Valutazione d'impatto del trasferimento

Questo documento è stato tradotto per la tua comodità. La versione in inglese è il documento giuridicamente vincolante. In caso di discrepanza, prevale la versione in inglese.

VALUTAZIONE D'IMPATTO DEL TRASFERIMENTO

Ultimo aggiornamento: 19 marzo 2026

Questa Valutazione d'impatto del trasferimento ("TIA") è stata preparata da Acira AI LLC ("Acira AI," "noi," "ci") in conformità con i requisiti della decisione della Corte di giustizia dell'Unione europea nella causa Data Protection Commissioner c. Facebook Ireland Limited e Maximillian Schrems (Causa C-311/18, "Schrems II") e le raccomandazioni del Comitato europeo per la protezione dei dati (Raccomandazioni EDPB 01/2020 sulle misure supplementari).

Questa TIA valuta l'adeguatezza delle protezioni per i dati personali trasferiti dallo Spazio economico europeo ("SEE"), dal Regno Unito ("UK"), dalla Svizzera e dal Canada negli Stati Uniti e in altri paesi terzi in relazione alla fornitura dei nostri Servizi.

Questa TIA può essere tradotta in altre lingue per vostra comodità. In caso di conflitto o incoerenza tra la versione inglese e qualsiasi versione tradotta, prevarrà la versione inglese.

INDICE

PANORAMICA DEI TRASFERIMENTI
NATURA DEI DATI TRASFERITI
MECCANISMI DI TRASFERIMENTO
VALUTAZIONE DELLE LEGGI DEI PAESI DI DESTINAZIONE
VALUTAZIONE DEI FLUSSI DI DATI PER FORNITORE DI SERVIZI
MISURE SUPPLEMENTARI
VALUTAZIONE DEL RISCHIO
CONCLUSIONE
CALENDARIO DI REVISIONE
CONTATTACI

1. PANORAMICA DEI TRASFERIMENTI

1.1 Contesto

Acira AI è una piattaforma software come servizio (SaaS) che consente ad aziende e privati di creare, gestire e ospitare siti web alimentati dall'IA. Quando gli utenti creano siti web a cui accedono visitatori situati nel SEE, nel Regno Unito, in Svizzera o in Canada, i dati personali di tali visitatori possono essere trasferiti e trattati negli Stati Uniti e in altri luoghi dove operano i nostri fornitori di infrastrutture.

1.2 Parti

Esportatore di dati: L'operatore del sito web (il nostro cliente, che agisce come Titolare) e, per i dati analitici, Acira AI come Contitolare.
Importatore di dati: Acira AI LLC, costituita in Nevada, Stati Uniti, che agisce come Responsabile del trattamento (e Contitolare per l'analisi).
Sub-responsabili del trattamento: Fornitori di servizi terzi incaricati da Acira AI (elencati nella Sezione 5).

1.3 Destinazioni del trasferimento

Destinazione	Fornitori	Base
Stati Uniti e Unione Europea (Stoccolma)	AWS	SCC + Misure supplementari (USA); Intra-SEE per operazioni automatizzate rivolte ai visitatori per residenti UE
Stati Uniti	Stripe, Fireworks AI, xAI	SCC + Misure supplementari
Globale (sedi edge)	Cloudflare	SCC + Misure supplementari
Israele	BrightData (solo su indicazione dell'utente)	SCC + Misure supplementari
Unione Europea	Black Forest Labs, ScreenshotOne, CloudConvert	Intra-SEE (nessun meccanismo di trasferimento richiesto)

2. NATURA DEI DATI TRASFERITI

2.1 Categorie di dati personali

I dati personali trasferiti dipendono dalle funzionalità abilitate dall'operatore del sito web e dalle interazioni dei visitatori del sito web. Le seguenti categorie possono essere trasferite:

