Acira AI Logo
PrezziFunzionalitàChi siamoConfronta
Accedi

Addendum sul trattamento dei dati

ADDENDUM SUL TRATTAMENTO DEI DATI

Ultimo aggiornamento: 19 marzo 2026

Il presente Addendum sul Trattamento dei Dati ("DPA") costituisce parte integrante dei Termini e Condizioni ("Accordo") tra Acira AI LLC ("Responsabile del Trattamento", "noi", "ci") e l'utente dei Servizi ("Titolare del Trattamento", "voi") e integra l'Accordo con riguardo al trattamento dei dati personali.

Il presente DPA si applica quando si utilizzano i Servizi per creare, ospitare e pubblicare siti web che raccolgono o trattano dati personali di persone situate nello Spazio Economico Europeo ("SEE"), nel Regno Unito ("UK") o in Svizzera, o ove altrimenti richiesto dalle leggi applicabili in materia di protezione dei dati.

Il presente Addendum sul trattamento dei dati può essere tradotto in altre lingue per comodità dell'utente. In caso di conflitto o incoerenza tra la versione inglese e qualsiasi versione tradotta, prevarrà la versione inglese.

INDICE

  1. DEFINIZIONI
  2. AMBITO E RUOLI
  3. DETTAGLI DEL TRATTAMENTO DEI DATI
  4. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
  5. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO
  6. SUB-RESPONSABILI DEL TRATTAMENTO
  7. TRASFERIMENTI INTERNAZIONALI DI DATI
  8. DIRITTI DEGLI INTERESSATI
  9. SICUREZZA DEI DATI
  10. NOTIFICA DI VIOLAZIONE DEI DATI
  11. AUDIT E VERIFICA DELLA CONFORMITÀ
  12. CONSERVAZIONE E CANCELLAZIONE DEI DATI
  13. DURATA E RISOLUZIONE
  14. LIMITAZIONE DI RESPONSABILITÀ
  15. CONTATTACI

1. DEFINIZIONI

"Normativa Applicabile in Materia di Protezione dei Dati" indica tutte le leggi e i regolamenti applicabili al trattamento dei dati personali ai sensi del presente DPA, inclusi (ove applicabile) il Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 ("GDPR"), l'UK GDPR, la Legge Federale Svizzera sulla Protezione dei Dati ("FADP") e il California Consumer Privacy Act ("CCPA").

"Titolare del Trattamento" indica la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali — nel presente contesto, l'utente dei Servizi che gestisce un sito web tramite la piattaforma.

"Interessato" indica una persona fisica identificata o identificabile i cui dati personali vengono trattati.

"Dati Personali" indica qualsiasi informazione relativa a un Interessato che viene trattata tramite i Servizi.

"Trattamento" indica qualsiasi operazione eseguita sui dati personali, inclusa la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, il recupero, la consultazione, l'utilizzo, la comunicazione, la diffusione, la limitazione, la cancellazione o la distruzione.

"Responsabile del Trattamento" indica la persona fisica o giuridica che tratta i dati personali per conto del Titolare del Trattamento — nel presente contesto, Acira AI LLC.

"Sub-responsabile del Trattamento" indica qualsiasi terza parte incaricata dal Responsabile del Trattamento di trattare i dati personali per conto del Titolare del Trattamento.

"Clausole Contrattuali Standard" o "SCC" indica le clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi, adottate dalla Commissione Europea.

2. AMBITO E RUOLI

2.1 Rapporto di Trattamento

Quando si utilizzano i Servizi per creare e gestire un sito web che raccoglie dati personali dai visitatori del sito (tramite moduli, account utente, interazioni con chatbot, commenti, recensioni o altre funzionalità interattive), si agisce in qualità di Titolare del Trattamento e noi agiamo in qualità di Responsabile del Trattamento di tali dati personali dei visitatori.

2.2 Il Nostro Ruolo come Titolare del Trattamento

Agiamo come Titolare del trattamento indipendente per i dati personali che raccogliamo per i nostri scopi, tra cui: le informazioni del vostro account, i dati di fatturazione, le analisi di utilizzo, le caratteristiche generali del sito web derivate dal contenuto del vostro sito web (come il settore o il tipo di attività), e i dati operativi della piattaforma. Il trattamento di tali dati è disciplinato dalla nostra Informativa sulla Privacy e non rientra nell'ambito di applicazione del presente DPA.

