ADENDA DE TRATAMENTO DE DADOS

Última atualização: 19 de março de 2026

Esta Adenda de Tratamento de Dados ("DPA") faz parte dos Termos e Condições ("Acordo") entre a Acira AI LLC ("Responsável pelo Tratamento", "nós", "nos") e o utilizador dos Serviços ("Responsável pelo Controlo", "você") e complementa o Acordo no que diz respeito ao tratamento de dados pessoais.

Esta DPA aplica-se quando utiliza os Serviços para criar, alojar e publicar websites que recolhem ou tratam dados pessoais de indivíduos localizados no Espaço Económico Europeu ("EEE"), no Reino Unido ("UK") ou na Suíça, ou quando exigido pelas leis de proteção de dados aplicáveis.

Este DPA pode ser traduzido para outros idiomas para sua conveniência. Em caso de conflito ou inconsistência entre a versão em inglês e qualquer versão traduzida, a versão em inglês prevalecerá.

ÍNDICE

1. DEFINIÇÕES
2. ÂMBITO E FUNÇÕES
3. DETALHES DO TRATAMENTO DE DADOS
4. OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO
5. OBRIGAÇÕES DO RESPONSÁVEL PELO CONTROLO
6. SUBCONTRATANTES
7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS
8. DIREITOS DOS TITULARES DE DADOS
9. SEGURANÇA DE DADOS
10. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS
11. AUDITORIAS E VERIFICAÇÃO DE CONFORMIDADE
12. CONSERVAÇÃO E ELIMINAÇÃO DE DADOS
13. VIGÊNCIA E RESCISÃO
14. LIMITAÇÃO DE RESPONSABILIDADE
15. CONTACTE-NOS

1. DEFINIÇÕES

"Lei de Proteção de Dados Aplicável" significa todas as leis e regulamentos aplicáveis ao tratamento de dados pessoais ao abrigo desta DPA, incluindo (conforme aplicável) o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 ("GDPR"), o UK GDPR, a Lei Federal Suíça sobre a Proteção de Dados ("FADP") e a Lei de Privacidade do Consumidor da Califórnia ("CCPA").

"Responsável pelo Controlo" significa a pessoa singular ou coletiva que determina as finalidades e os meios do tratamento de dados pessoais — neste contexto, você, o utilizador dos Serviços que opera um website através da plataforma.

"Titular dos Dados" significa uma pessoa singular identificada ou identificável cujos dados pessoais são tratados.

"Dados Pessoais" significa qualquer informação relativa a um Titular dos Dados que é tratada através dos Serviços.

"Tratamento" significa qualquer operação realizada sobre dados pessoais, incluindo recolha, registo, organização, estruturação, conservação, adaptação, recuperação, consulta, utilização, divulgação, difusão, restrição, apagamento ou destruição.

"Responsável pelo Tratamento" significa uma pessoa singular ou coletiva que trata dados pessoais por conta do Responsável pelo Controlo — neste contexto, a Acira AI LLC.

"Subcontratante" significa qualquer terceiro contratado pelo Responsável pelo Tratamento para tratar dados pessoais por conta do Responsável pelo Controlo.

"Cláusulas Contratuais-Tipo" ou "CCT" significa as cláusulas contratuais-tipo para a transferência de dados pessoais a responsáveis pelo tratamento estabelecidos em países terceiros, conforme adotadas pela Comissão Europeia.

2. ÂMBITO E FUNÇÕES

2.1 Relação de Tratamento

Quando utiliza os Serviços para criar e operar um website que recolhe dados pessoais dos seus visitantes (através de formulários, contas de utilizador, interações com chatbot, comentários, avaliações ou outras funcionalidades interativas), atua como Responsável pelo Controlo e nós atuamos como Responsável pelo Tratamento desses dados pessoais dos visitantes.

2.2 O Nosso Papel como Responsável pelo Controlo

Atuamos como Responsável pelo Tratamento independente para os dados pessoais que recolhemos para os nossos próprios fins, incluindo: as suas informações de conta, dados de faturação, análises de utilização, características gerais do website derivadas do conteúdo do seu website (como setor ou tipo de negócio), e dados de operação da plataforma. O tratamento destes dados é regido pela nossa Política de Privacidade e está fora do âmbito deste DPA.

