empleados y contratistas con acceso a datos personales.
• Capacitación en protección de datos para el personal que trate datos personales.
• Plan de respuesta a incidentes definido con procedimientos de notificación.
• Políticas internas de protección de datos y auditorías de cumplimiento periódicas.
• Proceso de debida diligencia de proveedores para todos los sub-encargados.

La infraestructura de Hyperion puede involucrar servicios en la nube operados desde servidores ubicados fuera de Colombia. En tales casos, Hyperion garantiza:

• Que todas las transferencias internacionales cumplan con la Ley 1581 de 2012, Artículo 26, y se realicen únicamente hacia países u organizaciones con niveles adecuados de protección de datos.
• La existencia de cláusulas contractuales equivalentes a acuerdos estándar de transferencia de datos con sub-encargados en otras jurisdicciones.
• Que la infraestructura de Meta Platforms, Inc. opera bajo su propio marco de protección de datos certificado.

Todos los sub-encargados están vinculados por acuerdos de tratamiento de datos que garantizan niveles equivalentes de protección:

Los usuarios finales podrán ejercer los siguientes derechos a través del Responsable del Tratamiento:

Las solicitudes dirigidas a Hyperion pueden enviarse a datos@hyperion.com.co. Hyperion responderá dentro de los 15 días hábiles exigidos por la ley colombiana.

Ante una brecha de seguridad de datos personales, Hyperion:

• Notificará al Responsable del Tratamiento afectado sin demora indebida y dentro de las 72 horas siguientes al momento en que tenga conocimiento de la brecha.
• Proporcionará información sobre la naturaleza de la brecha, las categorías y el número aproximado de personas afectadas, las consecuencias probables y las medidas adoptadas o propuestas.
• Cooperará con el Responsable del Tratamiento en el cumplimiento de sus obligaciones de notificación ante la Superintendencia de Industria y Comercio (SIC) y los titulares afectados.
• Mantendrá un registro de todas las brechas de seguridad, incluidas aquellas que no requieran notificación obligatoria.

Notificaciones de brechas: datos@hyperion.com.co

Cuando los servicios de Hyperion sean utilizados por clientes que traten categorías especiales de datos — incluyendo, entre otros, datos de salud, datos financieros, datos relativos a menores de edad, datos biométricos o cualquier otra categoría sensible definida por la normativa aplicable — se aplicarán los siguientes principios:

• Hyperion actúa exclusivamente como canal tecnológico de transmisión. No almacena, retiene ni asume custodia sobre datos de categoría especial en ningún momento.
• Los datos de categoría especial transitan por la plataforma de Hyperion únicamente durante el proceso de envío y son descartados de forma inmediata una vez completada la transmisión.
• La custodia, el almacenamiento y la responsabilidad legal sobre los datos de categoría especial recae en su totalidad en el Responsable del Tratamiento (el cliente empresarial), quien deberá garantizar el cumplimiento de todos los requisitos legales aplicables a dichos datos.
• Hyperion no interpreta, analiza ni toma decisiones basadas en datos de categoría especial. Su rol se limita estrictamente a la transmisión segura conforme a las instrucciones del Responsable del Tratamiento.
• Los Responsables del Tratamiento que procesen categorías especiales de datos a través de la plataforma de Hyperion son los únicos responsables de obtener las autorizaciones, consentimientos y bases legales exigidas por la ley colombiana y cualquier otra jurisdicción aplicable.

• Cookies esenciales: Necesarias para el funcionamiento de la plataforma (autenticación, gestión de sesiones, seguridad).
• Cookies analíticas: Para comprender los patrones de uso y mejorar el rendimiento de la plataforma (únicamente datos anonimizados).
• Cookies de preferencias: Para recordar la configuración y preferencias del usuario.

Hyperion NO utiliza cookies de marketing o publicidad de terceros en su plataforma principal.

• Ejecución contractual: Tratamiento necesario para la ejecución del acuerdo de servicios entre Hyperion y sus clientes empresariales.
• Interés legítimo: Tratamiento para seguridad de la plataforma, prevención del fraude y calidad del servicio, ponderado frente a los derechos de los titulares.
• Obligación legal: Tratamiento exigido por la legislación o regulación colombiana aplicable.
• Consentimiento: Cuando el Responsable del Tratamiento ha obtenido el consentimiento válido de los usuarios finales e instruye a Hyperion a tratarlos en consecuencia.

Hyperion se reserva el derecho de actualizar la presente Política de Privacidad y Protección de Datos en cualquier momento. Los cambios entrarán en vigencia a partir de su publicación en https://hyperion.com.co. Los clientes empresariales serán notificados de cambios materiales por correo electrónico con al menos 15 días de antelación.

Las solicitudes de acceso, rectificación, supresión o cualquier asunto de protección de datos serán atendidas dentro de los 15 días hábiles exigidos por la ley colombiana.

Hyperion Ingeniería Digital de Vanguardia SAS — Colombia