Evaluarea impactului transferului
EVALUAREA IMPACTULUI TRANSFERULUI
Ultima actualizare: 19 martie 2026
Această Evaluare a Impactului Transferului („EIT") a fost pregătită de Acira AI LLC („Acira AI", „noi", „nouă") în conformitate cu cerințele hotărârii Curții de Justiție a Uniunii Europene în cauza Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (Cauza C-311/18, „Schrems II") și recomandările Comitetului European pentru Protecția Datelor (Recomandările CEPD 01/2020 privind măsurile suplimentare).
Această EIT evaluează caracterul adecvat al protecțiilor pentru datele cu caracter personal transferate din Spațiul Economic European („SEE"), Regatul Unit, Elveția și Canada în Statele Unite și alte țări terțe în legătură cu furnizarea Serviciilor noastre.
Această EIT poate fi tradusă în alte limbi pentru comoditatea dumneavoastră. În cazul oricărui conflict sau inconsistențe între versiunea în limba engleză și orice versiune tradusă, versiunea în limba engleză va prevala.
CUPRINS
- PREZENTARE GENERALĂ A TRANSFERURILOR
- NATURA DATELOR TRANSFERATE
- MECANISME DE TRANSFER
- EVALUAREA LEGISLAȚIEI ȚĂRILOR DE DESTINAȚIE
- EVALUAREA FLUXURILOR DE DATE PE FURNIZOR DE SERVICII
- MĂSURI SUPLIMENTARE
- EVALUAREA RISCURILOR
- CONCLUZIE
- PROGRAMUL DE REVIZUIRE
- CONTACTAȚI-NE
1. PREZENTARE GENERALĂ A TRANSFERURILOR
1.1 Context
Acira AI este o platformă software ca serviciu (SaaS) care le permite întreprinderilor și persoanelor fizice să creeze, să gestioneze și să găzduiască site-uri web bazate pe inteligență artificială. Când utilizatorii creează site-uri web accesate de vizitatori situați în SEE, Regatul Unit, Elveția sau Canada, datele cu caracter personal ale acelor vizitatori pot fi transferate și prelucrate în Statele Unite și în alte locații unde operează furnizorii noștri de infrastructură.
1.2 Părți
- Exportatorul de date: Operatorul site-ului web (clientul nostru, acționând în calitate de Operator) și, pentru datele analitice, Acira AI în calitate de Operator comun.
- Importatorul de date: Acira AI LLC, constituită în statul Nevada, Statele Unite, acționând în calitate de Persoană împuternicită (și Operator comun pentru analiză).
- Subprocesori: Furnizori de servicii terți angajați de Acira AI (enumerați în Secțiunea 5).
1.3 Destinații ale transferurilor
| Destinație | Furnizori | Bază |
|---|---|---|
| Statele Unite și Uniunea Europeană (Stockholm) | AWS | SCC-uri + Măsuri suplimentare (SUA); Intra-SEE pentru operațiuni automatizate orientate spre vizitatori pentru rezidenții UE |
| Statele Unite | Stripe, Fireworks AI, xAI | SCC-uri + Măsuri suplimentare |
| Global (locații edge) | Cloudflare | CCS + Măsuri suplimentare |
| Israel | BrightData (numai la solicitarea utilizatorului) | CCS + Măsuri suplimentare |
| Uniunea Europeană | Black Forest Labs, ScreenshotOne, CloudConvert | Intra-SEE (nu este necesar niciun mecanism de transfer) |
2. NATURA DATELOR TRANSFERATE
2.1 Categorii de date cu caracter personal
Datele cu caracter personal transferate depind de funcțiile activate de operatorul site-ului web și de interacțiunile vizitatorilor site-ului. Pot fi transferate următoarele categorii:
| Categoria de date | Descriere | Sensibilitate | Volum |
|---|---|---|---|
| Identificatori analitici | Hash criptografic rotativ zilnic al adresei IP + User-Agent + dată (pseudonimizat) | Scăzută | Ridicat (fiecare vizualizare de pagină) |
| Metadate ale vizitatorului | Țară, regiune, limbă, tip de dispozitiv, browser, SO, domeniu de referință, parametri UTM | Scăzută | Ridicat (fiecare vizualizare de pagină) |
| Adrese IP | Stocate ca metadate împreună cu trimiterile de formulare și conversațiile chatbot; convertite în hash pentru analiză; utilizate temporar pentru verificarea boturilor; stocate temporar pentru limitarea ratei (până la 7 zile) | Medie | Mediu |
| Conținut al trimiterilor de formulare | Câmpuri text liber trimise de vizitatori (nume, adrese de e-mail, mesaje etc.) | Variabilă (depinde de formular) | Scăzut până la mediu |
| Mesaje chatbot | Mesajele vizitatorilor și răspunsurile generate de IA (max. 2.000 de caractere pe mesaj) | Scăzută până la medie | Scăzut |
| Fișiere încărcate | Fișiere încărcate de vizitatori prin formulare ale site-ului (imagini, documente) | Variabilă | Scăzut |
| Identificatori de sesiune | ID-uri de sesiune pe partea serverului și cookie-uri de sesiune pe partea clientului | Scăzută | Ridicat |
| Date de autentificare | Parole pentru zonele protejate ale site-ului web (stocate numai în formă hash) | Ridicată (dar hash) | Scăzut |
2.2 Categorii de persoane vizate
- Vizitatori ai site-urilor web găzduite pe platforma Acira AI
- Utilizatori care creează conturi pe site-uri găzduite pe platformă
- Utilizatori care trimit formulare, interacționează cu chatboți sau încarcă fișiere pe site-uri găzduite
2.3 Date netransferате
- Date de geolocalizare: Căutările de locație bazate pe IP sunt efectuate la marginea rețelei de furnizorul nostru de infrastructură. Nicio adresă IP a vizitatorilor nu este transmisă vreunui serviciu extern de geolocalizare.
