Evaluación de impacto de la transferencia
EVALUACIÓN DE IMPACTO DE TRANSFERENCIAS
Última actualización: 19 de marzo de 2026
Esta Evaluación de Impacto de Transferencias («EIT») ha sido elaborada por Acira AI LLC («Acira AI», «nosotros», «nos») de conformidad con los requisitos de la sentencia del Tribunal de Justicia de la Unión Europea en el asunto Comisario de Protección de Datos contra Facebook Ireland Limited y Maximillian Schrems (Asunto C-311/18, «Schrems II») y las recomendaciones del Comité Europeo de Protección de Datos (Recomendaciones del CEPD 01/2020 sobre medidas complementarias).
Esta EIT evalúa la adecuación de las protecciones para los datos personales transferidos desde el Espacio Económico Europeo («EEE»), el Reino Unido, Suiza y Canadá a los Estados Unidos y otros terceros países en relación con la prestación de nuestros Servicios.
Esta EIT puede traducirse a otros idiomas para su comodidad. En caso de conflicto o inconsistencia entre la versión en inglés y cualquier versión traducida, prevalecerá la versión en inglés.
ÍNDICE
- RESUMEN DE LAS TRANSFERENCIAS
- NATURALEZA DE LOS DATOS TRANSFERIDOS
- MECANISMOS DE TRANSFERENCIA
- EVALUACIÓN DE LAS LEYES DEL PAÍS DE DESTINO
- EVALUACIÓN DE LOS FLUJOS DE DATOS POR PROVEEDOR DE SERVICIOS
- MEDIDAS COMPLEMENTARIAS
- EVALUACIÓN DE RIESGOS
- CONCLUSIÓN
- CALENDARIO DE REVISIÓN
- CONTACTO
1. RESUMEN DE LAS TRANSFERENCIAS
1.1 Contexto
Acira AI es una plataforma de software como servicio que permite a empresas e individuos crear, gestionar y alojar sitios web impulsados por inteligencia artificial. Cuando los usuarios crean sitios web a los que acceden visitantes ubicados en el EEE, el Reino Unido, Suiza o Canadá, los datos personales de esos visitantes pueden ser transferidos y procesados en los Estados Unidos y otras ubicaciones donde operan nuestros proveedores de infraestructura.
1.2 Partes
- Exportador de Datos: El operador del sitio web (nuestro cliente, que actúa como Responsable del Tratamiento) y, para los datos analíticos, Acira AI como Corresponsable del Tratamiento.
- Importador de Datos: Acira AI LLC, constituida en Nevada, Estados Unidos, actuando como Encargado del Tratamiento (y Corresponsable del Tratamiento para los datos analíticos).
- Subencargados del Tratamiento: Proveedores de servicios de terceros contratados por Acira AI (enumerados en la Sección 5).
1.3 Destinos de las Transferencias
| Destino | Proveedores | Base |
|---|---|---|
| Estados Unidos y Unión Europea (Estocolmo) | AWS | CCE + Medidas complementarias (EE. UU.); Intra-EEE para operaciones automatizadas orientadas a visitantes para residentes de la UE |
| Estados Unidos | Stripe, Fireworks AI, xAI | CCE + Medidas complementarias |
| Global (ubicaciones edge) | Cloudflare | CCE + Medidas Complementarias |
| Israel | BrightData (solo dirigido por el usuario) | CCE + Medidas Complementarias |
| Unión Europea | Black Forest Labs, ScreenshotOne, CloudConvert | Intra-EEE (no se requiere mecanismo de transferencia) |
2. NATURALEZA DE LOS DATOS TRANSFERIDOS
2.1 Categorías de Datos Personales
Los datos personales transferidos dependen de las funciones activadas por el operador del sitio web y las interacciones de los visitantes. Pueden transferirse las siguientes categorías:
| Categoría de Datos | Descripción | Sensibilidad | Volumen |
|---|---|---|---|
| Identificadores analíticos | Hash criptográfico de rotación diaria de IP + User-Agent + fecha (pseudoanonimizado) | Baja | Alto (cada visita a la página) |
| Metadatos del visitante | País, región, idioma, tipo de dispositivo, navegador, SO, dominio de referencia, parámetros UTM | Baja | Alto (cada visita a la página) |
| Direcciones IP | Almacenadas como metadatos con envíos de formularios y conversaciones de chatbot; hash para análisis; utilizadas temporalmente para la verificación de bot challenge; almacenadas temporalmente para la limitación de velocidad (hasta 7 días) | Media | Medio |
