ADENDO DE PROCESSAMENTO DE DADOS

Última atualização: 19 de março de 2026

Este Adendo de Processamento de Dados ("DPA") faz parte dos Termos e Condições ("Contrato") entre a Acira AI LLC ("Processador", "nós", "nos") e o usuário dos Serviços ("Controlador", "você") e complementa o Contrato com relação ao processamento de dados pessoais.

Este DPA se aplica quando você usa os Serviços para criar, hospedar e publicar websites que coletam ou processam dados pessoais de indivíduos localizados no Espaço Econômico Europeu ("EEE"), no Reino Unido ("UK") ou na Suíça, ou quando exigido por leis de proteção de dados aplicáveis.

Este DPA pode ser traduzido para outros idiomas para sua conveniência. Em caso de conflito ou inconsistência entre a versão em inglês e qualquer versão traduzida, a versão em inglês prevalecerá.

ÍNDICE

1. DEFINIÇÕES
2. ESCOPO E FUNÇÕES
3. DETALHES DO PROCESSAMENTO DE DADOS
4. OBRIGAÇÕES DO PROCESSADOR
5. OBRIGAÇÕES DO CONTROLADOR
6. SUBPROCESSADORES
7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS
8. DIREITOS DOS TITULARES DE DADOS
9. SEGURANÇA DE DADOS
10. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS
11. AUDITORIAS E VERIFICAÇÃO DE CONFORMIDADE
12. RETENÇÃO E EXCLUSÃO DE DADOS
13. VIGÊNCIA E RESCISÃO
14. LIMITAÇÃO DE RESPONSABILIDADE
15. ENTRE EM CONTATO CONOSCO

1. DEFINIÇÕES

"Lei de Proteção de Dados Aplicável" significa todas as leis e regulamentos aplicáveis ao processamento de dados pessoais sob este DPA, incluindo (conforme aplicável) o Regulamento Geral de Proteção de Dados (EU) 2016/679 ("GDPR"), o UK GDPR, a Lei Federal Suíça sobre Proteção de Dados ("FADP") e a Lei de Privacidade do Consumidor da Califórnia ("CCPA").

"Controlador" significa a pessoa natural ou jurídica que determina as finalidades e os meios do processamento de dados pessoais — neste contexto, você, o usuário dos Serviços que opera um website por meio da plataforma.

"Titular dos Dados" significa uma pessoa natural identificada ou identificável cujos dados pessoais são processados.

"Dados Pessoais" significa qualquer informação relacionada a um Titular dos Dados que é processada por meio dos Serviços.

"Processamento" significa qualquer operação realizada sobre dados pessoais, incluindo coleta, registro, organização, estruturação, armazenamento, adaptação, recuperação, consulta, uso, divulgação, disseminação, restrição, apagamento ou destruição.

"Processador" significa uma pessoa natural ou jurídica que processa dados pessoais em nome do Controlador — neste contexto, a Acira AI LLC.

"Subprocessador" significa qualquer terceiro contratado pelo Processador para processar dados pessoais em nome do Controlador.

"Cláusulas Contratuais Padrão" ou "SCCs" significa as cláusulas contratuais padrão para a transferência de dados pessoais a processadores estabelecidos em países terceiros, conforme adotadas pela Comissão Europeia.

2. ESCOPO E FUNÇÕES

2.1 Relacionamento de Processamento

Quando você usa os Serviços para criar e operar um website que coleta dados pessoais de seus visitantes (por meio de formulários, contas de usuário, interações com chatbot, comentários, avaliações ou outros recursos interativos), você atua como Controlador e nós atuamos como Processador desses dados pessoais dos visitantes.

2.2 Nossa Função como Controlador

Atuamos como Controlador independente para dados pessoais que coletamos para nossos próprios fins, incluindo: suas informações de conta, dados de faturamento, análises de uso, características gerais do site derivadas do conteúdo do seu site (como setor ou tipo de negócio), e dados de operação da plataforma. O processamento desses dados é regido pela nossa Política de Privacidade e está fora do escopo deste DPA.