2.3 Analisi della Piattaforma

Raccogliamo analisi di base e rispettose della privacy sui visitatori del sito web (come descritto nell'Accordo). Per i dati analitici, agiamo come contitolari del trattamento con voi. Abbiamo progettato le nostre analisi per ridurre al minimo la raccolta di dati personali — non archiviamo indirizzi IP grezzi e gli identificatori dei visitatori vengono rinnovati quotidianamente. Le rispettive responsabilità di ciascun contitolare del trattamento sono le seguenti:

  • Acira AI (Responsabile del Trattamento/Contitolare del Trattamento): Determina i mezzi tecnici di raccolta delle analisi, inclusi i dati raccolti, il modo in cui vengono calcolati gli identificatori dei visitatori (hash a rotazione giornaliera) e come i dati vengono aggregati. Siamo responsabili della sicurezza e dell'integrità dell'infrastruttura di analisi e per rispondere alle richieste generali sul funzionamento delle analisi sulla piattaforma.
  • Voi (Titolare del Trattamento/Contitolare del Trattamento): Determinate se utilizzare le analisi sul vostro sito web (le analisi sono abilitate per impostazione predefinita come parte dei Servizi). Siete responsabili di divulgare la raccolta dei dati analitici nell'informativa sulla privacy del vostro sito web e di rispondere alle richieste degli Interessati dei visitatori del vostro sito web riguardanti i loro dati analitici.
  • Punto di contatto per gli Interessati: Gli Interessati possono contattare voi (il proprietario del sito web) riguardo ai dati analitici raccolti sul vostro sito web. Se riceviamo una richiesta da un Interessato riguardante dati analitici, la indirizzeremo a voi a meno che non ci abbiate fornito istruzioni diverse. Per richieste generali sulla piattaforma, gli Interessati possono contattarci all'indirizzo legal@acira.ai.

2.4 Essenza dell'Accordo di Contitolarità del Trattamento

In conformità all'articolo 26, paragrafo 2, del GDPR, l'essenza del presente accordo di contitolarità del trattamento per i dati analitici è la seguente: Noi (Acira AI) determiniamo i mezzi tecnici e i dati raccolti; voi (l'operatore del sito web) determinate se le analisi vengono utilizzate sul vostro sito web. Siamo ciascuno responsabili dei rispettivi obblighi ai sensi della Normativa Applicabile in Materia di Protezione dei Dati. Voi siete il punto di contatto principale per i visitatori del vostro sito web riguardo ai dati analitici. Una sintesi di questo accordo è resa disponibile agli Interessati tramite il presente DPA e all'indirizzo https://www.acira.ai/dpa.

2.5 Designazione di Fornitore di Servizi ai sensi del CCPA

Nella misura in cui trattiamo informazioni personali soggette al California Consumer Privacy Act ("CCPA") per conto vostro, siamo il vostro "fornitore di servizi" come definito in Cal. Civ. Code § 1798.140(ag). Non provvederemo a:

  • Vendere o condividere (come tali termini sono definiti ai sensi del CCPA) qualsiasi informazione personale che ci fornite;
  • Conservare, utilizzare o divulgare informazioni personali per finalità diverse da quelle aziendali specificate nel presente DPA e nell'Accordo, o come altrimenti consentito dal CCPA;
  • Conservare, utilizzare o divulgare informazioni personali al di fuori del rapporto commerciale diretto tra voi e noi;
  • Combinare le informazioni personali ricevute da voi con le informazioni personali che riceviamo da o per conto di un'altra persona o che raccogliamo dalle nostre interazioni con i consumatori, salvo quanto consentito dal CCPA.

Potremmo derivare caratteristiche aziendali generali e non identificative (come la classificazione del settore) dal contenuto del vostro sito web allo scopo di fornire raccomandazioni di prodotti pertinenti, come descritto nella Sezione 2.2. Questo utilizzo limitato non costituisce vendita, condivisione o combinazione di informazioni personali ai sensi del CCPA.

Certifichiamo che comprendiamo e rispetteremo queste limitazioni.

2.6 Valutazione del Rappresentante ai sensi dello Swiss FADP

L'articolo 14 della Legge Federale Svizzera sulla Protezione dei Dati ("FADP") richiede a un titolare del trattamento privato non svizzero di designare un rappresentante in Svizzera solo quando tutte e quattro le seguenti condizioni cumulative sono soddisfatte: (1) il trattamento è connesso all'offerta di beni o servizi a, o al monitoraggio del comportamento di, persone in Svizzera; (2) il trattamento avviene su larga scala; (3) il trattamento avviene su base regolare; e (4) il trattamento pone un rischio elevato per i diritti della personalità o i diritti fondamentali degli interessati.

