Última atualização: 19 de junho de 2026
Este Adendo de Processamento de Dados ("DPA") faz parte dos Termos e Condições ("Contrato") entre a Acira AI LLC ("Processador", "nós", "nos") e o usuário dos Serviços ("Controlador", "você") e complementa o Contrato com relação ao processamento de dados pessoais.
Este DPA se aplica quando você usa os Serviços para criar, hospedar e publicar websites que coletam ou processam dados pessoais de indivíduos localizados no Espaço Econômico Europeu ("EEE"), no Reino Unido ("UK") ou na Suíça, ou quando exigido por leis de proteção de dados aplicáveis.
Este DPA pode ser traduzido para outros idiomas para sua conveniência. Em caso de conflito ou inconsistência entre a versão em inglês e qualquer versão traduzida, a versão em inglês prevalecerá.
"Lei de Proteção de Dados Aplicável" significa todas as leis e regulamentos aplicáveis ao processamento de dados pessoais sob este DPA, incluindo (conforme aplicável) o Regulamento Geral de Proteção de Dados (EU) 2016/679 ("GDPR"), o UK GDPR, a Lei Federal Suíça sobre Proteção de Dados ("FADP") e a Lei de Privacidade do Consumidor da Califórnia ("CCPA").
"Controlador" significa a pessoa natural ou jurídica que determina as finalidades e os meios do processamento de dados pessoais — neste contexto, você, o usuário dos Serviços que opera um website por meio da plataforma.
"Titular dos Dados" significa uma pessoa natural identificada ou identificável cujos dados pessoais são processados.
"Dados Pessoais" significa qualquer informação relacionada a um Titular dos Dados que é processada por meio dos Serviços.
"Processamento" significa qualquer operação realizada sobre dados pessoais, incluindo coleta, registro, organização, estruturação, armazenamento, adaptação, recuperação, consulta, uso, divulgação, disseminação, restrição, apagamento ou destruição.
"Processador" significa uma pessoa natural ou jurídica que processa dados pessoais em nome do Controlador — neste contexto, a Acira AI LLC.
"Subprocessador" significa qualquer terceiro contratado pelo Processador para processar dados pessoais em nome do Controlador.
"Cláusulas Contratuais Padrão" ou "SCCs" significa as cláusulas contratuais padrão para a transferência de dados pessoais a processadores estabelecidos em países terceiros, conforme adotadas pela Comissão Europeia.
Quando você usa os Serviços para criar e operar um website que coleta dados pessoais de seus visitantes (por meio de formulários, contas de usuário, interações com chatbot, comentários, avaliações ou outros recursos interativos), você atua como Controlador e nós atuamos como Processador desses dados pessoais dos visitantes.
Atuamos como Controlador independente para dados pessoais que coletamos para nossos próprios fins, incluindo: suas informações de conta, dados de faturamento, análises de uso, características gerais do site derivadas do conteúdo do seu site (como setor ou tipo de negócio), e dados de operação da plataforma. O processamento desses dados é regido pela nossa Política de Privacidade e está fora do escopo deste DPA.
Provedores de pagamento (Merchants of Record). Os pagamentos pelos Serviços pagos são processados por provedores de pagamento terceiros que atuam como Merchant of Record — o revendedor autorizado e vendedor oficial — da sua transação, atualmente Stripe (por meio de sua afiliada Sold through Link, LLC) e Paddle (a entidade contratante da Paddle para a sua localização: Paddle.com Inc. nos United States, Paddle.com (Canada) Ltd. no Canada ou Paddle.com Market Limited no restante do mundo, incluindo a EEA e o UK). Nessa qualidade, esses provedores determinam as finalidades e os meios do tratamento dos dados de pagamento que você fornece no checkout e, portanto, atuam como controladores independentes por direito próprio, e não como nossos subprocessadores. O tratamento por eles realizado é regido por seus próprios termos e avisos de privacidade e está fora do escopo deste DPA. Recebemos deles apenas dados limitados de transação e cobrança, que tratamos como Controlador independente conforme descrito acima.