| Contenido de envíos de formularios | Campos de texto libre enviados por los visitantes (nombres, correos electrónicos, mensajes, etc.) | Variable (depende del formulario) | Bajo a Medio |
| Mensajes de chatbot | Mensajes de los visitantes y respuestas generadas por IA (máx. 2.000 caracteres por mensaje) | Baja a Media | Bajo |
| Cargas de archivos | Archivos cargados por los visitantes a través de formularios del sitio web (imágenes, documentos) | Variable | Bajo |
| Identificadores de sesión | ID de sesión del lado del servidor y cookies de sesión del lado del cliente | Baja | Alto |
| Credenciales de autenticación | Contraseñas para áreas protegidas del sitio web (almacenadas solo en forma hash) | Alta (pero hasheada) | Bajo |
2.2 Categorías de Interesados
- Visitantes de sitios web alojados en la plataforma Acira AI
- Usuarios que crean cuentas en sitios web alojados en la plataforma
- Usuarios que envían formularios, interactúan con chatbots o cargan archivos en sitios web alojados
2.3 Datos No Transferidos
- Datos de geolocalización: Las búsquedas de IP a ubicación se realizan en el borde de la red por nuestro proveedor de infraestructura. No se transmiten direcciones IP de visitantes a ningún servicio de geolocalización externo.
- Direcciones IP de análisis en bruto: Solo se almacena un hash criptográfico de rotación diaria; las IP en bruto no se persisten en los sistemas de análisis.
- Contraseñas en texto plano: Solo se almacenan y transfieren hashes criptográficos.
3. MECANISMOS DE TRANSFERENCIA
3.1 Mecanismo Principal: Cláusulas Contractuales Tipo
Nos basamos en las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea adoptadas por la Decisión de Ejecución de la Comisión (UE) 2021/914, específicamente:
- Módulo Uno (Responsable a Responsable): Para transferencias de datos analíticos donde Acira AI actúa como corresponsable del tratamiento con el operador del sitio web (véase DPA Sección 2.3).
- Módulo Dos (Responsable a Encargado): Para transferencias de datos personales de visitantes desde el operador del sitio web (Responsable) a Acira AI (Encargado).
- Módulo Tres (Encargado a Subencargado): Para transferencias posteriores de Acira AI a nuestros subencargados.
3.2 Transferencias al Reino Unido, Suiza y Canadá
- Reino Unido: Se aplica el Addendum de Transferencia Internacional de Datos del Reino Unido a las CCT de la UE.
- Suiza: Las CCT se aplican con las modificaciones requeridas por la Ley Federal Suiza de Protección de Datos (FADP).
- Canadá: Las transferencias se basan en protecciones contractuales con cada subencargado que impone obligaciones consistentes con la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) y la legislación provincial de privacidad aplicable, combinadas con las medidas técnicas y organizativas complementarias descritas en la Sección 6. Véase DPA Sección 7.4 para más detalles.
3.3 Mecanismos de Transferencia de Subencargados
| Subencargado | Mecanismo de Transferencia |
|---|---|
| Amazon Web Services | CCT (AWS DPA), certificado ISO 27001/27017/27018 |
| Cloudflare | CCT (Cloudflare DPA), certificado ISO 27001 |
| Stripe | CCT (Stripe DPA), certificado PCI DSS Nivel 1 |
| Fireworks AI | CCT (Fireworks AI DPA), SOC 2 Tipo II, certificado ISO 27001/27701/42001 |
| xAI | CCT (xAI DPA con CCT de la UE) |
| BrightData | CCT (BrightData DPA) |
4. EVALUACIÓN DE LAS LEYES DEL PAÍS DE DESTINO
4.1 Estados Unidos
Estados Unidos es el principal destino de los datos transferidos. Las siguientes leyes estadounidenses son relevantes para esta evaluación:
4.1.1 Ley de Vigilancia de Inteligencia Extranjera (FISA), Sección 702
La Sección 702 de FISA autoriza al gobierno de EE. UU. a obligar a los proveedores de servicios de comunicaciones electrónicas a proporcionar acceso a las comunicaciones de personas no estadounidenses ubicadas fuera de EE. UU. con fines de inteligencia extranjera.