Categoria di dati	Descrizione	Sensibilità	Volume
Identificatori analitici	Hash crittografico a rotazione giornaliera di IP + User-Agent + data (pseudonimizzato)	Bassa	Alta (ogni visualizzazione di pagina)
Metadati visitatori	Paese, regione, lingua, tipo di dispositivo, browser, OS, dominio referrer, parametri UTM	Bassa	Alta (ogni visualizzazione di pagina)
Indirizzi IP	Memorizzati come metadati con invii di moduli e conversazioni chatbot; sottoposti a hash per l'analisi; utilizzati temporaneamente per la verifica delle sfide bot; memorizzati temporaneamente per la limitazione della velocità (fino a 7 giorni)	Media	Media
Contenuto degli invii di moduli	Campi di testo libero inviati dai visitatori (nomi, email, messaggi, ecc.)	Variabile (dipende dal modulo)	Da bassa a media
Messaggi chatbot	Messaggi dei visitatori e risposte generate dall'IA (max. 2.000 caratteri per messaggio)	Da bassa a media	Bassa
Caricamenti di file	File caricati dai visitatori tramite moduli del sito web (immagini, documenti)	Variabile	Bassa
Identificatori di sessione	ID di sessione lato server e cookie di sessione lato client	Bassa	Alta
Credenziali di autenticazione	Password per le aree protette del sito web (memorizzate solo in forma sottoposta a hash)	Alta (ma sottoposta a hash)	Bassa

2.2 Categorie di interessati

Visitatori di siti web ospitati sulla piattaforma Acira AI
Utenti che creano account su siti web ospitati sulla piattaforma
Utenti che inviano moduli, interagiscono con chatbot o caricano file su siti web ospitati

2.3 Dati non trasferiti

Dati di geolocalizzazione: Le ricerche IP-to-location vengono eseguite al margine della rete dal nostro fornitore di infrastrutture. Nessun indirizzo IP dei visitatori viene trasmesso a servizi di geolocalizzazione esterni.
Indirizzi IP analitici grezzi: Viene memorizzato solo un hash crittografico a rotazione giornaliera; gli IP grezzi non vengono conservati nei sistemi analitici.
Password in chiaro: Vengono memorizzati e trasferiti solo gli hash crittografici.

3. MECCANISMI DI TRASFERIMENTO

3.1 Meccanismo principale: Clausole contrattuali standard

Ci affidiamo alle Clausole contrattuali standard (SCC) della Commissione europea adottate con la decisione di esecuzione della Commissione (UE) 2021/914, in particolare:

Modulo uno (da Titolare a Titolare): Per i trasferimenti di dati analitici dove Acira AI agisce come contitolare con l'operatore del sito web (vedi DPA Sezione 2.3).
Modulo due (da Titolare a Responsabile del trattamento): Per i trasferimenti di dati personali dei visitatori dall'operatore del sito web (Titolare) ad Acira AI (Responsabile del trattamento).
Modulo tre (da Responsabile del trattamento a Sub-responsabile del trattamento): Per i trasferimenti successivi da Acira AI ai nostri sub-responsabili del trattamento.

3.2 Trasferimenti dal Regno Unito, Svizzera e Canada

Regno Unito: Si applica l'Addendum al trasferimento internazionale di dati del Regno Unito alle SCC UE.
Svizzera: Le SCC si applicano con le modifiche richieste dalla Legge federale svizzera sulla protezione dei dati (FADP).
Canada: I trasferimenti si basano su protezioni contrattuali con ciascun sub-responsabile del trattamento che impone obblighi coerenti con la Legge sulla protezione delle informazioni personali e i documenti elettronici (PIPEDA) e la legislazione provinciale sulla privacy applicabile, combinati con le misure tecniche e organizzative supplementari descritte nella Sezione 6. Vedere DPA Sezione 7.4 per i dettagli.

3.3 Meccanismi di trasferimento dei sub-responsabili del trattamento

Sub-responsabile del trattamento	Meccanismo di trasferimento
Amazon Web Services	SCC (AWS DPA), certificato ISO 27001/27017/27018
Cloudflare	SCC (Cloudflare DPA), certificato ISO 27001
Stripe	SCC (Stripe DPA), certificato PCI DSS Level 1
Fireworks AI	SCC (Fireworks AI DPA), SOC 2 Type II, certificato ISO 27001/27701/42001
xAI	SCC (xAI DPA con SCC UE)
BrightData	SCC (BrightData DPA)

4. VALUTAZIONE DELLE LEGGI DEI PAESI DI DESTINAZIONE

4.1 Stati Uniti

Gli Stati Uniti sono la destinazione principale per i dati trasferiti. Le seguenti leggi statunitensi sono rilevanti per questa valutazione:

4.1.1 Foreign Intelligence Surveillance Act (FISA), Sezione 702

La Sezione 702 del FISA autorizza il governo degli Stati Uniti a costringere i fornitori di servizi di comunicazione elettronica a fornire accesso alle comunicazioni di persone non statunitensi situate al di fuori degli Stati Uniti per scopi di intelligence straniera.

