Politica de Confidențialitate
Ultima actualizare: 6 aprilie 2026
Conform Regulamentului (UE) 2016/679 (GDPR) și Legii nr. 190/2018
1. Operatorul de Date
[DE COMPLETAT]
CUI: [DE COMPLETAT]
Sediul social: [DE COMPLETAT], România
Email general: contact@roxane-app.ro
Email responsabil cu protecția datelor (DPO): privacy@roxane-app.ro
Vă rugăm să adresați orice solicitare legată de datele dumneavoastră personale la adresa DPO: privacy@roxane-app.ro. Ne angajăm să răspundem în termen de 30 de zile calendaristice.
2. Date Personale Colectate
Colectăm următoarele categorii de date personale:
| Categorie | Date specifice | Când |
|---|---|---|
| Date de cont | Email, nume complet, parolă (hash bcrypt), Google ID (OAuth) | La crearea contului |
| Date conversații AI | Mesajele trimise și primite, titlul conversației, timestamp | La utilizarea chat-ului |
| Date clienți | Nume client, CUI/CNP, tip entitate, date contact | La adăugarea clienților |
| Documente | Fișiere încărcate (facturi, declarații), metadate | La upload documente |
| Date tehnice | Adresă IP, browser, sistem operare, timestamp | Automat la accesare |
| Date facturare | Stripe Customer ID, planul activ, data reînnoirii | La abonare |
| Cookie-uri | Token sesiune Supabase, preferințe interfață | La autentificare |
Date de plată: Datele cardului de credit/debit sunt procesate exclusiv de Stripe, Inc. Noi nu stocăm și nu avem acces la numerele complete de card, CVV sau alte date de plată sensibile.
3. Temeiul Legal al Prelucrării (Art. 6 GDPR)
| Scop prelucrare | Temei legal | Articol GDPR |
|---|---|---|
| Furnizarea serviciului (cont, chat, calculatoare) | Executarea contractului | Art. 6(1)(b) |
| Procesarea plăților și facturarea | Executarea contractului + Obligație legală | Art. 6(1)(b)(c) |
| Securitate, prevenire fraudă, integritate platformă | Interes legitim | Art. 6(1)(f) |
| Notificări despre serviciu (reînnoire, modificări) | Executarea contractului | Art. 6(1)(b) |
| Analize de utilizare (statistici anonime) | Consimțământ | Art. 6(1)(a) |
| Arhivare documente financiare (obligații contabile) | Obligație legală | Art. 6(1)(c) |
4. Scopurile Prelucrării
Datele dumneavoastră personale sunt utilizate exclusiv pentru:
- Crearea și gestionarea contului dumneavoastră;
- Furnizarea funcționalităților platformei (chat AI, calculatoare, calendar);
- Procesarea plăților și gestionarea abonamentului;
- Trimiterea notificărilor de serviciu (termene fiscale, reînnoire abonament);
- Asigurarea securității platformei și prevenirea utilizării abuzive;
- Respectarea obligațiilor legale (fiscale, contabile, GDPR);
- Îmbunătățirea serviciilor pe baza statisticilor anonime (cu consimțământ).
✓ Ce NU facem cu datele dumneavoastră:
- Nu vindem datele personale niciunui terț;
- Nu folosim datele pentru publicitate direcționată sau marketing terți;
- Nu transmitem conversațiile Anthropic pentru antrenarea modelelor AI (conform Acordului de Procesare a Datelor Anthropic);
- Nu procesăm date speciale (sănătate, politice, biometrice).
5. Sub-procesatori și Destinatari
Utilizăm serviciile următorilor furnizori de tehnologie care pot procesa date personale:
| Furnizor | Serviciu | Locație | Garanții |
|---|---|---|---|
| Supabase Inc. | Baza de date, autentificare, stocare fișiere | EU (Frankfurt, Germania) | DPA, ISO 27001, SOC 2 |
| Anthropic PBC | Procesare AI: (a) textul conversațiilor pentru generarea răspunsurilor fiscale; (b) conținutul documentelor uploadate, procesat separat pentru extragerea datelor fiscale | SUA (California) | DPA + Clauze contractuale standard UE (SCC) |
| Stripe Inc. | Procesare plăți, facturare | EU + SUA | DPA, PCI DSS Level 1, SCC |
| Vercel Inc. | Hosting aplicație web, CDN | EU (Frankfurt, Germania) | DPA, SOC 2 Type II |
| Resend Inc. | Trimitere email-uri tranzacționale | SUA | DPA, SCC |
Notă specială Anthropic: Conform Acordului de Procesare a Datelor cu Anthropic, datele trimise prin API nu sunt utilizate pentru antrenarea modelelor AI. Datele sunt procesate exclusiv pentru generarea răspunsurilor și nu sunt reținute de Anthropic după procesare. Aceasta include atât conversațiile AI, cât și documentele uploadate, care sunt procesate separat pentru extragerea datelor fiscale.
Pentru detalii complete privind obligațiile de prelucrare, consultați Acordul de Prelucrare a Datelor (DPA). O evaluare a impactului asupra protecției datelor (DPIA) este disponibilă la cerere.
