Avaluació de l'impacte de la transferència
AVALUACIÓ DE L'IMPACTE DE LA TRANSFERÈNCIA
Última actualització: 19 de març de 2026
Aquesta Avaluació de l'Impacte de la Transferència ("AIT") ha estat preparada per Acira AI LLC ("Acira AI", "nosaltres", "ens") d'acord amb els requisits de la decisió del Tribunal de Justícia de la Unió Europea en el cas Comissari de Protecció de Dades contra Facebook Ireland Limited i Maximillian Schrems (Assumpte C-311/18, "Schrems II") i les recomanacions del Comitè Europeu de Protecció de Dades (Recomanacions CEPD 01/2020 sobre mesures suplementàries).
Aquesta AIT avalua l'adequació de les proteccions per a les dades personals transferides des de l'Espai Econòmic Europeu ("EEE"), el Regne Unit, Suïssa i el Canadà als Estats Units i altres tercers països en relació amb la prestació dels nostres Serveis.
Aquesta AIT pot ser traduïda a altres idiomes per a la vostra comoditat. En cas de qualsevol conflicte o incoherència entre la versió anglesa i qualsevol versió traduïda, la versió anglesa prevaldrà.
TAULA DE CONTINGUTS
- VISIÓ GENERAL DE LES TRANSFERÈNCIES
- NATURALESA DE LES DADES TRANSFERIDES
- MECANISMES DE TRANSFERÈNCIA
- AVALUACIÓ DE LES LLEIS DEL PAÍS DE DESTINACIÓ
- AVALUACIÓ DELS FLUXOS DE DADES PER PROVEÏDOR DE SERVEIS
- MESURES SUPLEMENTÀRIES
- AVALUACIÓ DEL RISC
- CONCLUSIÓ
- CALENDARI DE REVISIÓ
- CONTACTEU-NOS
1. VISIÓ GENERAL DE LES TRANSFERÈNCIES
1.1 Context
Acira AI és una plataforma de programari com a servei (SaaS) que permet a empreses i particulars crear, gestionar i allotjar llocs web amb intel·ligència artificial. Quan els usuaris creen llocs web als quals accedeixen visitants ubicats a l'EEE, al Regne Unit, a Suïssa o al Canadà, les dades personals d'aquests visitants poden ser transferides i processades als Estats Units i en altres llocs on operen els nostres proveïdors d'infraestructura.
1.2 Parts
- Exportador de dades: L'operador del lloc web (el nostre client, que actua com a Responsable) i, per a les dades analítiques, Acira AI com a Corresponsable.
- Importador de dades: Acira AI LLC, constituïda a Nevada, Estats Units, que actua com a Encarregat del Tractament (i Corresponsable per a l'analítica).
- Subencàrrecs: Proveïdors de serveis de tercers contractats per Acira AI (llistats a la Secció 5).
1.3 Destinacions de les transferències
| Destinació | Proveïdors | Base |
|---|---|---|
| Estats Units i Unió Europea (Estocolm) | AWS | CCE + Mesures complementàries (EUA); Intra-EEE per a operacions automatitzades orientades als visitants per a residents de la UE |
| Estats Units | Stripe, Fireworks AI, xAI | CCE + Mesures complementàries |
| Global (ubicacions edge) | Cloudflare | CCE + Mesures suplementàries |
| Israel | BrightData (només dirigit per l'usuari) | CCE + Mesures suplementàries |
| Unió Europea | Black Forest Labs, ScreenshotOne, CloudConvert | Intra-EEE (no es requereix mecanisme de transferència) |
2. NATURALESA DE LES DADES TRANSFERIDES
2.1 Categories de dades personals
Les dades personals transferides depenen de les funcions habilitades per l'operador del lloc web i de les interaccions dels visitants del lloc web. Poden ser transferides les categories següents:
| Categoria de dades | Descripció | Sensibilitat | Volum |
|---|---|---|---|
| Identificadors d'anàlisi | Hash criptogràfic de rotació diària de IP + User-Agent + data (pseudonimitzat) | Baixa | Alt (a cada visualització de pàgina) |
| Metadades del visitant | País, regió, idioma, tipus de dispositiu, navegador, SO, domini de referència, paràmetres UTM | Baixa | Alt (cada visualització de pàgina) |
| Adreces IP | Emmagatzemades com a metadades amb enviaments de formularis i converses de chatbot; hash per a analítica; usades temporalment per a la verificació de repte de bot; emmagatzemades temporalment per a la limitació de velocitat (fins a 7 dies) | Mitjana | Mitjà |