Valutazione del rischio:

Applicabilità: La Sezione 702 del FISA si applica ai "fornitori di servizi di comunicazione elettronica" come definito nel 50 U.S.C. § 1881(b)(4). Acira AI è una piattaforma SaaS di hosting di siti web, non un fornitore di telecomunicazioni tradizionale. È più probabile che i nostri sub-responsabili del trattamento (AWS, Cloudflare) siano soggetti alle direttive della Sezione 702.
Portata dei dati a rischio: I dati personali che trattiamo consistono principalmente in analisi dei visitatori del sito web (pseudonimizzate), invii di moduli e messaggi chatbot. È improbabile che questi dati siano di interesse per l'intelligence straniera.
Probabilità pratica: Non abbiamo mai ricevuto una direttiva della Sezione 702 del FISA e valutiamo la probabilità pratica di riceverne una come molto bassa, data la natura dei nostri Servizi e i dati che trattiamo.

4.1.2 Ordine Esecutivo 12333

EO 12333 autorizza le agenzie di intelligence degli Stati Uniti a condurre attività di sorveglianza, inclusa la raccolta massiva di intelligence sui segnali. Si applica ai dati in transito e non costringe le aziende private a cooperare.

Valutazione del rischio:

Mitigazione: Tutti i dati in transito sono crittografati utilizzando TLS. L'intercettazione massiva di dati crittografati in transito non produrrebbe dati personali in chiaro.
Probabilità pratica: Bassa. I dati trattati attraverso i nostri Servizi non sono del tipo tipicamente preso di mira dall'intelligence sui segnali.

4.1.3 Ordine Esecutivo 14086 e il Quadro UE-USA per la protezione dei dati

L'Ordine Esecutivo 14086 (ottobre 2022) ha introdotto ulteriori salvaguardie per le attività di intelligence sui segnali, tra cui:

Requisiti di necessità e proporzionalità per la raccolta di intelligence
Un meccanismo di ricorso a due livelli (Responsabile per la protezione delle libertà civili + Tribunale per la revisione della protezione dei dati) disponibile per gli individui UE/UK/svizzeri
Limitazioni alla raccolta massiva

La Commissione europea ha adottato una decisione di adeguatezza per il Quadro UE-USA per la protezione dei dati (DPF) il 10 luglio 2023. Sebbene Acira AI non sia attualmente auto-certificata ai sensi del DPF, le protezioni ai sensi dell'EO 14086 si applicano ampiamente a tutti i trasferimenti di dati verso gli Stati Uniti e avvantaggiano tutti gli interessati indipendentemente dal meccanismo di trasferimento utilizzato.

4.1.4 Legge CLOUD

Il Clarifying Lawful Overseas Use of Data (CLOUD) Act consente alle forze dell'ordine statunitensi di costringere i fornitori con sede negli USA a produrre dati indipendentemente da dove sono memorizzati, previa un mandato o un'ordinanza del tribunale validi.

Valutazione del rischio:

Salvaguardie: La legge CLOUD richiede un processo legale valido (mandato, citazione in giudizio o ordinanza del tribunale). Non autorizza l'accesso massivo senza mandato.
Disposizioni di comity: La legge CLOUD include un quadro di comity che consente ai fornitori di contestare ordini in conflitto con la legge straniera.
Probabilità pratica: Bassa per i dati dei visitatori del sito web. Le richieste delle forze dell'ordine sarebbero più probabilmente indirizzate ad account specifici sospettati di attività criminale, non all'analisi dei visitatori o agli invii di moduli.

4.2 Israele (BrightData)

BrightData ha sede in Israele. Israele ha una decisione di adeguatezza della Commissione europea (2011/61/EU), il che significa che i trasferimenti verso Israele sono trattati in modo simile ai trasferimenti intra-SEE. Tuttavia, BrightData elabora anche dati in altre sedi globali. Notiamo che:

Il trattamento di BrightData avviene solo quando diretto dall'utente (durante la creazione del sito web per l'importazione di contenuti) o durante il monitoraggio SERP pianificato.
Nessun dato personale dei visitatori del sito web viene trasmesso a BrightData.

4.3 Canada (Trasferimenti dal Canada agli Stati Uniti)

I dati personali dei visitatori di siti web situati in Canada possono essere trasferiti agli Stati Uniti per l'elaborazione. Le seguenti leggi canadesi sono rilevanti per questa valutazione:

4.3.1 Legge sulla protezione delle informazioni personali e dei documenti elettronici (PIPEDA)

La PIPEDA disciplina la raccolta, l'uso e la divulgazione di informazioni personali da parte di organizzazioni del settore privato nel corso di attività commerciali. Il Principio 4.1.3 della PIPEDA richiede che le organizzazioni utilizzino mezzi contrattuali o altri per garantire un livello comparabile di protezione quando le informazioni personali vengono trasferite a terzi per l'elaborazione, inclusi i trasferimenti al di fuori del Canada.

