ADENDA DE TRATAMIENTO DE DATOS

Última actualización: 8 de junio de 2026

Esta Adenda de Tratamiento de Datos («DPA») forma parte de los Términos y Condiciones («Acuerdo») entre Acira AI LLC («Encargado del Tratamiento», «nosotros», «nos») y el usuario de los Servicios («Responsable del Tratamiento», «usted») y complementa el Acuerdo en relación con el tratamiento de datos personales.

Esta DPA se aplica cuando usted utiliza los Servicios para crear, alojar y publicar sitios web que recopilan o tratan datos personales de personas ubicadas en el Espacio Económico Europeo («EEE»), el Reino Unido («RU») o Suiza, o cuando lo exija de otro modo la normativa de protección de datos aplicable.

Este DPA puede ser traducido a otros idiomas para su conveniencia. En caso de conflicto o inconsistencia entre la versión en inglés y cualquier versión traducida, prevalecerá la versión en inglés.

ÍNDICE

1. DEFINICIONES
2. ÁMBITO Y FUNCIONES
3. DETALLES DEL TRATAMIENTO DE DATOS
4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
5. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO
6. SUBENCARGADOS DEL TRATAMIENTO
7. TRANSFERENCIAS INTERNACIONALES DE DATOS
8. DERECHOS DE LOS INTERESADOS
9. SEGURIDAD DE LOS DATOS
10. NOTIFICACIÓN DE BRECHAS DE DATOS
11. AUDITORÍAS Y VERIFICACIÓN DE CUMPLIMIENTO
12. CONSERVACIÓN Y SUPRESIÓN DE DATOS
13. VIGENCIA Y TERMINACIÓN
14. LIMITACIÓN DE RESPONSABILIDAD
15. CONTÁCTENOS

1. DEFINICIONES

«Normativa de Protección de Datos Aplicable» significa todas las leyes y reglamentos aplicables al tratamiento de datos personales en virtud de esta DPA, incluyendo (según corresponda) el Reglamento General de Protección de Datos (UE) 2016/679 («RGPD»), el UK GDPR, la Ley Federal Suiza de Protección de Datos («FADP») y la Ley de Privacidad del Consumidor de California («CCPA»).

«Responsable del Tratamiento» significa la persona física o jurídica que determina los fines y medios del tratamiento de datos personales — en este contexto, usted, el usuario de los Servicios que opera un sitio web a través de la plataforma.

«Interesado» significa una persona física identificada o identificable cuyos datos personales son tratados.

«Datos Personales» significa cualquier información relativa a un interesado que sea tratada a través de los Servicios.

«Tratamiento» significa cualquier operación realizada sobre datos personales, incluidas la recogida, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, utilización, divulgación, difusión, limitación, supresión o destrucción.

«Encargado del Tratamiento» significa una persona física o jurídica que trata datos personales por cuenta del Responsable del Tratamiento — en este contexto, Acira AI LLC.

«Subencargado del Tratamiento» significa cualquier tercero contratado por el Encargado del Tratamiento para tratar datos personales por cuenta del Responsable del Tratamiento.

«Cláusulas Contractuales Tipo» o «CCT» significa las cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países, adoptadas por la Comisión Europea.

2. ÁMBITO Y FUNCIONES

2.1 Relación de Tratamiento

Cuando utiliza los Servicios para crear y operar un sitio web que recopila datos personales de los visitantes de su sitio web (a través de formularios, cuentas de usuario, interacciones con chatbot, comentarios, reseñas u otras funciones interactivas), usted actúa como Responsable del Tratamiento y nosotros actuamos como Encargado del Tratamiento de esos datos personales de los visitantes.

2.2 Nuestro Papel como Responsable del Tratamiento

Actuamos como Responsable del Tratamiento independiente para los datos personales que recopilamos para nuestros propios fines, incluyendo: la información de su cuenta, datos de facturación, análisis de uso, características generales del sitio web derivadas del contenido de su sitio web (como la industria o el tipo de negocio), y datos de operación de la plataforma. El tratamiento de estos datos se rige por nuestra Política de Privacidad y queda fuera del ámbito de este DPA.