Evaluación del riesgo:
- Aplicabilidad: La Sección 702 de FISA se aplica a los «proveedores de servicios de comunicaciones electrónicas» tal como se definen en 50 U.S.C. § 1881(b)(4). Acira AI es una plataforma SaaS de alojamiento de sitios web, no un proveedor de telecomunicaciones tradicional. Es más probable que nuestros subencargados (AWS, Cloudflare) estén sujetos a directivas de la Sección 702.
- Alcance de los datos en riesgo: Los datos personales que procesamos consisten principalmente en análisis de visitantes del sitio web (pseudoanonimizados), envíos de formularios y mensajes de chatbot. Es poco probable que estos datos sean de interés para la inteligencia extranjera.
- Probabilidad práctica: Nunca hemos recibido una directiva de la Sección 702 de FISA y evaluamos la probabilidad práctica de recibir una como muy baja, dada la naturaleza de nuestros Servicios y los datos que procesamos.
4.1.2 Orden Ejecutiva 12333
La OE 12333 autoriza a las agencias de inteligencia de EE. UU. a realizar actividades de vigilancia, incluida la recopilación masiva de inteligencia de señales. Se aplica a los datos en tránsito y no obliga a las empresas privadas a cooperar.
Evaluación del riesgo:
- Mitigación: Todos los datos en tránsito están cifrados con TLS. La interceptación masiva de datos cifrados en tránsito no produciría datos personales en texto plano.
- Probabilidad práctica: Baja. Los datos procesados a través de nuestros Servicios no tienen la naturaleza típicamente dirigida por la inteligencia de señales.
4.1.3 Orden Ejecutiva 14086 y el Marco de Privacidad de Datos UE-EE. UU.
La Orden Ejecutiva 14086 (octubre de 2022) introdujo salvaguardas adicionales para las actividades de inteligencia de señales, incluyendo:
- Requisitos de necesidad y proporcionalidad para la recopilación de inteligencia
- Un mecanismo de recurso de dos niveles (Oficial de Protección de Libertades Civiles + Tribunal de Revisión de Protección de Datos) disponible para personas de la UE/Reino Unido/Suiza
- Limitaciones a la recopilación masiva
La Comisión Europea adoptó una decisión de adecuación para el Marco de Privacidad de Datos UE-EE. UU. (DPF) el 10 de julio de 2023. Aunque Acira AI no está actualmente autocertificada bajo el DPF, las protecciones bajo la OE 14086 se aplican ampliamente a todas las transferencias de datos a los Estados Unidos y benefician a todos los interesados independientemente del mecanismo de transferencia utilizado.
4.1.4 Ley CLOUD
La Ley de Clarificación del Uso Legal en el Extranjero de Datos (CLOUD Act) permite a las fuerzas del orden de EE. UU. obligar a los proveedores con sede en EE. UU. a producir datos independientemente de dónde estén almacenados, sujeto a una orden válida o resolución judicial.
Evaluación del riesgo:
- Salvaguardas: La Ley CLOUD requiere un proceso legal válido (orden, citación o resolución judicial). No autoriza el acceso masivo sin orden.
- Disposiciones de cortesía: La Ley CLOUD incluye un marco de cortesía que permite a los proveedores impugnar órdenes que entren en conflicto con la legislación extranjera.
- Probabilidad práctica: Baja para los datos de visitantes del sitio web. Las solicitudes de las fuerzas del orden probablemente se dirigirán a cuentas específicas sospechosas de actividad criminal, no a análisis de visitantes o envíos de formularios.
4.2 Israel (BrightData)
BrightData tiene su sede en Israel. Israel cuenta con una decisión de adecuación de la Comisión Europea (2011/61/UE), lo que significa que las transferencias a Israel se tratan de manera similar a las transferencias intra-EEE. Sin embargo, BrightData también procesa datos en otras ubicaciones globales. Observamos que:
- El procesamiento de BrightData ocurre solo cuando el usuario lo dirige (durante la creación del sitio web para la importación de contenido) o durante el seguimiento programado de SERP.
- No se transmiten datos personales de visitantes del sitio web a BrightData.
4.3 Canadá (Transferencias de Canadá a los Estados Unidos)
Los datos personales de visitantes del sitio web ubicados en Canadá pueden transferirse a los Estados Unidos para su procesamiento. Las siguientes leyes canadienses son relevantes para esta evaluación:
4.3.1 Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA)
PIPEDA rige la recopilación, uso y divulgación de información personal por parte de organizaciones del sector privado en el curso de actividades comerciales. El Principio 4.1.3 de PIPEDA requiere que las organizaciones utilicen medios contractuales u otros para garantizar un nivel comparable de protección cuando la información personal se transfiere a terceros para su procesamiento, incluidas las transferencias fuera de Canadá.