Valutazione del rischio:

Protezione comparabile: Le misure supplementari descritte nella Sezione 6 (crittografia, pseudonimizzazione, controlli degli accessi, minimizzazione dei dati) forniscono un livello di protezione comparabile a quello richiesto dalla PIPEDA. Accordi scritti sul trattamento dei dati sono in vigore con tutti i sub-responsabili del trattamento.
Nessun requisito di adeguatezza: A differenza del GDPR, la PIPEDA non vieta i trasferimenti verso paesi privi di un'attestazione di "adeguatezza". Le organizzazioni devono garantire una protezione comparabile attraverso mezzi contrattuali e altri, che abbiamo implementato.

4.3.2 Legislazione provinciale sulla privacy

Il Personal Information Protection Act (PIPA) dell'Alberta, il Personal Information Protection Act (PIPA) della British Columbia e la Loi sur la protection des renseignements personnels dans le secteur privé del Quebec impongono requisiti aggiuntivi per determinate province:

Valutazione del rischio:

Legge 25 del Quebec: La legge sulla privacy modernizzata del Quebec (in vigore da settembre 2023) richiede una valutazione dell'impatto sulla privacy prima di trasferire informazioni personali al di fuori del Quebec, e l'organizzazione che effettua il trasferimento deve essere soddisfatta che le informazioni riceveranno una protezione adeguata. Le nostre protezioni contrattuali, le misure tecniche supplementari e la natura dei dati (principalmente analisi pseudonimizzate e interazioni di siti web di piccole imprese) supportano un'attestazione di protezione adeguata.
Alberta e BC: Le PIPA di Alberta e BC richiedono alle organizzazioni di garantire una protezione comparabile per i dati trasferiti. Le nostre salvaguardie contrattuali e tecniche soddisfano questo requisito.

4.3.3 Accesso del governo statunitense da una prospettiva canadese

Gli stessi rischi di accesso del governo statunitense valutati nella Sezione 4.1 si applicano ai trasferimenti di dati canadesi. La bassa probabilità di accesso da parte del governo (data la natura dei dati e il profilo della nostra azienda), combinata con le misure supplementari della Sezione 6, garantisce che i dati personali trasferiti dal Canada agli Stati Uniti ricevano un livello di protezione comparabile a quello richiesto dalla legge sulla privacy canadese.

4.4 Sedi edge globali (Cloudflare)

Cloudflare gestisce una rete globale di sedi edge. Le richieste dei visitatori UE vengono tipicamente elaborate nel punto di presenza Cloudflare più vicino, che per i visitatori UE sarà di solito una sede UE.

Il routing delle richieste, la terminazione TLS e la protezione bot avvengono nella sede edge più vicina.
Per gli operatori di siti web identificati come residenti nell'UE, l'archiviazione persistente (contenente invii di moduli, conversazioni chatbot e dati di sessione) è limitata giurisdizionalmente all'Unione Europea tramite l'API di giurisdizione di Cloudflare. Per gli operatori di siti web non UE, l'archiviazione persistente si trova vicino alla regione geografica dell'operatore, ma potrebbe essere al di fuori dell'UE.
I dati analitici vengono elaborati su infrastrutture gestite da Cloudflare.

5. VALUTAZIONE DEI FLUSSI DI DATI PER FORNITORE DI SERVIZI

5.1 Amazon Web Services (USA)

Flusso di dati	Dati personali coinvolti	Scopo
Archiviazione database	Metadati degli invii di moduli (IP, paese, regione), record delle conversazioni chatbot, metadati dei file, record di sessione	Archiviazione persistente dei dati dei visitatori del sito web
Archiviazione file	File caricati (immagini, documenti), snapshot di distribuzione	Archiviazione file
Inferenza IA	Contenuto dei file (per descrizioni IA), contenuto delle email (per rilevamento spam)	Descrizioni basate sull'IA e classificazione dello spam
Moderazione dei contenuti	Immagini caricate	Moderazione dei contenuti (rilevamento nudità/contenuti espliciti)
Consegna email	Indirizzi email, contenuto dei messaggi	Consegna email transazionale e notifiche di invio contenuto. Per gli operatori di siti web residenti nell'UE, queste operazioni sono elaborate nell'Unione Europea (Stoccolma).
Rilevamento lingua	Testo dei messaggi email	Rilevamento della lingua