Proveedores de pago (Merchants of Record). Los pagos por los Servicios de pago son gestionados por proveedores de pago externos que actúan como Merchant of Record — el revendedor autorizado y vendedor oficial — para su transacción, actualmente Stripe (a través de su filial Sold through Link, LLC) y Paddle (la entidad contratante de Paddle para su ubicación: Paddle.com Inc. en los United States, Paddle.com (Canada) Ltd. en Canada, o Paddle.com Market Limited en el resto del mundo, incluidos el EEA y el UK). En esa calidad, estos proveedores determinan los fines y los medios del tratamiento de los datos de pago que usted facilita al finalizar la compra y, por tanto, actúan como responsables del tratamiento independientes por derecho propio, y no como nuestros subencargados. Su tratamiento se rige por sus propios términos y avisos de privacidad y queda fuera del ámbito de este DPA. De ellos solo recibimos datos limitados de transacción y facturación, que tratamos como Responsable del Tratamiento independiente según lo descrito anteriormente.

2.3 Análisis de la Plataforma

Recopilamos análisis básicos y respetuosos con la privacidad sobre los visitantes del sitio web (tal como se describe en el Acuerdo). En lo que respecta a los datos analíticos, actuamos como corresponsables del tratamiento con usted. Hemos diseñado nuestros análisis para minimizar la recopilación de datos personales — no almacenamos direcciones IP sin procesar, y los identificadores de visitantes se rotan diariamente. Las responsabilidades respectivas de cada corresponsable del tratamiento son las siguientes:

• Acira AI (Encargado del Tratamiento/Corresponsable): Determina los medios técnicos de recopilación de análisis, incluidos los puntos de datos recopilados, cómo se calculan los identificadores de visitantes (hashes de rotación diaria) y cómo se agregan los datos. Somos responsables de la seguridad e integridad de la infraestructura de análisis y de responder a las consultas generales sobre el funcionamiento de los análisis en la plataforma.
• Usted (Responsable del Tratamiento/Corresponsable): Determina si utilizar análisis en su sitio web (los análisis están habilitados de forma predeterminada como parte de los Servicios). Usted es responsable de revelar la recopilación de datos analíticos en la política de privacidad de su sitio web y de responder a las solicitudes de los interesados de los visitantes de su sitio web en relación con sus datos analíticos.
• Punto de contacto para los interesados: Los interesados pueden ponerse en contacto con usted (el propietario del sitio web) en relación con los datos analíticos recopilados en su sitio web. Si recibimos una solicitud de un interesado en relación con datos analíticos, le dirigiremos a usted a menos que nos indique lo contrario. Para consultas generales sobre la plataforma, los interesados pueden contactarnos en legal@acira.ai.

2.4 Esencia del Acuerdo de Corresponsabilidad

De conformidad con el artículo 26, apartado 2, del RGPD, la esencia de este acuerdo de corresponsabilidad para los datos analíticos es la siguiente: Nosotros (Acira AI) determinamos los medios técnicos y los puntos de datos recopilados; usted (el operador del sitio web) determina si se utilizan análisis en su sitio web. Cada uno de nosotros es responsable de nuestras respectivas obligaciones en virtud de la Normativa de Protección de Datos Aplicable. Usted es el principal punto de contacto para los visitantes de su sitio web en relación con los datos analíticos. Un resumen de este acuerdo se pone a disposición de los interesados a través de esta DPA y en https://www.acira.ai/dpa.

2.5 Designación de Proveedor de Servicios CCPA

En la medida en que tratemos información personal sujeta a la Ley de Privacidad del Consumidor de California («CCPA») en su nombre, somos su «proveedor de servicios» según se define en Cal. Civ. Code § 1798.140(ag). No:

• venderemos ni compartiremos, en los términos definidos en la CCPA, ninguna información personal que nos proporcione;
• conservaremos, usaremos ni divulgaremos información personal para ningún fin distinto de los fines comerciales especificados en esta DPA y en el Acuerdo, o según lo permita la CCPA;
• conservaremos, usaremos ni divulgaremos información personal fuera de la relación comercial directa entre usted y nosotros;
• combinaremos información personal recibida de usted con información personal que recibamos de o en nombre de otra persona, o que recopilemos de nuestras propias interacciones con los consumidores, salvo según lo permita la CCPA.