2.3 Análises da Plataforma

Coletamos análises básicas e respeitosas à privacidade sobre os visitantes do website (conforme descrito no Contrato). Para dados analíticos, atuamos como controlador conjunto com você. Projetamos nossas análises para minimizar a coleta de dados pessoais — não armazenamos endereços IP brutos e os identificadores de visitantes são alternados diariamente. As respectivas responsabilidades de cada controlador conjunto são as seguintes:

• Acira AI (Processador/Controlador Conjunto): Determina os meios técnicos de coleta de análises, incluindo quais pontos de dados são coletados, como os identificadores de visitantes são calculados (hashes de rotação diária) e como os dados são agregados. Somos responsáveis pela segurança e integridade da infraestrutura de análises e por responder a consultas gerais sobre como as análises funcionam na plataforma.
• Você (Controlador/Controlador Conjunto): Determina se deve usar análises em seu website (as análises são habilitadas por padrão como parte dos Serviços). Você é responsável por divulgar a coleta de dados analíticos na política de privacidade do seu website e por responder às solicitações dos Titulares de Dados dos visitantes do seu website em relação aos seus dados analíticos.
• Ponto de contato para os Titulares de Dados: Os Titulares de Dados podem entrar em contato com você (o proprietário do website) em relação aos dados analíticos coletados em seu website. Se recebermos uma solicitação de um Titular de Dados sobre dados analíticos, iremos direcioná-lo a você, a menos que você nos instrua de outra forma. Para consultas gerais sobre a plataforma, os Titulares de Dados podem nos contatar em legal@acira.ai.

2.4 Essência do Acordo de Controlador Conjunto

Em conformidade com o Artigo 26(2) do GDPR, a essência deste acordo de controlador conjunto para dados analíticos é a seguinte: Nós (Acira AI) determinamos os meios técnicos e os pontos de dados coletados; você (o operador do website) determina se as análises são usadas em seu website. Somos cada um responsáveis por nossas respectivas obrigações sob a Lei de Proteção de Dados Aplicável. Você é o principal ponto de contato para os visitantes do seu website em relação aos dados analíticos. Um resumo deste acordo é disponibilizado aos Titulares de Dados por meio deste DPA e em https://www.acira.ai/dpa.

2.5 Designação de Provedor de Serviços CCPA

Na medida em que processamos informações pessoais sujeitas à California Consumer Privacy Act ("CCPA") em seu nome, somos seu "provedor de serviços" conforme definido no Cal. Civ. Code § 1798.140(ag). Não iremos:

• Vender ou compartilhar (conforme esses termos são definidos na CCPA) quaisquer informações pessoais que você nos forneça;
• Reter, usar ou divulgar informações pessoais para qualquer finalidade que não sejam as finalidades comerciais especificadas neste DPA e no Contrato, ou conforme de outra forma permitido pela CCPA;
• Reter, usar ou divulgar informações pessoais fora da relação comercial direta entre você e nós;
• Combinar informações pessoais recebidas de você com informações pessoais que recebemos de ou em nome de outra pessoa ou que coletamos de nossas próprias interações com consumidores, exceto conforme permitido pela CCPA.

Podemos derivar características comerciais gerais e não identificadoras (como classificação do setor) do conteúdo do seu site com o objetivo de fornecer recomendações de produtos relevantes, conforme descrito na Seção 2.2. Este uso limitado não constitui venda, compartilhamento ou combinação de informações pessoais no sentido da CCPA.

Certificamos que compreendemos e cumpriremos essas restrições.