- Adrese IP brute de analiză: Se stochează doar un hash criptografic rotativ zilnic; IP-urile brute nu sunt persistate în sistemele de analiză.
- Parole în text clar: Sunt stocate și transferate numai hash-uri criptografice.
3. MECANISME DE TRANSFER
3.1 Mecanismul principal: Clauze contractuale standard
Ne bazăm pe Clauzele Contractuale Standard (CCS) adoptate de Comisia Europeană prin Decizia de punere în aplicare a Comisiei (UE) 2021/914, în special:
- Modulul Unu (Operator la Operator): Pentru transferuri de date analitice în care Acira AI acționează ca operator comun cu operatorul site-ului web (a se vedea Secțiunea 2.3 din DPA).
- Modulul Doi (Operator la Persoană împuternicită): Pentru transferuri de date cu caracter personal ale vizitatorilor de la operatorul site-ului web (Operator) la Acira AI (Persoană împuternicită).
- Modulul Trei (Persoană împuternicită la Subprocesor): Pentru transferuri ulterioare de la Acira AI la subprocesorii noștri.
3.2 Transferuri către Regatul Unit, Elveția și Canada
- Regatul Unit: Se aplică Addendumul pentru transferul internațional de date al Regatului Unit la CCS ale UE.
- Elveția: CCS se aplică cu modificările cerute de Legea federală elvețiană privind protecția datelor (FADP).
- Canada: Transferurile se bazează pe protecții contractuale cu fiecare subprocesor care impun obligații consecvente cu Legea privind protecția informațiilor personale și a documentelor electronice (PIPEDA) și legislația provincială aplicabilă în materie de confidențialitate, combinată cu măsurile tehnice și organizatorice suplimentare descrise în Secțiunea 6. Consultați Secțiunea 7.4 din DPA pentru detalii.
3.3 Mecanisme de transfer ale subprocesorilor
| Subprocesor | Mecanismul de transfer |
|---|---|
| Amazon Web Services | CCS (DPA AWS), certificat ISO 27001/27017/27018 |
| Cloudflare | CCS (DPA Cloudflare), certificat ISO 27001 |
| Stripe | CCS (DPA Stripe), certificat PCI DSS Nivel 1 |
| Fireworks AI | CCS (DPA Fireworks AI), SOC 2 Tip II, certificat ISO 27001/27701/42001 |
| xAI | CCS (DPA xAI cu CCS ale UE) |
| BrightData | CCS (DPA BrightData) |
4. EVALUAREA LEGISLAȚIEI ȚĂRILOR DE DESTINAȚIE
4.1 Statele Unite
Statele Unite reprezintă principala destinație a datelor transferate. Următoarele legi ale SUA sunt relevante pentru această evaluare:
4.1.1 Legea privind supravegherea informațiilor externe (FISA), Secțiunea 702
Secțiunea 702 din FISA autorizează guvernul SUA să oblige furnizorii de servicii de comunicații electronice să ofere acces la comunicațiile persoanelor care nu sunt cetățeni ai SUA, situate în afara Statelor Unite, în scopuri de informații externe.