Evaluación del riesgo:
- Protección comparable: Las medidas complementarias descritas en la Sección 6 (cifrado, pseudoanonimización, controles de acceso, minimización de datos) proporcionan un nivel de protección comparable al requerido bajo PIPEDA. Se han establecido acuerdos de procesamiento de datos por escrito con todos los subencargados.
- Sin requisito de adecuación: A diferencia del RGPD, PIPEDA no prohíbe las transferencias a países que carezcan de una decisión de «adecuación». Las organizaciones deben garantizar una protección comparable a través de medios contractuales y otros, lo que hemos implementado.
4.3.2 Legislación Provincial de Privacidad
La Ley de Protección de Información Personal (PIPA) de Alberta, la Ley de Protección de Información Personal (PIPA) de Columbia Británica y la Ley de Quebec relativa a la protección de la información personal en el sector privado imponen requisitos adicionales para ciertas provincias:
Evaluación del riesgo:
- Ley 25 de Quebec: La ley de privacidad modernizada de Quebec (en vigor desde septiembre de 2023) requiere una evaluación del impacto en la privacidad antes de transferir información personal fuera de Quebec, y la organización que transfiere debe estar satisfecha de que la información recibirá una protección adecuada. Nuestras protecciones contractuales, medidas técnicas complementarias y la naturaleza de los datos (principalmente análisis pseudoanonimizados e interacciones de sitios web de pequeñas empresas) respaldan una determinación de protección adecuada.
- Alberta y Columbia Británica: Las PIPA de Alberta y Columbia Británica requieren que las organizaciones garanticen una protección comparable para los datos transferidos. Nuestras salvaguardas contractuales y técnicas satisfacen este requisito.
4.3.3 Acceso del Gobierno de EE. UU. desde una Perspectiva Canadiense
Los mismos riesgos de acceso gubernamental de EE. UU. evaluados en la Sección 4.1 se aplican a las transferencias de datos canadienses. La baja probabilidad de acceso gubernamental (dada la naturaleza de los datos y el perfil de nuestra empresa), combinada con las medidas complementarias de la Sección 6, garantiza que los datos personales transferidos de Canadá a los Estados Unidos reciban un nivel comparable de protección al requerido bajo la ley de privacidad canadiense.
4.4 Ubicaciones Edge Globales (Cloudflare)
Cloudflare opera una red global de ubicaciones edge. Las solicitudes de visitantes de la UE se procesan típicamente en el punto de presencia de Cloudflare más cercano, que para los visitantes de la UE suele ser una ubicación de la UE.
- El enrutamiento de solicitudes, la terminación TLS y la protección contra bots se producen en la ubicación edge más cercana.
- Para los operadores de sitios web identificados como residentes en la UE, el almacenamiento persistente (que contiene envíos de formularios, conversaciones de chatbot y datos de sesión) está restringido jurisdiccionalmente a la Unión Europea utilizando la API de jurisdicción de Cloudflare. Para los operadores de sitios web fuera de la UE, el almacenamiento persistente se encuentra cerca de la región geográfica del operador, pero puede estar ubicado fuera de la UE.
- Los datos de análisis se procesan en infraestructura gestionada por Cloudflare.