Podemos derivar características comerciales generales y no identificadoras (como la clasificación de la industria) del contenido de su sitio web con el fin de proporcionar recomendaciones de productos relevantes, como se describe en la Sección 2.2. Este uso limitado no constituye venta, intercambio ni combinación de información personal en el sentido de la CCPA.

Certificamos que entendemos y cumpliremos estas restricciones.

2.6 Evaluación del Representante según el FADP Suizo

El artículo 14 de la Ley Federal Suiza de Protección de Datos («FADP») exige que un responsable del tratamiento privado no suizo designe un representante en Suiza únicamente cuando se cumplan las cuatro siguientes condiciones acumulativas: (1) el tratamiento está relacionado con la oferta de bienes o servicios a, o el seguimiento del comportamiento de, personas en Suiza; (2) el tratamiento se realiza a gran escala; (3) el tratamiento tiene lugar de forma habitual; y (4) el tratamiento plantea un alto riesgo para los derechos de la personalidad o los derechos fundamentales de los interesados.

Hemos evaluado nuestras actividades de tratamiento en relación con estas condiciones y hemos determinado que, si bien las condiciones (1) y (3) se cumplen, las condiciones restantes no se satisfacen por los siguientes motivos:

• No a gran escala: Somos una pequeña plataforma SaaS. El volumen de datos personales de residentes suizos tratados a través de nuestros Servicios es limitado y no constituye un tratamiento a gran escala en el sentido del artículo 14 FADP.
• Sin alto riesgo: Los datos personales que tratamos en nombre de los operadores de sitios web consisten principalmente en identificadores analíticos seudonimizados (hashes de rotación diaria), metadatos básicos de visitantes (país, tipo de dispositivo, navegador), contenido de envíos de formularios y mensajes de chatbot. No tratamos categorías especiales de datos personales (artículo 5(c) FADP), ni llevamos a cabo perfilado con alto riesgo para los interesados. El Comisionado Federal Suizo de Protección de Datos e Información («FDPIC») ha indicado que esta obligación está dirigida principalmente a grandes plataformas de internet y redes sociales que operan desde el extranjero, lo cual no describe nuestros Servicios.

En base a esta evaluación, hemos concluido que en este momento no estamos obligados a designar un representante en Suiza conforme al artículo 14 FADP. Revisaremos esta determinación periódicamente, incluidos los cambios materiales en el alcance o la naturaleza de nuestras actividades de tratamiento que afecten a residentes suizos.

3. DETALLES DEL TRATAMIENTO DE DATOS

3.1 Objeto y Duración

El tratamiento de datos personales en virtud de esta DPA se realiza con el fin de prestar los Servicios descritos en el Acuerdo y continuará durante la vigencia del Acuerdo.

3.2 Naturaleza y Finalidad del Tratamiento

Tratamos datos personales para:

• Alojar y servir el contenido de su sitio web
• Almacenar y gestionar los datos enviados a través de los formularios y funciones interactivas de su sitio web
• Mantener cuentas de usuario y sesiones para las áreas protegidas de su sitio web
• Enviar comunicaciones por correo electrónico en su nombre
• Reenviar correos electrónicos recibidos en las direcciones de correo electrónico de su dominio personalizado
• Gestionar conversaciones de chatbot de IA con los visitantes de su sitio web
• Generar descripciones y metadatos con IA para los archivos subidos
• Convertir los archivos subidos a formatos optimizados para la web
• Proporcionar análisis de visitantes
• Derivar características generales del sitio web (como la industria o el tipo de negocio) para proporcionar recomendaciones relevantes de la plataforma
• Detectar y prevenir el spam y el abuso (incluidos los desafíos de bots proof-of-work)
• Realizar moderación de contenido en los archivos subidos
• Revisar el contenido del sitio web durante la publicación para verificar el cumplimiento de las políticas de contenido de la plataforma
• Gestionar las preferencias de cancelación de suscripción de correo electrónico para los destinatarios de correo de su sitio web
• Facilitar comunicaciones en tiempo real en su sitio web a través de conexiones WebSocket (los mensajes son efímeros y no se persisten)
• Mantener registros de errores y diagnósticos para la fiabilidad de la plataforma y la resolución de problemas (puede incluir direcciones IP y metadatos de solicitudes; conservados durante hasta treinta (30) días)

