Politica de Confidențialitate

Introducere

Bine ați venit pe platforma noastră de asistență AI pentru cetățenii români și moldoveni. Ne angajăm să protejăm confidențialitatea dumneavoastră și să procesăm datele personale în conformitate cu Regulamentul General privind Protecția Datelor (GDPR - Regulamentul UE 2016/679) și legislația română și moldovenească în vigoare.

Această Politică de Confidențialitate descrie modul în care colectăm, folosim, stocăm și protejăm datele dumneavoastră personale atunci când utilizați serviciile noastre, inclusiv aplicația web și mobilă.

Operator de Date

Operatorul de date cu caracter personal este:
Email de contact: contact@r-ro.com

1. Date Personale pe Care le Colectăm

1.1 Date de Identificare și Contact

• Nume și prenume - pentru personalizarea serviciilor și comunicare
• Adresa de email - pentru autentificare, notificări și comunicări esențiale
• Parolă criptată - stocată folosind bcrypt (hash ireversibil)

1.2 Date Sensibile (Procesate cu Protecție Sporită)

IMPORTANT: Când generați documente oficiale (cereri, plângeri, petiții), furnizați date personale sensibile care includ:

• CNP/Cod Numeric Personal sau număr de identitate
• Adresă de domiciliu completă (strada, orașul, codul poștal)
• Număr de telefon

🔒 Garanție de Confidențialitate: Aceste date sensibile NU sunt trimise niciodată către serviciile AI externe. Folosim o arhitectură bazată pe șabloane: AI-ul generează documente cu placeholder-uri (ex: [NUME_COMPLET], [CNP_CI]), iar datele reale sunt inserate doar pe serverele noastre, după generare. Vedeți secțiunea 9 pentru detalii tehnice.

1.3 Date de Plată

• Informații de facturare - procesate exclusiv de Stripe (processor de plăți PCI DSS compliant)
• Istoric abonamente - plan activ (Free/Pro), dată de începere/expirare
• Achiziții pachete plângeri - număr pachete cumpărate, sold rămas

Nu stocăm datele cardului bancar. Toate tranzacțiile sunt gestionate de Stripe conform standardelor PCI DSS nivel 1.

1.4 Date de Utilizare și Dispozitive

• ID dispozitiv - generat local în browser (UUID stocat în localStorage) pentru limitarea accesului
• Informații dispozitiv - User-Agent (browser, sistem de operare), ultima activitate
• Adresă IP - pentru securitate și prevenirea abuzurilor (nu este stocată permanent)
• Istoricul conversațiilor - mesajele din chat-ul cu AI (salvate doar cu consimțământul dumneavoastră)
• Etichete/tag-uri - organizare conversații (create de dumneavoastră)
• Preferințe sistem - limbă preferată pentru transcriere vocală

1.5 Date Audio (Transcriere Vocală)

• Înregistrări audio temporare - procesate în memorie pentru transcriere
• Text transcris - rezultatul transcrierii (păstrat în conversații dacă trimiteți mesajul)
• Metrici utilizare - secunde audio consumate (pentru gestionarea cotei zilnice)

Notă importantă: Fișierele audio NU sunt salvate. După transcriere, înregistrarea este ștearsă imediat din memorie. Doar textul transcris este păstrat dacă alegeți să-l trimiteți în chat.

1.6 Cookies și Tehnologii Similare

• Cookie-uri de sesiune - pentru autentificare (expiră după 30 de zile)
• localStorage - ID dispozitiv, preferințe utilizator
• Service Workers - pentru funcționalitatea PWA (Progressive Web App) offline

2. Scopurile și Temeiurile Juridice ale Prelucrării

2.1 Executarea Contractului (Art. 6(1)(b) GDPR)

• Furnizarea serviciilor AI - chat inteligent, generare documente, transcriere vocală
• Gestionarea contului - autentificare, sesiuni, securitate
• Procesarea plăților - abonamente Pro, pachete plângeri
• Gestionarea cotelor - limitare utilizare zilnică/lunară conform planului
• Gestionarea dispozitivelor - limitare acces (2 dispozitive Free, 4 dispozitive Pro)