2.6 Avaliação do Representante Suíço FADP

O Artigo 14 da Lei Federal Suíça sobre Proteção de Dados ("FADP") exige que um controlador privado não suíço designe um representante na Suíça somente quando todas as quatro condições cumulativas a seguir forem atendidas: (1) o processamento está relacionado à oferta de bens ou serviços a pessoas na Suíça ou ao monitoramento de seu comportamento; (2) o processamento ocorre em grande escala; (3) o processamento ocorre de forma regular; e (4) o processamento representa um alto risco para os direitos de personalidade ou direitos fundamentais dos titulares de dados.

Avaliamos nossas atividades de processamento em relação a essas condições e determinamos que, embora as condições (1) e (3) sejam atendidas, as condições restantes não são satisfeitas pelas seguintes razões:

• Não em grande escala: Somos uma pequena plataforma SaaS. O volume de dados pessoais de residentes suíços processados por meio de nossos Serviços é limitado e não constitui processamento em grande escala no sentido do Artigo 14 da FADP.
• Não de alto risco: Os dados pessoais que processamos em nome dos operadores de websites consistem principalmente em identificadores analíticos pseudonimizados (hashes de rotação diária), metadados básicos de visitantes (país, tipo de dispositivo, navegador), conteúdo de envio de formulários e mensagens de chatbot. Não processamos categorias especiais de dados pessoais (Artigo 5(c) da FADP), nem nos envolvemos em criação de perfil com alto risco para os titulares de dados. O Comissário Federal Suíço de Proteção de Dados e Informação ("FDPIC") indicou que essa obrigação se destina principalmente a grandes plataformas de internet e redes sociais que operam do exterior, o que não descreve nossos Serviços.

Com base nessa avaliação, concluímos que não somos obrigados a designar um representante na Suíça sob o Artigo 14 da FADP neste momento. Reavaliaremos essa determinação periodicamente, inclusive em caso de mudanças materiais na escala ou natureza de nossas atividades de processamento que afetem residentes suíços.

3. DETALHES DO PROCESSAMENTO DE DADOS

3.1 Objeto e Duração

O processamento de dados pessoais sob este DPA é realizado com a finalidade de fornecer os Serviços conforme descrito no Contrato e continuará pela duração do Contrato.

3.2 Natureza e Finalidade do Processamento

Processamos dados pessoais para:

• Hospedar e servir o conteúdo do seu website
• Armazenar e gerenciar dados enviados por meio dos formulários e recursos interativos do seu website
• Manter contas de usuário e sessões para as áreas protegidas do seu website
• Entregar comunicações por e-mail em seu nome
• Encaminhar e-mails recebidos em seus endereços de e-mail de domínio personalizado
• Alimentar conversas de chatbot com IA com os visitantes do seu website
• Gerar descrições e metadados com IA para arquivos enviados
• Converter arquivos enviados em formatos otimizados para a web
• Fornecer análises de visitantes
• Derivar características gerais do site (como setor ou tipo de negócio) para fornecer recomendações relevantes da plataforma
• Detectar e prevenir spam e abusos (incluindo desafios de bot de prova de trabalho)
• Realizar moderação de conteúdo em arquivos enviados
• Revisar o conteúdo do website durante a publicação para conformidade com as políticas de conteúdo da plataforma
• Gerenciar preferências de cancelamento de inscrição de e-mail para os destinatários de e-mail do seu site
• Facilitar comunicações de canal em tempo real em seu website por meio de conexões WebSocket (as mensagens são efêmeras e não persistidas)
• Manter logs de erros e diagnósticos para confiabilidade da plataforma e solução de problemas (pode incluir endereços IP e metadados de solicitação; retidos por até trinta (30) dias)

3.3 Tipos de Dados Pessoais

Os tipos de dados pessoais processados dependem do que você coleta por meio do seu website, que pode incluir:

• Nomes e informações de contato
• Endereços de e-mail
• Mensagens e envios de formulários
• Uploads de arquivos enviados pelos visitantes do website (como imagens e documentos)
• Conteúdo de conversas de chatbot (mensagens dos visitantes e respostas da IA)
• Credenciais de conta de usuário (armazenadas em formato hash)
• Dados de sessão
• Endereços IP (não armazenados em análises — apenas um hash de rotação diária é armazenado; armazenados como metadados junto com envios de formulários e conversas de chatbot; usados temporariamente e transformados em hash para verificação de desafio de bot; armazenados temporariamente para limitação de taxa por até sete (7) dias e automaticamente excluídos)
• Informações de navegador e dispositivo
• Dados de localização (nível de país e região, derivados de IP)
• Registros de cancelamento de inscrição de e-mail (armazenados como hashes criptográficos dos endereços de e-mail dos destinatários; não armazenados em formato bruto)
• Resultados de classificação de spam (se um envio foi determinado como spam)
• Dados de log de erros e diagnósticos (endereços IP, caminhos de solicitação e detalhes de erros; retidos por até trinta (30) dias e automaticamente excluídos)

3.4 Categorias de Titulares de Dados

• Visitantes do seu website
• Usuários que criam contas em seu website
• Usuários que enviam formulários ou interagem com chatbots em seu website
• Usuários que enviam comentários, avaliações ou outras contribuições em seu website

4. OBRIGAÇÕES DO PROCESSADOR

Nós iremos:

1. Processar dados pessoais apenas com base em suas instruções documentadas, a menos que sejamos obrigados a fazê-lo pela lei aplicável (nesse caso, informaremos você sobre esse requisito legal antes do processamento, a menos que seja proibido por lei);
2. Garantir que as pessoas autorizadas a processar dados pessoais se comprometam com a confidencialidade ou estejam sob uma obrigação estatutária apropriada de confidencialidade;
3. Implementar medidas técnicas e organizacionais de segurança apropriadas conforme descrito na Seção 9;
4. Cumprir as condições para contratação de subprocessadores conforme estabelecido na Seção 6;
5. Assistir você, levando em consideração a natureza do processamento, ao responder a solicitações de Titulares de Dados que exercem seus direitos sob a Lei de Proteção de Dados Aplicável;
6. Assistir você para garantir o cumprimento de suas obrigações sob os Artigos 32-36 do GDPR (segurança, notificação de violação, avaliações de impacto na proteção de dados e consulta prévia), levando em consideração a natureza do processamento e as informações disponíveis para nós. Quando seu uso dos Serviços envolver processamento de alto risco que possa exigir uma Avaliação de Impacto sobre a Proteção de Dados (DPIA), forneceremos informações sobre nossas atividades de processamento, medidas técnicas e organizacionais e subprocessadores para apoiar sua avaliação;
7. Assistir você no cumprimento de suas obrigações sob o Artigo 22 do GDPR (tomada de decisão individual automatizada), fornecendo informações sobre qualquer processamento automatizado realizado em seu nome, incluindo moderação de conteúdo, detecção de spam e proteção de bot, e facilitando a revisão humana de decisões automatizadas mediante solicitação;
8. Informar você se, em nossa opinião, uma instrução sua infringir a Lei de Proteção de Dados Aplicável;
9. A seu critério, excluir ou devolver todos os dados pessoais após o término da prestação dos Serviços, e excluir as cópias existentes, a menos que o armazenamento seja exigido pela lei aplicável;
10. Disponibilizar a você todas as informações necessárias para demonstrar conformidade com as obrigações estabelecidas neste DPA e contribuir para a verificação de conformidade conforme descrito na Seção 11.

5. OBRIGAÇÕES DO CONTROLADOR

Você deverá:

1. Garantir que sua coleta e processamento de dados pessoais por meio do seu website esteja em conformidade com todas as Leis de Proteção de Dados Aplicáveis;
2. Fornecer avisos de privacidade apropriados aos visitantes do seu website descrevendo suas práticas de coleta de dados, incluindo a divulgação de análises em nível de plataforma, interações de chatbot com IA, detecção de spam e proteção de bot;
3. Obter todos os consentimentos necessários ou estabelecer outra base legal para o processamento de dados pessoais por meio do seu website;
4. Garantir que suas instruções a nós em relação ao processamento de dados pessoais estejam em conformidade com as Leis de Proteção de Dados Aplicáveis;
5. Ser responsável pela precisão, qualidade e legalidade dos dados pessoais fornecidos a nós por meio do seu website.