Evaluarea riscului:
- Aplicabilitate: Secțiunea 702 din FISA se aplică „furnizorilor de servicii de comunicații electronice" conform definiției din 50 U.S.C. § 1881(b)(4). Acira AI este o platformă SaaS de găzduire a site-urilor web, nu un furnizor tradițional de telecomunicații. Subprocesorii noștri (AWS, Cloudflare) au mai multe șanse să fie supuși directivelor Secțiunii 702.
- Domeniul de aplicare al datelor expuse riscului: Datele cu caracter personal pe care le prelucrăm constau în principal în analize ale vizitatorilor site-ului (pseudonimizate), trimiteri de formulare și mesaje chatbot. Aceste date sunt puțin probabil să prezinte interes din perspectiva informațiilor externe.
- Probabilitate practică: Nu am primit niciodată o directivă în temeiul Secțiunii 702 din FISA și apreciem că probabilitatea practică de a primi una este foarte scăzută, dat fiind natura Serviciilor noastre și datele pe care le prelucrăm.
4.1.2 Ordinul Executiv 12333
OE 12333 autorizează agențiile de informații ale SUA să desfășoare activități de supraveghere, inclusiv colectarea în masă a datelor de informații prin semnale. Se aplică datelor în tranzit și nu obligă companiile private să coopereze.
Evaluarea riscului:
- Atenuare: Toate datele în tranzit sunt criptate cu ajutorul TLS. Interceptarea în masă a datelor criptate în tranzit nu ar produce date cu caracter personal în text clar.
- Probabilitate practică: Scăzută. Datele prelucrate prin Serviciile noastre nu sunt de tipul vizat în mod obișnuit de informațiile prin semnale.
4.1.3 Ordinul Executiv 14086 și Cadrul de confidențialitate a datelor UE-SUA
Ordinul Executiv 14086 (octombrie 2022) a introdus garanții suplimentare pentru activitățile de informații prin semnale, inclusiv:
- Cerințe de necesitate și proporționalitate pentru colectarea de informații
- Un mecanism de recurs în două etape (Ofițer pentru protecția libertăților civile + Tribunalul pentru revizuirea protecției datelor) disponibil pentru persoanele din UE/Regatul Unit/Elveția
- Limitări ale colectării în masă
Comisia Europeană a adoptat o decizie de adecvare pentru Cadrul de confidențialitate a datelor UE-SUA (DPF) la 10 iulie 2023. Deși Acira AI nu este în prezent autocertificată în temeiul DPF, protecțiile prevăzute de OE 14086 se aplică în general tuturor transferurilor de date către Statele Unite și sunt în beneficiul tuturor persoanelor vizate, indiferent de mecanismul de transfer utilizat.
4.1.4 Legea CLOUD
Legea privind clarificarea utilizării legale a datelor în străinătate (CLOUD) permite autorităților de aplicare a legii din SUA să oblige furnizorii cu sediul în SUA să producă date indiferent de locul în care sunt stocate, sub rezerva unui mandat sau a unei hotărâri judecătorești valide.
Evaluarea riscului:
- Garanții: Legea CLOUD impune un proces legal valid (mandat, citație sau hotărâre judecătorească). Nu autorizează accesul în masă fără mandat.
- Dispoziții de comitate: Legea CLOUD include un cadru de comitate care permite furnizorilor să conteste ordinele care intră în conflict cu legislația străină.
- Probabilitate practică: Scăzută pentru datele vizitatorilor site-ului. Solicitările autorităților de aplicare a legii ar viza mai probabil conturi specifice suspectate de activitate infracțională, nu analizele vizitatorilor sau trimiterile de formulare.
4.2 Israel (BrightData)
BrightData are sediul în Israel. Israel dispune de o decizie de adecvare din partea Comisiei Europene (2011/61/UE), ceea ce înseamnă că transferurile către Israel sunt tratate similar cu transferurile intra-SEE. Cu toate acestea, BrightData prelucrează și date în alte locații globale. Menționăm că:
- Prelucrarea de către BrightData are loc numai la solicitarea utilizatorului (în timpul creării site-ului web pentru importul de conținut) sau în timpul urmăririi SERP programate.
- Nicio dată cu caracter personal a vizitatorilor site-ului nu este transmisă către BrightData.
4.3 Canada (Transferuri din Canada în Statele Unite)
Datele cu caracter personal ale vizitatorilor site-ului situați în Canada pot fi transferate în Statele Unite pentru prelucrare. Următoarele legi canadiene sunt relevante pentru această evaluare:
4.3.1 Legea privind protecția informațiilor personale și documentele electronice (PIPEDA)
PIPEDA reglementează colectarea, utilizarea și divulgarea informațiilor personale de către organizațiile din sectorul privat în cursul activităților comerciale. Principiul 4.1.3 din PIPEDA impune organizațiilor să utilizeze mijloace contractuale sau alte mijloace pentru a asigura un nivel comparabil de protecție atunci când informațiile personale sunt transferate unor terți pentru prelucrare, inclusiv transferuri în afara Canadei.