Abbiamo valutato le nostre attività di trattamento rispetto a queste condizioni e abbiamo determinato che, mentre le condizioni (1) e (3) sono soddisfatte, le restanti condizioni non lo sono per le seguenti ragioni:

  • Non su larga scala: Siamo una piccola piattaforma SaaS. Il volume di dati personali di residenti svizzeri trattati tramite i nostri Servizi è limitato e non costituisce un trattamento su larga scala ai sensi dell'articolo 14 FADP.
  • Non ad alto rischio: I dati personali che trattiamo per conto degli operatori di siti web consistono principalmente in identificatori analitici pseudonimizzati (hash a rotazione giornaliera), metadati di base dei visitatori (paese, tipo di dispositivo, browser), contenuto dei moduli e messaggi di chatbot. Non trattiamo categorie speciali di dati personali (articolo 5(c) FADP), né svolgiamo attività di profilazione ad alto rischio per gli interessati. Il Commissario Federale Svizzero per la Protezione dei Dati e delle Informazioni ("FDPIC") ha indicato che tale obbligo è principalmente rivolto alle grandi piattaforme internet e alle reti sociali che operano dall'estero, il che non descrive i nostri Servizi.

Sulla base di questa valutazione, abbiamo concluso che al momento non siamo tenuti a designare un rappresentante in Svizzera ai sensi dell'articolo 14 FADP. Riesamineremo periodicamente questa determinazione, anche in caso di cambiamenti sostanziali nella portata o nella natura delle nostre attività di trattamento che interessano i residenti svizzeri.

3. DETTAGLI DEL TRATTAMENTO DEI DATI

3.1 Oggetto e Durata

Il trattamento dei dati personali ai sensi del presente DPA viene eseguito allo scopo di fornire i Servizi come descritto nell'Accordo e continuerà per la durata dell'Accordo.

3.2 Natura e Finalità del Trattamento

Trattiamo i dati personali per:

  • Ospitare e fornire i contenuti del vostro sito web
  • Archiviare e gestire i dati inviati tramite i moduli e le funzionalità interattive del vostro sito web
  • Mantenere account utente e sessioni per le aree protette del vostro sito web
  • Consegnare comunicazioni e-mail per vostro conto
  • Inoltrare le e-mail ricevute agli indirizzi e-mail del vostro dominio personalizzato
  • Alimentare le conversazioni del chatbot AI con i visitatori del vostro sito web
  • Generare descrizioni e metadati basati sull'AI per i file caricati
  • Convertire i file caricati in formati ottimizzati per il web
  • Fornire analisi dei visitatori
  • Derivare caratteristiche generali del sito web (come il settore o il tipo di attività) per fornire raccomandazioni pertinenti della piattaforma
  • Rilevare e prevenire spam e abusi (incluse le sfide bot proof-of-work)
  • Eseguire la moderazione dei contenuti sui file caricati
  • Esaminare i contenuti del sito web durante la pubblicazione per la conformità alle politiche di contenuto della piattaforma
  • Gestire le preferenze di cancellazione dall'e-mail per i destinatari delle e-mail del tuo sito web
  • Facilitare le comunicazioni in tempo reale sul vostro sito web tramite connessioni WebSocket (i messaggi sono temporanei e non vengono salvati)
  • Mantenere registri di errori e diagnostica per l'affidabilità della piattaforma e la risoluzione dei problemi (possono includere indirizzi IP e metadati delle richieste; conservati fino a trenta (30) giorni)

3.3 Tipologie di Dati Personali

Le tipologie di dati personali trattati dipendono da ciò che raccogliete tramite il vostro sito web, che può includere:

  • Nomi e informazioni di contatto
  • Indirizzi e-mail
  • Messaggi e invii di moduli
  • File caricati inviati dai visitatori del sito web (come immagini e documenti)
  • Contenuto delle conversazioni del chatbot (messaggi dei visitatori e risposte AI)
  • Credenziali dell'account utente (conservate in forma hash)
  • Dati di sessione
  • Indirizzi IP (non archiviati nelle analisi — viene archiviato solo un hash a rotazione giornaliera; archiviati come metadati insieme agli invii di moduli e alle conversazioni del chatbot; temporaneamente utilizzati e sottoposti a hash per la verifica delle sfide bot; temporaneamente archiviati per la limitazione della frequenza fino a sette (7) giorni e automaticamente eliminati)
  • Informazioni su browser e dispositivo
  • Dati sulla posizione (livello di paese e regione, derivati dall'IP)
  • Registrazioni di cancellazione dall'e-mail (memorizzate come hash crittografici degli indirizzi e-mail dei destinatari; non memorizzate in forma grezza)
  • Risultati della classificazione dello spam (se un invio è stato determinato come spam)
  • Dati di registro degli errori e di diagnostica (indirizzi IP, percorsi delle richieste e dettagli degli errori; conservati fino a trenta (30) giorni e automaticamente eliminati)