Ao usar os Serviços, você nos instrui a realizar as seguintes atividades de processamento em seu nome como parte das operações padrão da plataforma: moderação de conteúdo de arquivos enviados, revisão de política de conteúdo do conteúdo publicado no website, detecção de spam em envios de formulários, proteção de bot por meio de desafios de prova de trabalho e interações de chatbot com IA com os visitantes do seu website. Essas atividades são instruções documentadas sob o Artigo 28(3)(a) do GDPR.

6. SUBPROCESSADORES

6.1 Subprocessadores Autorizados

Você fornece autorização geral para que contratemos subprocessadores para auxiliar na prestação dos Serviços. Nossos subprocessadores atuais estão listados abaixo e em https://www.acira.ai/dpa.

6.2 Lista Atual de Subprocessadores

6.3 Mudanças nos Subprocessadores

Notificaremos você sobre quaisquer mudanças pretendidas na lista de subprocessadores para os Serviços que você utiliza atualmente, atualizando a lista de subprocessadores em https://www.acira.ai/dpa pelo menos quatorze (14) dias antes que o novo subprocessador comece a processar dados pessoais. Quando introduzirmos novos recursos ou serviços que envolvam subprocessadores adicionais, esses subprocessadores serão divulgados no momento em que o recurso ou serviço for disponibilizado; o uso do novo recurso ou serviço constitui aceitação dos subprocessadores divulgados. É sua responsabilidade revisar periodicamente a lista de subprocessadores para verificar mudanças. Se você tiver uma objeção razoável a um novo subprocessador processando dados para os Serviços existentes, poderá nos notificar por escrito dentro de quatorze (14) dias após a publicação da mudança. Trabalharemos com você de boa-fé para resolver suas preocupações. Se não pudermos resolver a objeção a sua satisfação razoável, você poderá rescindir o Contrato mediante notificação por escrito.

6.4 Obrigações dos Subprocessadores

Celebraremos acordos escritos com cada subprocessador que imponham obrigações de proteção de dados não menos protetoras do que as estabelecidas neste DPA. Permanecemos responsáveis pelos atos e omissões de nossos subprocessadores na mesma medida em que seríamos responsáveis se estivéssemos prestando os serviços diretamente.

7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

7.1 Mecanismos de Transferência

Os Serviços são hospedados principalmente nos Estados Unidos. Os dados pessoais processados por meio dos Serviços podem ser transferidos e processados nos Estados Unidos e em outros países onde nossos subprocessadores operam. Os provedores de inferência de IA (Fireworks AI e xAI) processam dados nos Estados Unidos. A BrightData pode processar dados em Israel e em outros locais globalmente. A Cloudflare processa dados em locais de borda em todo o mundo.

Residência de Dados na UE: Para operadores de sites identificados como residentes na UE, aplicamos as seguintes medidas de residência de dados para minimizar transferências de dados pessoais de visitantes para fora da União Europeia:

• Armazenamento: Dados de visitantes em armazenamento persistente de borda — incluindo envios de formulários, conversas de chatbot, dados de sessão e dados de tabelas de usuários — são jurisdicionalmente restritos à União Europeia. Esses dados são armazenados exclusivamente em data centers da UE.
• Processamento automatizado voltado a visitantes: As operações acionadas automaticamente pela atividade dos visitantes — incluindo notificações de envio de conteúdo e entrega de e-mail transacional — são processadas dentro da União Europeia e não transitam pela infraestrutura dos EUA.
• Acesso de gerenciamento da plataforma: Quando você acessa os dados de visitantes do seu site por meio do painel da plataforma ou interface conversacional (por exemplo, visualizando envios de formulários ou gerenciando registros de usuários), esses dados podem ser processados por nossa infraestrutura baseada nos EUA para atender à sua solicitação. Essas transferências são sob demanda, iniciadas por você (o Controlador), e protegidas pelos mecanismos de transferência e medidas suplementares descritos abaixo.
• Outro processamento baseado nos EUA: Dados analíticos e dados processados por nossa infraestrutura em nuvem baseada nos EUA para moderação de conteúdo e inferência de IA ainda podem ser transferidos para os Estados Unidos sujeitos aos mecanismos de transferência abaixo.

Para transferências de dados pessoais do EEE, UK ou Suíça para países não reconhecidos como fornecendo um nível adequado de proteção de dados, nos apoiamos em:

1. Cláusulas Contratuais Padrão (SCCs): Incorporamos as Cláusulas Contratuais Padrão da Comissão Europeia a este DPA por referência: Módulo Um (Controlador para Controlador) para dados analíticos onde atuamos como controlador conjunto (veja a Seção 2.3), e Módulo Dois (Controlador para Processador) para todos os outros dados pessoais processados em seu nome. As SCCs estão disponíveis em https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Adendo de Transferência Internacional de Dados do UK: Para transferências do UK, aplica-se o Adendo do UK às SCCs da UE.
3. Mecanismos de Transferência de Dados Suíços: Para transferências da Suíça, as SCCs se aplicam com as modificações exigidas pelo FADP suíço.

7.2 Medidas Suplementares

Implementamos as seguintes medidas suplementares para proteger dados pessoais transferidos:

• Criptografia de dados em trânsito (TLS/SSL) e em repouso
• Controles de acesso e mecanismos de autenticação
• Avaliações regulares de segurança
• Práticas de minimização de dados (por exemplo, hashes de visitantes de rotação diária em vez de armazenamento de IP bruto)
• Residência jurisdicional de dados para operadores de sites residentes na UE (armazenamento persistente e processamento automatizado voltado para visitantes restritos à UE)
• Infraestrutura de computação e e-mail localizada na UE para operações automatizadas voltadas a visitantes (notificações de envio de conteúdo e entrega de e-mail transacional processados na União Europeia para operadores de sites residentes na UE)

7.3 Avaliação de Impacto da Transferência

Essas medidas suplementares são informadas por nossa avaliação das leis e práticas dos países de destino, levando em consideração a natureza dos dados transferidos, o mecanismo de transferência utilizado e as salvaguardas técnicas e organizacionais em vigor. Avaliamos que as medidas suplementares descritas acima, juntamente com os compromissos nas SCCs, fornecem um nível adequado de proteção para os dados pessoais transferidos. Nossa Avaliação de Impacto da Transferência está disponível em https://www.acira.ai/tia.

7.4 Transferências de Dados Canadenses

Para transferências de dados pessoais do Canadá, nos apoiamos nas seguintes salvaguardas para garantir que os dados pessoais transferidos para fora do Canadá recebam um nível de proteção comparável conforme exigido pela Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) e pela legislação de privacidade provincial aplicável (incluindo a PIPA de Alberta, a PIPA da Colúmbia Britânica e a Lei Respeitante à Proteção de Informações Pessoais no Setor Privado do Quebec):

1. Proteções contratuais: Acordos escritos de processamento de dados com cada subprocessador que impõem obrigações de proteção de dados pessoais a um padrão consistente com a lei de privacidade canadense, incluindo requisitos de salvaguardas de segurança apropriadas, limitações de uso, notificação de violação e acesso dos titulares de dados.
2. Salvaguardas técnicas: As mesmas medidas de criptografia, pseudonimização, controle de acesso e minimização de dados descritas na Seção 7.2 se aplicam às transferências de dados canadenses.
3. Salvaguardas organizacionais: Diligência devida com subprocessadores, obrigações de confidencialidade para pessoal e procedimentos documentados de resposta a incidentes conforme descrito neste DPA.