Evaluarea riscului:
- Protecție comparabilă: Măsurile suplimentare descrise în Secțiunea 6 (criptare, pseudonimizare, controale de acces, minimizarea datelor) oferă un nivel de protecție comparabil cu cel impus de PIPEDA. Acorduri de prelucrare a datelor scrise sunt în vigoare cu toți subprocesorii.
- Fără cerință de adecvare: Spre deosebire de GDPR, PIPEDA nu interzice transferurile către țări fără o constatare de „adecvare". Organizațiile trebuie să asigure o protecție comparabilă prin mijloace contractuale și alte mijloace, pe care le-am implementat.
4.3.2 Legislația provincială privind confidențialitatea
Legea privind protecția informațiilor personale din Alberta (PIPA), Legea privind protecția informațiilor personale din Columbia Britanică (PIPA) și Legea din Quebec privind protecția informațiilor personale în sectorul privat impun cerințe suplimentare pentru anumite provincii:
Evaluarea riscului:
- Legea 25 din Quebec: Legea modernizată privind confidențialitatea din Quebec (în vigoare din septembrie 2023) impune o evaluare a impactului asupra confidențialității înainte de transferul informațiilor personale în afara Quebec-ului, iar organizația cedentă trebuie să se asigure că informațiile vor beneficia de o protecție adecvată. Protecțiile noastre contractuale, măsurile tehnice suplimentare și natura datelor (în principal analize pseudonimizate și interacțiuni pe site-uri ale întreprinderilor mici) susțin o constatare de protecție adecvată.
- Alberta și Columbia Britanică: PIPA din Alberta și Columbia Britanică impun organizațiilor să asigure o protecție comparabilă pentru datele transferate. Garanțiile noastre contractuale și tehnice satisfac această cerință.
4.3.3 Accesul guvernului SUA din perspectiva canadiană
Aceleași riscuri de acces al guvernului SUA evaluate în Secțiunea 4.1 se aplică transferurilor de date canadiene. Probabilitatea scăzută de acces guvernamental (dat fiind natura datelor și profilul companiei noastre), combinată cu măsurile suplimentare din Secțiunea 6, asigură că datele cu caracter personal transferate din Canada în Statele Unite beneficiază de un nivel comparabil de protecție cu cel impus de legislația canadiană privind confidențialitatea.
4.4 Locații edge globale (Cloudflare)
Cloudflare operează o rețea globală de locații edge. Solicitările vizitatorilor din UE sunt de obicei prelucrate la cel mai apropiat punct de prezență Cloudflare, care pentru vizitatorii din UE va fi de obicei o locație din UE.
- Rutarea solicitărilor, terminarea TLS și protecția împotriva boturilor au loc la cea mai apropiată locație edge.
- Pentru operatorii de site-uri identificați ca rezidenți ai UE, stocarea persistentă (care conține trimiteri de formulare, conversații chatbot și date de sesiune) este restricționată jurisdicțional la Uniunea Europeană folosind API-ul de jurisdicție al Cloudflare. Pentru operatorii de site-uri din afara UE, stocarea persistentă este situată în apropierea regiunii geografice a operatorului, dar poate fi situată în afara UE.
- Datele analitice sunt prelucrate la infrastructura gestionată de Cloudflare.