Salvaguardie AWS:

Certificato ISO 27001, 27017, 27018
Report SOC 1/2/3 disponibili
Dati a riposo crittografati utilizzando la crittografia standard del settore
Dati in transito crittografati (TLS)
Controlli degli accessi con privilegio minimo per componente di sistema
Servizi principali ospitati negli Stati Uniti; le operazioni automatizzate rivolte ai visitatori (notifiche di invio contenuto e consegna email transazionale) per gli operatori di siti web residenti nell'UE sono elaborate nell'Unione Europea (Stoccolma)

5.2 Cloudflare (Globale)

Flusso di dati	Dati personali coinvolti	Scopo
Routing edge	Indirizzi IP, intestazioni HTTP, URL delle richieste	Routing delle richieste, protezione DDoS, terminazione TLS
Hosting web	Contenuto delle pagine, metadati dei visitatori	Hosting e distribuzione di siti web
Archiviazione persistente	Invii di moduli, conversazioni chatbot, dati di sessione, dati delle tabelle utente	Archiviazione con stato per sito web
Analisi	Hash visitatore pseudonimizzato, paese, dispositivo, browser, referrer, UTM	Analisi dei visitatori rispettosa della privacy
Inferenza IA	Messaggi chatbot, riepiloghi dei campi del modulo	Risposte chatbot IA, rilevamento spam
Archiviazione asset	Asset del sito web (immagini, file)	Archiviazione di asset statici e consegna CDN

Salvaguardie Cloudflare:

Certificato ISO 27001, SOC 2 Type II
TLS 1.2+ per tutte le connessioni
Cloudflare DPA con SCC disponibili
L'elaborazione edge significa che i dati dei visitatori UE vengono tipicamente elaborati nelle sedi edge UE per la gestione delle richieste
Per gli operatori di siti web identificati come residenti UE, l'archiviazione persistente (contenente invii di moduli, conversazioni chatbot, dati di sessione e dati delle tabelle utente) è giurisdizionalmente limitata all'Unione Europea tramite l'API di giurisdizione di Cloudflare, garantendo che questi dati siano archiviati ed elaborati esclusivamente nei data center dell'UE. Le chiamate API backend dall'edge (per notifiche di invio contenuto e consegna email transazionale) vengono instradate all'infrastruttura AWS situata nell'UE.
L'inferenza IA non conserva i dati di input per l'addestramento

5.3 Stripe (USA)

Flusso di dati	Dati personali coinvolti	Scopo
Elaborazione dei pagamenti	Dati di fatturazione dell'operatore del sito web (nome, email, metodo di pagamento)	Elaborazione dei pagamenti per abbonamento e dominio

Nota: Stripe non riceve dati personali dei visitatori del sito web. Solo le informazioni di fatturazione dell'operatore del sito web (del nostro cliente) vengono elaborate da Stripe.

Salvaguardie Stripe:

Certificato PCI DSS Level 1
Certificato ISO 27001
Stripe DPA con SCC disponibili

5.4 Fornitori di inferenza IA (USA)

Fireworks AI e xAI forniscono servizi di inferenza di modelli IA.

Flusso di dati	Dati personali coinvolti	Scopo
Generazione di testo (contenuto del sito web)	Contenuto del sito web (non dati dei visitatori)	Creazione e modifica di contenuti del sito web
Generazione di immagini	Prompt di testo (non dati dei visitatori)	Creazione di immagini per siti web
IA conversazionale (agente chat)	Nome dell'utente della piattaforma, email, preferenza linguistica e cronologia delle conversazioni	Assistente basato sull'IA per gli utenti della piattaforma (operatori di siti web)

Nota: Questi fornitori di IA non ricevono dati personali dei visitatori del sito web. La funzionalità chatbot (che serve i visitatori del sito web) utilizza Cloudflare Workers AI (valutato nella Sezione 5.2), non questi fornitori. Tuttavia, l'assistente IA conversazionale della piattaforma — utilizzato dagli operatori di siti web per gestire i loro siti web — invia dati personali degli utenti della piattaforma (nome, indirizzo email e cronologia delle conversazioni) a questi fornitori come parte della generazione delle risposte. Per questo trattamento, Acira AI agisce come titolare (non responsabile del trattamento), e gli interessati sono i nostri utenti della piattaforma (operatori di siti web), non i visitatori dei loro siti web. Questo flusso di dati è disciplinato dalla nostra Informativa sulla privacy e dai nostri accordi con questi fornitori, piuttosto che dal quadro titolare-responsabile del DPA per i dati dei visitatori.

