ADDENDA DE TRACTAMENT DE DADES

Última actualització: 19 de març de 2026

Aquesta Addenda de Tractament de Dades («DPA») forma part dels Termes i Condicions («Acord») entre Acira AI LLC («Processador», «nosaltres», «ens») i l'usuari dels Serveis («Responsable», «vós») i complementa l'Acord pel que fa al tractament de dades personals.

Aquesta DPA s'aplica quan utilitzeu els Serveis per crear, allotjar i publicar llocs web que recopilen o tracten dades personals de persones situades a l'Espai Econòmic Europeu («EEE»), el Regne Unit («RU») o Suïssa, o quan les lleis de protecció de dades aplicables ho exigeixin.

Aquest DPA pot ser traduït a altres idiomes per a la vostra comoditat. En cas de conflicte o inconsistència entre la versió en anglès i qualsevol versió traduïda, prevaldrà la versió en anglès.

TAULA DE CONTINGUTS

1. DEFINICIONS
2. ABAST I ROLS
3. DETALLS DEL TRACTAMENT DE DADES
4. OBLIGACIONS DEL PROCESSADOR
5. OBLIGACIONS DEL RESPONSABLE
6. SUBPROCESSADORS
7. TRANSFERÈNCIES INTERNACIONALS DE DADES
8. DRETS DELS INTERESSATS
9. SEGURETAT DE LES DADES
10. NOTIFICACIÓ DE VIOLACIÓ DE DADES
11. AUDITORIES I VERIFICACIÓ DEL COMPLIMENT
12. CONSERVACIÓ I SUPRESSIÓ DE DADES
13. VIGÈNCIA I RESOLUCIÓ
14. LIMITACIÓ DE RESPONSABILITAT
15. CONTACTEU AMB NOSALTRES

1. DEFINICIONS

«Legislació de Protecció de Dades Aplicable» significa totes les lleis i normatives aplicables al tractament de dades personals en virtut d'aquesta DPA, incloent-hi (quan sigui aplicable) el Reglament General de Protecció de Dades (UE) 2016/679 («RGPD»), el RGPD del RU, la Llei Federal Suïssa de Protecció de Dades («FADP») i la Llei de Privadesa del Consumidor de Califòrnia («CCPA»).

«Responsable» significa la persona física o jurídica que determina les finalitats i els mitjans del tractament de dades personals — en aquest context, vós, l'usuari dels Serveis que gestiona un lloc web a través de la plataforma.

«Interessat» significa una persona física identificada o identificable les dades personals de la qual es tracten.

«Dades Personals» significa qualsevol informació relativa a un Interessat que es tracta a través dels Serveis.

«Tractament» significa qualsevol operació realitzada sobre dades personals, incloent-hi la recollida, el registre, l'organització, l'estructuració, l'emmagatzematge, l'adaptació, la recuperació, la consulta, l'ús, la divulgació, la difusió, la restricció, la supressió o la destrucció.

«Processador» significa la persona física o jurídica que tracta dades personals per compte del Responsable — en aquest context, Acira AI LLC.

«Subprocessador» significa qualsevol tercer contractat pel Processador per tractar dades personals per compte del Responsable.

«Clàusules Contractuals Tipus» o «CCT» significa les clàusules contractuals tipus per a la transferència de dades personals a processadors establerts en tercers països, adoptades per la Comissió Europea.

2. ABAST I ROLS

2.1 Relació de Tractament

Quan utilitzeu els Serveis per crear i gestionar un lloc web que recopila dades personals dels visitants del vostre lloc web (a través de formularis, comptes d'usuari, interaccions amb chatbots, comentaris, ressenyes o altres funcions interactives), actueu com a Responsable i nosaltres actuem com a Processador d'aquestes dades personals dels visitants.

2.2 El Nostre Rol com a Responsable

Actuem com a Responsable del Tractament independent per a les dades personals que recopilem per als nostres propis fins, incloent-hi: la informació del vostre compte, dades de facturació, anàlisi d'ús, característiques generals del lloc web derivades del contingut del vostre lloc web (com ara la indústria o el tipus de negoci), i dades d'operació de la plataforma. El tractament d'aquestes dades es regeix per la nostra Política de Privacitat i queda fora de l'àmbit d'aquest DPA.