3.3 Tipos de Datos Personales

Los tipos de datos personales tratados dependen de lo que usted recopile a través de su sitio web, y pueden incluir:

• Nombres e información de contacto
• Direcciones de correo electrónico
• Mensajes y envíos de formularios
• Archivos subidos por visitantes del sitio web (como imágenes y documentos)
• Contenido de conversaciones de chatbot (mensajes de visitantes y respuestas de IA)
• Credenciales de cuentas de usuario (almacenadas en forma de hash)
• Datos de sesión
• Direcciones IP (no almacenadas en análisis — solo se almacena un hash de rotación diaria; almacenadas como metadatos junto a los envíos de formularios y conversaciones de chatbot; utilizadas temporalmente y cifradas para la verificación de desafíos de bots; almacenadas temporalmente para la limitación de velocidad durante hasta siete (7) días y eliminadas automáticamente)
• Información del navegador y del dispositivo
• Datos de localización (nivel de país y región, derivados de la IP)
• Registros de cancelación de suscripción de correo electrónico (almacenados como hashes criptográficos de las direcciones de correo de los destinatarios; no se almacenan en formato sin procesar)
• Resultados de clasificación de spam (si un envío fue determinado como spam)
• Datos de registros de errores y diagnósticos (direcciones IP, rutas de solicitudes y detalles de errores; conservados durante hasta treinta (30) días y eliminados automáticamente)

3.4 Categorías de Interesados

• Los visitantes de su sitio web
• Usuarios que crean cuentas en su sitio web
• Usuarios que envían formularios o interactúan con chatbots en su sitio web
• Usuarios que envían comentarios, reseñas u otras contribuciones en su sitio web

4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

Nosotros:

1. Trataremos los datos personales únicamente siguiendo sus instrucciones documentadas, salvo que estemos obligados a hacerlo por la legislación aplicable (en cuyo caso le informaremos de ese requisito legal antes del tratamiento, salvo que la ley lo prohíba);
2. Garantizaremos que las personas autorizadas para tratar datos personales se hayan comprometido a guardar confidencialidad o estén sujetas a una obligación legal de confidencialidad;
3. Implementaremos las medidas de seguridad técnicas y organizativas adecuadas descritas en la Sección 9;
4. Cumpliremos las condiciones para la contratación de subencargados del tratamiento establecidas en la Sección 6;
5. Le asistiremos, teniendo en cuenta la naturaleza del tratamiento, para responder a las solicitudes de los interesados que ejerzan sus derechos en virtud de la Normativa de Protección de Datos Aplicable;
6. Le asistiremos para garantizar el cumplimiento de sus obligaciones en virtud de los artículos 32 a 36 del RGPD (seguridad, notificación de brechas, evaluaciones de impacto relativas a la protección de datos y consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible. Cuando su uso de los Servicios implique un tratamiento de alto riesgo que pueda requerir una Evaluación de Impacto relativa a la Protección de Datos (EIPD), le proporcionaremos información sobre nuestras actividades de tratamiento, medidas técnicas y organizativas y subencargados para apoyar su evaluación;
7. Le asistiremos en el cumplimiento de sus obligaciones en virtud del artículo 22 del RGPD (decisiones individuales automatizadas) proporcionando información sobre cualquier tratamiento automatizado realizado en su nombre, incluidas la moderación de contenido, la detección de spam y la protección de bots, y facilitando la revisión humana de las decisiones automatizadas previa solicitud;
8. Le informaremos si, en nuestra opinión, una instrucción suya infringe la Normativa de Protección de Datos Aplicable;
9. A su elección, eliminaremos o devolveremos todos los datos personales al final de la prestación de los Servicios, y eliminaremos las copias existentes salvo que la legislación aplicable exija su conservación;
10. Le pondremos a disposición toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en esta DPA y contribuiremos a la verificación de cumplimiento descrita en la Sección 11.

5. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

Usted:

1. Garantizará que la recopilación y el tratamiento de datos personales a través de su sitio web cumple con toda la Normativa de Protección de Datos Aplicable;
2. Proporcionará avisos de privacidad adecuados a los visitantes de su sitio web que describan sus prácticas de recopilación de datos, incluida la divulgación de análisis a nivel de plataforma, interacciones de chatbot impulsadas por IA, detección de spam y protección de bots;
3. Obtendrá todos los consentimientos necesarios o establecerá otra base legal para el tratamiento de datos personales a través de su sitio web;
4. Garantizará que sus instrucciones a nosotros en relación con el tratamiento de datos personales cumplan con la Normativa de Protección de Datos Aplicable;
5. Será responsable de la exactitud, calidad y licitud de los datos personales que nos proporcione a través de su sitio web.

Al utilizar los Servicios, nos instruye a realizar las siguientes actividades de tratamiento en su nombre como parte de las operaciones estándar de la plataforma: moderación de contenido de los archivos subidos, revisión de la política de contenido del contenido del sitio web publicado, detección de spam en los envíos de formularios, protección de bots mediante desafíos proof-of-work e interacciones de chatbot de IA con los visitantes de su sitio web. Estas actividades son instrucciones documentadas en virtud del artículo 28, apartado 3, letra a), del RGPD.

6. SUBENCARGADOS DEL TRATAMIENTO

6.1 Subencargados Autorizados

Usted nos concede autorización general para contratar subencargados del tratamiento que nos ayuden a prestar los Servicios. Nuestros subencargados actuales se enumeran a continuación y en https://www.acira.ai/dpa.

6.2 Lista Actual de Subencargados

El procesamiento de pagos lo realizan nuestros Merchants of Record (Stripe y Paddle), que actúan como responsables del tratamiento independientes y no como subencargados, por lo que no figuran en la lista anterior; véase la Sección 2.2.

6.3 Cambios en los Subencargados

Le notificaremos cualquier cambio previsto en la lista de subencargados para los Servicios que utiliza actualmente actualizando la lista de subencargados en https://www.acira.ai/dpa con al menos catorce (14) días de antelación antes de que el nuevo subencargado comience a tratar datos personales. Cuando introduzcamos nuevas funciones o servicios que impliquen subencargados adicionales, dichos subencargados se divulgarán en el momento en que la función o servicio esté disponible; el uso de la nueva función o servicio por su parte constituye la aceptación de sus subencargados divulgados. Es su responsabilidad revisar periódicamente la lista de subencargados para detectar cambios. Si tiene una objeción razonable a que un nuevo subencargado trate datos para los Servicios existentes, puede notificárnoslo por escrito dentro de los catorce (14) días siguientes a la publicación del cambio. Trabajaremos con usted de buena fe para abordar sus preocupaciones. Si no podemos resolver la objeción a su satisfacción razonable, puede rescindir el Acuerdo mediante notificación por escrito.

6.4 Obligaciones de los Subencargados

Celebraremos acuerdos escritos con cada subencargado que impongan obligaciones de protección de datos no menos protectoras que las establecidas en esta DPA. Seguiremos siendo responsables de los actos y omisiones de nuestros subencargados en la misma medida en que lo seríamos si prestáramos los servicios directamente.

7. TRANSFERENCIAS INTERNACIONALES DE DATOS

7.1 Mecanismos de Transferencia

Los Servicios se alojan principalmente en los Estados Unidos. Los datos personales tratados a través de los Servicios pueden transferirse a y tratarse en los Estados Unidos y otros países donde operan nuestros subencargados. Los proveedores de inferencia de IA (Fireworks AI y xAI) procesan datos en los Estados Unidos. BrightData puede procesar datos en Israel y otras ubicaciones a nivel mundial. Cloudflare procesa datos en ubicaciones edge en todo el mundo.