3.4 Categorie di Interessati

  • I visitatori del vostro sito web
  • Gli utenti che creano account sul vostro sito web
  • Gli utenti che inviano moduli o interagiscono con i chatbot sul vostro sito web
  • Gli utenti che inviano commenti, recensioni o altri contributi sul vostro sito web

4. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

Provvederemo a:

  1. Trattare i dati personali solo sulla base delle vostre istruzioni documentate, salvo che ciò sia richiesto dalla legge applicabile (nel qual caso vi informeremo di tale requisito legale prima del trattamento, salvo che ciò sia vietato dalla legge);
  2. Garantire che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un appropriato obbligo legale di riservatezza;
  3. Implementare adeguate misure di sicurezza tecniche e organizzative come descritto nella Sezione 9;
  4. Rispettare le condizioni per l'ingaggio di sub-responsabili del trattamento come stabilito nella Sezione 6;
  5. Assistervi, tenendo conto della natura del trattamento, nel rispondere alle richieste degli Interessati che esercitano i propri diritti ai sensi della Normativa Applicabile in Materia di Protezione dei Dati;
  6. Assistervi nel garantire la conformità ai vostri obblighi ai sensi degli articoli 32-36 del GDPR (sicurezza, notifica delle violazioni, valutazioni d'impatto sulla protezione dei dati e consultazione preventiva), tenendo conto della natura del trattamento e delle informazioni a nostra disposizione. Laddove l'utilizzo dei Servizi da parte vostra comporti un trattamento ad alto rischio che potrebbe richiedere una Valutazione d'Impatto sulla Protezione dei Dati (DPIA), vi forniremo informazioni sulle nostre attività di trattamento, sulle misure tecniche e organizzative e sui sub-responsabili del trattamento a supporto della vostra valutazione;
  7. Assistervi nell'adempimento dei vostri obblighi ai sensi dell'articolo 22 del GDPR (processo decisionale individuale automatizzato) fornendo informazioni su qualsiasi trattamento automatizzato effettuato per vostro conto, inclusa la moderazione dei contenuti, il rilevamento dello spam e la protezione dai bot, e facilitando la revisione umana delle decisioni automatizzate su richiesta;
  8. Informarvi se, a nostro parere, un'istruzione da parte vostra viola la Normativa Applicabile in Materia di Protezione dei Dati;
  9. A vostra scelta, cancellare o restituire tutti i dati personali al termine della fornitura dei Servizi, e cancellare le copie esistenti salvo che la conservazione sia richiesta dalla legge applicabile;
  10. Mettervi a disposizione tutte le informazioni necessarie per dimostrare la conformità agli obblighi stabiliti nel presente DPA e contribuire alla verifica della conformità come descritto nella Sezione 11.

5. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO

Provvederete a:

  1. Garantire che la raccolta e il trattamento di dati personali tramite il vostro sito web siano conformi a tutta la Normativa Applicabile in Materia di Protezione dei Dati;
  2. Fornire adeguate informative sulla privacy ai visitatori del vostro sito web descrivendo le vostre pratiche di raccolta dei dati, inclusa la divulgazione delle analisi a livello di piattaforma, le interazioni del chatbot basate sull'AI, il rilevamento dello spam e la protezione dai bot;
  3. Ottenere tutti i consensi necessari o stabilire un'altra base giuridica per il trattamento dei dati personali tramite il vostro sito web;
  4. Garantire che le vostre istruzioni a noi riguardanti il trattamento dei dati personali siano conformi alla Normativa Applicabile in Materia di Protezione dei Dati;
  5. Essere responsabili dell'accuratezza, della qualità e della liceità dei dati personali forniti a noi tramite il vostro sito web.

Utilizzando i Servizi, ci istruite a svolgere le seguenti attività di trattamento per vostro conto come parte delle operazioni standard della piattaforma: moderazione dei contenuti dei file caricati, revisione della politica dei contenuti del contenuto del sito web pubblicato, rilevamento dello spam negli invii di moduli, protezione dai bot tramite sfide proof-of-work e interazioni del chatbot basate sull'AI con i visitatori del vostro sito web. Tali attività sono istruzioni documentate ai sensi dell'articolo 28, paragrafo 3, lettera a), del GDPR.

6. SUB-RESPONSABILI DEL TRATTAMENTO

6.1 Sub-responsabili del Trattamento Autorizzati

Fornite un'autorizzazione generale affinché possiamo avvalerci di sub-responsabili del trattamento per assistere nella fornitura dei Servizi. I nostri attuali sub-responsabili del trattamento sono elencati di seguito e all'indirizzo https://www.acira.ai/dpa.