2.3 Analítiques de la Plataforma

Recopilem analítiques bàsiques i respectuoses amb la privadesa sobre els visitants dels llocs web (tal com es descriu a l'Acord). Per a les dades analítiques, actuem com a responsables conjunts amb vós. Hem dissenyat les nostres analítiques per minimitzar la recopilació de dades personals — no emmagatzemem adreces IP en brut i els identificadors dels visitants es renoven diàriament. Les responsabilitats respectives de cada responsable conjunt són les següents:

• Acira AI (Processador/Responsable Conjunt): Determina els mitjans tècnics de recollida d'analítiques, incloent-hi quins punts de dades es recopilen, com es calculen els identificadors dels visitants (hashes de rotació diària) i com s'agreguen les dades. Som responsables de la seguretat i la integritat de la infraestructura analítica i de respondre consultes generals sobre com funcionen les analítiques a la plataforma.
• Vós (Responsable/Responsable Conjunt): Determineu si voleu utilitzar analítiques al vostre lloc web (les analítiques estan habilitades per defecte com a part dels Serveis). Sou responsables de divulgar la recollida de dades analítiques a la política de privadesa del vostre lloc web i de respondre les sol·licituds dels Interessats dels visitants del vostre lloc web en relació amb les seves dades analítiques.
• Punt de contacte per als Interessats: Els Interessats us poden contactar a vós (el propietari del lloc web) en relació amb les dades analítiques recopilades al vostre lloc web. Si rebem una sol·licitud d'un Interessat en relació amb dades analítiques, els redirigim cap a vós tret que ens doneu instruccions en sentit contrari. Per a consultes generals sobre la plataforma, els Interessats poden contactar-nos a legal@acira.ai.

2.4 Essència de l'Acord de Responsabilitat Conjunta

De conformitat amb l'article 26(2) del RGPD, l'essència d'aquest acord de responsabilitat conjunta per a les dades analítiques és la següent: Nosaltres (Acira AI) determinem els mitjans tècnics i els punts de dades que es recopilen; vós (l'operador del lloc web) determineu si les analítiques s'utilitzen al vostre lloc web. Cadascun de nosaltres és responsable de les seves obligacions respectives en virtut de la Legislació de Protecció de Dades Aplicable. Sou el principal punt de contacte per als visitants del vostre lloc web pel que fa a les dades analítiques. Un resum d'aquest acord es posa a disposició dels Interessats a través d'aquesta DPA i a https://www.acira.ai/dpa.

2.5 Designació de Proveïdor de Serveis de la CCPA

En la mesura en que tractem informació personal subjecta a la Llei de Privadesa del Consumidor de Califòrnia («CCPA») en nom vostre, som el vostre «proveïdor de serveis» tal com es defineix a Cal. Civ. Code § 1798.140(ag). No farem el següent:

• Vendre ni compartir (tal com es defineixen aquests termes en la CCPA) cap informació personal que ens proporcioneu;
• Conservar, utilitzar ni divulgar informació personal per a cap finalitat diferent de les finalitats empresarials especificades en aquesta DPA i l'Acord, o tal com ho permeti la CCPA;
• Conservar, utilitzar ni divulgar informació personal fora de la relació comercial directa entre vós i nosaltres;
• Combinar la informació personal rebuda de vós amb la informació personal que rebem de o en nom d'una altra persona o que recopilem de les nostres pròpies interaccions amb els consumidors, excepte quan la CCPA ho permeti.

Podem derivar característiques empresarials generals i no identificadores (com ara la classificació de la indústria) del contingut del vostre lloc web amb la finalitat de proporcionar recomanacions de productes rellevants, tal com es descriu a la Secció 2.2. Aquest ús limitat no constitueix venda, compartició ni combinació d'informació personal en el sentit del CCPA.

Certifiquem que entenem i complim aquestes restriccions.