| Contingut d'enviament de formularis | Camps de text lliure enviats pels visitants (noms, correus electrònics, missatges, etc.) | Variable (depèn del formulari) | Baix a mitjà |
| Missatges de chatbot | Missatges dels visitants i respostes generades per IA (màx. 2.000 caràcters per missatge) | Baixa a mitjana | Baix |
| Fitxers carregats | Fitxers carregats pels visitants a través de formularis del lloc web (imatges, documents) | Variable | Baix |
| Identificadors de sessió | ID de sessió del costat del servidor i galetes de sessió del costat del client | Baixa | Alt |
| Credencials d'autenticació | Contrasenyes per a àrees protegides del lloc web (emmagatzemades només en forma de hash) | Alta (però amb hash) | Baix |
2.2 Categories d'interessats
- Visitants de llocs web allotjats a la plataforma Acira AI
- Usuaris que creen comptes en llocs web allotjats a la plataforma
- Usuaris que envien formularis, interactuen amb chatbots o carreguen fitxers als llocs web allotjats
2.3 Dades no transferides
- Dades de geolocalització: Les cerques d'IP a ubicació es realitzen a la vora de la xarxa pel nostre proveïdor d'infraestructura. Cap adreça IP de visitants no es transmet a cap servei extern de geolocalització.
- Adreces IP brutes d'anàlisi: Només s'emmagatzema un hash criptogràfic de rotació diària; les IP brutes no es conserven als sistemes d'anàlisi.
- Contrasenyes en text pla: Només s'emmagatzemen i es transfereixen hash criptogràfics.
3. MECANISMES DE TRANSFERÈNCIA
3.1 Mecanisme principal: Clàusules contractuals tipus
Ens basem en les Clàusules Contractuals Tipus (CCT) de la Comissió Europea adoptades per la Decisió d'Execució de la Comissió (UE) 2021/914, específicament:
- Mòdul u (Responsable a Responsable): Per a les transferències de dades analítiques en les quals Acira AI actua com a corresponsable amb l'operador del lloc web (vegeu la Secció 2.3 del DPA).
- Mòdul dos (Responsable a Encarregat del Tractament): Per a les transferències de dades personals dels visitants de l'operador del lloc web (Responsable) a Acira AI (Encarregat del Tractament).
- Mòdul tres (Encarregat del Tractament a Subencàrrec): Per a les transferències posteriors d'Acira AI als nostres subencàrrecs.
3.2 Transferències del Regne Unit, Suïssa i el Canadà
- Regne Unit: S'aplica l'Addenda de Transferència Internacional de Dades del Regne Unit a les CCT de la UE.
- Suïssa: S'apliquen les CCT amb les modificacions exigides per la Llei Federal de Protecció de Dades suïssa (LFPD).
- Canadà: Les transferències es basen en proteccions contractuals amb cada subencàrrec que imposen obligacions coherents amb la Llei de Protecció de la Informació Personal i els Documents Electrònics (PIPEDA) i la legislació provincial aplicable en matèria de privadesa, combinades amb les mesures tècniques i organitzatives suplementàries descrites a la Secció 6.
3.3 Mecanismes de transferència dels subencàrrecs
| Subencàrrec | Mecanisme de transferència |
|---|---|
| Amazon Web Services | CCT (AWS DPA), certificat ISO 27001/27017/27018 |
| Cloudflare | CCT (Cloudflare DPA), certificat ISO 27001 |
| Stripe | CCT (Stripe DPA), certificat PCI DSS Nivell 1 |
| Fireworks AI | CCT (Fireworks AI DPA), SOC 2 Tipus II, certificat ISO 27001/27701/42001 |
| xAI | CCT (xAI DPA amb CCT de la UE) |
| BrightData | CCT (BrightData DPA) |
4. AVALUACIÓ DE LES LLEIS DEL PAÍS DE DESTINACIÓ
4.1 Estats Units
Els Estats Units és la destinació principal de les dades transferides. Les lleis dels EUA següents són rellevants per a aquesta avaluació:
4.1.1 Llei de Vigilància de la Intel·ligència Estrangera (FISA), Secció 702
La Secció 702 de la FISA autoritza el govern dels EUA a obligar els proveïdors de serveis de comunicacions electròniques a proporcionar accés a les comunicacions de persones no estatunidenques ubicades fora dels Estats Units amb finalitats d'intel·ligència estrangera.