Residencia de datos en la UE: Para los operadores de sitios web identificados como residentes en la UE, aplicamos las siguientes medidas de residencia de datos para minimizar las transferencias de datos personales de los visitantes fuera de la Unión Europea:

• Almacenamiento: Los datos de visitantes en almacenamiento perimetral persistente — incluyendo envíos de formularios, conversaciones de chatbot, datos de sesión y datos de tablas de usuarios — están restringidos a la Unión Europea. Estos datos se almacenan exclusivamente en centros de datos de la UE.
• Procesamiento automatizado orientado a visitantes: Las operaciones activadas automáticamente por la actividad de los visitantes — incluidas las notificaciones de envío de contenido y la entrega de correo electrónico transaccional — se procesan dentro de la Unión Europea y no transitan por la infraestructura de EE. UU.
• Acceso a la gestión de la plataforma: Cuando accede a los datos de los visitantes de su sitio web a través del panel de control de la plataforma o la interfaz conversacional (por ejemplo, ver envíos de formularios o gestionar registros de usuarios), estos datos pueden procesarse a través de nuestra infraestructura en EE. UU. para satisfacer su solicitud. Estas transferencias son bajo demanda, iniciadas por usted (el Responsable del tratamiento), y protegidas por los mecanismos de transferencia y las medidas complementarias descritas a continuación.
• Otro procesamiento en EE. UU.: Los datos analíticos y los datos procesados por nuestra infraestructura en la nube en EE. UU. para moderación de contenido e inferencia de IA pueden seguir siendo transferidos a Estados Unidos conforme a los mecanismos de transferencia indicados a continuación.

Para las transferencias de datos personales desde el EEE, el RU o Suiza a países no reconocidos como que proporcionan un nivel adecuado de protección de datos, nos basamos en:

1. Cláusulas Contractuales Tipo (CCT): Incorporamos las Cláusulas Contractuales Tipo de la Comisión Europea a esta DPA por referencia: Módulo Uno (Responsable a Responsable) para los datos analíticos en los que actuamos como corresponsables del tratamiento (véase la Sección 2.3), y Módulo Dos (Responsable a Encargado) para todos los demás datos personales tratados en su nombre. Las CCT están disponibles en https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK International Data Transfer Addendum: Para las transferencias desde el RU, se aplica el Addendum del RU a las CCT de la UE.
3. Mecanismos Suizos de Transferencia de Datos: Para las transferencias desde Suiza, se aplican las CCT con las modificaciones exigidas por el FADP suizo.

7.2 Medidas Suplementarias

Implementamos las siguientes medidas suplementarias para proteger los datos personales transferidos:

• Cifrado de datos en tránsito (TLS/SSL) y en reposo
• Controles de acceso y mecanismos de autenticación
• Evaluaciones de seguridad periódicas
• Prácticas de minimización de datos (p. ej., hashes de visitantes de rotación diaria en lugar de almacenamiento de IP sin procesar)
• Residencia de datos jurisdiccional para operadores de sitios web residentes en la UE (almacenamiento persistente y procesamiento automatizado orientado a los visitantes restringidos a la UE)
• Infraestructura de computación y correo electrónico ubicada en la UE para operaciones automatizadas orientadas a visitantes (notificaciones de envío de contenido y entrega de correo electrónico transaccional procesados en la Unión Europea para operadores de sitios web residentes en la UE)

7.3 Evaluación de Impacto de Transferencia

Estas medidas suplementarias se fundamentan en nuestra evaluación de las leyes y prácticas de los países de destino, teniendo en cuenta la naturaleza de los datos transferidos, el mecanismo de transferencia utilizado y las salvaguardias técnicas y organizativas establecidas. Hemos evaluado que las medidas suplementarias descritas anteriormente, junto con los compromisos en las CCT, proporcionan un nivel adecuado de protección para los datos personales transferidos. Nuestra Evaluación de Impacto de Transferencia está disponible en https://www.acira.ai/tia.

7.4 Transferencias de Datos desde Canadá

Para las transferencias de datos personales desde Canadá, nos basamos en las siguientes salvaguardias para garantizar que los datos personales transferidos fuera de Canadá reciban un nivel de protección comparable al exigido por la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) y la legislación provincial de privacidad aplicable (incluidas la PIPA de Alberta, la PIPA de Columbia Británica y la Ley de Quebec relativa a la protección de la información personal en el sector privado):

1. Protecciones contractuales: Acuerdos de tratamiento de datos por escrito con cada subencargado que imponen obligaciones de protección de datos personales a un estándar coherente con la legislación de privacidad canadiense, incluidos requisitos de salvaguardias de seguridad adecuadas, limitaciones de uso, notificación de brechas y acceso de los interesados.
2. Salvaguardias técnicas: Las mismas medidas de cifrado, seudonimización, control de acceso y minimización de datos descritas en la Sección 7.2 se aplican a las transferencias de datos canadienses.
3. Salvaguardias organizativas: Diligencia debida sobre subencargados, obligaciones de confidencialidad para el personal y procedimientos de respuesta a incidentes documentados tal como se describe en esta DPA.