6.2 Elenco Attuale dei Sub-responsabili del Trattamento

Sub-responsabile del Trattamento Finalità Ubicazione
Amazon Web Services (AWS) Infrastruttura cloud, calcolo, archiviazione, database, consegna email, registrazione dominio, moderazione contenuti, rilevamento lingua e inferenza AI (che può eseguire modelli sia di prima che di terza parte; tutta l'elaborazione rimane sull'infrastruttura AWS indipendentemente dall'origine del modello). Per gli operatori di siti web residenti nell'UE, le operazioni automatizzate rivolte ai visitatori (notifiche di invio contenuto e consegna email transazionale) sono elaborate nell'Unione Europea (Stoccolma). Stati Uniti e Unione Europea (Stoccolma)
Cloudflare Edge hosting, CDN, DNS, SSL, distribuzione di siti web, archiviazione persistente, analisi, protezione dai bot, rilevamento dello spam basato sull'AI e inferenza del chatbot AI (che esegue modelli di terze parti sull'infrastruttura Cloudflare; gli sviluppatori dei modelli non ricevono dati degli utenti). Per gli operatori di siti web residenti nell'UE, l'archiviazione persistente è limitata giurisdizionalmente all'Unione Europea. Globale (con archiviazione sotto giurisdizione UE per gli account UE)
Stripe Elaborazione dei pagamenti, gestione degli abbonamenti, fatturazione Stati Uniti
Fireworks AI Generazione di testo AI, AI conversazionale, creazione di contenuti Stati Uniti
xAI Generazione di immagini AI Stati Uniti
BrightData Raccolta di dati web pubblici (per assistere l'utente durante la creazione del sito web), monitoraggio delle parole chiave SERP (per i piani applicabili) Israele / Globale
Black Forest Labs Generazione di immagini AI Unione Europea (Germania)
ScreenshotOne Acquisizione di screenshot del sito web Unione Europea
CloudConvert Conversione di formati di file Unione Europea (Germania)

6.3 Modifiche ai Sub-responsabili del Trattamento

Vi notificheremo qualsiasi modifica prevista all'elenco dei sub-responsabili del trattamento per i Servizi attualmente in uso aggiornando l'elenco dei sub-responsabili del trattamento all'indirizzo https://www.acira.ai/dpa almeno quattordici (14) giorni prima che il nuovo sub-responsabile del trattamento inizi a trattare i dati personali. Quando introduciamo nuove funzionalità o servizi che coinvolgono ulteriori sub-responsabili del trattamento, tali sub-responsabili saranno comunicati al momento in cui la funzionalità o il servizio diventa disponibile; l'utilizzo della nuova funzionalità o del nuovo servizio costituisce accettazione dei sub-responsabili del trattamento comunicati. È vostra responsabilità esaminare periodicamente l'elenco dei sub-responsabili del trattamento per eventuali modifiche. Se avete un'obiezione ragionevole a un nuovo sub-responsabile del trattamento che elabora dati per i Servizi esistenti, potete notificarcelo per iscritto entro quattordici (14) giorni dalla pubblicazione della modifica. Lavoreremo con voi in buona fede per affrontare le vostre preoccupazioni. Se non riusciamo a risolvere l'obiezione in modo ragionevolmente soddisfacente, potete risolvere l'Accordo fornendo comunicazione scritta.

6.4 Obblighi dei Sub-responsabili del Trattamento

Stipuleremo accordi scritti con ciascun sub-responsabile del trattamento che impongono obblighi di protezione dei dati non meno protettivi di quelli stabiliti nel presente DPA. Rimaniamo responsabili degli atti e delle omissioni dei nostri sub-responsabili del trattamento nella stessa misura in cui saremmo responsabili se svolgessimo i servizi direttamente.

7. TRASFERIMENTI INTERNAZIONALI DI DATI

7.1 Meccanismi di Trasferimento

I Servizi sono ospitati principalmente negli Stati Uniti. I dati personali trattati tramite i Servizi possono essere trasferiti e trattati negli Stati Uniti e in altri paesi in cui operano i nostri sub-responsabili del trattamento. I fornitori di inferenza AI (Fireworks AI e xAI) trattano i dati negli Stati Uniti. BrightData può trattare i dati in Israele e in altre località a livello globale. Cloudflare tratta i dati in ubicazioni edge in tutto il mondo.