Avaluació del risc:
- Aplicabilitat: La Secció 702 de la FISA s'aplica als "proveïdors de serveis de comunicacions electròniques" tal com es defineix a 50 U.S.C. § 1881(b)(4). Acira AI és una plataforma SaaS d'allotjament de llocs web, no un proveïdor de telecomunicacions tradicional. Els nostres subencàrrecs (AWS, Cloudflare) són més susceptibles de ser objecte de directives de la Secció 702.
- Abast de les dades en risc: Les dades personals que processem consisteixen principalment en analítica de visitants del lloc web (pseudonimitzada), enviaments de formularis i missatges de chatbot. És poc probable que aquestes dades siguin d'interès per a la intel·ligència estrangera.
- Probabilitat pràctica: Mai no hem rebut una directiva de la Secció 702 de la FISA i avaluem la probabilitat pràctica de rebre'n una com a molt baixa, donada la naturalesa dels nostres Serveis i les dades que processem.
4.1.2 Ordre Executiva 12333
L'OE 12333 autoritza les agències d'intel·ligència dels EUA a dur a terme activitats de vigilància, inclosa la recollida massiva de senyals d'intel·ligència. S'aplica a les dades en trànsit i no obliga les empreses privades a cooperar.
Avaluació del risc:
- Mitigació: Totes les dades en trànsit estan xifrades amb TLS. La intercepció massiva de dades xifrades en trànsit no donaria lloc a dades personals en text pla.
- Probabilitat pràctica: Baixa. Les dades processades a través dels nostres Serveis no són de la naturalesa habitualment orientada per la intel·ligència de senyals.
4.1.3 Ordre Executiva 14086 i el Marc de Privadesa de Dades UE-EUA
L'Ordre Executiva 14086 (octubre de 2022) va introduir salvaguardes addicionals per a les activitats d'intel·ligència de senyals, incloent-hi:
- Requisits de necessitat i proporcionalitat per a la recollida d'intel·ligència
- Un mecanisme de compensació de dos nivells (Oficial de Protecció de les Llibertats Civils + Tribunal de Revisió de la Protecció de Dades) disponible per a persones de la UE/Regne Unit/Suïssa
- Limitacions a la recollida massiva
La Comissió Europea va adoptar una decisió d'adequació per al Marc de Privadesa de Dades UE-EUA (MPD) el 10 de juliol de 2023. Tot i que Acira AI no està autocertificada actualment en virtut del MPD, les proteccions de l'OE 14086 s'apliquen àmpliament a totes les transferències de dades als Estats Units i beneficien tots els interessats independentment del mecanisme de transferència utilitzat.
4.1.4 Llei CLOUD
La Llei de Clarificació de l'Ús Legal a l'Estranger de Dades (Llei CLOUD) permet als cossos policials dels EUA obligar els proveïdors amb seu als EUA a produir dades independentment d'on s'emmagatzemen, subjecte a una ordre vàlida o ordre judicial.
Avaluació del risc:
- Salvaguardes: La Llei CLOUD requereix un procés legal vàlid (ordre, citació o ordre judicial). No autoritza l'accés massiu sense ordre judicial.
- Disposicions de cortesia: La Llei CLOUD inclou un marc de cortesia que permet als proveïdors impugnar ordres que entren en conflicte amb la llei estrangera.
- Probabilitat pràctica: Baixa per a les dades dels visitants del lloc web. Les sol·licituds de les forces de l'ordre probablement s'orientarien a comptes específics sospitosos d'activitat delictiva, no a l'analítica dels visitants o als enviaments de formularis.
4.2 Israel (BrightData)
BrightData té la seva seu a Israel. Israel té una decisió d'adequació de la Comissió Europea (2011/61/UE), el que significa que les transferències a Israel es tracten de manera similar a les transferències intra-EEE. No obstant això, BrightData també processa dades en altres ubicacions globals. Assenyalem que:
- El processament de BrightData es produeix només quan és dirigit per l'usuari (durant la creació del lloc web per a la importació de contingut) o durant el seguiment programat de SERP.