Coletamos análises básicas e respeitosas à privacidade sobre os visitantes do website (conforme descrito no Contrato). Para dados analíticos, atuamos como controlador conjunto com você. Projetamos nossas análises para minimizar a coleta de dados pessoais — não armazenamos endereços IP brutos e os identificadores de visitantes são alternados diariamente. As respectivas responsabilidades de cada controlador conjunto são as seguintes:
Em conformidade com o Artigo 26(2) do GDPR, a essência deste acordo de controlador conjunto para dados analíticos é a seguinte: Nós (Acira AI) determinamos os meios técnicos e os pontos de dados coletados; você (o operador do website) determina se as análises são usadas em seu website. Somos cada um responsáveis por nossas respectivas obrigações sob a Lei de Proteção de Dados Aplicável. Você é o principal ponto de contato para os visitantes do seu website em relação aos dados analíticos. Um resumo deste acordo é disponibilizado aos Titulares de Dados por meio deste DPA e em https://www.acira.ai/dpa.
Na medida em que processamos informações pessoais sujeitas à California Consumer Privacy Act ("CCPA") em seu nome, somos seu "provedor de serviços" conforme definido no Cal. Civ. Code § 1798.140(ag). Não iremos:
Podemos derivar características comerciais gerais e não identificadoras (como classificação do setor) do conteúdo do seu site com o objetivo de fornecer recomendações de produtos relevantes, conforme descrito na Seção 2.2. Este uso limitado não constitui venda, compartilhamento ou combinação de informações pessoais no sentido da CCPA.
Certificamos que compreendemos e cumpriremos essas restrições.
Designamos um representante de proteção de dados em cada jurisdição em que a lei aplicável exige que o façamos, e identificamos qualquer representante desse tipo em nossa Política de Privacidade. Avaliamos nossas atividades de processamento em relação aos limiares de designação de representante das jurisdições relevantes para nossos Serviços — incluindo o Artigo 14 da Lei Federal Suíça sobre Proteção de Dados (FADP) — e mantemos a análise de suporte em nossos registros internos de conformidade, que revisamos e atualizamos periodicamente.
O processamento de dados pessoais sob este DPA é realizado com a finalidade de fornecer os Serviços conforme descrito no Contrato e continuará pela duração do Contrato.
Processamos dados pessoais para:
Os tipos de dados pessoais processados dependem do que você coleta por meio do seu website, que pode incluir:
Nós iremos:
Você deverá:
Ao usar os Serviços, você nos instrui a realizar as seguintes atividades de processamento em seu nome como parte das operações padrão da plataforma: moderação de conteúdo de arquivos enviados, revisão de política de conteúdo do conteúdo publicado no website, detecção de spam em envios de formulários, proteção de bot por meio de desafios de prova de trabalho e interações de chatbot com IA com os visitantes do seu website. Essas atividades são instruções documentadas sob o Artigo 28(3)(a) do GDPR.
Você fornece autorização geral para que contratemos subprocessadores para auxiliar na prestação dos Serviços. Nossos subprocessadores atuais estão listados abaixo e em https://www.acira.ai/dpa.
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Amazon Web Services (AWS) | Infraestrutura em nuvem, computação, armazenamento, banco de dados, entrega de e-mail, registro de domínio, moderação de conteúdo, detecção de idioma e inferência de IA (que pode executar modelos próprios e de terceiros; todo o processamento permanece na infraestrutura da AWS independentemente da origem do modelo). Para operadores de sites residentes na UE, as operações automatizadas voltadas a visitantes (notificações de envio de conteúdo e entrega de e-mail transacional) são processadas na União Europeia (Estocolmo). | Estados Unidos e União Europeia (Estocolmo) |
| Cloudflare | Hospedagem de borda, CDN, DNS, SSL, entrega de website, armazenamento persistente, análises, proteção de bot, detecção de spam baseada em IA, e inferência de chatbot com IA (que executa modelos de terceiros na infraestrutura Cloudflare; os desenvolvedores de modelos não recebem dados do usuário). Para operadores de website identificados como residentes da UE, o armazenamento persistente é jurisdicionalmente restrito à União Europeia. | Global (com armazenamento jurisdicional da UE para contas da UE) |
| Fireworks AI | Geração de texto com IA, IA conversacional, criação de conteúdo | Estados Unidos |
| xAI | Geração de imagens com IA | Estados Unidos |
| BrightData | Coleta de dados web públicos (para auxiliar o usuário durante a criação do site), rastreamento de palavras-chave SERP (para planos aplicáveis) | Israel / Global |
| Black Forest Labs | Geração de imagens com IA | União Europeia (Alemanha) |
| ScreenshotOne | Captura de screenshot de website | União Europeia |
| CloudConvert | Conversão de formato de arquivo | União Europeia (Alemanha) |
O processamento de pagamentos é realizado por nossos Merchants of Record (Stripe e Paddle), que atuam como controladores independentes e não como subprocessadores e, portanto, não estão listados acima; consulte a Seção 2.2.
