Politica de confidențialitate

1. Operatorul de date

Datele tale personale sunt prelucrate de operatorul de mai jos. Brandul comercial folosit pe site („NeuroAI Consulting") și denumirea juridică a societății care îți gestionează datele („NeuroAI Advance S.R.L.") sunt entități identice — același operator, sub două nume.

• Denumire legală: NeuroAI Advance S.R.L.
• Brand comercial: NeuroAI Consulting
• Sediul social: Str. Călugărului nr. 17, Sat Bălteni, Comuna Periș, jud. Ilfov, RO
• CUI: 54729441
• Nr. Registrul Comerțului: J2026032931002
• Email: contact@neuroai.ro
• Telefon: +40 736 495 817
• Website: https://neuroai.ro

2. Rolul dublu al NeuroAI Advance S.R.L. în prelucrare

În funcție de serviciul utilizat, NeuroAI Advance S.R.L. poate acționa în două calități distincte conform GDPR:

(a) Operator de date (Data Controller) — pentru vizitatorii anonimi ai site-ului, persoanele care completează formularul de contact sau Calculatorul AI Readiness, cumpărătorii de ghiduri PDF și alte produse digitale vândute direct pe site, precum și pentru corespondența primită pe email. În aceste situații, stabilim singuri scopurile și mijloacele prelucrării.

(b) Împuternicit (Data Processor) — pentru datele angajaților prelucrate în aplicația OutOfDesk pe seama clienților-angajatori, dar și pentru proiectele B2B de consultanță, audit digital, automatizare sau cursuri în care, pe parcursul executării contractului, ajungem să accesăm date personale ale clientului (angajați, beneficiari, lead-uri sau alte persoane vizate). În aceste situații, Operatorul este clientul (firma care ne contractează), iar NeuroAI Advance S.R.L. execută exclusiv instrucțiunile acestuia. Pentru fiecare astfel de relație B2B, NeuroAI Advance S.R.L. semnează un Acord de Prelucrare a Datelor (în practica internațională: Data Processing Addendum, prescurtat „DPA") separat, conform art. 28 GDPR. Acordul este un document-anexă obligatoriu prin lege pentru orice situație în care o firmă prelucrează date personale în numele alteia și stabilește regulile exacte de protecție.

Această distincție este importantă: dacă ești angajat al unui client care folosește OutOfDesk sau persoana vizată în cadrul unui proiect B2B al NeuroAI Advance S.R.L., cererea de exercitare a drepturilor GDPR se adresează, în primul rând, Operatorului (angajatorul tău, respectiv clientul nostru). NeuroAI Advance S.R.L. te poate asista, dar temeiul legal și deciziile finale aparțin Operatorului.

3. Categoriile de date personale prelucrate

4. Scopurile și temeiurile legale ale prelucrării

Prelucrăm datele personale pe baza următoarelor temeiuri legale, conform art. 6 GDPR:

5. Destinatarii datelor (subcontractori și terți)

NU vindem, NU închiriem și NU transferăm datele tale personale către terți în scop comercial. Divulgăm datele strict către prestatorii care ne permit să funcționăm și către autoritățile publice, la solicitări legale documentate.

Subcontractorii actuali sunt:

• Stripe (Stripe Payments Europe Limited, Dublin, Irlanda; cu processing secundar prin Stripe, Inc., Statele Unite ale Americii, certificată EU-U.S. Data Privacy Framework) — procesează plățile online cu cardul pentru ghidurile PDF și abonamentele OutOfDesk. Stripe primește direct datele cardului de la cumpărător (Stripe Elements integrat în paginile de checkout), NeuroAI Advance S.R.L. nu primește și nu stochează acele date. Stripe acționează ca Operator independent pentru conformitatea bancară (certificat PCI-DSS Level 1), anti-fraudă și obligațiile de combatere a spălării banilor. Detalii: https://stripe.com/privacy
• Oblio Software S.R.L. (România) — emiterea automată a facturilor fiscale electronice și transmiterea către SPV/ANAF prin integrare nativă cu Stripe pe fluxul de plăți. Primește: nume, date de facturare, valoare comandă și descrierea produsului. Detalii: https://www.oblio.eu/termeni
• Resend (Resend, Inc., Statele Unite ale Americii) — livrează email-urile tranzacționale (confirmări de comandă, link-uri de descărcare pentru ghiduri PDF, notificări OutOfDesk, rezultate Calculator AI Readiness, răspunsuri la lead-uri)
• Cloudflare (Cloudflare, Inc., infrastructură UE pentru această aplicație) — găzduiește front-end-ul site-ului și funcțiile serverless aferente (DNS, CDN, firewall, protecție DDoS, Pages Functions și depozitul KV pentru audit trail-ul consimțământului cookie)
• Render (Render Services, Inc., Statele Unite ale Americii) — găzduiește API-ul backend pentru formularul de contact și alte funcții server-side
• Firebase / Google Cloud (Google LLC, Statele Unite ale Americii) — găzduiește backend-ul aplicației OutOfDesk (autentificare, baza de date Firestore, funcții serverless, stocare fișiere)
• Google Analytics 4 (Google LLC, Statele Unite ale Americii) — analiza anonimizată a traficului, cu Google Consent Mode v2 în mod Advanced (vezi secțiunea 7.2 pentru detalii)
• Google reCAPTCHA Enterprise (Google LLC, Statele Unite ale Americii) — protecție anti-bot pentru aplicația OutOfDesk, prin Firebase App Check. Colectează semnale tehnice (adresă IP, semnătură device, interacțiuni de browser) pentru a distinge utilizatorii reali de bot-uri
• Sentry (Functional Software, Inc. d/b/a Sentry, infrastructură UE pentru proiectele NeuroAI Advance S.R.L.) — colectează rapoarte de erori și performanță din aplicația OutOfDesk și din funcțiile backend (URL, mesaj eroare, stack trace, user agent, identificator de cerere, eventual identificator de utilizator anonimizat). Folosit exclusiv pentru depanare și monitorizare operațională
• Autorități publice competente (ANAF, ANSPDCP, instanțe, Poliție) — exclusiv la solicitări legale documentate