Supervisamos los desarrollos en la legislación de privacidad canadiense, incluida la propuesta Ley de Protección de la Privacidad del Consumidor (CPPA), y actualizaremos nuestros mecanismos de transferencia según sea necesario.

8. DERECHOS DE LOS INTERESADOS

8.1 Asistencia con Solicitudes

Le asistiremos para responder a las solicitudes de los interesados que ejerzan sus derechos en virtud de la Normativa de Protección de Datos Aplicable, incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.

8.2 Notificación

Si recibimos una solicitud directamente de un interesado en relación con datos personales tratados en su nombre, le notificaremos de inmediato y no responderemos a la solicitud sin sus instrucciones, salvo que lo exija la legislación aplicable.

8.3 Herramientas de la Plataforma

Proporcionamos herramientas dentro de los Servicios para ayudarle a cumplir las solicitudes de los interesados, incluyendo:

• Acceso y gestión de los datos almacenados en las bases de datos de su sitio web
• Eliminación de registros individuales de las bases de datos de su sitio web
• Previa solicitud, podemos proporcionar exportaciones de datos en formato ZIP para ayudar con las obligaciones de portabilidad de datos

9. SEGURIDAD DE LOS DATOS

9.1 Medidas de Seguridad

Implementamos y mantenemos las medidas técnicas y organizativas adecuadas para proteger los datos personales contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidental. Estas medidas incluyen:

• Cifrado: Datos cifrados en tránsito mediante TLS/SSL y en reposo con cifrado de estándar industrial
• Control de Acceso: Controles de acceso basados en roles, autenticación multifactor para la administración de la plataforma, políticas de acceso de mínimos privilegios
• Seguridad de la Infraestructura: Infraestructura cloud gestionada con parches de seguridad automatizados, protección DDoS y Firewall de Aplicaciones Web (WAF)
• Aislamiento de Datos: Aislamiento de datos por sitio web a través de instancias de almacenamiento dedicadas
• Monitoreo: Monitoreo de seguridad automatizado, detección de intrusiones y registro estructurado
• Seguridad de Credenciales: Todas las claves API y secretos almacenados en servicios dedicados de gestión de secretos; contraseñas de usuarios cifradas con fuertes algoritmos criptográficos con sales por usuario
• Protección de Bots: Sistemas de desafíos proof-of-work para prevenir el abuso automatizado

9.2 Confidencialidad

Garantizamos que todo el personal autorizado para tratar datos personales esté vinculado por obligaciones de confidencialidad.

10. NOTIFICACIÓN DE BRECHAS DE DATOS

10.1 Notificación al Responsable del Tratamiento

Le notificaremos sin dilación indebida tras confirmar una brecha de datos personales que afecte a datos personales tratados en su nombre. La notificación se enviará a la información de contacto asociada a su cuenta.

10.2 Contenido de la Notificación

Nuestra notificación de brecha incluirá, en la medida en que esté disponible:

1. Una descripción de la naturaleza de la brecha, incluidas las categorías y el número aproximado de interesados y registros afectados;
2. El nombre y los datos de contacto de nuestro responsable de protección de datos;
3. Una descripción de las posibles consecuencias de la brecha;
4. Una descripción de las medidas adoptadas o propuestas para abordar la brecha y mitigar sus efectos.

10.3 Sus Obligaciones

Usted es responsable de notificar a la autoridad de supervisión competente y a los interesados afectados sobre una brecha de datos personales según lo exija la Normativa de Protección de Datos Aplicable. Cooperaremos con usted y le prestaremos asistencia razonable para ayudarle a cumplir sus obligaciones de notificación de brechas.