Notificaremos você sobre quaisquer mudanças pretendidas na lista de subprocessadores para os Serviços que você utiliza atualmente, atualizando a lista de subprocessadores em https://www.acira.ai/dpa pelo menos quatorze (14) dias antes que o novo subprocessador comece a processar dados pessoais. Quando introduzirmos novos recursos ou serviços que envolvam subprocessadores adicionais, esses subprocessadores serão divulgados no momento em que o recurso ou serviço for disponibilizado; o uso do novo recurso ou serviço constitui aceitação dos subprocessadores divulgados. É sua responsabilidade revisar periodicamente a lista de subprocessadores para verificar mudanças. Se você tiver uma objeção razoável a um novo subprocessador processando dados para os Serviços existentes, poderá nos notificar por escrito dentro de quatorze (14) dias após a publicação da mudança. Trabalharemos com você de boa-fé para resolver suas preocupações. Se não pudermos resolver a objeção a sua satisfação razoável, você poderá rescindir o Contrato mediante notificação por escrito.
Celebraremos acordos escritos com cada subprocessador que imponham obrigações de proteção de dados não menos protetoras do que as estabelecidas neste DPA. Permanecemos responsáveis pelos atos e omissões de nossos subprocessadores na mesma medida em que seríamos responsáveis se estivéssemos prestando os serviços diretamente.
Os Serviços são hospedados principalmente nos Estados Unidos. Os dados pessoais processados por meio dos Serviços podem ser transferidos e processados nos Estados Unidos e em outros países onde nossos subprocessadores operam. Os provedores de inferência de IA (Fireworks AI e xAI) processam dados nos Estados Unidos. A BrightData pode processar dados em Israel e em outros locais globalmente. A Cloudflare processa dados em locais de borda em todo o mundo.
Residência de Dados na UE: Para operadores de sites identificados como residentes na UE, aplicamos as seguintes medidas de residência de dados para minimizar transferências de dados pessoais de visitantes para fora da União Europeia:
Para transferências de dados pessoais do EEE, UK ou Suíça para países não reconhecidos como fornecendo um nível adequado de proteção de dados, nos apoiamos em:
Implementamos as seguintes medidas suplementares para proteger dados pessoais transferidos:
Essas medidas suplementares são informadas por nossa avaliação das leis e práticas dos países de destino, levando em consideração a natureza dos dados transferidos, o mecanismo de transferência utilizado e as salvaguardas técnicas e organizacionais em vigor. Avaliamos que as medidas suplementares descritas acima, juntamente com os compromissos nas SCCs, fornecem um nível adequado de proteção para os dados pessoais transferidos. Nossa Avaliação de Impacto da Transferência está disponível em https://www.acira.ai/tia.
Para transferências de dados pessoais do Canadá, nos apoiamos nas seguintes salvaguardas para garantir que os dados pessoais transferidos para fora do Canadá recebam um nível de proteção comparável conforme exigido pela Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) e pela legislação de privacidade provincial aplicável (incluindo a PIPA de Alberta, a PIPA da Colúmbia Britânica e a Lei Respeitante à Proteção de Informações Pessoais no Setor Privado do Quebec):
Monitoramos os desenvolvimentos na lei de privacidade canadense, incluindo a proposta Lei de Proteção da Privacidade do Consumidor (CPPA), e atualizaremos nossos mecanismos de transferência conforme necessário.