2.6 Avaluació del Representant de la FADP Suïssa

L'article 14 de la Llei Federal Suïssa de Protecció de Dades («FADP») exigeix que un responsable privat no suís designi un representant a Suïssa únicament quan se satisfacin les quatre condicions acumulatives següents: (1) el tractament està relacionat amb l'oferta de béns o serveis a persones a Suïssa o el seguiment del seu comportament; (2) el tractament és a gran escala; (3) el tractament es duu a terme de forma regular; i (4) el tractament planteja un risc elevat per als drets de la personalitat o els drets fonamentals dels interessats.

Hem avaluat les nostres activitats de tractament en relació amb aquestes condicions i hem determinat que, tot i que es compleixen les condicions (1) i (3), les condicions restants no es satisfan per les raons següents:

• No és a gran escala: Som una petita plataforma SaaS. El volum de dades personals de residents suïssos tractades a través dels nostres Serveis és limitat i no constitueix un tractament a gran escala en el sentit de l'article 14 de la FADP.
• No és d'alt risc: Les dades personals que tractem en nom dels operadors de llocs web consisteixen principalment en identificadors analítics pseudonimitzats (hashes de rotació diària), metadades bàsiques dels visitants (país, tipus de dispositiu, navegador), contingut de formularis enviats i missatges de chatbot. No tractem categories especials de dades personals (article 5(c) de la FADP), ni ens dediquem a la creació de perfils amb alt risc per als interessats. El Comissari Federal Suís de Protecció de Dades i Informació («FDPIC») ha indicat que aquesta obligació s'adreça principalment a grans plataformes d'Internet i xarxes socials que operen des de l'estranger, cosa que no descriu els nostres Serveis.

Basant-nos en aquesta avaluació, hem conclòs que no estem obligats a designar un representant a Suïssa en virtut de l'article 14 de la FADP en aquest moment. Revisarem periòdicament aquesta determinació, fins i tot quan es produeixin canvis materials en l'escala o la naturalesa de les nostres activitats de tractament que afectin residents suïssos.

3. DETALLS DEL TRACTAMENT DE DADES

3.1 Objecte i Durada

El tractament de dades personals en virtut d'aquesta DPA es realitza amb la finalitat de prestar els Serveis descrits a l'Acord i continuarà durant la vigència de l'Acord.

3.2 Naturalesa i Finalitat del Tractament

Tractem dades personals per:

• Allotjar i servir el contingut del vostre lloc web
• Emmagatzemar i gestionar les dades enviades a través dels formularis i les funcions interactives del vostre lloc web
• Mantenir comptes d'usuari i sessions per a les àrees protegides del vostre lloc web
• Enviar comunicacions per correu electrònic en nom vostre
• Reenviar correus electrònics rebuts a les adreces de correu electrònic del vostre domini personalitzat
• Gestionar converses de chatbot d'IA amb els visitants del vostre lloc web
• Generar descripcions i metadades amb IA per als fitxers pujats
• Convertir els fitxers pujats en formats optimitzats per a la web
• Proporcionar analítiques dels visitants
• Derivar característiques generals del lloc web (com ara la indústria o el tipus de negoci) per proporcionar recomanacions rellevants de la plataforma
• Detectar i prevenir spam i abús (inclosos reptes de bot de prova de treball)
• Realitzar la moderació de continguts en els fitxers pujats
• Revisar el contingut del lloc web durant la publicació per verificar el compliment de les polítiques de contingut de la plataforma
• Gestionar les preferències de baixa de correu electrònic per als destinataris de correu del vostre lloc web
• Facilitar les comunicacions de canal en temps real al vostre lloc web a través de connexions WebSocket (els missatges són efímers i no es conserven)
• Mantenir registres d'errors i diagnòstics per a la fiabilitat de la plataforma i la resolució de problemes (poden incloure adreces IP i metadades de sol·licituds; es conserven fins a trenta (30) dies)

3.3 Tipus de Dades Personals

Els tipus de dades personals tractades depenen del que recopileu a través del vostre lloc web, i poden incloure:

• Noms i informació de contacte
• Adreces de correu electrònic
• Missatges i enviaments de formularis
• Fitxers pujats pels visitants del lloc web (com ara imatges i documents)
• Contingut de converses de chatbot (missatges dels visitants i respostes de la IA)
• Credencials de comptes d'usuari (emmagatzemades en forma de hash)
• Dades de sessió
• Adreces IP (no s'emmagatzemen en analítiques — només s'emmagatzema un hash de rotació diària; s'emmagatzemen com a metadades juntament amb els enviaments de formularis i les converses de chatbot; s'utilitzen temporalment i es fan hash per a la verificació de reptes de bot; s'emmagatzemen temporalment per a la limitació de velocitat fins a set (7) dies i s'esborren automàticament)
• Informació del navegador i del dispositiu
• Dades de localització (a nivell de país i regió, derivades de la IP)
• Registres de baixa de correu electrònic (emmagatzemats com a hash criptogràfics de les adreces de correu dels destinataris; no s'emmagatzemen en format sense processar)
• Resultats de classificació de spam (si un enviament s'ha determinat que és spam)
• Dades de registres d'errors i diagnòstics (adreces IP, rutes de sol·licituds i detalls d'errors; es conserven fins a trenta (30) dies i s'esborren automàticament)

3.4 Categories d'Interessats

• Els visitants del vostre lloc web
• Els usuaris que creen comptes al vostre lloc web
• Els usuaris que envien formularis o interactuen amb chatbots al vostre lloc web
• Els usuaris que envien comentaris, ressenyes o altres contribucions al vostre lloc web

4. OBLIGACIONS DEL PROCESSADOR

Nosaltres:

1. Tractarem dades personals únicament seguint les vostres instruccions documentades, tret que la legislació aplicable ens obligui a fer-ho d'una altra manera (en tal cas, us informarem d'aquest requisit legal abans del tractament, tret que la llei ho prohibeixi);
2. Garantirem que les persones autoritzades a tractar dades personals s'hagin compromès a la confidencialitat o estiguin sotmeses a una obligació legal de confidencialitat adequada;
3. Implementarem les mesures de seguretat tècniques i organitzatives adequades descrites a la Secció 9;
4. Complim les condicions per a la contractació de subprocessadors establertes a la Secció 6;
5. Us assistirem, tenint en compte la naturalesa del tractament, per respondre a les sol·licituds dels Interessats que exerceixin els seus drets en virtut de la Legislació de Protecció de Dades Aplicable;
6. Us assistirem per garantir el compliment de les vostres obligacions en virtut dels articles 32 a 36 del RGPD (seguretat, notificació de violacions, avaluacions d'impacte sobre la protecció de dades i consulta prèvia), tenint en compte la naturalesa del tractament i la informació disponible per a nosaltres. Quan el vostre ús dels Serveis impliqui un tractament d'alt risc que pugui requerir una Avaluació d'Impacte sobre la Protecció de Dades (AIPD), us proporcionarem informació sobre les nostres activitats de tractament, les mesures tècniques i organitzatives i els subprocessadors per donar suport a la vostra avaluació;
7. Us assistirem per complir les vostres obligacions en virtut de l'article 22 del RGPD (presa de decisions automatitzada individual) proporcionant informació sobre qualsevol tractament automatitzat dut a terme en nom vostre, inclosa la moderació de continguts, la detecció de spam i la protecció de bots, i facilitant la revisió humana de les decisions automatitzades a petició;
8. Us informarem si, al nostre parer, una instrucció vostra infringeix la Legislació de Protecció de Dades Aplicable;
9. A la vostra elecció, suprimirem o retornarem totes les dades personals un cop finalitzada la prestació dels Serveis, i suprimirem les còpies existents tret que la legislació aplicable exigeixi la seva conservació;
10. Posarem a la vostra disposició tota la informació necessària per demostrar el compliment de les obligacions establertes en aquesta DPA i contribuirem a la verificació del compliment descrita a la Secció 11.