11. AUDITORÍAS Y VERIFICACIÓN DE CUMPLIMIENTO

11.1 Documentación de Cumplimiento

Para demostrar nuestro cumplimiento con este DPA, pondremos a su disposición, previa solicitud escrita razonable (hasta una vez al año), lo siguiente:

1. Informes de auditoría de terceros relevantes, certificaciones o resúmenes de evaluaciones de seguridad;
2. Un resumen de nuestras medidas de seguridad técnicas y organizativas actuales;
3. Información sobre nuestras actividades de tratamiento, subencargados y prácticas de protección de datos.

Cuando dependemos de proveedores de infraestructura de terceros (como AWS y Cloudflare), sus certificaciones de seguridad y documentación de cumplimiento están disponibles a través de sus respectivos programas de confianza y cumplimiento.

11.2 Consultas Adicionales

Si la documentación proporcionada en virtud de la Sección 11.1 no aborda razonablemente sus preocupaciones de cumplimiento, puede enviar preguntas escritas específicas sobre nuestras prácticas de protección de datos, a las que responderemos dentro de un plazo razonable.

12. CONSERVACIÓN Y SUPRESIÓN DE DATOS

12.1 Durante el Acuerdo

Conservaremos los datos personales tratados en su nombre durante la vigencia del Acuerdo y de conformidad con sus instrucciones a través de los Servicios. Los períodos de conservación específicos para los datos de visitantes incluyen:

• Conversaciones de chatbot en su sitio web: Conservadas durante treinta (30) días desde la última interacción en cada conversación. Las conversaciones se almacenan en sesiones de visitantes en la infraestructura edge del sitio web y se eliminan automáticamente cuando la sesión expira debido a la inactividad.
• Envíos de formularios y contenido generado por usuarios en su sitio web: Conservados durante la vida útil del sitio web asociado, a menos que los elimine antes a través de las herramientas de la plataforma.
• Datos de sesión de los visitantes de su sitio web: Eliminados automáticamente tras 30 días de inactividad.
• Contenido de visitantes eliminado (envíos de formularios, comentarios y otro contenido generado por usuarios en su sitio web): Cuando elimina contenido de visitantes a través de las herramientas de la plataforma, se mueve a un estado de eliminación temporal y se conserva durante hasta treinta (30) días para apoyar la recuperación. Transcurrido este período, el contenido eliminado temporalmente se elimina de forma permanente. Puede eliminar permanentemente el contenido de inmediato purgándolo de la cola de recuperación.
• Registros de cancelación de suscripción de correo electrónico en su sitio web: Se conservan durante la duración del sitio web asociado, a menos que el destinatario se vuelva a suscribir. Los registros de cancelación se eliminan cuando el sitio web se destruye.
• Datos de análisis: Conservados durante la vida útil del sitio web asociado (sujeto a los límites de conservación basados en el plan; los datos de análisis del plan gratuito se conservan durante noventa (90) días).

12.2 Al Terminar

Al terminar el Acuerdo, o a su solicitud, eliminaremos los datos personales tratados en su nombre de conformidad con las prácticas de conservación de datos descritas en el Acuerdo (incluido el período de gracia de siete (7) días para las eliminaciones de cuentas y sitios web). Después del período de gracia, la eliminación es permanente e irreversible.

12.3 Excepciones

Podemos conservar datos personales en la medida exigida por la legislación aplicable, o cuando los datos hayan sido anonimizados y ya no puedan vincularse a un interesado.

13. VIGENCIA Y TERMINACIÓN

Esta DPA entra en vigor en la fecha en que usted acepta el Acuerdo y permanece en vigor mientras tratemos datos personales en su nombre. Las obligaciones de confidencialidad y protección de datos establecidas en esta DPA sobreviven a la terminación del Acuerdo.

14. LIMITACIÓN DE RESPONSABILIDAD

La responsabilidad de cada parte en virtud de esta DPA está sujeta a las limitaciones de responsabilidad establecidas en el Acuerdo.

15. CONTÁCTENOS

Para preguntas sobre esta DPA o para ejercer sus derechos, contáctenos en:

Acira AI LLC
A/A: Protección de Datos
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Teléfono: 888-389-1189
Correo electrónico: legal@acira.ai