2.3 Análises da Plataforma

Recolhemos análises básicas e respeitadoras da privacidade sobre os visitantes do website (conforme descrito no Acordo). Para os dados analíticos, atuamos como responsável conjunto pelo controlo com você. Concebemos as nossas análises para minimizar a recolha de dados pessoais — não armazenamos endereços IP brutos e os identificadores de visitantes são alterados diariamente. As respetivas responsabilidades de cada responsável conjunto pelo controlo são as seguintes:

• Acira AI (Responsável pelo Tratamento/Responsável Conjunto pelo Controlo): Determina os meios técnicos de recolha de análises, incluindo que pontos de dados são recolhidos, como os identificadores de visitantes são calculados (hashes de rotação diária) e como os dados são agregados. Somos responsáveis pela segurança e integridade da infraestrutura de análises e por responder a consultas gerais sobre o funcionamento das análises na plataforma.
• Você (Responsável pelo Controlo/Responsável Conjunto pelo Controlo): Determina se deve utilizar análises no seu website (as análises estão ativadas por defeito como parte dos Serviços). É responsável por divulgar a recolha de dados analíticos na política de privacidade do seu website e por responder aos pedidos dos Titulares de Dados dos visitantes do seu website relativamente aos seus dados analíticos.
• Ponto de contacto para os Titulares de Dados: Os Titulares de Dados podem contactá-lo (o proprietário do website) relativamente aos dados analíticos recolhidos no seu website. Se recebermos um pedido de um Titular de Dados relativamente a dados analíticos, iremos direcioná-lo para si, salvo instrução em contrário da sua parte. Para consultas gerais sobre a plataforma, os Titulares de Dados podem contactar-nos em legal@acira.ai.

2.4 Essência do Acordo de Responsabilidade Conjunta pelo Controlo

Em conformidade com o Artigo 26(2) do GDPR, a essência deste acordo de responsabilidade conjunta pelo controlo para dados analíticos é a seguinte: Nós (Acira AI) determinamos os meios técnicos e os pontos de dados recolhidos; você (o operador do website) determina se as análises são utilizadas no seu website. Somos cada um responsáveis pelas nossas respetivas obrigações ao abrigo da Lei de Proteção de Dados Aplicável. Você é o principal ponto de contacto para os visitantes do seu website relativamente a dados analíticos. Um resumo deste acordo é disponibilizado aos Titulares de Dados através desta DPA e em https://www.acira.ai/dpa.

2.5 Designação de Prestador de Serviços CCPA

Na medida em que tratamos informações pessoais sujeitas à California Consumer Privacy Act ("CCPA") em seu nome, somos o seu "prestador de serviços" conforme definido no Cal. Civ. Code § 1798.140(ag). Não iremos:

• Vender ou partilhar (conforme esses termos são definidos na CCPA) quaisquer informações pessoais que nos forneça;
• Conservar, utilizar ou divulgar informações pessoais para qualquer finalidade que não sejam as finalidades comerciais especificadas nesta DPA e no Acordo, ou conforme de outra forma permitido pela CCPA;
• Conservar, utilizar ou divulgar informações pessoais fora da relação comercial direta entre você e nós;
• Combinar informações pessoais recebidas de si com informações pessoais que recebemos de ou em nome de outra pessoa ou que recolhemos das nossas próprias interações com consumidores, exceto conforme permitido pela CCPA.

Podemos derivar características comerciais gerais e não identificadoras (como classificação do setor) do conteúdo do seu website com o objetivo de fornecer recomendações de produtos relevantes, conforme descrito na Secção 2.2. Esta utilização limitada não constitui venda, partilha ou combinação de informações pessoais na aceção da CCPA.

Certificamos que compreendemos e cumpriremos estas restrições.