Residenza dei dati nell'UE: Per gli operatori di siti web identificati come residenti nell'UE, applichiamo le seguenti misure di residenza dei dati per minimizzare i trasferimenti di dati personali dei visitatori al di fuori dell'Unione Europea:

  • Archiviazione: I dati dei visitatori nell'archiviazione edge persistente — inclusi invii di moduli, conversazioni chatbot, dati di sessione e dati delle tabelle utenti — sono limitati all'Unione Europea. Questi dati sono archiviati esclusivamente nei data center dell'UE.
  • Elaborazione automatizzata rivolta ai visitatori: Le operazioni attivate automaticamente dall'attività dei visitatori — comprese le notifiche di invio contenuto e la consegna email transazionale — vengono elaborate all'interno dell'Unione Europea e non transitano attraverso l'infrastruttura statunitense.
  • Accesso alla gestione della piattaforma: Quando accedete ai dati dei visitatori del vostro sito web tramite la dashboard della piattaforma o l'interfaccia conversazionale (ad esempio, visualizzare gli invii dei moduli o gestire i record degli utenti), questi dati possono essere elaborati tramite la nostra infrastruttura negli Stati Uniti per soddisfare la vostra richiesta. Questi trasferimenti sono su richiesta, avviati da voi (il Titolare del trattamento), e protetti dai meccanismi di trasferimento e dalle misure supplementari descritte di seguito.
  • Altra elaborazione negli Stati Uniti: I dati analitici e i dati elaborati dalla nostra infrastruttura cloud negli Stati Uniti per la moderazione dei contenuti e l'inferenza AI possono ancora essere trasferiti negli Stati Uniti secondo i meccanismi di trasferimento indicati di seguito.

Per i trasferimenti di dati personali dal SEE, dall'UK o dalla Svizzera verso paesi non riconosciuti come garantenti un livello adeguato di protezione dei dati, facciamo affidamento su:

  1. Clausole Contrattuali Standard (SCC): Incorporiamo le Clausole Contrattuali Standard della Commissione Europea nel presente DPA per riferimento: Modulo Uno (da Titolare a Titolare del Trattamento) per i dati analitici laddove agiamo come contitolari del trattamento (vedi Sezione 2.3), e Modulo Due (da Titolare a Responsabile del Trattamento) per tutti gli altri dati personali trattati per vostro conto. Le SCC sono disponibili all'indirizzo https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
  2. Addendum al Trasferimento Internazionale di Dati UK: Per i trasferimenti dall'UK, si applica l'Addendum UK alle SCC dell'UE.
  3. Meccanismi di Trasferimento Dati Svizzeri: Per i trasferimenti dalla Svizzera, le SCC si applicano con le modifiche richieste dallo Swiss FADP.

7.2 Misure Supplementari

Implementiamo le seguenti misure supplementari per proteggere i dati personali trasferiti:

  • Cifratura dei dati in transito (TLS/SSL) e a riposo
  • Controlli di accesso e meccanismi di autenticazione
  • Valutazioni di sicurezza periodiche
  • Pratiche di minimizzazione dei dati (es. hash dei visitatori a rotazione giornaliera invece dell'archiviazione degli IP grezzi)
  • Residenza dei dati giurisdizionale per gli operatori di siti web residenti nell'UE (archiviazione persistente ed elaborazione automatizzata rivolta ai visitatori limitata all'UE)
  • Infrastruttura di calcolo ed email situata nell'UE per le operazioni automatizzate rivolte ai visitatori (notifiche di invio contenuto e consegna email transazionale elaborati nell'Unione Europea per gli operatori di siti web residenti nell'UE)

7.3 Valutazione d'Impatto del Trasferimento

Queste misure supplementari sono informate dalla nostra valutazione delle leggi e delle pratiche dei paesi di destinazione, tenendo conto della natura dei dati trasferiti, del meccanismo di trasferimento su cui si fa affidamento e delle misure di sicurezza tecniche e organizzative in atto. Abbiamo valutato che le misure supplementari descritte sopra, insieme agli impegni nelle SCC, forniscono un livello adeguato di protezione per i dati personali trasferiti. La nostra Valutazione d'Impatto del Trasferimento è disponibile all'indirizzo https://www.acira.ai/tia.

7.4 Trasferimenti di Dati Canadesi

Per i trasferimenti di dati personali dal Canada, facciamo affidamento sulle seguenti misure di sicurezza per garantire che i dati personali trasferiti al di fuori del Canada ricevano un livello comparabile di protezione come richiesto dal Personal Information Protection and Electronic Documents Act (PIPEDA) e dalla legislazione provinciale sulla privacy applicabile (inclusa la PIPA dell'Alberta, la PIPA della British Columbia e la Legge del Quebec sulla protezione delle informazioni personali nel settore privato):

  1. Protezioni contrattuali: Accordi scritti sul trattamento dei dati con ciascun sub-responsabile del trattamento che impongono obblighi di protezione dei dati personali a uno standard coerente con la legge sulla privacy canadese, inclusi i requisiti per adeguate misure di sicurezza, limitazioni all'uso, notifica delle violazioni e accesso degli interessati.
  2. Misure di sicurezza tecniche: Le stesse misure di cifratura, pseudonimizzazione, controllo degli accessi e minimizzazione dei dati descritte nella Sezione 7.2 si applicano ai trasferimenti di dati canadesi.
  3. Misure di sicurezza organizzative: Due diligence sui sub-responsabili del trattamento, obblighi di riservatezza per il personale e procedure di risposta agli incidenti documentate come descritto nel presente DPA.