5. EVALUACIÓN DE LOS FLUJOS DE DATOS POR PROVEEDOR DE SERVICIOS
5.1 Amazon Web Services (EE. UU.)
| Flujo de Datos | Datos Personales Involucrados | Propósito |
|---|---|---|
| Almacenamiento de base de datos | Metadatos de envío de formularios (IP, país, región), registros de conversaciones de chatbot, metadatos de archivos, registros de sesión | Almacenamiento persistente de datos de visitantes del sitio web |
| Almacenamiento de archivos | Archivos cargados (imágenes, documentos), instantáneas de despliegue | Almacenamiento de archivos |
| Inferencia de IA | Contenido de archivos (para descripciones de IA), contenido de correo electrónico (para detección de spam) | Descripciones impulsadas por IA y clasificación de spam |
| Moderación de contenido | Imágenes cargadas | Moderación de contenido (detección de desnudez/contenido explícito) |
| Entrega de correo electrónico | Direcciones de correo electrónico, contenido de los mensajes | Entrega de correo electrónico transaccional y notificaciones de envío de contenido. Para los operadores de sitios web residentes en la UE, estas operaciones se procesan en la Unión Europea (Estocolmo). |
| Detección de idioma | Texto de mensajes de correo electrónico | Detección de idioma |
Salvaguardas de AWS:
- Certificado ISO 27001, 27017, 27018
- Informes SOC 1/2/3 disponibles
- Datos cifrados en reposo usando cifrado estándar de la industria
- Datos cifrados en tránsito (TLS)
- Controles de acceso de mínimos privilegios por componente del sistema
- Servicios principales alojados en Estados Unidos; las operaciones automatizadas orientadas a visitantes (notificaciones de envío de contenido y entrega de correo electrónico transaccional) para operadores de sitios web residentes en la UE se procesan en la Unión Europea (Estocolmo)
5.2 Cloudflare (Global)
| Flujo de Datos | Datos Personales Involucrados | Propósito |
|---|---|---|
| Enrutamiento edge | Direcciones IP, encabezados HTTP, URLs de solicitudes | Enrutamiento de solicitudes, protección DDoS, terminación TLS |
| Alojamiento de sitios web | Contenido de páginas, metadatos de visitantes | Alojamiento y entrega de sitios web |
| Almacenamiento persistente | Envíos de formularios, conversaciones de chatbot, datos de sesión, datos de tabla de usuarios | Almacenamiento por sitio web con estado |
| Análisis | Hash de visitante pseudoanonimizado, país, dispositivo, navegador, referencia, UTM | Análisis de visitantes respetuoso con la privacidad |
| Inferencia de IA | Mensajes de chatbot, resúmenes de campos de formulario | Respuestas de chatbot de IA, detección de spam |
| Almacenamiento de activos | Activos del sitio web (imágenes, archivos) | Almacenamiento de activos estáticos y entrega CDN |
Salvaguardas de Cloudflare:
- Certificado ISO 27001, SOC 2 Tipo II
- TLS 1.2+ para todas las conexiones
- DPA de Cloudflare con CCT disponible
- El procesamiento en edge significa que los datos de visitantes de la UE se procesan típicamente en ubicaciones edge de la UE para el manejo de solicitudes
- Para los operadores de sitios web identificados como residentes de la UE, el almacenamiento persistente (que contiene envíos de formularios, conversaciones del chatbot, datos de sesión y datos de tablas de usuario) está jurisdiccionalmente restringido a la Unión Europea mediante la API de jurisdicción de Cloudflare, lo que garantiza que estos datos se almacenan y procesan exclusivamente en centros de datos de la UE. Las llamadas de API del backend desde el borde (para notificaciones de envío de contenido y entrega de correo electrónico transaccional) se dirigen a la infraestructura de AWS ubicada en la UE.
- La inferencia de IA no retiene datos de entrada para entrenamiento
5.3 Stripe (EE. UU.)
| Flujo de Datos | Datos Personales Involucrados | Propósito |
|---|---|---|
| Procesamiento de pagos | Datos de facturación del operador del sitio web (nombre, correo electrónico, método de pago) | Procesamiento de pagos de suscripción y dominio |
Nota: Stripe no recibe datos personales de visitantes del sitio web. Solo se procesa la información de facturación del operador del sitio web (nuestro cliente) por parte de Stripe.
Salvaguardas de Stripe:
- Certificado PCI DSS Nivel 1
- Certificado ISO 27001
- DPA de Stripe con CCT disponible
5.4 Proveedores de Inferencia de IA (EE. UU.)
Fireworks AI y xAI proporcionan servicios de inferencia de modelos de IA.
| Flujo de Datos | Datos Personales Involucrados | Propósito |
|---|---|---|
| Generación de texto (contenido del sitio web) | Contenido del sitio web (no datos de visitantes) | Creación y edición de contenido del sitio web |
| Generación de imágenes | Indicaciones de texto (no datos de visitantes) | Creación de imágenes para sitios web |
| IA conversacional (agente de chat) | Nombre de usuario de la plataforma, correo electrónico, preferencia de idioma e historial de conversación | Asistente de IA para usuarios de la plataforma (operadores de sitios web) |
Nota: Estos proveedores de IA no reciben datos personales de visitantes del sitio web. La función de chatbot (que sirve a los visitantes del sitio web) utiliza Cloudflare Workers AI (evaluado en la Sección 5.2), no estos proveedores. Sin embargo, el asistente de IA conversacional de la plataforma —utilizado por los operadores del sitio web para gestionar sus sitios— envía datos personales de usuarios de la plataforma (nombre, dirección de correo electrónico e historial de conversación) a estos proveedores como parte de la generación de respuestas. Para este procesamiento, Acira AI actúa como responsable (no encargado), y los interesados son nuestros usuarios de la plataforma (operadores de sitios web), no los visitantes de sus sitios web. Este flujo de datos se rige por nuestra Política de Privacidad y nuestros acuerdos con estos proveedores, en lugar del marco de responsable-encargado del DPA para datos de visitantes.