Assistiremos você ao responder a solicitações de Titulares de Dados que exercem seus direitos sob a Lei de Proteção de Dados Aplicável, incluindo direitos de acesso, retificação, apagamento, restrição, portabilidade e objeção.
Se recebermos uma solicitação ou uma reclamação de proteção de dados diretamente de um Titular de Dados sobre dados pessoais processados em seu nome, escalaremos isso prontamente a você e não responderemos à solicitação ou reclamação sem suas instruções, a menos que exigido pela lei aplicável. Como o Controlador, você é responsável por tratar e responder a tais reclamações de Titulares de Dados, incluindo quaisquer obrigações de tratamento de reclamações que se apliquem a você sob a Lei de Proteção de Dados Aplicável (como a Section 164A do UK Data Protection Act 2018).
Fornecemos ferramentas dentro dos Serviços para ajudá-lo a atender às solicitações dos Titulares de Dados, incluindo:
Implementamos e mantemos medidas técnicas e organizacionais apropriadas para proteger dados pessoais contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidentais. Essas medidas incluem:
Garantimos que todos os funcionários autorizados a processar dados pessoais estejam vinculados a obrigações de confidencialidade.
Notificaremos você sem demora indevida após confirmar uma violação de dados pessoais que afete dados pessoais processados em seu nome. A notificação será enviada às informações de contato associadas à sua conta.
Nossa notificação de violação incluirá, na medida disponível:
Você é responsável por notificar a autoridade supervisora relevante e os Titulares de Dados afetados sobre uma violação de dados pessoais conforme exigido pela Lei de Proteção de Dados Aplicável. Cooperaremos com você e forneceremos assistência razoável para ajudá-lo a cumprir suas obrigações de notificação de violação.
Para demonstrar nossa conformidade com este DPA, disponibilizaremos a você, mediante solicitação escrita razoável (até uma vez por ano), o seguinte:
Quando dependemos de provedores de infraestrutura de terceiros (como AWS e Cloudflare), suas certificações de segurança e documentação de conformidade estão disponíveis por meio de seus respectivos programas de confiança e conformidade.
Se a documentação fornecida nos termos da Seção 11.1 não abordar razoavelmente suas preocupações de conformidade, você poderá enviar perguntas escritas específicas sobre nossas práticas de proteção de dados, às quais responderemos dentro de um prazo razoável.
Reteremos dados pessoais processados em seu nome pela duração do Contrato e de acordo com suas instruções por meio dos Serviços. Os períodos de retenção específicos para dados de visitantes incluem:
Após a rescisão do Contrato, ou mediante sua solicitação, excluiremos dados pessoais processados em seu nome de acordo com as práticas de retenção de dados descritas no Contrato (incluindo o período de carência de sete (7) dias para exclusões de contas e websites). Após o período de carência, a exclusão é permanente e irreversível.
Podemos reter dados pessoais na medida exigida pela lei aplicável, ou quando os dados foram anonimizados e não podem mais ser vinculados a um Titular de Dados.
Este DPA entra em vigor na data em que você aceita o Contrato e permanece em vigor enquanto processarmos dados pessoais em seu nome. As obrigações de confidencialidade e proteção de dados estabelecidas neste DPA sobrevivem à rescisão do Contrato.
A responsabilidade de cada parte sob este DPA está sujeita às limitações de responsabilidade estabelecidas no Contrato.
Para dúvidas sobre este DPA ou para exercer seus direitos, entre em contato conosco em:
Acira AI LLC
Att.: Proteção de Dados
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Estados Unidos
Telefone: 888-389-1189
E-mail: legal@acira.ai
We don't sell your data, we don't use tracking cookies — that's why you won't see a cookie banner here. We honor Global Privacy Control, and for EU customers, visitor data is stored and processed exclusively within the European Union.
Build beautiful websites with AI. No coding required.
Proudly built in the United States
© 2026 Acira AI LLC. All rights reserved.