Lista completă și actualizată a subcontractorilor, împreună cu locațiile de prelucrare și certificările lor GDPR, poate fi solicitată oricând la contact@neuroai.ro.

6. Transferul datelor în afara Uniunii Europene

O parte dintre prestatorii de servicii menționați mai sus (Google LLC pentru Firebase / Analytics / reCAPTCHA Enterprise, Resend, Render) sunt stabiliți în Statele Unite ale Americii. Cloudflare este o societate americană, dar pentru această aplicație folosim infrastructura din Uniunea Europeană; Sentry rulează tot pe infrastructura UE pentru proiectele noastre. Stripe procesează plățile prin Stripe Payments Europe Limited (Irlanda), cu date primare în Uniunea Europeană; o parte din procesarea de fraudă și suport poate fi replicată la Stripe, Inc. (SUA), certificată EU-U.S. Data Privacy Framework. Oblio este o societate românească, datele de facturare rămân în România. Pentru transferurile care părăsesc UE, NeuroAI Advance S.R.L. se bazează pe garanțiile adecvate prevăzute de GDPR:

• Clauze contractuale standard (Standard Contractual Clauses — SCC) aprobate de Comisia Europeană prin Decizia de punere în aplicare (UE) 2021/914
• EU-U.S. Data Privacy Framework, pentru furnizorii certificați DPF (Google LLC este certificat DPF)
• Măsuri tehnice suplimentare: criptare în tranzit (TLS 1.2+), criptare în repaus pentru datele sensibile, controlul accesului pe bază de roluri

Pentru OutOfDesk, datele de autentificare Firebase și o parte din datele operaționale pot fi stocate pe servere Google din Statele Unite, cu garanțiile descrise mai sus. Unele servicii Firebase (Authentication, Analytics) nu oferă încă stocare exclusivă în zona Uniunii Europene; NeuroAI Advance S.R.L. va actualiza această politică pe măsură ce aceste opțiuni devin disponibile.

Poți solicita detalii complete despre locațiile fiecărei categorii de date printr-o cerere scrisă la contact@neuroai.ro.

7. Cookie-uri și tehnologii similare

Site-ul folosește cookie-uri și tehnologii similare pentru funcționare, măsurarea performanței și, unde este cazul, personalizarea experienței. Cookie-urile sunt clasificate în trei categorii:

8. Durata păstrării datelor

Păstrăm datele personale strict atât timp cât este necesar pentru scopurile pentru care au fost colectate sau cât impune legea:

• Date din formularul de contact: 24 de luni de la ultima interacțiune, apoi ștergere automată
• Lead-uri și răspunsuri din Calculator AI Readiness: 24 de luni de la trimitere, apoi ștergere automată (sau imediat la cerere)
• Comenzi, facturi și alte documente contabile: 10 ani (Legea 82/1991 privind contabilitatea)
• Contul OutOfDesk activ: pe toată durata abonamentului, plus 30 de zile pentru export de date după reziliere
• Cont OutOfDesk dezactivat: ștergere completă după 30 de zile de la reziliere, cu excepția datelor păstrate pentru obligații legale (facturi)
• Log-uri de acces ale site-ului și backend-ului: maxim 6 luni
• Date analytics (Google Analytics 4): maxim 14 luni
• Rapoarte de erori Sentry: maxim 90 de zile
• Audit trail consimțământ cookie: 30 de luni (vezi 7.4)
• Corespondența pe email: până la finalizarea scopului comunicării, apoi arhivare maxim 36 luni

După expirarea acestor perioade, datele sunt șterse ireversibil sau, acolo unde e tehnic mai potrivit, anonimizate complet (astfel încât să nu mai poată fi asociate cu o persoană identificabilă).