6. Durata Stocării Datelor
| Categorie de date | Durată stocare | Motiv |
|---|---|---|
| Date de cont (email, nume) | Pe durata contului + 30 zile după ștergere | Furnizare serviciu |
| Conversații AI | Pe durata contului (ștergere la cerere) | Funcționalitate serviciu |
| Documente financiare | 5 ani de la data documentului | Obligație legală contabilă (Legea 82/1991) |
| Date facturare (facturi, chitanțe) | 10 ani | Obligație fiscală (Codul Fiscal) |
| Log-uri de securitate (IP, accesuri) | 90 zile | Securitate și prevenire fraudă |
| Date clienți (portofoliu contabil) | Pe durata contului + 30 zile după ștergere | Furnizare serviciu |
7. Drepturile Dumneavoastră (Art. 15–22 GDPR)
Conform GDPR, beneficiați de următoarele drepturi în legătură cu datele dumneavoastră personale:
Dreptul de acces (Art. 15)
Puteți solicita o copie a tuturor datelor personale pe care le deținem despre dumneavoastră.
Dreptul la rectificare (Art. 16)
Puteți corecta datele inexacte sau incomplete direct din setările contului sau prin cerere la DPO.
Dreptul la ștergere („dreptul de a fi uitat") (Art. 17)
Puteți solicita ștergerea datelor când nu mai sunt necesare sau când retrageți consimțământul, cu excepția datelor pentru care există obligații legale de păstrare.
Dreptul la portabilitate (Art. 20)
Puteți solicita exportul datelor dumneavoastră într-un format structurat, utilizat frecvent și citibil automat (JSON/CSV).
Dreptul la restricționarea prelucrării (Art. 18)
Puteți solicita limitarea prelucrării în anumite circumstanțe (contestație exactitate, prelucrare ilegală etc.).
Dreptul la opoziție (Art. 21)
Vă puteți opune prelucrărilor bazate pe interes legitim. Ne vom conforma cu excepția cazurilor în care avem motive legitime imperative.
Dreptul de a retrage consimțământul
Când prelucrarea se bazează pe consimțământ, îl puteți retrage oricând fără a afecta legalitatea prelucrărilor anterioare.
Cum exercitați drepturile: Trimiteți o cerere la privacy@roxane-app.ro cu subiectul „Cerere GDPR — [tipul dreptului]". Veți fi contactat în termen de 30 de zile. Puteți fi solicitat să vă verificați identitatea înainte de procesarea cererii.
8. Transferuri Internaționale de Date
Unii sub-procesatori (Anthropic, Resend) procesează date în Statele Unite ale Americii. Aceste transferuri sunt efectuate cu garanții adecvate în conformitate cu Art. 46 GDPR:
- Clauze contractuale standard (SCC) aprobate de Comisia Europeană;
- Acorduri de procesare a datelor (DPA) cu fiecare furnizor;
- Evaluări de impact transfer (TIA) efectuate pentru fiecare furnizor din SUA.
9. Securitatea Datelor
Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor:
- TLS 1.3 — toate comunicațiile sunt criptate în tranzit;
- AES-256 — criptare la repaus în Supabase;
- RLS (Row Level Security) — izolare completă a datelor între organizații la nivel de bază de date;
- bcrypt — hash-uire parolă cu salt (gestionat de Supabase Auth);
- RBAC — control acces bazat pe roluri (owner, admin, member);
- Rate limiting — limitare cereri API per organizație per zi;
- Backup — backup-uri zilnice automate prin Supabase Cloud.
Notificare breșă de securitate: În cazul unui incident de securitate care afectează datele dumneavoastră personale, vom notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termen de 72 de ore și pe utilizatorii afectați fără întârzieri nejustificate, conform Art. 33-34 GDPR.
10. Minori
Platforma Roxane este adresată exclusiv profesioniștilor. Nu colectăm în mod intenționat date personale de la persoane cu vârsta sub 18 ani. Dacă aflați că un minor a furnizat date fără consimțământul părinților, contactați-ne la privacy@roxane-app.ro pentru ștergerea imediată.
11. Autoritatea de Supraveghere
Aveți dreptul să depuneți o plângere la autoritatea de supraveghere competentă:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, 010336
Telefon: +40.318.059.211
Email: anspdcp@dataprotection.ro
12. Cookie-uri
Informații detaliate despre cookie-urile utilizate sunt disponibile în Politica de Cookie-uri.
13. Transparență privind Sistemele de Inteligență Artificială
Conform Regulamentului (UE) 2024/1689 privind inteligența artificială (AI Act), informăm utilizatorii că platforma Roxane utilizează sisteme de inteligență artificială:
ℹ️ Informații obligatorii privind utilizarea AI (Art. 50 AI Act)
- Răspunsurile din chat sunt generate de un sistem de inteligență artificială (modelul Claude, dezvoltat de Anthropic PBC), nu de o persoană umană.
- Conținutul generat automat nu a fost verificat individual de un expert uman înainte de afișare.
- Sistemul poate produce informații incorecte sau incomplete — fenomen cunoscut ca „halucinare AI".
- Roxane este clasificată ca sistem AI de risc limitat conform AI Act (sistem conversațional — Art. 50). Nu este un sistem AI de risc înalt în sensul Anexei III din AI Act.
- Conținutul fiscal al platformei este verificat de experți contabili autorizați CECCAR, dar această verificare se aplică bazei de cunoștințe, nu fiecărui răspuns generat individual.
Pentru orice întrebări legate de funcționarea sistemelor AI utilizate, contactați privacy@roxane-app.ro.
14. Modificări ale Politicii
Această Politică de Confidențialitate poate fi actualizată periodic. Modificările semnificative vor fi comunicate prin email cu cel puțin 30 de zile calendaristice înainte de intrarea în vigoare. Data ultimei actualizări este indicată la începutul documentului. Vă recomandăm să consultați periodic această pagină.
Referințe legislative: Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR, Legea nr. 506/2004 privind prelucrarea datelor personale și protecția vieții private în sectorul comunicațiilor electronice, Regulamentul (UE) 2024/1689 privind inteligența artificială (AI Act).