- Cap dada personal dels visitants del lloc web es transmet a BrightData.
4.3 Canadà (Transferències del Canadà als Estats Units)
Les dades personals dels visitants del lloc web ubicats al Canadà poden ser transferides als Estats Units per al seu processament. Les lleis canadenques següents són rellevants per a aquesta avaluació:
4.3.1 Llei de Protecció de la Informació Personal i els Documents Electrònics (PIPEDA)
La PIPEDA regula la recollida, l'ús i la divulgació d'informació personal per part d'organitzacions del sector privat en el curs d'activitats comercials. El Principi 4.1.3 de la PIPEDA requereix que les organitzacions utilitzin mitjans contractuals o d'altra mena per garantir un nivell comparable de protecció quan la informació personal es transfereix a tercers per al seu processament, incloses les transferències fora del Canadà.
Avaluació del risc:
- Protecció comparable: Les mesures suplementàries descrites a la Secció 6 (xifratge, pseudonimització, controls d'accés, minimització de dades) proporcionen un nivell de protecció comparable al requerit per la PIPEDA. Existeixen acords de tractament de dades escrits amb tots els subencàrrecs.
- Cap requisit d'adequació: A diferència del RGPD, la PIPEDA no prohibeix les transferències a països que no tinguin una constatació d'"adequació". Les organitzacions han de garantir una protecció comparable mitjançant contractes i altres mitjans, cosa que hem implementat.
4.3.2 Legislació provincial de privadesa
La Llei de Protecció de la Informació Personal (PIPA) d'Alberta, la Llei de Protecció de la Informació Personal (PIPA) de la Colúmbia Britànica i la Llei de protecció de la informació personal en el sector privat del Quebec imposen requisits addicionals per a determinades províncies:
Avaluació del risc:
- Llei 25 del Quebec: La llei modernitzada de privadesa del Quebec (en vigor des de setembre de 2023) requereix una avaluació de l'impacte sobre la privadesa abans de transferir informació personal fora del Quebec, i l'organització transferent ha d'estar satisfeta que la informació rebrà una protecció adequada. Les nostres proteccions contractuals, les mesures tècniques suplementàries i la naturalesa de les dades (principalment analítica pseudonimitzada i interaccions de visitants de llocs web de petites empreses) avalen una constatació de protecció adequada.
- Alberta i BC: Les PIPAs d'Alberta i BC requereixen que les organitzacions garanteixin una protecció comparable per a les dades transferides. Les nostres salvaguardes contractuals i tècniques satisfan aquest requisit.
4.3.3 Accés del govern dels EUA des d'una perspectiva canadenca
Els mateixos riscos d'accés del govern dels EUA avaluats a la Secció 4.1 s'apliquen a les transferències de dades canadenques. La baixa probabilitat d'accés del govern (donada la naturalesa de les dades i el perfil de la nostra empresa), combinada amb les mesures suplementàries de la Secció 6, garanteix que les dades personals transferides del Canadà als Estats Units reben un nivell comparable de protecció al requerit per la llei de privadesa canadenca.
4.4 Ubicacions edge globals (Cloudflare)
Cloudflare opera una xarxa global d'ubicacions edge. Les sol·licituds dels visitants de la UE es processen normalment al punt de presència més proper de Cloudflare, que per als visitants de la UE sol ser una ubicació de la UE.
- L'encaminament de sol·licituds, la terminació TLS i la protecció contra bots es produeixen a la ubicació edge més propera.
- Per als operadors de llocs web identificats com a residents de la UE, l'emmagatzematge persistent (que conté enviaments de formularis, converses de chatbot i dades de sessió) està restringit jurisdiccionalment a la Unió Europea mitjançant l'API de jurisdicció de Cloudflare. Per als operadors de llocs web no pertanyents a la UE, l'emmagatzematge persistent es troba a prop de la regió geogràfica de l'operador, però pot estar fora de la UE.
- Les dades d'anàlisi es processen a la infraestructura gestionada per Cloudflare.