2.6 Avaliação do Representante Suíço FADP

O Artigo 14 da Lei Federal Suíça sobre a Proteção de Dados ("FADP") exige que um responsável pelo controlo privado não suíço designe um representante na Suíça apenas quando todas as quatro condições cumulativas seguintes estejam preenchidas: (1) o tratamento está relacionado com a oferta de bens ou serviços a pessoas na Suíça ou com a monitorização do seu comportamento; (2) o tratamento é realizado em grande escala; (3) o tratamento ocorre de forma regular; e (4) o tratamento representa um risco elevado para os direitos de personalidade ou direitos fundamentais dos titulares de dados.

Avaliámos as nossas atividades de tratamento face a estas condições e determinámos que, embora as condições (1) e (3) estejam preenchidas, as condições restantes não estão satisfeitas pelas seguintes razões:

• Não em grande escala: Somos uma pequena plataforma SaaS. O volume de dados pessoais de residentes suíços tratados através dos nossos Serviços é limitado e não constitui tratamento em grande escala no sentido do Artigo 14 da FADP.
• Não de elevado risco: Os dados pessoais que tratamos em nome dos operadores de websites consistem principalmente em identificadores analíticos pseudonimizados (hashes de rotação diária), metadados básicos de visitantes (país, tipo de dispositivo, navegador), conteúdo de submissão de formulários e mensagens de chatbot. Não tratamos categorias especiais de dados pessoais (Artigo 5(c) da FADP), nem nos envolvemos em definição de perfis com elevado risco para os titulares de dados. O Comissário Federal Suíço de Proteção de Dados e Informação ("FDPIC") indicou que esta obrigação se destina principalmente a grandes plataformas de internet e redes sociais que operam do estrangeiro, o que não descreve os nossos Serviços.

Com base nesta avaliação, concluímos que não somos obrigados a designar um representante na Suíça ao abrigo do Artigo 14 da FADP neste momento. Reavaliaremos esta determinação periodicamente, incluindo em caso de alterações materiais à escala ou natureza das nossas atividades de tratamento que afetem residentes suíços.

3. DETALHES DO TRATAMENTO DE DADOS

3.1 Objeto e Duração

O tratamento de dados pessoais ao abrigo desta DPA é realizado com a finalidade de prestar os Serviços conforme descrito no Acordo e continuará pela duração do Acordo.

3.2 Natureza e Finalidade do Tratamento

Tratamos dados pessoais para:

• Alojar e servir o conteúdo do seu website
• Armazenar e gerir dados submetidos através dos formulários e funcionalidades interativas do seu website
• Manter contas de utilizador e sessões para as áreas protegidas do seu website
• Enviar comunicações por correio eletrónico em seu nome
• Reencaminhar correios eletrónicos recebidos nos seus endereços de correio eletrónico de domínio personalizado
• Alimentar conversas de chatbot com IA com os visitantes do seu website
• Gerar descrições e metadados com IA para ficheiros carregados
• Converter ficheiros carregados em formatos otimizados para a web
• Fornecer análises de visitantes
• Derivar características gerais do website (como setor ou tipo de negócio) para fornecer recomendações relevantes da plataforma
• Detetar e prevenir spam e abusos (incluindo desafios de bot de prova de trabalho)
• Realizar moderação de conteúdo em ficheiros carregados
• Rever o conteúdo do website durante a publicação para conformidade com as políticas de conteúdo da plataforma
• Gerir as preferências de cancelamento de subscrição de e-mail para os destinatários de e-mail do seu website
• Facilitar comunicações de canal em tempo real no seu website através de ligações WebSocket (as mensagens são efémeras e não são persistidas)
• Manter registos de erros e diagnósticos para fiabilidade da plataforma e resolução de problemas (pode incluir endereços IP e metadados de pedidos; conservados durante até trinta (30) dias)

3.3 Tipos de Dados Pessoais

Os tipos de dados pessoais tratados dependem do que recolhe através do seu website, que pode incluir:

• Nomes e informações de contacto
• Endereços de correio eletrónico
• Mensagens e submissões de formulários
• Carregamentos de ficheiros submetidos pelos visitantes do website (como imagens e documentos)
• Conteúdo de conversas de chatbot (mensagens dos visitantes e respostas da IA)
• Credenciais de conta de utilizador (armazenadas em formato hash)
• Dados de sessão
• Endereços IP (não armazenados em análises — apenas um hash de rotação diária é armazenado; armazenados como metadados juntamente com submissões de formulários e conversas de chatbot; utilizados temporariamente e transformados em hash para verificação de desafio de bot; armazenados temporariamente para limitação de taxa durante até sete (7) dias e automaticamente eliminados)
• Informações de navegador e dispositivo
• Dados de localização (nível de país e região, derivados de IP)
• Registos de cancelamento de subscrição de e-mail (armazenados como hashes criptográficos dos endereços de e-mail dos destinatários; não armazenados em formato bruto)
• Resultados de classificação de spam (se uma submissão foi determinada como spam)
• Dados de registo de erros e diagnósticos (endereços IP, caminhos de pedidos e detalhes de erros; conservados durante até trinta (30) dias e automaticamente eliminados)

3.4 Categorias de Titulares de Dados

• Visitantes do seu website
• Utilizadores que criam contas no seu website
• Utilizadores que submetem formulários ou interagem com chatbots no seu website
• Utilizadores que submetem comentários, avaliações ou outras contribuições no seu website

4. OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO

Nós iremos:

1. Tratar dados pessoais apenas com base nas suas instruções documentadas, salvo se formos obrigados a fazê-lo pela lei aplicável (caso em que o informaremos sobre esse requisito legal antes do tratamento, salvo se proibido por lei);
2. Garantir que as pessoas autorizadas a tratar dados pessoais se comprometam com a confidencialidade ou estejam sujeitas a uma obrigação legal adequada de confidencialidade;
3. Implementar medidas técnicas e organizativas de segurança adequadas conforme descrito na Secção 9;
4. Cumprir as condições para a contratação de subcontratantes conforme estabelecido na Secção 6;
5. Assistir-lhe, tendo em conta a natureza do tratamento, na resposta a pedidos dos Titulares de Dados que exercem os seus direitos ao abrigo da Lei de Proteção de Dados Aplicável;
6. Assistir-lhe para garantir o cumprimento das suas obrigações ao abrigo dos Artigos 32-36 do GDPR (segurança, notificação de violação, avaliações de impacto sobre a proteção de dados e consulta prévia), tendo em conta a natureza do tratamento e as informações disponíveis para nós. Quando a sua utilização dos Serviços envolver tratamento de elevado risco que possa exigir uma Avaliação de Impacto sobre a Proteção de Dados (AIPD), forneceremos informações sobre as nossas atividades de tratamento, medidas técnicas e organizativas e subcontratantes para apoiar a sua avaliação;
7. Assistir-lhe no cumprimento das suas obrigações ao abrigo do Artigo 22 do GDPR (decisões individuais automatizadas), fornecendo informações sobre qualquer tratamento automatizado realizado em seu nome, incluindo moderação de conteúdo, deteção de spam e proteção de bot, e facilitando a revisão humana de decisões automatizadas mediante pedido;
8. Informar-lhe se, em nossa opinião, uma instrução sua infringir a Lei de Proteção de Dados Aplicável;
9. Por sua escolha, eliminar ou devolver todos os dados pessoais após o término da prestação dos Serviços, e eliminar as cópias existentes, salvo se a conservação for exigida pela lei aplicável;
10. Disponibilizar-lhe todas as informações necessárias para demonstrar conformidade com as obrigações estabelecidas nesta DPA e contribuir para a verificação de conformidade conforme descrito na Secção 11.