9. Drepturile tale conform GDPR

Ai următoarele drepturi, exercitabile gratuit și la simplă cerere scrisă, prin email la contact@neuroai.ro:

• Dreptul de acces (art. 15 GDPR) — să afli ce date personale deținem despre tine, scopurile prelucrării, destinatarii și perioada de păstrare, și să primești o copie
• Dreptul la rectificare (art. 16 GDPR) — să corectezi datele inexacte sau incomplete
• Dreptul la ștergere / "dreptul de a fi uitat" (art. 17 GDPR) — în condițiile prevăzute de lege
• Dreptul la restricționarea prelucrării (art. 18 GDPR) — în situații specifice (ex. contești exactitatea datelor)
• Dreptul la portabilitate (art. 20 GDPR) — să primești datele într-un format structurat, utilizabil curent și care poate fi citit automat (CSV, JSON)
• Dreptul la opoziție (art. 21 GDPR) — pentru prelucrările bazate pe interes legitim și pentru marketing direct
• Dreptul de a nu face obiectul unei decizii automate (art. 22 GDPR) — NeuroAI Advance S.R.L. nu ia decizii exclusiv automate care produc efecte juridice
• Dreptul de a retrage consimțământul — oricând, fără a afecta legalitatea prelucrării anterioare retragerii
• Dreptul de a depune plângere la autoritatea de supraveghere

Răspundem la cererile primite în termen de 30 de zile calendaristice, cu posibilitatea de extindere cu maxim 60 de zile pentru cererile complexe, conform art. 12 alin. 3 GDPR.

Autoritatea de supraveghere din România: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1, 010336 București, email anspdcp@dataprotection.ro, website www.dataprotection.ro.

10. Securitatea datelor

Implementăm măsuri tehnice și organizatorice proporționale cu riscul, pentru a proteja datele personale împotriva accesului neautorizat, pierderii, alterării sau distrugerii:

• Criptare TLS 1.2+ pe toate conexiunile între client, front-end, backend și subcontractori
• Criptare în repaus pentru baza de date OutOfDesk (Firestore) și pentru stocarea fișierelor
• Control al accesului pe bază de roluri și autentificare cu parolă puternică pentru administratori
• Back-up-uri regulate ale datelor operaționale, testate pentru restaurare
• Monitorizarea log-urilor de acces și a comportamentului anormal
• Procedură de notificare a breșelor de date: evaluare în 24 de ore, notificare la ANSPDCP în maxim 72 de ore dacă riscul este prezent, notificare a persoanelor vizate când riscul este ridicat (art. 33-34 GDPR)

Nicio metodă de transmitere prin Internet și de stocare electronică nu este 100% sigură. Depunem eforturi rezonabile comercial pentru a proteja datele, dar nu putem garanta securitate absolută. În cazul unei breșe de securitate care ne afectează, vei fi notificat conform obligațiilor legale.

11. Inteligența artificială și datele tale

NeuroAI Advance S.R.L. este o firmă de consultanță în inteligență artificială și folosim noi înșine modele de AI în activitatea de zi cu zi. Pentru a fi consecvenți cu poziționarea publică și cu cerințele de transparență ale Regulamentului (UE) 2024/1689 (EU AI Act, art. 50 aplicabil de la 2 august 2026), declarăm explicit ce facem și ce nu facem cu datele tale.

12. Minori

Serviciile NeuroAI Advance S.R.L. nu sunt destinate persoanelor sub 16 ani. Nu colectăm intenționat date personale de la minori. Dacă afli că un minor ne-a transmis date personale, contactează-ne la contact@neuroai.ro pentru ștergere imediată.

Pentru OutOfDesk, folosit în context profesional B2B, respectarea vârstei minime legale de angajare (15 ani pentru munci ușoare cu acord parental, 16 ani pentru angajare completă, conform Codului Muncii) revine integral angajatorului-client.

13. Modificări ale politicii

Ne rezervăm dreptul de a actualiza această Politică de Confidențialitate pentru a reflecta modificările legislative sau ale practicilor noastre. Orice modificare substanțială va fi notificată prin:

• Un anunț vizibil pe site la prima vizită după modificare
• Un email către utilizatorii cu cont activ OutOfDesk sau cu comenzi recente de produse digitale
• Actualizarea datei "Ultima actualizare" din antetul paginii

Versiunile anterioare ale politicii pot fi solicitate la contact@neuroai.ro. Te încurajăm să verifici periodic această pagină pentru a fi informat despre modificări.

14. Contact

Pentru orice întrebare legată de prelucrarea datelor personale, pentru exercitarea drepturilor GDPR sau pentru semnalarea unor probleme de protecție a datelor, ne poți contacta prin:

• Email: contact@neuroai.ro
• Telefon: +40 736 495 817

Răspundem la fiecare cerere în termenul legal de 30 de zile calendaristice, cu posibilitatea de extindere cu încă 60 de zile pentru cereri complexe, conform art. 12 alin. 3 GDPR. Pentru solicitările primite la contact@neuroai.ro, confirmarea de primire se face în maxim 48 de ore lucrătoare.

Dacă nu ești mulțumit de răspunsul nostru, ai oricând dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1, 010336 București, email anspdcp@dataprotection.ro, website www.dataprotection.ro.