5. OBLIGACIONS DEL RESPONSABLE

Vós:

1. Garantireu que la vostra recollida i tractament de dades personals a través del vostre lloc web compleix tota la Legislació de Protecció de Dades Aplicable;
2. Proporcionareu avisos de privadesa adequats als visitants del vostre lloc web que descriguin les vostres pràctiques de recollida de dades, incloent-hi la divulgació d'analítiques a nivell de plataforma, les interaccions de chatbot amb IA, la detecció de spam i la protecció de bots;
3. Obtindreu tots els consentiments necessaris o establireu una altra base jurídica per al tractament de dades personals a través del vostre lloc web;
4. Garantireu que les vostres instruccions a nosaltres en relació amb el tractament de dades personals compleixen la Legislació de Protecció de Dades Aplicable;
5. Sereu responsables de l'exactitud, la qualitat i la licitud de les dades personals que ens proporcioneu a través del vostre lloc web.

En utilitzar els Serveis, ens instruïu a dur a terme les activitats de tractament següents en nom vostre com a part de les operacions estàndard de la plataforma: moderació de continguts dels fitxers pujats, revisió de la política de continguts del contingut del lloc web publicat, detecció de spam en els enviaments de formularis, protecció de bots a través de reptes de prova de treball i interaccions de chatbot amb IA amb els visitants del vostre lloc web. Aquestes activitats són instruccions documentades en virtut de l'article 28(3)(a) del RGPD.

6. SUBPROCESSADORS

6.1 Subprocessadors Autoritzats

Ens atorgeu una autorització general per contractar subprocessadors per ajudar a prestar els Serveis. Els nostres subprocessadors actuals s'enumeren a continuació i a https://www.acira.ai/dpa.

6.2 Llista Actual de Subprocessadors

6.3 Canvis als Subprocessadors

Us notificarem qualsevol canvi previst en la llista de subprocessadors per als Serveis que utilitzeu actualment actualitzant la llista de subprocessadors a https://www.acira.ai/dpa almenys catorze (14) dies abans que el nou subprocessador comenci a tractar dades personals. Quan introduïm noves funcionalitats o serveis que impliquin subprocessadors addicionals, aquests subprocessadors es divulgaran en el moment en què la funcionalitat o el servei estigui disponible; l'ús de la nova funcionalitat o servei per part vostra constitueix l'acceptació dels subprocessadors divulgats. És la vostra responsabilitat revisar periòdicament la llista de subprocessadors per detectar canvis. Si teniu una objecció raonable a un nou subprocessador que tracta dades per als Serveis existents, podeu notificar-nos per escrit en el termini de catorze (14) dies a partir de la publicació del canvi. Treballarem amb vós de bona fe per abordar les vostres preocupacions. Si no podem resoldre l'objecció a la vostra satisfacció raonable, podeu rescindir l'Acord mitjançant notificació per escrit.

6.4 Obligacions dels Subprocessadors

Celebrarem acords escrits amb cada subprocessador que imposin obligacions de protecció de dades no menys protectores que les establertes en aquesta DPA. Continuem sent responsables dels actes i omissions dels nostres subprocessadors en la mateixa mesura en que seríem responsables si prestéssim els serveis directament.

7. TRANSFERÈNCIES INTERNACIONALS DE DADES

7.1 Mecanismes de Transferència

Els Serveis s'allotgen principalment als Estats Units. Les dades personals tractades a través dels Serveis poden ser transferides i tractades als Estats Units i en altres països on operen els nostres subprocessadors. Els proveïdors d'inferència d'IA (Fireworks AI i xAI) tracten dades als Estats Units. BrightData pot tractar dades a Israel i en altres ubicacions arreu del món. Cloudflare tracta dades en ubicacions edge arreu del món.

Residència de dades a la UE: Per als operadors de llocs web identificats com a residents a la UE, apliquem les següents mesures de residència de dades per minimitzar les transferències de dades personals dels visitants fora de la Unió Europea:

• Emmagatzematge: Les dades dels visitants en l'emmagatzematge perifèric persistent — incloent-hi els enviaments de formularis, les converses del xatbot, les dades de sessió i les dades de les taules d'usuaris — estan restringides a la Unió Europea. Aquestes dades s'emmagatzemen exclusivament en centres de dades de la UE.
• Processament automatitzat orientat als visitants: Les operacions activades automàticament per l'activitat dels visitants — incloent notificacions d'enviament de contingut i lliurament de correu electrònic transaccional — es processen dins la Unió Europea i no transiten per la infraestructura dels EUA.
• Accés a la gestió de la plataforma: Quan accediu a les dades dels visitants del vostre lloc web a través del tauler de control de la plataforma o la interfície de conversa (per exemple, visualitzar enviaments de formularis o gestionar registres d'usuaris), aquestes dades poden ser processades a través de la nostra infraestructura als EUA per satisfer la vostra sol·licitud. Aquestes transferències són sota demanda, iniciades per vós (el Responsable del tractament), i protegides pels mecanismes de transferència i les mesures complementàries descrites a continuació.
• Altre processament als EUA: Les dades d'anàlisi i les dades processades per la nostra infraestructura al núvol als EUA per a la moderació de contingut i la inferència d'IA poden ser transferides als Estats Units d'acord amb els mecanismes de transferència que s'indiquen a continuació.

Per a les transferències de dades personals de l'EEE, el RU o Suïssa a països que no es reconeix que proporcionen un nivell adequat de protecció de dades, confiem en:

1. Clàusules Contractuals Tipus (CCT): Incorporem les Clàusules Contractuals Tipus de la Comissió Europea a aquesta DPA per referència: Mòdul Ú (Responsable a Responsable) per a les dades analítiques en les quals actuem com a responsables conjunts (consulteu la Secció 2.3), i Mòdul Dos (Responsable a Processador) per a totes les altres dades personals tractades en nom vostre. Les CCT estan disponibles a https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Addenda de Transferència Internacional de Dades del RU: Per a les transferències del RU, s'aplica l'Addenda del RU a les CCT de la UE.
3. Mecanismes de Transferència de Dades Suïssos: Per a les transferències des de Suïssa, s'apliquen les CCT amb les modificacions exigides per la FADP suïssa.

7.2 Mesures Suplementàries

Implementem les mesures suplementàries següents per protegir les dades personals transferides:

• Xifratge de les dades en trànsit (TLS/SSL) i en repòs
• Controls d'accés i mecanismes d'autenticació
• Avaluacions de seguretat regulars
• Pràctiques de minimització de dades (per exemple, hashes de visitants de rotació diària en lloc d'emmagatzematge d'IP en brut)
• Residència de dades jurisdiccional per als operadors de llocs web residents a la UE (emmagatzematge persistent i processament automatitzat orientat als visitants restringits a la UE)
• Infraestructura de computació i correu electrònic basada a la UE per a operacions automatitzades orientades als visitants (notificacions d'enviament de contingut i lliurament de correu electrònic transaccional processats a la Unió Europea per als operadors de llocs web residents a la UE)

7.3 Avaluació d'Impacte de la Transferència

Aquestes mesures suplementàries es basen en la nostra avaluació de les lleis i pràctiques dels països de destinació, tenint en compte la naturalesa de les dades transferides, el mecanisme de transferència utilitzat i les salvaguardes tècniques i organitzatives vigents. Hem avaluat que les mesures suplementàries descrites anteriorment, juntament amb els compromisos de les CCT, proporcionen un nivell de protecció adequat per a les dades personals transferides. La nostra Avaluació d'Impacte de la Transferència està disponible a https://www.acira.ai/tia.

7.4 Transferències de Dades Canadenques

Per a les transferències de dades personals des del Canadà, confiem en les salvaguardes següents per garantir que les dades personals transferides fora del Canadà rebin un nivell de protecció comparable tal com exigeix la Llei de Protecció d'Informació Personal i Documents Electrònics (PIPEDA) i la legislació provincial de privadesa aplicable (incloses la PIPA d'Alberta, la PIPA de Colúmbia Britànica i la Llei de Quebec relativa a la protecció d'informació personal en el sector privat):

1. Proteccions contractuals: Acords escrits de tractament de dades amb cada subprocessador que imposen obligacions de protecció de dades personals a un nivell coherent amb la legislació de privadesa canadenca, inclosos els requisits per a salvaguardes de seguretat adequades, limitacions d'ús, notificació de violacions i accés dels interessats.
2. Salvaguardes tècniques: Les mateixes mesures de xifratge, pseudonimització, control d'accés i minimització de dades descrites a la Secció 7.2 s'apliquen a les transferències de dades canadenques.
3. Salvaguardes organitzatives: Diligència deguda dels subprocessadors, obligacions de confidencialitat per al personal i procediments documentats de resposta a incidents tal com es descriu en aquesta DPA.