Famiglie di modelli: Questi fornitori di infrastrutture ospitano ed eseguono modelli IA sviluppati da varie terze parti. I modelli e le famiglie di modelli specifici utilizzati possono cambiare nel tempo. Gli sviluppatori di modelli non ricevono né hanno accesso ai dati degli utenti — tutto il trattamento dei dati avviene esclusivamente all'interno dell'infrastruttura dei sub-responsabili del trattamento elencati, indipendentemente da dove il modello è stato originariamente sviluppato. Tutto il trattamento di inferenza IA rimane sull'infrastruttura dei nostri sub-responsabili del trattamento elencati. Nessun dato utente viene trasmesso agli sviluppatori di modelli o all'infrastruttura al di fuori dei sub-responsabili del trattamento elencati in questa valutazione. Un elenco aggiornato delle famiglie di modelli in uso è disponibile su richiesta contattando legal@acira.ai.

5.5 BrightData (Israele / Globale)

Flusso di dati	Dati personali coinvolti	Scopo
Raccolta di dati web	Contenuto web disponibile pubblicamente (non dati dei visitatori)	Importazione di contenuti durante la creazione del sito web (su indicazione dell'utente)
Monitoraggio SERP	Parole chiave di ricerca (non dati dei visitatori)	Monitoraggio del posizionamento delle parole chiave

Nota: BrightData non elabora dati personali dei visitatori del sito web. Elabora contenuti web disponibili pubblicamente quando diretto dall'utente e monitora i posizionamenti dei motori di ricerca per le parole chiave definite dall'utente.

5.6 Fornitori con sede nell'UE (nessun trasferimento)

Fornitore	Sede	Scopo
Black Forest Labs	Germania (UE)	Generazione di immagini IA (modelli Flux)
ScreenshotOne	Unione Europea	Acquisizione di screenshot del sito web
CloudConvert	Germania (UE)	Conversione del formato file

Questi fornitori trattano i dati all'interno dell'UE e non costituiscono un trasferimento internazionale. Black Forest Labs riceve solo prompt di testo per la generazione di immagini; non sono coinvolti dati personali.

6. MISURE SUPPLEMENTARI

Oltre alle SCC, implementiamo le seguenti misure supplementari per garantire un livello di protezione essenzialmente equivalente per i dati personali trasferiti:

6.1 Misure tecniche

Misura	Descrizione
Crittografia in transito	Tutti i dati trasmessi tra visitatori, rete edge e servizi backend sono crittografati utilizzando TLS (minimo TLS 1.2). La comunicazione interna tra servizi utilizza canali crittografati.
Crittografia a riposo	Tutti i record del database, l'archiviazione file e l'archiviazione persistente edge sono crittografati a riposo utilizzando la crittografia standard del settore gestita dal rispettivo fornitore di infrastrutture.
Pseudonimizzazione	Le analisi dei visitatori utilizzano un hash crittografico a rotazione giornaliera (IP + User-Agent + data) invece di memorizzare indirizzi IP grezzi. Questo hash non può essere invertito e ruota ogni 24 ore, impedendo il tracciamento multi-giorno.
Minimizzazione dei dati	Le analisi raccolgono solo metadati a livello aggregato (paese, tipo di dispositivo, browser). Nessun indirizzo IP grezzo viene memorizzato nelle analisi. I messaggi chatbot sono limitati a 2.000 caratteri.
Hashing delle password	Tutte le password dei visitatori (per le aree protette del sito web) vengono sottoposte a hash utilizzando algoritmi crittografici forti con salt casuale per utente prima dell'archiviazione. Le password in chiaro non vengono mai memorizzate o trasmesse.
Controlli degli accessi	Le policy di accesso con privilegio minimo limitano ciascun componente di sistema solo alle risorse di cui ha bisogno. I token API per sito web limitano l'accesso ai singoli siti web.
Isolamento di rete	I servizi backend comunicano attraverso reti interne. L'hosting web viene eseguito in sandbox di esecuzione isolati. L'esecuzione di codice personalizzato utilizza il sandboxing basato su WebAssembly.
Residenza giurisdizionale dei dati	Per gli operatori di siti web identificati come residenti UE, l'archiviazione persistente contenente dati dei visitatori (invii di moduli, conversazioni chatbot, dati di sessione e dati delle tabelle utente) è giurisdizionalmente limitata all'Unione Europea, garantendo che questi dati siano archiviati ed elaborati esclusivamente nei data center dell'UE. Le operazioni automatizzate rivolte ai visitatori (notifiche di invio contenuto e consegna email transazionale) sono anch'esse elaborate nell'infrastruttura situata nell'UE.
Eliminazione automatica	I dati di sessione scadono dopo 30 giorni di inattività. I file temporanei vengono eliminati entro 24 ore. I dati delle sfide bot sono effimeri e non vengono conservati.