5. AVALUACIÓ DELS FLUXOS DE DADES PER PROVEÏDOR DE SERVEIS
5.1 Amazon Web Services (EUA)
| Flux de dades | Dades personals implicades | Finalitat |
|---|---|---|
| Emmagatzematge de base de dades | Metadades d'enviaments de formularis (IP, país, regió), registres de converses de chatbot, metadades de fitxers, registres de sessió | Emmagatzematge persistent de dades de visitants del lloc web |
| Emmagatzematge de fitxers | Fitxers carregats (imatges, documents), instantànies de desplegament | Emmagatzematge de fitxers |
| Inferència d'IA | Contingut de fitxers (per a descripcions d'IA), contingut de correu electrònic (per a detecció de correu brossa) | Descripcions amb IA i classificació de correu brossa |
| Moderació de contingut | Imatges carregades | Moderació de contingut (detecció de nuesa/contingut explícit) |
| Lliurament de correu electrònic | Adreces de correu electrònic, contingut dels missatges | Lliurament de correu electrònic transaccional i notificacions d'enviament de contingut. Per als operadors de llocs web residents a la UE, aquestes operacions es processen a la Unió Europea (Estocolm). |
| Detecció d'idioma | Text de missatges de correu electrònic | Detecció d'idioma |
Salvaguardes d'AWS:
- Certificat ISO 27001, 27017, 27018
- Informes SOC 1/2/3 disponibles
- Dades xifrades en repòs amb xifratge estàndard del sector
- Dades xifrades en trànsit (TLS)
- Controls d'accés de mínims privilegis per component del sistema
- Serveis principals allotjats als Estats Units; les operacions automatitzades orientades als visitants (notificacions d'enviament de contingut i lliurament de correu electrònic transaccional) per als operadors de llocs web residents a la UE es processen a la Unió Europea (Estocolm)
5.2 Cloudflare (Global)
| Flux de dades | Dades personals implicades | Finalitat |
|---|---|---|
| Encaminament edge | Adreces IP, capçaleres HTTP, URL de sol·licituds | Encaminament de sol·licituds, protecció DDoS, terminació TLS |
| Allotjament del lloc web | Contingut de la pàgina, metadades del visitant | Allotjament i lliurament del lloc web |
| Emmagatzematge persistent | Enviaments de formularis, converses de chatbot, dades de sessió, dades de taules d'usuari | Emmagatzematge amb estat per lloc web |
| Anàlisi | Hash del visitant pseudonimitzat, país, dispositiu, navegador, referidor, UTM | Anàlisi de visitants respectuosa amb la privadesa |
| Inferència d'IA | Missatges de chatbot, resums de camps de formulari | Respostes de chatbot d'IA, detecció de correu brossa |
| Emmagatzematge d'actius | Actius del lloc web (imatges, fitxers) | Emmagatzematge d'actius estàtics i lliurament CDN |
Salvaguardes de Cloudflare:
- Certificat ISO 27001, SOC 2 Tipus II
- TLS 1.2+ per a totes les connexions
- Cloudflare DPA amb CCT disponible
- El processament a la vora significa que les dades dels visitants de la UE es processen normalment a ubicacions de vora de la UE per a la gestió de les sol·licituds
- Per als operadors de llocs web identificats com a residents de la UE, l'emmagatzematge persistent (que conté els enviaments de formularis, les converses del xatbot, les dades de sessió i les dades de taules d'usuari) està jurisdiccionalment restringit a la Unió Europea mitjançant l'API de jurisdicció de Cloudflare, assegurant que aquestes dades s'emmagatzemen i es processen exclusivament als centres de dades de la UE. Les trucades d'API del backend des de la perifèria (per a notificacions d'enviament de contingut i lliurament de correu electrònic transaccional) es dirigeixen a la infraestructura AWS basada a la UE.
- La inferència d'IA no conserva les dades d'entrada per a l'entrenament
5.3 Stripe (EUA)
| Flux de dades | Dades personals implicades | Finalitat |
|---|---|---|
| Processament de pagaments | Dades de facturació de l'operador del lloc web (nom, correu electrònic, mètode de pagament) | Processament de pagaments de subscripcions i dominis |
Nota: Stripe no rep dades personals dels visitants del lloc web. Stripe només processa la informació de facturació de l'operador del lloc web (el nostre client).