Supervisem els desenvolupaments en la legislació de privadesa canadenca, inclosa la Llei de Protecció de la Privadesa del Consumidor (CPPA) proposada, i actualitzarem els nostres mecanismes de transferència si és necessari.

8. DRETS DELS INTERESSATS

8.1 Assistència amb les Sol·licituds

Us assistirem per respondre a les sol·licituds dels Interessats que exerceixin els seus drets en virtut de la Legislació de Protecció de Dades Aplicable, inclosos els drets d'accés, rectificació, supressió, limitació, portabilitat i oposició.

8.2 Notificació

Si rebem una sol·licitud directament d'un Interessat en relació amb dades personals tractades en nom vostre, us notificarem immediatament i no respondrem a la sol·licitud sense les vostres instruccions, tret que la legislació aplicable ho exigeixi.

8.3 Eines de la Plataforma

Proporcionem eines dins dels Serveis per ajudar-vos a complir les sol·licituds dels Interessats, incloent-hi:

• Accés i gestió de les dades emmagatzemades a les bases de dades del vostre lloc web
• Supressió de registres individuals de les bases de dades del vostre lloc web
• A petició, podem proporcionar exportacions de dades en format ZIP per ajudar a complir les obligacions de portabilitat de dades

9. SEGURETAT DE LES DADES

9.1 Mesures de Seguretat

Implementem i mantenim les mesures tècniques i organitzatives adequades per protegir les dades personals contra el tractament no autoritzat o il·lícit i contra la pèrdua, la destrucció o els danys accidentals. Aquestes mesures inclouen:

• Xifratge: Dades xifrades en trànsit mitjançant TLS/SSL i en repòs amb xifratge estàndard del sector
• Control d'Accés: Controls d'accés basats en rols, autenticació multifactor per a l'administració de la plataforma, polítiques d'accés de mínims privilegis
• Seguretat de la Infraestructura: Infraestructura en núvol gestionada amb pegats de seguretat automatitzats, protecció DDoS i Tallafoc d'Aplicacions Web (WAF)
• Aïllament de Dades: Aïllament de dades per lloc web a través d'instàncies d'emmagatzematge dedicades
• Monitorització: Monitorització de seguretat automatitzada, detecció d'intrusions i registre estructurat
• Seguretat de Credencials: Totes les claus API i els secrets s'emmagatzemen en serveis de gestió de secrets dedicats; les contrasenyes d'usuari es fan hash amb algoritmes criptogràfics forts amb salts per usuari
• Protecció de Bots: Sistemes de reptes de prova de treball per prevenir l'abús automatitzat

9.2 Confidencialitat

Garantim que tot el personal autoritzat a tractar dades personals estigui subjecte a obligacions de confidencialitat.

10. NOTIFICACIÓ DE VIOLACIÓ DE DADES

10.1 Notificació al Responsable

Us notificarem sense demora indeguda després de confirmar una violació de dades personals que afecti dades personals tractades en nom vostre. La notificació s'enviarà a la informació de contacte associada al vostre compte.

10.2 Contingut de la Notificació

La nostra notificació de violació inclourà, en la mesura que sigui disponible:

1. Una descripció de la naturalesa de la violació, incloses les categories i el nombre aproximat d'Interessats i registres afectats;
2. El nom i les dades de contacte del nostre contacte de protecció de dades;
3. Una descripció de les conseqüències probables de la violació;
4. Una descripció de les mesures adoptades o proposades per abordar la violació i mitigar els seus efectes.

10.3 Les Vostres Obligacions

Sou responsables de notificar l'autoritat de supervisió pertinent i els Interessats afectats d'una violació de dades personals tal com exigeixi la Legislació de Protecció de Dades Aplicable. Cooperarem amb vós i proporcionarem una assistència raonable per ajudar-vos a complir les vostres obligacions de notificació de violació.