5. EVALUAREA FLUXURILOR DE DATE PE FURNIZOR DE SERVICII
5.1 Amazon Web Services (SUA)
| Flux de date | Date cu caracter personal implicate | Scop |
|---|---|---|
| Stocare bază de date | Metadate ale trimiterilor de formulare (IP, țară, regiune), înregistrări ale conversațiilor chatbot, metadate ale fișierelor, înregistrări de sesiune | Stocarea persistentă a datelor vizitatorilor site-ului |
| Stocare fișiere | Fișiere încărcate (imagini, documente), instantanee de implementare | Stocarea fișierelor |
| Inferență IA | Conținut de fișier (pentru descrieri IA), conținut de e-mail (pentru detectarea spamului) | Descrieri bazate pe IA și clasificarea spamului |
| Moderare conținut | Imagini încărcate | Moderarea conținutului (detectarea nudității/conținutului explicit) |
| Livrarea e-mailurilor | Adrese de e-mail, conținutul mesajelor | Livrarea e-mailurilor tranzacționale și notificări de trimitere a conținutului. Pentru operatorii de site-uri web rezidenți în UE, aceste operațiuni sunt procesate în Uniunea Europeană (Stockholm). |
| Detectare limbă | Textul mesajelor de e-mail | Detectarea limbii |
Garanțiile AWS:
- Certificat ISO 27001, 27017, 27018
- Rapoarte SOC 1/2/3 disponibile
- Date criptate în repaus folosind criptare standard din industrie
- Date criptate în tranzit (TLS)
- Controale de acces cu privilegii minime per componentă de sistem
- Serviciile principale sunt găzduite în Statele Unite; operațiunile automatizate orientate spre vizitatori (notificări de trimitere a conținutului și livrarea e-mailurilor tranzacționale) pentru operatorii de site-uri web rezidenți în UE sunt procesate în Uniunea Europeană (Stockholm)
5.2 Cloudflare (Global)
| Flux de date | Date cu caracter personal implicate | Scop |
|---|---|---|
| Rutare edge | Adrese IP, anteturi HTTP, URL-uri de solicitare | Rutarea solicitărilor, protecție DDoS, terminare TLS |
| Găzduire site-uri web | Conținut de pagină, metadate ale vizitatorului | Găzduire și livrare de site-uri web |
| Stocare persistentă | Trimiteri de formulare, conversații chatbot, date de sesiune, date din tabelele utilizatorilor | Stocare cu stare per site |
| Analiză | Hash pseudonimizat al vizitatorului, țară, dispozitiv, browser, referrer, UTM | Analiză a vizitatorilor respectând confidențialitatea |
| Inferență IA | Mesaje chatbot, rezumate ale câmpurilor de formular | Răspunsuri chatbot IA, detectarea spamului |
| Stocare resurse | Resurse ale site-ului web (imagini, fișiere) | Stocarea resurselor statice și livrare CDN |
Garanțiile Cloudflare:
- Certificat ISO 27001, SOC 2 Tip II
- TLS 1.2+ pentru toate conexiunile
- DPA Cloudflare cu CCS disponibil
- Prelucrarea edge înseamnă că datele vizitatorilor din UE sunt de obicei prelucrate la locații edge din UE pentru tratarea solicitărilor
- Pentru operatorii de site-uri web identificați ca rezidenți ai UE, stocarea persistentă (care conține trimiteri de formulare, conversații chatbot, date de sesiune și date din tabelele utilizatorilor) este restricționată jurisdicțional la Uniunea Europeană prin intermediul API-ului de jurisdicție Cloudflare, asigurând că aceste date sunt stocate și procesate exclusiv în centrele de date ale UE. Apelurile API backend de la margine (pentru notificări de trimitere a conținutului și livrarea e-mailurilor tranzacționale) sunt direcționate către infrastructura AWS situată în UE.
- Inferența IA nu reține datele de intrare pentru antrenare
5.3 Stripe (SUA)
| Flux de date | Date cu caracter personal implicate | Scop |
|---|---|---|
| Procesarea plăților | Datele de facturare ale operatorului site-ului web (nume, e-mail, metodă de plată) | Procesarea abonamentelor și a plăților pentru domenii |
Notă: Stripe nu primește date cu caracter personal ale vizitatorilor site-ului. Doar informațiile de facturare ale operatorului site-ului web (clientul nostru) sunt prelucrate de Stripe.
Garanțiile Stripe:
- Certificat PCI DSS Nivel 1
- Certificat ISO 27001
- DPA Stripe cu CCS disponibil
5.4 Furnizori de inferență IA (SUA)
Fireworks AI și xAI furnizează servicii de inferență a modelelor IA.
| Flux de date | Date cu caracter personal implicate | Scop |
|---|---|---|
| Generarea de text (conținut site) | Conținut al site-ului (nu date ale vizitatorilor) | Crearea și editarea conținutului site-ului |
| Generarea de imagini | Solicitări text (nu date ale vizitatorilor) | Crearea de imagini pentru site-uri |
| IA conversațională (agent chat) | Numele utilizatorului platformei, e-mail, preferință de limbă și istoricul conversațiilor | Asistent IA pentru utilizatorii platformei (operatori de site-uri) |
Notă: Acești furnizori de IA nu primesc date cu caracter personal ale vizitatorilor site-ului. Funcționalitatea chatbot (care deservește vizitatorii site-ului) utilizează Cloudflare Workers AI (evaluat în Secțiunea 5.2), nu acești furnizori. Cu toate acestea, asistentul IA conversațional al platformei — utilizat de operatorii de site-uri pentru a-și gestiona site-urile web — trimite date cu caracter personal ale utilizatorilor platformei (nume, adresă de e-mail și istoricul conversațiilor) la acești furnizori ca parte a generării răspunsurilor. Pentru această prelucrare, Acira AI acționează ca operator (nu persoană împuternicită), iar persoanele vizate sunt utilizatorii noștri ai platformei (operatori de site-uri), nu vizitatorii site-urilor lor. Acest flux de date este reglementat de Politica noastră de confidențialitate și de acordurile noastre cu acești furnizori, nu de cadrul operator-persoană împuternicită al DPA pentru datele vizitatorilor.