5. OBRIGAÇÕES DO RESPONSÁVEL PELO CONTROLO

Você deverá:

1. Garantir que a sua recolha e tratamento de dados pessoais através do seu website cumpre todas as Leis de Proteção de Dados Aplicáveis;
2. Fornecer avisos de privacidade adequados aos visitantes do seu website descrevendo as suas práticas de recolha de dados, incluindo a divulgação de análises ao nível da plataforma, interações de chatbot com IA, deteção de spam e proteção de bot;
3. Obter todos os consentimentos necessários ou estabelecer outra base jurídica para o tratamento de dados pessoais através do seu website;
4. Garantir que as suas instruções para nós relativamente ao tratamento de dados pessoais cumprem as Leis de Proteção de Dados Aplicáveis;
5. Ser responsável pela exatidão, qualidade e legalidade dos dados pessoais fornecidos a nós através do seu website.

Ao utilizar os Serviços, instrui-nos a realizar as seguintes atividades de tratamento em seu nome como parte das operações padrão da plataforma: moderação de conteúdo de ficheiros carregados, revisão de política de conteúdo do conteúdo publicado no website, deteção de spam em submissões de formulários, proteção de bot através de desafios de prova de trabalho e interações de chatbot com IA com os visitantes do seu website. Estas atividades são instruções documentadas ao abrigo do Artigo 28(3)(a) do GDPR.

6. SUBCONTRATANTES

6.1 Subcontratantes Autorizados

Concede autorização geral para que contratemos subcontratantes para auxiliar na prestação dos Serviços. Os nossos subcontratantes atuais estão listados abaixo e em https://www.acira.ai/dpa.

6.2 Lista Atual de Subcontratantes

6.3 Alterações aos Subcontratantes

Notificá-lo-emos de quaisquer alterações pretendidas à lista de subcontratantes para os Serviços que utiliza atualmente, atualizando a lista de subcontratantes em https://www.acira.ai/dpa pelo menos catorze (14) dias antes de o novo subcontratante começar a tratar dados pessoais. Quando introduzirmos novas funcionalidades ou serviços que envolvam subcontratantes adicionais, esses subcontratantes serão divulgados no momento em que a funcionalidade ou serviço ficar disponível; a utilização da nova funcionalidade ou serviço constitui aceitação dos subcontratantes divulgados. É sua responsabilidade rever periodicamente a lista de subcontratantes para verificar alterações. Se tiver uma objeção razoável a um novo subcontratante a tratar dados para os Serviços existentes, pode notificar-nos por escrito no prazo de catorze (14) dias após a publicação da alteração. Trabalharemos consigo de boa-fé para resolver as suas preocupações. Se não conseguirmos resolver a objeção à sua satisfação razoável, pode rescindir o Acordo mediante notificação por escrito.

6.4 Obrigações dos Subcontratantes

Celebraremos acordos escritos com cada subcontratante que imponham obrigações de proteção de dados não menos protetoras do que as estabelecidas nesta DPA. Permanecemos responsáveis pelos atos e omissões dos nossos subcontratantes na mesma medida em que seríamos responsáveis se estivéssemos a prestar os serviços diretamente.

7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

7.1 Mecanismos de Transferência

Os Serviços são alojados principalmente nos Estados Unidos. Os dados pessoais tratados através dos Serviços podem ser transferidos e tratados nos Estados Unidos e noutros países onde os nossos subcontratantes operam. Os fornecedores de inferência de IA (Fireworks AI e xAI) tratam dados nos Estados Unidos. A BrightData pode tratar dados em Israel e noutras localizações a nível global. A Cloudflare trata dados em localizações de borda em todo o mundo.

Residência de Dados na UE: Para operadores de websites identificados como residentes na UE, aplicamos as seguintes medidas de residência de dados para minimizar as transferências de dados pessoais de visitantes para fora da União Europeia:

• Armazenamento: Os dados dos visitantes no armazenamento persistente de extremidade — incluindo submissões de formulários, conversas de chatbot, dados de sessão e dados de tabelas de utilizadores — estão jurisdicionalmente restritos à União Europeia. Estes dados são armazenados exclusivamente em centros de dados da UE.
• Processamento automatizado voltado a visitantes: As operações acionadas automaticamente pela atividade dos visitantes — incluindo notificações de submissão de conteúdo e entrega de e-mail transacional — são processadas dentro da União Europeia e não transitam pela infraestrutura dos EUA.
• Acesso de gestão da plataforma: Quando acede aos dados dos visitantes do seu website através do painel da plataforma ou da interface conversacional (por exemplo, visualizar submissões de formulários ou gerir registos de utilizadores), estes dados podem ser processados através da nossa infraestrutura baseada nos EUA para satisfazer o seu pedido. Estas transferências são a pedido, iniciadas por si (o Responsável pelo Tratamento), e protegidas pelos mecanismos de transferência e medidas suplementares descritos abaixo.
• Outro processamento baseado nos EUA: Os dados analíticos e os dados processados pela nossa infraestrutura na nuvem baseada nos EUA para moderação de conteúdo e inferência de IA podem ainda ser transferidos para os Estados Unidos ao abrigo dos mecanismos de transferência abaixo.

Para transferências de dados pessoais do EEE, UK ou Suíça para países não reconhecidos como fornecendo um nível adequado de proteção de dados, baseamo-nos em:

1. Cláusulas Contratuais-Tipo (CCT): Incorporamos as Cláusulas Contratuais-Tipo da Comissão Europeia nesta DPA por referência: Módulo Um (Responsável pelo Controlo para Responsável pelo Controlo) para dados analíticos onde atuamos como responsável conjunto pelo controlo (ver Secção 2.3), e Módulo Dois (Responsável pelo Controlo para Responsável pelo Tratamento) para todos os outros dados pessoais tratados em seu nome. As CCT estão disponíveis em https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Adenda de Transferência Internacional de Dados do UK: Para transferências do UK, aplica-se a Adenda do UK às CCT da UE.
3. Mecanismos de Transferência de Dados Suíços: Para transferências da Suíça, as CCT aplicam-se com as modificações exigidas pela FADP suíça.

7.2 Medidas Suplementares

Implementamos as seguintes medidas suplementares para proteger os dados pessoais transferidos:

• Encriptação de dados em trânsito (TLS/SSL) e em repouso
• Controlos de acesso e mecanismos de autenticação
• Avaliações regulares de segurança
• Práticas de minimização de dados (por exemplo, hashes de visitantes de rotação diária em vez de armazenamento de IP bruto)
• Residência jurisdicional de dados para operadores de websites residentes na UE (armazenamento persistente e processamento automatizado dirigido a visitantes restrito à UE)
• Infraestrutura de computação e e-mail localizada na UE para operações automatizadas voltadas a visitantes (notificações de submissão de conteúdo e entrega de e-mail transacional processados na União Europeia para operadores de sites residentes na UE)

7.3 Avaliação de Impacto da Transferência

Estas medidas suplementares são informadas pela nossa avaliação das leis e práticas dos países de destino, tendo em conta a natureza dos dados transferidos, o mecanismo de transferência utilizado e as salvaguardas técnicas e organizativas em vigor. Avaliámos que as medidas suplementares descritas acima, juntamente com os compromissos nas CCT, fornecem um nível adequado de proteção para os dados pessoais transferidos. A nossa Avaliação de Impacto da Transferência está disponível em https://www.acira.ai/tia.

7.4 Transferências de Dados Canadianas

Para transferências de dados pessoais do Canadá, baseamo-nos nas seguintes salvaguardas para garantir que os dados pessoais transferidos para fora do Canadá recebem um nível de proteção comparável conforme exigido pela Lei de Proteção de Informações Pessoais e Documentos Eletrónicos (PIPEDA) e pela legislação de privacidade provincial aplicável (incluindo a PIPA de Alberta, a PIPA da Colúmbia Britânica e a Lei Respeitante à Proteção de Informações Pessoais no Setor Privado do Quebec):

1. Proteções contratuais: Acordos escritos de tratamento de dados com cada subcontratante que impõem obrigações de proteção de dados pessoais a um padrão consistente com a lei de privacidade canadiana, incluindo requisitos de salvaguardas de segurança adequadas, limitações de utilização, notificação de violação e acesso dos titulares de dados.
2. Salvaguardas técnicas: As mesmas medidas de encriptação, pseudonimização, controlo de acesso e minimização de dados descritas na Secção 7.2 aplicam-se às transferências de dados canadianas.
3. Salvaguardas organizativas: Diligência devida com subcontratantes, obrigações de confidencialidade para o pessoal e procedimentos documentados de resposta a incidentes conforme descrito nesta DPA.