11. AUDITORIES I VERIFICACIÓ DEL COMPLIMENT

11.1 Documentació de compliment

Per demostrar el nostre compliment amb aquest DPA, posarem a la vostra disposició, mitjançant sol·licitud escrita raonable (fins a un cop l'any), el següent:

1. Informes d'auditoria de tercers rellevants, certificacions o resums d'avaluacions de seguretat;
2. Un resum de les nostres mesures de seguretat tècniques i organitzatives actuals;
3. Informació sobre les nostres activitats de tractament, subprocessadors i pràctiques de protecció de dades.

Quan confiem en proveïdors d'infraestructura de tercers (com AWS i Cloudflare), les seves certificacions de seguretat i documentació de compliment estan disponibles a través dels seus programes respectius de confiança i compliment.

11.2 Consultes addicionals

Si la documentació proporcionada segons la secció 11.1 no aborda raonablement les vostres preocupacions de compliment, podeu enviar preguntes escrites específiques sobre les nostres pràctiques de protecció de dades, a les quals respondrem en un termini raonable.

12. CONSERVACIÓ I SUPRESSIÓ DE DADES

12.1 Durant la Vigència de l'Acord

Conservarem les dades personals tractades en nom vostre durant la vigència de l'Acord i d'acord amb les vostres instruccions a través dels Serveis. Els períodes de conservació específics per a les dades dels visitants inclouen:

• Converses de chatbot al vostre lloc web: Es conserven durant trenta (30) dies a partir de la darrera interacció de cada conversa. Les converses s'emmagatzemen dins de les sessions dels visitants a la infraestructura edge del lloc web i s'esborren automàticament quan la sessió caduca per inactivitat.
• Enviaments de formularis i contingut generat per l'usuari al vostre lloc web: Es conserven durant la vigència del lloc web associat, tret que els suprimiu anteriorment a través de les eines de la plataforma.
• Dades de sessió dels visitants del vostre lloc web: S'esborren automàticament després de 30 dies d'inactivitat.
• Contingut suprimit dels visitants (enviaments de formularis, comentaris i altri contingut generat per l'usuari al vostre lloc web): Quan suprimiu contingut dels visitants a través de les eines de la plataforma, es mou a un estat de supressió suau i es conserva fins a trenta (30) dies per donar suport a la recuperació. Després d'aquest període, el contingut suprimit de forma suau s'elimina permanentment. Podeu suprimir el contingut immediatament i de forma permanent purgant-lo de la cua de recuperació.
• Registres de baixa de correu electrònic al vostre lloc web: Es conserven durant la durada del lloc web associat, tret que el destinatari es torni a subscriure. Els registres de baixa s'eliminen quan el lloc web es destrueix.
• Dades analítiques: Es conserven durant la vigència del lloc web associat (subjecte als límits de conservació basats en el pla; les dades analítiques del pla gratuït es conserven durant noranta (90) dies).

12.2 En la Resolució

En la resolució de l'Acord, o a petició vostra, suprimirem les dades personals tractades en nom vostre d'acord amb les pràctiques de conservació de dades descrites a l'Acord (inclòs el període de gràcia de set (7) dies per a les supressions de comptes i llocs web). Després del període de gràcia, la supressió és permanent i irreversible.

12.3 Excepcions

Podem conservar dades personals en la mesura exigida per la legislació aplicable, o quan les dades han estat anonimitzades i ja no es poden vincular a un Interessat.

13. VIGÈNCIA I RESOLUCIÓ

Aquesta DPA entra en vigor en la data en que accepteu l'Acord i continua en vigor mentre tractem dades personals en nom vostre. Les obligacions de confidencialitat i protecció de dades establertes en aquesta DPA sobreviuen a la resolució de l'Acord.

14. LIMITACIÓ DE RESPONSABILITAT

La responsabilitat de cada part en virtut d'aquesta DPA està subjecta a les limitacions de responsabilitat establertes a l'Acord.

15. CONTACTEU AMB NOSALTRES

Per a preguntes sobre aquesta DPA o per exercir els vostres drets, poseu-vos en contacte amb nosaltres a:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telèfon: 888-389-1189
Correu electrònic: legal@acira.ai