2.2 Consimțământ (Art. 6(1)(a) GDPR)

• Salvarea conversațiilor - istoricul chat-ului este salvat doar cu permisiunea dumneavoastră
• Transcriere vocală - accesul la microfon necesită permisiunea browserului
• Notificări push (dacă/când vor fi implementate) - necesită opt-in explicit

2.3 Interese Legitime (Art. 6(1)(f) GDPR)

• Securitate și prevenirea fraudelor - detectare comportament suspect, protecție împotriva abuzurilor
• Rate limiting - prevenirea spam-ului și protecția infrastructurii
• Îmbunătățirea serviciilor - analiză anonimizată a utilizării (fără identificare personală)
• Suport tehnic - rezolvarea problemelor raportate de utilizatori

2.4 Obligații Legale (Art. 6(1)(c) GDPR)

• Conformitate fiscală - păstrarea documentelor contabile conform legii
• Răspuns la solicitări legale - colaborare cu autoritățile competente când este obligatoriu

3. Partajarea Datelor cu Terți

Angajament: Nu vindem, închiriem sau comercializăm datele dumneavoastră personale către terți pentru marketing sau alte scopuri nesolicitate.

3.1 Procesatori de Date (Art. 28 GDPR)

• Cloudflare, Inc. (SUA - acoperit de EU-US Data Privacy Framework)
  • Infrastructură: hosting (Cloudflare Workers), CDN, securitate
  • Date procesate: trafic web, adrese IP (temporar), cache
  • Baza legală: Contract DPA (Data Processing Agreement) GDPR-compliant
• Stripe, Inc. (SUA - certificat PCI DSS Level 1)
  • Serviciu: procesare plăți cu card, abonamente
  • Date procesate: informații facturare, istoric tranzacții
  • Baza legală: Clauzele Contractuale Standard (SCC) aprobate de Comisia Europeană
• Furnizori AI pentru Chat și Generare Text (prin Cloudflare AI Gateway - proxy securizat)
  • Serviciu: modele de limbaj (DeepSeek, OpenAI, Anthropic Claude, Google Gemini, Meta LLaMA și alții) - routing dinamic bazat pe complexitatea întrebării
  • Date procesate: mesajele din chat (fără date personale sensibile - datele de identificare NU sunt trimise NICIODATĂ, vezi secțiunea 9)
  • Protecție: toate cererile sunt proxate prin Cloudflare AI Gateway care aplică filtrare, validare și caching
  • Selecție automată: întrebări simple → modele rapide; analiză complexă → modele de raționament
• OpenAI/Cloudflare Workers AI (pentru transcriere vocală)
  • Serviciu: model Whisper pentru transcriere audio-to-text
  • Date procesate: fișiere audio temporare (șterse imediat după transcriere)
  • Protecție: procesare în memorie, fără stocare permanentă
• Google LLC (SUA - acoperit de EU-US Data Privacy Framework)
  • Serviciu: Google Analytics 4 pentru metrici anonimizate de utilizare
  • Date procesate: pagini vizitate, durată sesiune, tip dispozitiv, adresă IP anonimizată (ultimul octet șters)
  • Baza legală: Consimțământ explicit (Art. 6(1)(a) GDPR) - cookie-uri activate doar după acceptarea utilizatorului
  • Retenție: 14 luni (standard Google Analytics 4)
  • IMPORTANT: Date sensibile (CNP, adresă, telefon) NU sunt trimise către Google Analytics

3.2 Transferuri Internaționale de Date

Unii procesatori de date (Cloudflare, Stripe, furnizori AI) sunt localizați în afara Spațiului Economic European (SEE). Asigurăm protecție adecvată prin:

• EU-US Data Privacy Framework - Cloudflare este certificat
• Clauzele Contractuale Standard (SCC) - contracte aprobate de Comisia Europeană
• Măsuri tehnice suplimentare - criptare end-to-end, minimizare date

3.3 Divulgări Legale

Putem dezvălui datele dumneavoastră personale către autorități publice (poliție, instanțe de judecată, autorități fiscale) doar când:

• Suntem obligați legal printr-o ordonanță sau mandat
• Este necesar pentru protejarea drepturilor sau siguranței noastre sau a altora
• Prevenim sau investigăm fraude sau abuzuri

4. Perioada de Stocare a Datelor

5. Măsuri de Securitate (Art. 32 GDPR)

5.1 Securitate Tehnică

• Criptare în tranzit - TLS 1.3 pentru toate conexiunile HTTPS
• Criptare în repaus - database D1 cu criptare at-rest
• Hashing parole - bcrypt cu salt (cost factor 10, ireversibil)
• Content Security Policy (CSP) - politici stricte fără unsafe-inline/unsafe-eval
• Headers de securitate - HSTS, X-Frame-Options: DENY, XSS protection
• Rate limiting - protecție împotriva brute-force și spam (8 cereri/minut)

5.2 Securitate Organizațională

• Acces bazat pe principiul least privilege - dezvoltatorii au acces minim necesar
• Autentificare multi-factor - pentru accesul la infrastructură
• Audit trails - logare acțiuni sensibile (login-uri, modificări cont)
• Backup-uri automate - zilnice cu criptare

5.3 Protecție Împotriva Breșelor de Date

În cazul unei breșe de securitate care afectează date personale, ne angajăm să:

• Notificăm Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termen de 72 de ore
• Notificăm utilizatorii afectați fără întârzieri nejustificate
• Documentăm incidentul conform Art. 33-34 GDPR
• Implementăm măsuri corective pentru prevenirea repetării

6. Drepturile Dumneavoastră GDPR (Capitolul III)

În conformitate cu GDPR, aveți următoarele drepturi privind datele dumneavoastră personale:

6.1 Dreptul de Acces (Art. 15)

Puteți solicita o copie a tuturor datelor personale pe care le procesăm despre dumneavoastră, inclusiv:

• Informații cont (nume, email, dată înregistrare)
• Istoric conversații și mesaje
• Dispozitive înregistrate
• Istoric abonamente și plăți
• Preferințe sistem

Cum solicitați: Trimiteți email la contact@r-ro.com cu subiectul “Cerere Acces Date GDPR”. Veți primi răspuns în termen de 30 de zile.

6.2 Dreptul la Rectificare (Art. 16)

Puteți corecta datele inexacte direct din contul dumneavoastră (Secțiunea Cont → Setări) sau solicitând asistență prin email.

6.3 Dreptul la Ștergere - “Dreptul de a fi Uitat” (Art. 17)

Puteți solicita ștergerea completă a contului și a datelor asociate. Excepții legale:

• Date de facturare păstrate 10 ani pentru conformitate fiscală
• Date necesare pentru apărarea în justiție

Proces ștergere: Trimiteți cerere la contact@r-ro.com. Ștergerea va fi finalizată în maximum 30 de zile. Veți primi confirmare prin email.

6.4 Dreptul la Restricționarea Prelucrării (Art. 18)

Puteți solicita suspendarea temporară a procesării datelor dumneavoastră (de exemplu, în timpul unei verificări a exactității datelor sau pentru perioada unei contestații legale).

6.5 Dreptul la Portabilitatea Datelor (Art. 20)

Puteți solicita exportul datelor dumneavoastră într-un format structurat, utilizat în mod curent și care poate fi citit automat (JSON). Include:

• Conversații și mesaje (format JSON)
• Preferințe și setări
• Metadata dispozitive

6.6 Dreptul de Opoziție (Art. 21)

Puteți să vă opuneți prelucrării datelor bazate pe interese legitime (ex: marketing direct, analiză statistică). Vom respecta opoziția dumneavoastră cu excepția cazurilor în care avem motive legitime imperative.