Familii de modele: Acești furnizori de infrastructură găzduiesc și execută modele IA dezvoltate de diverse terțe părți. Modelele și familiile de modele specifice utilizate se pot schimba în timp. Dezvoltatorii de modele nu primesc și nu au acces la niciun date al utilizatorilor — toată prelucrarea datelor are loc exclusiv în cadrul infrastructurii subprocesorilor listați, indiferent de locul unde a fost inițial dezvoltat un model. Toată procesarea inferenței IA rămâne pe infrastructura subprocesorilor noștri listați. Niciun date al utilizatorilor nu este transmis dezvoltatorilor de modele sau infrastructurii din afara subprocesorilor listați în această evaluare. O listă actuală a familiilor de modele utilizate este disponibilă la cerere contactând legal@acira.ai.
5.5 BrightData (Israel / Global)
| Flux de date | Date cu caracter personal implicate | Scop |
|---|---|---|
| Colectarea de date web | Conținut web disponibil publicului (nu date ale vizitatorilor) | Importul de conținut în timpul creării site-ului (direcționat de utilizator) |
| Urmărire SERP | Cuvinte cheie de căutare (nu date ale vizitatorilor) | Monitorizarea poziționării cuvintelor cheie |
Notă: BrightData nu prelucrează date cu caracter personal ale vizitatorilor site-ului. Prelucrează conținut web disponibil publicului când este direcționat de utilizator și urmărește pozițiile în motoarele de căutare pentru cuvintele cheie definite de utilizator.
5.6 Furnizori cu sediul în UE (Fără transfer)
| Furnizor | Locație | Scop |
|---|---|---|
| Black Forest Labs | Germania (UE) | Generarea de imagini IA (modele Flux) |
| ScreenshotOne | Uniunea Europeană | Captura de capturi de ecran ale site-ului |
| CloudConvert | Germania (UE) | Conversia formatelor de fișiere |
Acești furnizori prelucrează date în UE și nu constituie un transfer internațional. Black Forest Labs primește numai solicitări text pentru generarea de imagini; nu sunt implicate date cu caracter personal.
6. MĂSURI SUPLIMENTARE
Pe lângă CCS, implementăm următoarele măsuri suplimentare pentru a asigura un nivel esențialmente echivalent de protecție a datelor cu caracter personal transferate:
6.1 Măsuri tehnice
| Măsură | Descriere |
|---|---|
| Criptare în tranzit | Toate datele transmise între vizitatori, rețeaua edge și serviciile backend sunt criptate folosind TLS (minimum TLS 1.2). Comunicarea internă serviciu-la-serviciu utilizează canale criptate. |
| Criptare în repaus | Toate înregistrările bazei de date, stocarea fișierelor și stocarea persistentă găzduită la edge sunt criptate în repaus folosind criptare standard din industrie gestionată de furnizorul de infrastructură respectiv. |
| Pseudonimizare | Analiza vizitatorilor utilizează un hash criptografic rotativ zilnic (IP + User-Agent + dată) în loc să stocheze adrese IP brute. Acest hash nu poate fi inversat și se rotește la fiecare 24 de ore, prevenind urmărirea între zile. |
| Minimizarea datelor | Analiza colectează numai metadate la nivel agregat (țară, tip de dispozitiv, browser). Nu sunt stocate adrese IP brute în analiză. Mesajele chatbot sunt limitate la 2.000 de caractere. |
| Hasharea parolelor | Toate parolele vizitatorilor (pentru zonele protejate ale site-ului) sunt hashate folosind algoritmi criptografici puternici cu săruri aleatoare per utilizator înainte de stocare. Parolele în text clar nu sunt niciodată stocate sau transmise. |
| Controale de acces | Politicile de acces cu privilegii minime restricționează fiecare componentă de sistem numai la resursele de care are nevoie. Token-urile API per site limitează accesul la site-uri individuale. |
| Izolare de rețea | Serviciile backend comunică prin rețele interne. Găzduirea site-urilor rulează în sandbox-uri de execuție izolate. Execuția codului personalizat utilizează sandboxing bazat pe WebAssembly. |
| Rezidența jurisdicțională a datelor | Pentru operatorii de site-uri web identificați ca rezidenți ai UE, stocarea persistentă care conține datele vizitatorilor (trimiteri de formulare, conversații chatbot, date de sesiune și date din tabelele utilizatorilor) este restricționată jurisdicțional la Uniunea Europeană, asigurând că aceste date sunt stocate și procesate exclusiv în centrele de date ale UE. Operațiunile automatizate orientate spre vizitatori (notificări de trimitere a conținutului și livrarea e-mailurilor tranzacționale) sunt de asemenea procesate în infrastructura situată în UE. |
| Ștergere automată | Datele de sesiune expiră după 30 de zile de inactivitate. Fișierele temporare sunt șterse în 24 de ore. Datele de provocare a boturilor sunt efemere și nu sunt persistate. |
6.2 Măsuri organizatorice