Monitorizamos os desenvolvimentos na lei de privacidade canadiana, incluindo a proposta Lei de Proteção da Privacidade do Consumidor (CPPA), e atualizaremos os nossos mecanismos de transferência conforme necessário.

8. DIREITOS DOS TITULARES DE DADOS

8.1 Assistência com Pedidos

Assistir-lhe-emos na resposta a pedidos dos Titulares de Dados que exercem os seus direitos ao abrigo da Lei de Proteção de Dados Aplicável, incluindo direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição.

8.2 Notificação

Se recebermos um pedido diretamente de um Titular de Dados relativamente a dados pessoais tratados em seu nome, notificá-lo-emos prontamente e não responderemos ao pedido sem as suas instruções, salvo se exigido pela lei aplicável.

8.3 Ferramentas da Plataforma

Fornecemos ferramentas dentro dos Serviços para o ajudar a satisfazer os pedidos dos Titulares de Dados, incluindo:

• Acesso e gestão de dados armazenados nas bases de dados do seu website
• Eliminação de registos individuais das bases de dados do seu website
• Mediante pedido, podemos fornecer exportações de dados em formato ZIP para auxiliar com obrigações de portabilidade de dados

9. SEGURANÇA DE DADOS

9.1 Medidas de Segurança

Implementamos e mantemos medidas técnicas e organizativas adequadas para proteger dados pessoais contra tratamento não autorizado ou ilícito e contra perda, destruição ou dano acidentais. Estas medidas incluem:

• Encriptação: Dados encriptados em trânsito via TLS/SSL e em repouso utilizando encriptação padrão da indústria
• Controlo de Acesso: Controlos de acesso baseados em funções, autenticação multifator para administração da plataforma, políticas de acesso de privilégio mínimo
• Segurança da Infraestrutura: Infraestrutura cloud gerida com aplicação automatizada de correções de segurança, proteção DDoS e Firewall de Aplicações Web (WAF)
• Isolamento de Dados: Isolamento de dados por website através de instâncias de armazenamento dedicadas
• Monitorização: Monitorização automatizada de segurança, deteção de intrusão e registo estruturado
• Segurança de Credenciais: Todas as chaves de API e segredos armazenados em serviços dedicados de gestão de segredos; palavras-passe de utilizador transformadas em hash utilizando algoritmos criptográficos fortes com salts por utilizador
• Proteção de Bot: Sistemas de desafio de prova de trabalho para prevenir abuso automatizado

9.2 Confidencialidade

Garantimos que todo o pessoal autorizado a tratar dados pessoais está vinculado a obrigações de confidencialidade.

10. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS

10.1 Notificação ao Responsável pelo Controlo

Notificá-lo-emos sem demora injustificada após confirmar uma violação de dados pessoais que afete dados pessoais tratados em seu nome. A notificação será enviada para as informações de contacto associadas à sua conta.

10.2 Conteúdo da Notificação

A nossa notificação de violação incluirá, na medida do disponível:

1. Uma descrição da natureza da violação, incluindo categorias e número aproximado de Titulares de Dados e registos envolvidos;
2. O nome e os detalhes de contacto do nosso contacto de proteção de dados;
3. Uma descrição das prováveis consequências da violação;
4. Uma descrição das medidas tomadas ou propostas para resolver a violação e mitigar os seus efeitos.

10.3 As Suas Obrigações

É responsável por notificar a autoridade de controlo relevante e os Titulares de Dados afetados de uma violação de dados pessoais conforme exigido pela Lei de Proteção de Dados Aplicável. Cooperaremos consigo e forneceremos assistência razoável para o ajudar a cumprir as suas obrigações de notificação de violação.