Monitoriamo gli sviluppi nella legislazione sulla privacy canadese, incluso il proposto Consumer Privacy Protection Act (CPPA), e aggiorneremo i nostri meccanismi di trasferimento come richiesto.

8. DIRITTI DEGLI INTERESSATI

8.1 Assistenza con le Richieste

Vi assisteremo nel rispondere alle richieste degli Interessati che esercitano i loro diritti ai sensi della Normativa Applicabile in Materia di Protezione dei Dati, inclusi i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione.

8.2 Notifica

Se riceviamo una richiesta direttamente da un Interessato riguardante dati personali trattati per vostro conto, vi notificheremo prontamente e non risponderemo alla richiesta senza le vostre istruzioni, salvo che ciò sia richiesto dalla legge applicabile.

8.3 Strumenti della Piattaforma

Forniamo strumenti all'interno dei Servizi per aiutarvi ad adempiere alle richieste degli Interessati, tra cui:

  • Accesso e gestione dei dati archiviati nei database del vostro sito web
  • Cancellazione di record individuali dai database del vostro sito web
  • Su richiesta, possiamo fornire esportazioni di dati in formato ZIP per assistere con gli obblighi di portabilità dei dati

9. SICUREZZA DEI DATI

9.1 Misure di Sicurezza

Implementiamo e manteniamo adeguate misure tecniche e organizzative per proteggere i dati personali da trattamenti non autorizzati o illeciti e da perdita, distruzione o danno accidentale. Tali misure includono:

  • Cifratura: Dati cifrati in transito tramite TLS/SSL e a riposo utilizzando cifratura conforme agli standard del settore
  • Controllo degli Accessi: Controlli degli accessi basati sui ruoli, autenticazione a più fattori per l'amministrazione della piattaforma, policy di accesso con privilegi minimi
  • Sicurezza dell'Infrastruttura: Infrastruttura cloud gestita con patch di sicurezza automatizzate, protezione DDoS e Web Application Firewall (WAF)
  • Isolamento dei Dati: Isolamento dei dati per sito web tramite istanze di archiviazione dedicate
  • Monitoraggio: Monitoraggio della sicurezza automatizzato, rilevamento delle intrusioni e registrazione strutturata
  • Sicurezza delle Credenziali: Tutte le chiavi API e i segreti archiviati in servizi di gestione dei segreti dedicati; le password degli utenti vengono sottoposte a hash utilizzando algoritmi crittografici robusti con salt per utente
  • Protezione dai Bot: Sistemi di sfide proof-of-work per prevenire abusi automatizzati

9.2 Riservatezza

Garantiamo che tutto il personale autorizzato a trattare i dati personali sia vincolato da obblighi di riservatezza.

10. NOTIFICA DI VIOLAZIONE DEI DATI

10.1 Notifica al Titolare del Trattamento

Vi notificheremo senza ingiustificato ritardo dopo aver confermato una violazione dei dati personali che interessa i dati personali trattati per vostro conto. La notifica verrà inviata alle informazioni di contatto associate al vostro account.

10.2 Contenuto della Notifica

La nostra notifica di violazione includerà, nella misura in cui disponibile:

  1. Una descrizione della natura della violazione, incluse le categorie e il numero approssimativo di Interessati e record interessati;
  2. Il nome e i recapiti del nostro referente per la protezione dei dati;
  3. Una descrizione delle probabili conseguenze della violazione;
  4. Una descrizione delle misure adottate o proposte per affrontare la violazione e mitigarne gli effetti.

10.3 I Vostri Obblighi

Siete responsabili di notificare l'autorità di controllo competente e gli Interessati colpiti di una violazione dei dati personali come richiesto dalla Normativa Applicabile in Materia di Protezione dei Dati. Collaboreremo con voi e forniremo assistenza ragionevole per aiutarvi a rispettare i vostri obblighi di notifica delle violazioni.

11. AUDIT E VERIFICA DELLA CONFORMITÀ

11.1 Documentazione di conformità

Per dimostrare la nostra conformità al presente DPA, metteremo a vostra disposizione, su ragionevole richiesta scritta (fino a una volta all'anno), quanto segue:

  1. Rapporti di audit di terze parti pertinenti, certificazioni o sintesi di valutazioni di sicurezza;
  2. Una sintesi delle nostre attuali misure di sicurezza tecniche e organizzative;
  3. Informazioni sulle nostre attività di trattamento, sub-responsabili del trattamento e pratiche di protezione dei dati.