Familias de Modelos: Estos proveedores de infraestructura alojan y ejecutan modelos de IA desarrollados por varios terceros. Los modelos específicos y las familias de modelos utilizados pueden cambiar con el tiempo. Los desarrolladores de modelos no reciben ni tienen acceso a ningún dato de usuario; todo el procesamiento de datos ocurre exclusivamente dentro de la infraestructura de los subencargados enumerados, independientemente de dónde se desarrolló originalmente un modelo. Todo el procesamiento de inferencia de IA permanece en la infraestructura de nuestros subencargados enumerados. Ningún dato de usuario se transmite a los desarrolladores de modelos ni a infraestructura fuera de los subencargados enumerados en esta evaluación. Una lista actualizada de las familias de modelos en uso está disponible a petición contactando a legal@acira.ai.
5.5 BrightData (Israel / Global)
| Flujo de Datos | Datos Personales Involucrados | Propósito |
|---|---|---|
| Recopilación de datos web | Contenido web disponible públicamente (no datos de visitantes) | Importación de contenido durante la creación del sitio web (dirigido por el usuario) |
| Seguimiento de SERP | Palabras clave de búsqueda (no datos de visitantes) | Monitoreo de clasificación de palabras clave |
Nota: BrightData no procesa datos personales de visitantes del sitio web. Procesa contenido web disponible públicamente cuando el usuario lo indica y rastrea clasificaciones de motores de búsqueda para palabras clave definidas por el usuario.
5.6 Proveedores con Sede en la UE (Sin Transferencia)
| Proveedor | Ubicación | Propósito |
|---|---|---|
| Black Forest Labs | Alemania (UE) | Generación de imágenes de IA (modelos Flux) |
| ScreenshotOne | Unión Europea | Captura de capturas de pantalla de sitios web |
| CloudConvert | Alemania (UE) | Conversión de formato de archivos |
Estos proveedores procesan datos dentro de la UE y no constituyen una transferencia internacional. Black Forest Labs solo recibe indicaciones de texto para la generación de imágenes; no se involucran datos personales.
6. MEDIDAS COMPLEMENTARIAS
Además de las CCT, implementamos las siguientes medidas complementarias para garantizar un nivel de protección esencialmente equivalente para los datos personales transferidos:
6.1 Medidas Técnicas
| Medida | Descripción |
|---|---|
| Cifrado en tránsito | Todos los datos transmitidos entre visitantes, la red edge y los servicios backend están cifrados con TLS (mínimo TLS 1.2). La comunicación interna de servicio a servicio utiliza canales cifrados. |
| Cifrado en reposo | Todos los registros de la base de datos, el almacenamiento de archivos y el almacenamiento persistente alojado en el edge están cifrados en reposo usando cifrado estándar de la industria gestionado por el proveedor de infraestructura respectivo. |
| Pseudoanonimización | Los análisis de visitantes utilizan un hash criptográfico de rotación diaria (IP + User-Agent + fecha) en lugar de almacenar direcciones IP en bruto. Este hash no puede revertirse y rota cada 24 horas, evitando el seguimiento entre días. |
| Minimización de datos | Los análisis solo recopilan metadatos a nivel agregado (país, tipo de dispositivo, navegador). No se almacenan direcciones IP en bruto en los análisis. Los mensajes de chatbot están limitados a 2.000 caracteres. |
| Hashing de contraseñas | Todas las contraseñas de visitantes (para áreas protegidas del sitio web) se someten a hash utilizando algoritmos criptográficos sólidos con salts aleatorias por usuario antes del almacenamiento. Las contraseñas en texto plano nunca se almacenan ni se transmiten. |
| Controles de acceso | Las políticas de acceso de mínimos privilegios restringen cada componente del sistema solo a los recursos que necesita. Los tokens de API por sitio web limitan el acceso a sitios web individuales. |
| Aislamiento de red | Los servicios backend se comunican a través de redes internas. El alojamiento de sitios web se ejecuta en sandboxes de ejecución aislados. La ejecución de código personalizado utiliza sandboxing basado en WebAssembly. |