11. AUDITORIAS E VERIFICAÇÃO DE CONFORMIDADE

11.1 Documentação de Conformidade

Para demonstrar a nossa conformidade com este DPA, disponibilizaremos, mediante pedido escrito razoável (até uma vez por ano), o seguinte:

1. Relatórios de auditoria de terceiros relevantes, certificações ou resumos de avaliações de segurança;
2. Um resumo das nossas medidas de segurança técnicas e organizativas atuais;
3. Informações sobre as nossas atividades de tratamento, subcontratantes e práticas de proteção de dados.

Quando dependemos de fornecedores de infraestrutura de terceiros (como AWS e Cloudflare), as suas certificações de segurança e documentação de conformidade estão disponíveis através dos respetivos programas de confiança e conformidade.

11.2 Consultas Adicionais

Se a documentação fornecida ao abrigo da Secção 11.1 não abordar razoavelmente as suas preocupações de conformidade, poderá apresentar perguntas escritas específicas sobre as nossas práticas de proteção de dados, às quais responderemos num prazo razoável.

12. CONSERVAÇÃO E ELIMINAÇÃO DE DADOS

12.1 Durante o Acordo

Conservaremos dados pessoais tratados em seu nome pela duração do Acordo e de acordo com as suas instruções através dos Serviços. Os períodos de conservação específicos para dados de visitantes incluem:

• Conversas de chatbot no seu website: Conservadas durante trinta (30) dias a partir da última interação em cada conversa. As conversas são armazenadas dentro das sessões dos visitantes na infraestrutura de borda do website e são automaticamente eliminadas quando a sessão expira por inatividade.
• Submissões de formulários e conteúdo gerado pelo utilizador no seu website: Conservados pela duração do website associado, salvo se os eliminar anteriormente através das ferramentas da plataforma.
• Dados de sessão dos visitantes do seu website: Automaticamente eliminados após 30 dias de inatividade.
• Conteúdo eliminado de visitantes (submissões de formulários, comentários e outros conteúdos gerados pelo utilizador no seu website): Quando elimina conteúdo de visitantes através das ferramentas da plataforma, este é movido para um estado de eliminação suave e conservado durante até trinta (30) dias para suporte à recuperação. Após este período, o conteúdo eliminado de forma suave é removido permanentemente. Pode eliminar permanentemente o conteúdo de imediato limpando-o da fila de recuperação.
• Registos de cancelamento de subscrição de e-mail no seu website: Retidos durante a duração do website associado, a menos que o destinatário volte a subscrever. Os registos de cancelamento são eliminados quando o website é destruído.
• Dados analíticos: Conservados pela duração do website associado (sujeito a limites de conservação baseados no plano; os dados analíticos do plano gratuito são conservados durante noventa (90) dias).

12.2 Após a Rescisão

Após a rescisão do Acordo, ou mediante o seu pedido, eliminaremos os dados pessoais tratados em seu nome de acordo com as práticas de conservação de dados descritas no Acordo (incluindo o período de carência de sete (7) dias para eliminações de contas e websites). Após o período de carência, a eliminação é permanente e irreversível.

12.3 Exceções

Podemos conservar dados pessoais na medida exigida pela lei aplicável, ou quando os dados foram anonimizados e já não podem ser associados a um Titular de Dados.

13. VIGÊNCIA E RESCISÃO

Esta DPA entra em vigor na data em que aceita o Acordo e permanece em vigor enquanto tratarmos dados pessoais em seu nome. As obrigações de confidencialidade e proteção de dados estabelecidas nesta DPA sobrevivem à rescisão do Acordo.

14. LIMITAÇÃO DE RESPONSABILIDADE

A responsabilidade de cada parte ao abrigo desta DPA está sujeita às limitações de responsabilidade estabelecidas no Acordo.

15. CONTACTE-NOS

Para questões sobre esta DPA ou para exercer os seus direitos, contacte-nos em:

Acira AI LLC
A/C: Proteção de Dados
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Estados Unidos

Telefone: 888-389-1189
Correio eletrónico: legal@acira.ai