Laddove ci affidiamo a fornitori di infrastruttura di terze parti (come AWS e Cloudflare), le loro certificazioni di sicurezza e la documentazione di conformità sono disponibili attraverso i rispettivi programmi di fiducia e conformità.

11.2 Richieste aggiuntive

Se la documentazione fornita ai sensi della Sezione 11.1 non risponde ragionevolmente alle vostre preoccupazioni in materia di conformità, potete presentare domande scritte specifiche riguardanti le nostre pratiche di protezione dei dati, alle quali risponderemo entro un termine ragionevole.

12. CONSERVAZIONE E CANCELLAZIONE DEI DATI

12.1 Durante l'Accordo

Conserveremo i dati personali trattati per vostro conto per la durata dell'Accordo e in conformità alle vostre istruzioni tramite i Servizi. I periodi di conservazione specifici per i dati dei visitatori includono:

  • Conversazioni del chatbot sul vostro sito web: Conservate per trenta (30) giorni dall'ultima interazione in ogni conversazione. Le conversazioni vengono archiviate all'interno delle sessioni dei visitatori sull'infrastruttura edge del sito web e vengono automaticamente eliminate alla scadenza della sessione per inattività.
  • Invii di moduli e contenuti generati dagli utenti sul vostro sito web: Conservati per la durata del sito web associato, a meno che non li eliminiate prima tramite gli strumenti della piattaforma.
  • Dati di sessione per i visitatori del vostro sito web: Eliminati automaticamente dopo 30 giorni di inattività.
  • Contenuto eliminato dei visitatori (invii di moduli, commenti e altri contenuti generati dagli utenti sul vostro sito web): Quando eliminate il contenuto dei visitatori tramite gli strumenti della piattaforma, viene spostato in uno stato di eliminazione soft e conservato per un massimo di trenta (30) giorni per supportare il recupero. Dopo questo periodo, il contenuto eliminato in modo soft viene rimosso definitivamente. Potete eliminare definitivamente il contenuto immediatamente svuotandolo dalla coda di recupero.
  • Registrazioni di cancellazione dall'e-mail sul tuo sito web: Conservate per la durata del sito web associato, a meno che il destinatario non si ri-iscriva. Le registrazioni di cancellazione vengono eliminate quando il sito web viene distrutto.
  • Dati analitici: Conservati per la durata del sito web associato (soggetti ai limiti di conservazione basati sul piano; i dati analitici del piano gratuito vengono conservati per novanta (90) giorni).

12.2 Alla Risoluzione

Alla risoluzione dell'Accordo, o su vostra richiesta, cancelleremo i dati personali trattati per vostro conto in conformità alle pratiche di conservazione dei dati descritte nell'Accordo (incluso il periodo di tolleranza di sette (7) giorni per le eliminazioni di account e siti web). Trascorso il periodo di tolleranza, la cancellazione è definitiva e irreversibile.

12.3 Eccezioni

Possiamo conservare i dati personali nella misura richiesta dalla legge applicabile, o laddove i dati siano stati anonimizzati e non possano più essere collegati a un Interessato.

13. DURATA E RISOLUZIONE

Il presente DPA entra in vigore nella data in cui accettate l'Accordo e rimane in vigore finché trattiamo dati personali per vostro conto. Gli obblighi di riservatezza e protezione dei dati stabiliti nel presente DPA sopravvivono alla risoluzione dell'Accordo.

14. LIMITAZIONE DI RESPONSABILITÀ

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni di responsabilità stabilite nell'Accordo.

15. CONTATTACI

Per domande sul presente DPA o per esercitare i vostri diritti, contattateci all'indirizzo:

Acira AI LLC
Att.ne: Protezione dei Dati
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefono: 888-389-1189
E-mail: legal@acira.ai

La tua privacy, la nostra priorità

Non vendiamo i tuoi dati, non utilizziamo cookie di tracciamento — ecco perché non vedrai un banner dei cookie qui. Rispettiamo il Global Privacy Control e per i clienti dell'UE, i dati dei visitatori vengono archiviati ed elaborati esclusivamente all'interno dell'Unione Europea.

Scopri come proteggiamo i tuoi dati
GDPR Art 27 representationUK-GDPR Art 27 representationDSA representation
Acira AI

Costruisci siti web bellissimi con l'AI. Nessuna programmazione richiesta.

Orgogliosamente realizzato negli Stati Uniti

Azienda
PrezziFunzionalitàChi siamoConfrontaFiducia e Privacy
Legale
Informativa sulla privacyTermini e condizioniUso accettabileTrattamento datiImpatto del trasferimento
Trattamento datiImpatto del trasferimento

© 2026 Acira AI LLC. Tutti i diritti riservati.