| Măsură | Descriere |
|---|---|
| Confidențialitatea personalului | Tot personalul cu acces la date cu caracter personal este legat de obligații de confidențialitate. |
| Diligența cuvenită față de subprocesori | Subprocesorii sunt evaluați pentru practicile lor de securitate și conformitatea cu protecția datelor înainte de angajare. DPA-uri scrise sunt în vigoare cu toți subprocesorii. |
| Răspuns la incidente | Procedurile de notificare a încălcărilor asigură că Operatorii sunt notificați în termen de 72 de ore de la confirmarea unei încălcări a datelor cu caracter personal. |
| Politici de retenție a datelor | Perioade de retenție documentate cu aplicare automată (ștergere bazată pe TTL, politici de ciclu de viață). |
| Monitorizarea securității | Jurnalizare structurată, monitorizare automată a securității și detectare a intruziunilor. Jurnalele de erori și diagnostice reținute până la 30 de zile. |
6.3 Măsuri contractuale
| Măsură | Descriere |
|---|---|
| Clauze contractuale standard | CCS (Modulul Unu, Modulul Doi și Modulul Trei) sunt încorporate în DPA-ul nostru prin referință. |
| CCS ale subprocesorilor | Acordurile scrise cu fiecare subprocesor impun obligații de protecție a datelor nu mai puțin protectoare decât cele din DPA-ul nostru. |
| Notificarea accesului guvernamental | Ne angajăm să notificăm Operatorii cu privire la solicitările de acces guvernamental unde este permis legal, conform descrierii din Termenii și Condițiile noastre. |
| Angajamentul de contestare | Ne angajăm să contestăm solicitările de acces guvernamental pe care le considerăm prea ample sau ilegale. |
7. EVALUAREA RISCURILOR
7.1 Probabilitatea accesului guvernamental
| Factor | Evaluare |
|---|---|
| Natura datelor | În principal analize pseudonimizate, trimiteri de formulare și mesaje chatbot de pe site-uri ale întreprinderilor mici. Aceste date au o valoare redusă din perspectiva informațiilor. |
| Volumul datelor | Scăzut până la moderat. Fiecare site deservește propria bază de vizitatori; datele nu sunt agregate între site-uri în scopuri de supraveghere. |
| Profilul companiei | Acira AI este o mică companie SaaS care găzduiește site-uri ale întreprinderilor mici. Nu suntem un furnizor de telecomunicații și nici o țintă de supraveghere de profil înalt. |
| Solicitări istorice | La data acestei evaluări, Acira AI nu a primit niciodată o directivă în temeiul Secțiunii 702 din FISA, o Scrisoare de securitate națională sau orice solicitare guvernamentală de acces în masă la datele clienților. |
| Profilul subprocesorului | AWS și Cloudflare sunt furnizori mari de infrastructură care publică rapoarte de transparență. Rapoartele lor de transparență indică că solicitările guvernamentale vizează conturi specifice, nu accesul în masă la conținut găzduit. |
Probabilitate generală: SCĂZUTĂ
7.2 Impactul în cazul accesului
| Factor | Evaluare |
|---|---|
| Sensibilitatea datelor | Majoritatea datelor transferate au sensibilitate scăzută (analize pseudonimizate, metadate ale vizitatorilor site-ului). Trimiterile de formulare pot conține date de sensibilitate medie (nume, adrese de e-mail, mesaje) în funcție de site. |
| Eficacitatea pseudonimizării | Datele analitice nu pot fi asociate persoanelor fără acces la componentele hash-ului rotativ zilnic (IP + User-Agent + dată), care nu sunt stocate. |
| Domeniul de expunere | Orice acces guvernamental ar fi direcționat către conturi sau site-uri web specifice, nu către întreaga platformă. Izolarea datelor pe site web prin instanțe de stocare dedicate limitează domeniul oricărui compromis potențial. Pentru operatorii de site-uri web rezidenți în UE, stocarea persistentă și procesarea automatizată orientată spre vizitatori (notificări de trimitere a conținutului și livrarea e-mailurilor tranzacționale) sunt restricționate la UE, limitând în continuare expunerea la accesul guvernului SUA pentru aceste date. |
Impact general: SCĂZUT până la MEDIU (în funcție de sensibilitatea datelor colectate de operatorii individuali de site-uri)
7.3 Evaluarea riscului rezidual
Luând în considerare probabilitatea scăzută a accesului guvernamental, măsurile tehnice suplimentare (criptare, pseudonimizare, minimizarea datelor) și garanțiile suplimentare introduse de OE 14086, evaluăm că riscul rezidual pentru persoanele vizate este scăzut și că măsurile suplimentare, împreună cu CCS (pentru transferurile din SEE/Regatul Unit/Elveția) și protecțiile contractuale (pentru transferurile canadiene), oferă un nivel de protecție esențialmente echivalent cu cel garantat în SEE și comparabil cu cel impus de legislația canadiană privind confidențialitatea.