Salvaguardes de Stripe:
- Certificat PCI DSS Nivell 1
- Certificat ISO 27001
- Stripe DPA amb CCT disponible
5.4 Proveïdors d'inferència d'IA (EUA)
Fireworks AI i xAI proporcionen serveis d'inferència de models d'IA.
| Flux de dades | Dades personals implicades | Finalitat |
|---|---|---|
| Generació de text (contingut del lloc web) | Contingut del lloc web (no dades dels visitants) | Creació i edició de contingut del lloc web |
| Generació d'imatges | Prompts de text (no dades dels visitants) | Creació d'imatges per a llocs web |
| IA conversacional (agent de xat) | Nom d'usuari de la plataforma, correu electrònic, preferència d'idioma i historial de converses | Assistent impulsad per IA per als usuaris de la plataforma (operadors de llocs web) |
Nota: Aquests proveïdors d'IA no reben dades personals dels visitants del lloc web. La funció de chatbot (que serveix els visitants del lloc web) utilitza Cloudflare Workers AI (avaluat a la Secció 5.2), no aquests proveïdors. No obstant això, l'assistent d'IA conversacional de la plataforma — utilitzat pels operadors del lloc web per gestionar els seus llocs web — envia dades personals dels usuaris de la plataforma (nom, adreça de correu electrònic i historial de converses) a aquests proveïdors com a part de la generació de respostes.
Famílies de models: Aquests proveïdors d'infraestructura allotgen i executen models d'IA desenvolupats per diverses terceres parts. Els models específics i les famílies de models utilitzats poden canviar amb el temps. Els desenvolupadors de models no reben ni tenen accés a cap dada d'usuari — tot el processament de dades es produeix exclusivament dins de la infraestructura dels subprocessadors llistats, independentment d'on s'hagi desenvolupat originalment el model. Tot el processament d'inferència d'IA es manté a la infraestructura dels nostres subprocessadors llistats. Cap dada d'usuari no es transmet als desenvolupadors de models ni a cap infraestructura fora dels subprocessadors llistats en aquesta avaluació. Una llista actualitzada de les famílies de models en ús està disponible prèvia sol·licitud posant-se en contacte amb legal@acira.ai.
5.5 BrightData (Israel / Global)
| Flux de dades | Dades personals implicades | Finalitat |
|---|---|---|
| Recollida de dades web | Contingut web disponible públicament (no dades dels visitants) | Importació de contingut durant la creació del lloc web (dirigit per l'usuari) |
| Seguiment SERP | Paraules clau de cerca (no dades dels visitants) | Seguiment del rànquing de paraules clau |
Nota: BrightData no processa dades personals dels visitants del lloc web.
5.6 Proveïdors de la UE (Sense transferència)
| Proveïdor | Ubicació | Finalitat |
|---|---|---|
| Black Forest Labs | Alemanya (UE) | Generació d'imatges IA (models Flux) |
| ScreenshotOne | Unió Europea | Captura de captures de pantalla del lloc web |
| CloudConvert | Alemanya (UE) | Conversió de formats de fitxers |
Aquests proveïdors processen dades dins de la UE i no constitueixen una transferència internacional.
6. MESURES SUPLEMENTÀRIES
A més de les CCT, implementem les mesures suplementàries següents per garantir un nivell de protecció essencialment equivalent per a les dades personals transferides:
6.1 Mesures tècniques
| Mesura | Descripció |
|---|---|
| Xifratge en trànsit | Totes les dades transmeses entre visitants, xarxa edge i serveis de backend es xifren amb TLS (TLS 1.2 com a mínim). La comunicació interna entre serveis utilitza canals xifrats. |
| Xifratge en repòs | Tots els registres de base de dades, l'emmagatzematge de fitxers i l'emmagatzematge persistent allotjat a l'edge estan xifrats en repòs amb xifratge estàndard del sector gestionat pel proveïdor d'infraestructura corresponent. |
| Pseudonimització | L'anàlisi de visitants utilitza un hash criptogràfic de rotació diària (IP + User-Agent + data) en lloc d'emmagatzemar adreces IP brutes. Aquest hash no es pot invertir i rota cada 24 hores, evitant el seguiment entre dies. |
| Minimització de dades | Les analítiques recullen només metadades de nivell agregat (país, tipus de dispositiu, navegador). No s'emmagatzemen adreces IP brutes en les analítiques. Els missatges de chatbot es limiten a 2.000 caràcters. |