Monitoramos os desenvolvimentos na lei de privacidade canadense, incluindo a proposta Lei de Proteção da Privacidade do Consumidor (CPPA), e atualizaremos nossos mecanismos de transferência conforme necessário.

8. DIREITOS DOS TITULARES DE DADOS

8.1 Assistência com Solicitações

Assistiremos você ao responder a solicitações de Titulares de Dados que exercem seus direitos sob a Lei de Proteção de Dados Aplicável, incluindo direitos de acesso, retificação, apagamento, restrição, portabilidade e objeção.

8.2 Notificação

Se recebermos uma solicitação diretamente de um Titular de Dados sobre dados pessoais processados em seu nome, notificaremos você prontamente e não responderemos à solicitação sem suas instruções, a menos que exigido pela lei aplicável.

8.3 Ferramentas da Plataforma

Fornecemos ferramentas dentro dos Serviços para ajudá-lo a atender às solicitações dos Titulares de Dados, incluindo:

• Acesso e gerenciamento de dados armazenados nos bancos de dados do seu website
• Exclusão de registros individuais dos bancos de dados do seu website
• Mediante solicitação, podemos fornecer exportações de dados em formato ZIP para auxiliar com obrigações de portabilidade de dados

9. SEGURANÇA DE DADOS

9.1 Medidas de Segurança

Implementamos e mantemos medidas técnicas e organizacionais apropriadas para proteger dados pessoais contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidentais. Essas medidas incluem:

• Criptografia: Dados criptografados em trânsito via TLS/SSL e em repouso usando criptografia padrão da indústria
• Controle de Acesso: Controles de acesso baseados em função, autenticação multifator para administração da plataforma, políticas de acesso de privilégio mínimo
• Segurança da Infraestrutura: Infraestrutura em nuvem gerenciada com patching de segurança automatizado, proteção DDoS e Firewall de Aplicação Web (WAF)
• Isolamento de Dados: Isolamento de dados por website por meio de instâncias de armazenamento dedicadas
• Monitoramento: Monitoramento automatizado de segurança, detecção de intrusão e registro estruturado
• Segurança de Credenciais: Todas as chaves de API e segredos armazenados em serviços dedicados de gerenciamento de segredos; senhas de usuário transformadas em hash usando algoritmos criptográficos fortes com salts por usuário
• Proteção de Bot: Sistemas de desafio de prova de trabalho para prevenir abuso automatizado

9.2 Confidencialidade

Garantimos que todos os funcionários autorizados a processar dados pessoais estejam vinculados a obrigações de confidencialidade.

10. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS

10.1 Notificação ao Controlador

Notificaremos você sem demora indevida após confirmar uma violação de dados pessoais que afete dados pessoais processados em seu nome. A notificação será enviada às informações de contato associadas à sua conta.

10.2 Conteúdo da Notificação

Nossa notificação de violação incluirá, na medida disponível:

1. Uma descrição da natureza da violação, incluindo categorias e número aproximado de Titulares de Dados e registros envolvidos;
2. O nome e os detalhes de contato do nosso contato de proteção de dados;
3. Uma descrição das prováveis consequências da violação;
4. Uma descrição das medidas tomadas ou propostas para resolver a violação e mitigar seus efeitos.

10.3 Suas Obrigações

Você é responsável por notificar a autoridade supervisora relevante e os Titulares de Dados afetados sobre uma violação de dados pessoais conforme exigido pela Lei de Proteção de Dados Aplicável. Cooperaremos com você e forneceremos assistência razoável para ajudá-lo a cumprir suas obrigações de notificação de violação.