8. CONCLUZIE
Pe baza acestei evaluări, concluzionăm că:
Datele cu caracter personal transferate din SEE/Regatul Unit/Elveția/Canada în Statele Unite în legătură cu furnizarea Serviciilor noastre beneficiază de un nivel esențialmente echivalent de protecție cu cel garantat de legislația europeană privind protecția datelor și un nivel comparabil de protecție cu cel impus de legislația canadiană privind confidențialitatea.
Clauzele Contractuale Standard, combinate cu măsurile tehnice, organizatorice și contractuale suplimentare descrise în Secțiunea 6, abordează în mod adecvat riscurile identificate în această evaluare.
Natura datelor (în principal analize pseudonimizate și interacțiuni ale vizitatorilor site-urilor întreprinderilor mici) și profilul importatorului de date (o mică companie SaaS, nu un furnizor de telecomunicații) reduc semnificativ riscul practic al supravegherii guvernamentale.
Protecțiile introduse de Ordinul Executiv 14086 și mecanismul de recurs asociat oferă garanții suplimentare care beneficiază tuturor persoanelor vizate, indiferent de mecanismul de transfer specific utilizat.
Pentru transferurile canadiene, protecțiile contractuale și măsurile suplimentare descrise în prezentul document asigură un nivel comparabil de protecție cu cel impus de PIPEDA și legislația provincială aplicabilă privind confidențialitatea, inclusiv legea modernizată privind confidențialitatea din Quebec.
Vom continua să monitorizăm evoluțiile din legislația și practica SUA privind supravegherea, precum și evoluțiile din legislația canadiană privind confidențialitatea (inclusiv propunerea Lege privind protecția confidențialității consumatorilor), și vom reevalua această EIT dacă circumstanțele se schimbă în mod semnificativ.
Transferurile pot continua sub rezerva aplicării continue a CCS și a măsurilor suplimentare descrise în prezentul document.
9. PROGRAMUL DE REVIZUIRE
Această EIT va fi revizuită și actualizată:
- Anual, cel puțin, sau
- La modificări semnificative ale legilor sau reglementărilor aplicabile (inclusiv modificări la FISA, Legea CLOUD, OE 14086, PIPEDA sau legislația provincială canadiană privind confidențialitatea),
- La modificări ale subprocesorilor noștri sau ale naturii datelor transferate,
- La orice hotărâre judecătorească care afectează în mod semnificativ valabilitatea CCS sau caracterul adecvat al protecției datelor din SUA.
10. CONTACTAȚI-NE
Dacă aveți întrebări cu privire la această Evaluare a Impactului Transferului, vă rugăm să ne contactați la:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Statele Unite
Telefon: 888-389-1189
E-mail: legal@acira.ai
Confidențialitatea dvs., prioritatea noastră
Nu vindem datele dvs., nu folosim cookie-uri de urmărire — de aceea nu veți vedea un banner de cookie-uri aici. Respectăm Global Privacy Control, iar pentru clienții din UE, datele vizitatorilor sunt stocate și procesate exclusiv în cadrul Uniunii Europene.
Acira AI
Construiește site-uri web frumoase cu AI. Fără programare.
Construit cu mândrie în Statele Unite
© 2026 Acira AI LLC. Toate drepturile rezervate.