| Hash de contrasenyes | Totes les contrasenyes dels visitants s'hash amb algoritmes criptogràfics forts amb salts aleatoris per usuari abans de l'emmagatzematge. |
| Controls d'accés | Les polítiques d'accés de mínims privilegis restringeixen cada component del sistema als recursos que necessita. Els tokens d'API per lloc web limiten l'accés a llocs web individuals. |
| Aïllament de xarxa | Els serveis de backend es comuniquen per xarxes internes. L'allotjament de llocs web s'executa en entorns sandbox d'execució aïllats. L'execució de codi personalitzat utilitza sandbox basat en WebAssembly. |
| Residència jurisdiccional de dades | Per als operadors de llocs web identificats com a residents de la UE, l'emmagatzematge persistent que conté dades dels visitants (enviaments de formularis, converses del xatbot, dades de sessió i dades de taules d'usuari) està jurisdiccionalment restringit a la Unió Europea, assegurant que aquestes dades s'emmagatzemen i es processen exclusivament als centres de dades de la UE. Les operacions automatitzades orientades als visitants (notificacions d'enviament de contingut i lliurament de correu electrònic transaccional) també es processen dins la infraestructura basada a la UE. |
| Eliminació automatitzada | Les dades de sessió caduquen després de 30 dies d'inactivitat. Els fitxers temporals s'eliminen en un termini de 24 hores. Les dades de repte de bots són efímeres i no es conserven. |
6.2 Mesures organitzatives
| Mesura | Descripció |
|---|---|
| Confidencialitat del personal | Tot el personal amb accés a dades personals està vinculat per obligacions de confidencialitat. |
| Diligència deguda dels subencàrrecs | Els subencàrrecs s'avaluen per les seves pràctiques de seguretat i el compliment de la protecció de dades abans del compromís. |
| Resposta a incidents | Els procediments de notificació de violacions garanteixen que els Responsables siguin notificats en 72 hores de confirmar una violació de dades personals. |
| Polítiques de retenció de dades | Períodes de retenció documentats amb aplicació automatitzada (eliminació basada en TTL, polítiques de cicle de vida). |
| Monitoratge de seguretat | Registre estructurat, monitoratge de seguretat automatitzat i detecció d'intrusions. Els registres d'errors i diagnòstic es conserven fins a 30 dies. |
6.3 Mesures contractuals
| Mesura | Descripció |
|---|---|
| Clàusules Contractuals Tipus | Les CCT (Mòdul u, Mòdul dos i Mòdul tres) s'incorporen al nostre DPA per referència. |
| CCT de subencàrrecs | Els acords escrits amb cada subencàrrec imposen obligacions de protecció de dades no menys protectores que les del nostre DPA. |
| Notificació d'accés governamental | Ens comprometem a notificar els Responsables de les sol·licituds d'accés governamental on estigui legalment permès. |
| Compromís d'impugnació | Ens comprometem a impugnar les sol·licituds d'accés governamental que considerem excessives o il·legals. |
7. AVALUACIÓ DEL RISC
7.1 Probabilitat d'accés governamental
| Factor | Avaluació |
|---|---|
| Naturalesa de les dades | Principalment analítica pseudonimitzada, enviaments de formularis i missatges de chatbot de llocs web de petites empreses. Aquestes dades tenen un baix valor d'intel·ligència. |
| Volum de dades | Baix a moderat. Cada lloc web serveix la seva pròpia base de visitants; les dades no s'agreguen entre llocs web amb finalitats de vigilància. |
| Perfil de l'empresa | Acira AI és una petita empresa SaaS que allotja llocs web de petites empreses. |
| Sol·licituds històriques | A data d'aquesta avaluació, Acira AI no ha rebut mai una directiva de la Secció 702 de la FISA, una Carta de Seguretat Nacional ni cap sol·licitud governamental d'accés massiu a dades de clients. |
| Perfil dels subencàrrecs | AWS i Cloudflare són grans proveïdors d'infraestructura que publiquen informes de transparència. Els seus informes de transparència indiquen que les sol·licituds governamentals estan orientades a comptes específics, no a l'accés massiu al contingut allotjat. |
Probabilitat global: BAIXA
7.2 Impacte si es produís l'accés
| Factor | Avaluació |
|---|---|
| Sensibilitat de les dades | La majoria de les dades transferides són de baixa sensibilitat (analítica pseudonimitzada, metadades dels visitants del lloc web). |