| Residencia jurisdiccional de datos | Para los operadores de sitios web identificados como residentes de la UE, el almacenamiento persistente que contiene datos de visitantes (envíos de formularios, conversaciones del chatbot, datos de sesión y datos de tablas de usuario) está jurisdiccionalmente restringido a la Unión Europea, lo que garantiza que estos datos se almacenan y procesan exclusivamente en centros de datos de la UE. Las operaciones automatizadas orientadas a visitantes (notificaciones de envío de contenido y entrega de correo electrónico transaccional) también se procesan dentro de la infraestructura ubicada en la UE. |
| Eliminación automatizada | Los datos de sesión expiran tras 30 días de inactividad. Los archivos temporales se eliminan en un plazo de 24 horas. Los datos de desafíos de bots son efímeros y no se conservan. |
6.2 Medidas Organizativas
| Medida | Descripción |
|---|---|
| Confidencialidad del personal | Todo el personal con acceso a datos personales está sujeto a obligaciones de confidencialidad. |
| Diligencia debida con subencargados | Los subencargados se evalúan por sus prácticas de seguridad y cumplimiento de protección de datos antes de su contratación. Se han establecido DPA escritos con todos los subencargados. |
| Respuesta a incidentes | Los procedimientos de notificación de brechas garantizan que los Responsables del Tratamiento sean notificados en un plazo de 72 horas tras confirmar una brecha de datos personales. |
| Políticas de retención de datos | Períodos de retención documentados con aplicación automatizada (eliminación basada en TTL, políticas de ciclo de vida). |
| Monitoreo de seguridad | Registro estructurado, monitoreo de seguridad automatizado y detección de intrusiones. Los registros de errores y diagnósticos se conservan hasta 30 días. |
6.3 Medidas Contractuales
| Medida | Descripción |
|---|---|
| Cláusulas Contractuales Tipo | Las CCT (Módulo Uno, Módulo Dos y Módulo Tres) están incorporadas en nuestro DPA por referencia. |
| CCT para subencargados | Los acuerdos escritos con cada subencargado imponen obligaciones de protección de datos no menos protectoras que las de nuestro DPA. |
| Notificación de acceso gubernamental | Nos comprometemos a notificar a los Responsables del Tratamiento sobre las solicitudes de acceso gubernamental donde sea legalmente permitido, como se describe en nuestros Términos y Condiciones. |
| Compromiso de impugnación | Nos comprometemos a impugnar las solicitudes de acceso gubernamental que consideremos excesivamente amplias o ilegales. |
7. EVALUACIÓN DE RIESGOS
7.1 Probabilidad de Acceso Gubernamental
| Factor | Evaluación |
|---|---|
| Naturaleza de los datos | Principalmente análisis pseudoanonimizados, envíos de formularios y mensajes de chatbot de sitios web de pequeñas empresas. Estos datos tienen un bajo valor de inteligencia. |
| Volumen de datos | Bajo a moderado. Cada sitio web sirve a su propia base de visitantes; los datos no se agregan entre sitios web para fines de vigilancia. |
| Perfil de la empresa | Acira AI es una pequeña empresa SaaS que aloja sitios web de pequeñas empresas. No somos un proveedor de telecomunicaciones ni un objetivo de vigilancia de alto perfil. |
| Solicitudes históricas | A la fecha de esta evaluación, Acira AI nunca ha recibido una directiva de la Sección 702 de FISA, una Carta de Seguridad Nacional ni ninguna solicitud gubernamental de acceso masivo a datos de clientes. |
| Perfil de subencargados | AWS y Cloudflare son grandes proveedores de infraestructura que publican informes de transparencia. Sus informes de transparencia indican que las solicitudes gubernamentales se dirigen a cuentas específicas, no al acceso masivo al contenido alojado. |
Probabilidad general: BAJA
7.2 Impacto si se Produce el Acceso
| Factor | Evaluación |
|---|---|
| Sensibilidad de los datos | La mayoría de los datos transferidos son de baja sensibilidad (análisis pseudoanonimizados, metadatos de visitantes del sitio web). Los envíos de formularios pueden contener datos de sensibilidad media (nombres, direcciones de correo electrónico, mensajes) dependiendo del sitio web. |
| Eficacia de la pseudoanonimización | Los datos analíticos no pueden vincularse a individuos sin acceso a los componentes del hash de rotación diaria (IP + User-Agent + fecha), que no se almacenan. |