6.2 Misure organizzative

Misura	Descrizione
Riservatezza del personale	Tutto il personale con accesso ai dati personali è vincolato da obblighi di riservatezza.
Diligenza dovuta sui sub-responsabili del trattamento	I sub-responsabili del trattamento vengono valutati per le loro pratiche di sicurezza e la conformità alla protezione dei dati prima dell'incarico. Accordi scritti sul trattamento dei dati sono in vigore con tutti i sub-responsabili del trattamento.
Risposta agli incidenti	Le procedure di notifica delle violazioni garantiscono che i Titolari vengano notificati entro 72 ore dalla conferma di una violazione dei dati personali.
Policy di conservazione dei dati	Periodi di conservazione documentati con applicazione automatizzata (eliminazione basata su TTL, policy del ciclo di vita).
Monitoraggio della sicurezza	Logging strutturato, monitoraggio automatizzato della sicurezza e rilevamento delle intrusioni. I log di errore e diagnostici vengono conservati per un massimo di 30 giorni.

6.3 Misure contrattuali

Misura	Descrizione
Clausole contrattuali standard	Le SCC (Modulo uno, Modulo due e Modulo tre) sono incorporate nel nostro DPA per riferimento.
SCC dei sub-responsabili del trattamento	Accordi scritti con ciascun sub-responsabile del trattamento impongono obblighi di protezione dei dati non meno protettivi di quelli nel nostro DPA.
Notifica di accesso del governo	Ci impegniamo a notificare ai Titolari le richieste di accesso del governo laddove consentito dalla legge, come descritto nei nostri Termini e Condizioni.
Impegno di contestazione	Ci impegniamo a contestare le richieste di accesso del governo che riteniamo eccessive o illegittime.

7. VALUTAZIONE DEL RISCHIO

7.1 Probabilità di accesso del governo

Fattore	Valutazione
Natura dei dati	Principalmente analisi pseudonimizzate, invii di moduli e messaggi chatbot da siti web di piccole imprese. Questi dati hanno un basso valore di intelligence.
Volume dei dati	Da basso a moderato. Ogni sito web serve la propria base di visitatori; i dati non vengono aggregati tra siti web per scopi di sorveglianza.
Profilo aziendale	Acira AI è una piccola società SaaS che ospita siti web di piccole imprese. Non siamo un fornitore di telecomunicazioni né un obiettivo di sorveglianza di alto profilo.
Richieste storiche	Alla data di questa valutazione, Acira AI non ha mai ricevuto una direttiva della Sezione 702 del FISA, una Lettera di sicurezza nazionale o qualsiasi richiesta governativa di accesso massivo ai dati dei clienti.
Profilo dei sub-responsabili del trattamento	AWS e Cloudflare sono grandi fornitori di infrastrutture che pubblicano rapporti di trasparenza. I loro rapporti di trasparenza indicano che le richieste governative sono indirizzate ad account specifici, non all'accesso massivo ai contenuti ospitati.

Probabilità complessiva: BASSA

7.2 Impatto in caso di accesso

Fattore	Valutazione
Sensibilità dei dati	La maggior parte dei dati trasferiti è a bassa sensibilità (analisi pseudonimizzate, metadati dei visitatori del sito web). Gli invii di moduli possono contenere dati a sensibilità media (nomi, indirizzi email, messaggi) a seconda del sito web.
Efficacia della pseudonimizzazione	I dati analitici non possono essere collegati a individui senza accesso ai componenti dell'hash a rotazione giornaliera (IP + User-Agent + data), che non vengono memorizzati.
Portata dell'esposizione	Qualsiasi accesso governativo sarebbe indirizzato a specifici account o siti web, non all'intera piattaforma. L'isolamento dei dati per sito web tramite istanze di archiviazione dedicate limita la portata di qualsiasi potenziale compromissione. Per gli operatori di siti web residenti nell'UE, l'archiviazione persistente e l'elaborazione automatizzata rivolta ai visitatori (notifiche di invio contenuto e consegna email transazionale) sono limitate all'UE, limitando ulteriormente l'esposizione all'accesso del governo degli Stati Uniti per questi dati.