6.7 Dreptul de a Retrage Consimțământul (Art. 7(3))

Dacă prelucrarea se bazează pe consimțământ (ex: salvare conversații, acces microfon), puteți retrage oricând consimțământul fără a afecta legalitatea prelucrării anterioare.

6.8 Dreptul de a Depune Plângere (Art. 77)

Dacă considerați că drepturile dumneavoastră GDPR au fost încălcate, puteți depune plângere la:

• România: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
  Website: www.dataprotection.ro
• Moldova: Centrul Național pentru Protecția Datelor cu Caracter Personal
  Website: www.datepersonale.md

7. Protecția Minorilor

Serviciul nostru este destinat persoanelor cu vârsta de minimum 16 ani. Nu colectăm în mod deliberat date personale de la copii sub 16 ani fără consimțământul părinților sau tutorilor legali.

Dacă descoperim că am colectat date personale de la un copil sub 16 ani fără verificarea consimțământului părintesc, vom șterge acele informații cât mai curând posibil.

8. Cookies și Tehnologii de Urmărire

8.1 Cookie-uri Esențiale (Necesare)

Aceste cookie-uri sunt strict necesare pentru funcționarea site-ului:

• auth_session - Cookie de autentificare (expirare: 30 zile)
• Scop: Menținerea sesiunii autentificate
• Conținut: Token sesiune criptat (nu conține date personale)

8.2 localStorage (Stocare Locală Browser)

• device_id - UUID generat local pentru identificarea dispozitivului
• last_conversation_id - ID ultimei conversații accesate (pentru restaurare)
• user_preferences - Preferințe UI (limbă transcriere, etc.)

8.3 Servicii de Analiză (cu Consimțământ)

• Google Analytics 4: Metrici anonimizate despre utilizare (pagini vizitate, durată sesiune, tip dispozitiv)
• Anonymize IP: Ultimul octet al adresei IP este șters automat
• Cookie-uri Analytics: _ga, _gid, _gat (2 ani / 24 ore / 1 minut)
• Consimțământ necesar: Cookie-urile analytics se activează doar după acordul explicit al utilizatorului
• Retenție date: 14 luni (implicit Google Analytics 4)

8.4 Nu Folosim

• ❌ Cookie-uri de marketing/publicitate terțe
• ❌ Tracking pixels sau beacons
• ❌ Facebook Pixel sau alte rețele publicitare
• ❌ Cookie-uri de profilare comportamentală
• ❌ Remarketing sau retargeting

10. Aplicația Mobilă (PWA - Progressive Web App)

Platforma noastră poate fi instalată ca aplicație mobilă (PWA) pe Android și iOS. Funcționalitățile specifice mobile:

• Service Workers - permit funcționarea offline parțială (cache UI static)
• Notificări push (dacă implementate viitor) - necesită consimțământ explicit
• Acces microfon - doar cu permisiunea dumneavoastră (pentru transcriere vocală)
• Stocare locală - pentru cache conversații și preferințe

Google Play Store: Aplicația PWA nu are acces la date suplimentare față de versiunea web. Nu colectăm advertising ID, locația GPS sau lista contactelor.

11. Modificări ale Politicii de Confidențialitate

Ne rezervăm dreptul de a actualiza această politică pentru a reflecta modificări legislative, operaționale sau tehnice. În cazul modificărilor substanțiale, vă vom notifica prin:

• Email către adresa asociată contului dumneavoastră
• Notificare vizibilă în platformă la următoarea autentificare
• Actualizarea datei “Ultima actualizare” de mai jos

Vă recomandăm să revedeți periodic această politică. Continuarea utilizării serviciului după modificări constituie acceptarea noii politici.

12. Contact și Sesizări