11. AUDITORIAS E VERIFICAÇÃO DE CONFORMIDADE

11.1 Documentação de Conformidade

Para demonstrar nossa conformidade com este DPA, disponibilizaremos a você, mediante solicitação escrita razoável (até uma vez por ano), o seguinte:

1. Relatórios de auditoria de terceiros relevantes, certificações ou resumos de avaliações de segurança;
2. Um resumo de nossas medidas de segurança técnicas e organizacionais atuais;
3. Informações sobre nossas atividades de processamento, subprocessadores e práticas de proteção de dados.

Quando dependemos de provedores de infraestrutura de terceiros (como AWS e Cloudflare), suas certificações de segurança e documentação de conformidade estão disponíveis por meio de seus respectivos programas de confiança e conformidade.

11.2 Consultas Adicionais

Se a documentação fornecida nos termos da Seção 11.1 não abordar razoavelmente suas preocupações de conformidade, você poderá enviar perguntas escritas específicas sobre nossas práticas de proteção de dados, às quais responderemos dentro de um prazo razoável.

12. RETENÇÃO E EXCLUSÃO DE DADOS

12.1 Durante o Contrato

Reteremos dados pessoais processados em seu nome pela duração do Contrato e de acordo com suas instruções por meio dos Serviços. Os períodos de retenção específicos para dados de visitantes incluem:

• Conversas de chatbot em seu website: Retidas por trinta (30) dias a partir da última interação em cada conversa. As conversas são armazenadas dentro das sessões dos visitantes na infraestrutura de borda do website e são automaticamente excluídas quando a sessão expira por inatividade.
• Envios de formulários e conteúdo gerado pelo usuário em seu website: Retidos pela duração do website associado, a menos que você os exclua anteriormente por meio das ferramentas da plataforma.
• Dados de sessão dos visitantes do seu website: Automaticamente excluídos após 30 dias de inatividade.
• Conteúdo excluído de visitantes (envios de formulários, comentários e outros conteúdos gerados pelo usuário em seu website): Quando você exclui conteúdo de visitantes por meio das ferramentas da plataforma, ele é movido para um estado de exclusão suave e retido por até trinta (30) dias para suporte à recuperação. Após esse período, o conteúdo excluído suavemente é removido permanentemente. Você pode excluir permanentemente o conteúdo imediatamente limpando-o da fila de recuperação.
• Registros de cancelamento de inscrição de e-mail no seu site: Retidos pela duração do site associado, a menos que o destinatário se reinscreva. Os registros de cancelamento são excluídos quando o site é destruído.
• Dados analíticos: Retidos pela duração do website associado (sujeito a limites de retenção baseados no plano; os dados analíticos do plano gratuito são retidos por noventa (90) dias).

12.2 Após a Rescisão

Após a rescisão do Contrato, ou mediante sua solicitação, excluiremos dados pessoais processados em seu nome de acordo com as práticas de retenção de dados descritas no Contrato (incluindo o período de carência de sete (7) dias para exclusões de contas e websites). Após o período de carência, a exclusão é permanente e irreversível.

12.3 Exceções

Podemos reter dados pessoais na medida exigida pela lei aplicável, ou quando os dados foram anonimizados e não podem mais ser vinculados a um Titular de Dados.

13. VIGÊNCIA E RESCISÃO

Este DPA entra em vigor na data em que você aceita o Contrato e permanece em vigor enquanto processarmos dados pessoais em seu nome. As obrigações de confidencialidade e proteção de dados estabelecidas neste DPA sobrevivem à rescisão do Contrato.

14. LIMITAÇÃO DE RESPONSABILIDADE

A responsabilidade de cada parte sob este DPA está sujeita às limitações de responsabilidade estabelecidas no Contrato.

15. ENTRE EM CONTATO CONOSCO

Para dúvidas sobre este DPA ou para exercer seus direitos, entre em contato conosco em:

Acira AI LLC
Att.: Proteção de Dados
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Estados Unidos

Telefone: 888-389-1189
E-mail: legal@acira.ai