| Eficàcia de la pseudonimització | Les dades analítiques no poden vincular-se a persones sense accés als components del hash de rotació diària. |
| Abast de l'exposició | Qualsevol accés governamental estaria limitat a comptes o llocs web específics, no a tota la plataforma. L'aïllament de dades per lloc web mitjançant instàncies d'emmagatzematge dedicades limita l'abast de qualsevol compromís potencial. Per als operadors de llocs web residents a la UE, l'emmagatzematge persistent i el processament automatitzat orientat als visitants (notificacions d'enviament de contingut i lliurament de correu electrònic transaccional) estan restringits a la UE, limitant encara més l'exposició a l'accés del govern dels EUA per a aquestes dades. |
Impacte global: BAIX A MITJÀ (depenent de la sensibilitat de les dades recollides pels operadors individuals dels llocs web)
7.3 Avaluació del risc residual
Tenint en compte la baixa probabilitat d'accés governamental, les mesures tècniques suplementàries (xifratge, pseudonimització, minimització de dades) i les salvaguardes addicionals introduïdes per l'OE 14086, avaluem que el risc residual per als interessats és baix i que les mesures suplementàries, juntament amb les CCT (per a les transferències de l'EEE/Regne Unit/Suïssa) i les proteccions contractuals (per a les transferències canadenques), proporcionen un nivell de protecció essencialment equivalent al garantit dins de l'EEE i comparable al requerit per la llei de privadesa canadenca.
8. CONCLUSIÓ
Basant-nos en aquesta avaluació, concloem que:
Les dades personals transferides de l'EEE/Regne Unit/Suïssa/Canadà als Estats Units en relació amb la prestació dels nostres Serveis gaudeixen d'un nivell de protecció essencialment equivalent al garantit per la legislació de protecció de dades de la UE i d'un nivell de protecció comparable al requerit per la llei de privadesa canadenca.
Les Clàusules Contractuals Tipus, combinades amb les mesures tècniques, organitzatives i contractuals suplementàries descrites a la Secció 6, aborden adequadament els riscos identificats en aquesta avaluació.
La naturalesa de les dades (principalment analítica pseudonimitzada i interaccions dels visitants de llocs web de petites empreses) i el perfil de l'importador de dades (una petita empresa SaaS) redueixen significativament el risc pràctic de vigilància governamental.
Les proteccions introduïdes per l'Ordre Executiva 14086 i el mecanisme de compensació associat proporcionen salvaguardes addicionals que beneficien tots els interessats.
Per a les transferències canadenques, les proteccions contractuals i les mesures suplementàries descrites aquí garanteixen un nivell de protecció comparable al requerit per la PIPEDA.
Continuarem monitorant els desenvolupaments en el dret i la pràctica de vigilància dels EUA, així com els desenvolupaments en la llei de privadesa canadenca (inclosa la proposada Llei de Protecció de la Privadesa del Consumidor), i reavauarem aquesta AIT si les circumstàncies canvien materialment.
Les transferències poden continuar subjectes a la continued aplicació de les CCT i les mesures suplementàries descrites aquí.
9. CALENDARI DE REVISIÓ
Aquesta AIT serà revisada i actualitzada:
- Anualment, com a mínim, o
- En canvis materials de les lleis o reglaments aplicables,
- En canvis als nostres subencàrrecs o la naturalesa de les dades transferides,
- En qualsevol resolució judicial que afecti materialment la validesa de les CCT o l'adequació de la protecció de dades dels EUA.
10. CONTACTEU-NOS
Si teniu preguntes sobre aquesta Avaluació de l'Impacte de la Transferència, poseu-vos en contacte amb nosaltres a:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Estats Units
Telèfon: 888-389-1189
Correu electrònic: legal@acira.ai
La vostra privadesa, la nostra prioritat
No venem les vostres dades, no fem servir galetes de seguiment — per això no veureu un bàner de galetes aquí. Respectem el Global Privacy Control, i per als clients de la UE, les dades dels visitants s'emmagatzemen i es processen exclusivament dins de la Unió Europea.
Acira AI
Construeix llocs web bonics amb IA. No cal programar.
Construït amb orgull als Estats Units
© 2026 Acira AI LLC. Tots els drets reservats.