| Alcance de la exposición | Cualquier acceso gubernamental estaría limitado a cuentas o sitios web específicos, no a toda la plataforma. El aislamiento de datos por sitio web mediante instancias de almacenamiento dedicadas limita el alcance de cualquier compromiso potencial. Para los operadores de sitios web residentes en la UE, el almacenamiento persistente y el procesamiento automatizado orientado a visitantes (notificaciones de envío de contenido y entrega de correo electrónico transaccional) están restringidos a la UE, lo que limita aún más la exposición al acceso del gobierno de EE. UU. para estos datos. |
Impacto general: BAJO a MEDIO (dependiendo de la sensibilidad de los datos recopilados por los operadores individuales de sitios web)
7.3 Evaluación del riesgo residual
Considerando la baja probabilidad de acceso gubernamental, las medidas técnicas complementarias (cifrado, pseudoanonimización, minimización de datos) y las salvaguardas adicionales introducidas por la OE 14086, evaluamos que el riesgo residual para los interesados es bajo y que las medidas complementarias, junto con las CCT (para transferencias del EEE/Reino Unido/Suiza) y las protecciones contractuales (para transferencias canadienses), proporcionan un nivel de protección esencialmente equivalente al garantizado dentro del EEE y comparable al requerido bajo la ley de privacidad canadiense.
8. CONCLUSIÓN
Basándonos en esta evaluación, concluimos que:
Los datos personales transferidos desde el EEE/Reino Unido/Suiza/Canadá a los Estados Unidos en relación con la prestación de nuestros Servicios se benefician de un nivel de protección esencialmente equivalente al garantizado bajo la ley de protección de datos de la UE y un nivel de protección comparable al requerido bajo la ley de privacidad canadiense.
Las Cláusulas Contractuales Tipo, combinadas con las medidas técnicas, organizativas y contractuales complementarias descritas en la Sección 6, abordan adecuadamente los riesgos identificados en esta evaluación.
La naturaleza de los datos (principalmente análisis pseudoanonimizados e interacciones de visitantes de sitios web de pequeñas empresas) y el perfil del importador de datos (una pequeña empresa SaaS, no un proveedor de telecomunicaciones) reducen significativamente el riesgo práctico de vigilancia gubernamental.
Las protecciones introducidas por la Orden Ejecutiva 14086 y el mecanismo de recurso asociado proporcionan salvaguardas adicionales que benefician a todos los interesados, independientemente del mecanismo de transferencia específico utilizado.
Para las transferencias canadienses, las protecciones contractuales y las medidas complementarias descritas aquí garantizan un nivel comparable de protección al requerido bajo PIPEDA y la legislación provincial de privacidad aplicable, incluida la ley de privacidad modernizada de Quebec.
Continuaremos monitoreando los desarrollos en la legislación y práctica de vigilancia de EE. UU., así como los desarrollos en la ley de privacidad canadiense (incluida la propuesta Ley de Protección de la Privacidad del Consumidor), y reevaluaremos esta EIT si las circunstancias cambian materialmente.
Las transferencias pueden proceder sujeto a la aplicación continuada de las CCT y las medidas complementarias descritas aquí.
9. CALENDARIO DE REVISIÓN
Esta EIT será revisada y actualizada:
- Anualmente, como mínimo, o
- Ante cambios materiales en las leyes o reglamentos aplicables (incluidos cambios en FISA, la Ley CLOUD, la OE 14086, PIPEDA o la legislación provincial de privacidad canadiense),
- Ante cambios en nuestros subencargados o en la naturaleza de los datos transferidos,
- Ante cualquier resolución judicial que afecte materialmente a la validez de las CCT o a la adecuación de la protección de datos de EE. UU.
10. CONTACTO
Si tiene preguntas sobre esta Evaluación de Impacto de Transferencias, póngase en contacto con nosotros en:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
Teléfono: 888-389-1189
Correo electrónico: legal@acira.ai
Tu privacidad, nuestra prioridad
No vendemos tus datos, no usamos cookies de seguimiento — por eso no verás un banner de cookies aquí. Respetamos el Global Privacy Control, y para los clientes de la UE, los datos de los visitantes se almacenan y procesan exclusivamente dentro de la Unión Europea.
Acira AI
Crea sitios web hermosos con IA. Sin necesidad de programar.
Construido con orgullo en los Estados Unidos
© 2026 Acira AI LLC. Todos los derechos reservados.