Impatto complessivo: BASSO-MEDIO (a seconda della sensibilità dei dati raccolti dagli operatori di siti web individuali)

7.3 Valutazione del rischio residuo

Considerando la bassa probabilità di accesso del governo, le misure tecniche supplementari (crittografia, pseudonimizzazione, minimizzazione dei dati) e le salvaguardie aggiuntive introdotte dall'EO 14086, valutiamo che il rischio residuo per gli interessati è basso e che le misure supplementari, insieme alle SCC (per i trasferimenti dal SEE/UK/Svizzera) e alle protezioni contrattuali (per i trasferimenti canadesi), forniscono un livello di protezione essenzialmente equivalente a quello garantito all'interno del SEE e comparabile a quello richiesto dalla legge sulla privacy canadese.

8. CONCLUSIONE

Sulla base di questa valutazione, concludiamo che:

I dati personali trasferiti dal SEE/UK/Svizzera/Canada agli Stati Uniti in relazione alla fornitura dei nostri Servizi beneficiano di un livello di protezione essenzialmente equivalente a quello garantito dalla legge sulla protezione dei dati dell'UE e di un livello di protezione comparabile a quello richiesto dalla legge sulla privacy canadese.
Le Clausole contrattuali standard, combinate con le misure tecniche, organizzative e contrattuali supplementari descritte nella Sezione 6, affrontano adeguatamente i rischi identificati in questa valutazione.
La natura dei dati (principalmente analisi pseudonimizzate e interazioni di visitatori di siti web di piccole imprese) e il profilo dell'importatore di dati (una piccola società SaaS, non un fornitore di telecomunicazioni) riducono significativamente il rischio pratico di sorveglianza governativa.
Le protezioni introdotte dall'Ordine Esecutivo 14086 e il meccanismo di ricorso associato forniscono ulteriori salvaguardie a beneficio di tutti gli interessati, indipendentemente dal meccanismo di trasferimento specifico utilizzato.
Per i trasferimenti canadesi, le protezioni contrattuali e le misure supplementari qui descritte garantiscono un livello di protezione comparabile a quello richiesto dalla PIPEDA e dalla legislazione provinciale sulla privacy applicabile, inclusa la legge sulla privacy modernizzata del Quebec.
Continueremo a monitorare gli sviluppi della legge e della pratica sulla sorveglianza statunitense, nonché gli sviluppi della legge sulla privacy canadese (incluso il proposto Consumer Privacy Protection Act), e rivaluteremo questa TIA se le circostanze cambiano materialmente.

I trasferimenti possono procedere subordinatamente alla continua applicazione delle SCC e delle misure supplementari qui descritte.

9. CALENDARIO DI REVISIONE

Questa TIA verrà rivista e aggiornata:

Annualmente, come minimo, o
In caso di modifiche sostanziali alle leggi o ai regolamenti applicabili (incluse modifiche a FISA, CLOUD Act, EO 14086, PIPEDA o alla legislazione provinciale canadese sulla privacy),
In caso di modifiche ai nostri sub-responsabili del trattamento o alla natura dei dati trasferiti,
In caso di qualsiasi decisione del tribunale che influenzi sostanzialmente la validità delle SCC o l'adeguatezza della protezione dei dati statunitense.

10. CONTATTACI

Per domande su questa Valutazione d'impatto del trasferimento, contattaci:

Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefono: 888-389-1189
E-mail: legal@acira.ai

La tua privacy, la nostra priorità

Non vendiamo i tuoi dati, non utilizziamo cookie di tracciamento — ecco perché non vedrai un banner dei cookie qui. Rispettiamo il Global Privacy Control e per i clienti dell'UE, i dati dei visitatori vengono archiviati ed elaborati esclusivamente all'interno dell'Unione Europea.

Scopri come proteggiamo i tuoi dati →

Acira AI

Costruisci siti web bellissimi con l'AI. Nessuna programmazione richiesta.

Orgogliosamente realizzato negli Stati Uniti

Azienda

Prezzi Funzionalità Chi siamo Confronta Fiducia e Privacy

Legale

Informativa sulla privacy Termini e condizioni Uso accettabile Trattamento dati Impatto del trasferimento

Trattamento dati Impatto del trasferimento