Politica de Confidentialitate

1. Operatorul de date

Operatorul de date cu caracter personal este Gamerina SRL, CUI RO43020532, cu sediul în Str. Cometei 2-4, Cluj-Napoca 400493, jud. Cluj, România, email: [email protected] (denumit în continuare „Lexito" sau „Operatorul").

2. Categorii de date prelucrate

2.1. Date de identificare profesională

• Nume complet al avocatului

• Email profesional (pentru facturare și corespondență)

• Email de autentificare (pentru login — poate fi diferit de cel profesional)

• Număr de telefon WhatsApp (opțional)

• Barou de apartenență

• CUI firma/cabinet

• Denumire firmă, adresă sediu profesional, forma de exercitare

2.2. Date de autentificare

• Adresa de email utilizată pentru conectare

• Coduri de verificare temporare — stocate ca hash SHA-256, nu în clar

• Token-uri de sesiune JWT (semnate, cu durată limitată de 1 oră)

• Token-uri de refresh (hash SHA-256, rotație la fiecare utilizare, durată 30 zile)

2.3. Date operaționale

• Numere de dosare, instanțe, stadii procedurale

• Metadate documente juridice (tip, dată, categorie, rezumate — dar nu conținutul integral al documentelor)

• Termene procedurale calculate și statusul acestora

• Evidențe financiare: facturi, sume, status plată, rapoarte

• Jurnale de utilizare: instrumente accesate, durată, timestamps, adresă IP

• Date clienți detectați automat: nume, CUI, adresă (criptate la repaus pentru persoane fizice)

2.4. Date pe care Lexito NU le stochează

• Conținutul conversațiilor cu Claude — procesate de Anthropic, Inc., nu de Lexito

• Conținutul emailurilor trimise către clienți — se stochează doar metadate (destinatar, subiect, timestamp)

• Fișiere juridice originale — documentele se salvează în Google Drive-ul avocatului, nu pe serverele Lexito

• Parole — autentificarea se face prin coduri temporare, fără parole

• Date de card bancar — procesate exclusiv de Stripe

3. Temeiuri juridice ale prelucrării

Prelucrarea datelor se bazează pe următoarele temeiuri juridice (art. 6 GDPR):

• Executarea contractului (art. 6(1)(b)) — pentru furnizarea Serviciului, crearea contului, facturare, gestiune abonament, monitorizare dosare, analiză documente

• Obligații legale (art. 6(1)(c)) — pentru facturare fiscală (eFactura/SPV conform Codului Fiscal), păstrarea evidențelor contabile (10 ani), răspuns la solicitări ANSPDCP

• Interes legitim (art. 6(1)(f)) — pentru securitatea Serviciului, prevenirea fraudei, îmbunătățirea funcționalităților, monitorizarea performanței, logging operațional

• Consimțământ (art. 6(1)(a)) — pentru notificări WhatsApp (opțional, retractabil oricând prin instrumentul manage_notifications)

4. Măsuri tehnice și organizatorice de securitate

4.1. Criptare la repaus (AES-256-GCM)

• Date personale (email, telefon, nume) — criptate în baza de date cu AES-256-GCM

• Căutare prin indici oarbi HMAC-SHA256 — fără expunerea datelor în clar

• CUI firme — criptat la repaus, cu index HMAC pentru căutare

• Date clienți persoane fizice — criptate integral (nume, CNP, adresă, email, telefon, IBAN)

• Credențiale de acces la servicii terțe — stocate criptat AES-256-GCM în tabel dedicat

4.2. Izolarea datelor (multi-tenant)

• Fiecare firmă/cabinet are o bază de date PostgreSQL separată

• Toate interogările sunt limitate la firma utilizatorului (scoping obligatoriu pe firm_id)

• Documentele se stochează exclusiv în Google Drive-ul clientului, în structura /LEXITO/

• Nicio firmă nu poate accesa datele altei firme

4.3. Control acces și autentificare

• Autentificare fără parolă — coduri de verificare email cu durată limitată (10 minute)

• Coduri hash-uite SHA-256, cu limită de 5 încercări și cooldown de 15 minute

• Rate limiting pe toate endpoint-urile de autentificare (Redis)

• Token-uri JWT cu durată limitată (1 oră acces, 30 zile refresh cu rotație)

• Sistem de permisiuni bazat pe roluri (RBAC) pentru toate instrumentele

• Re-validare autentificare la fiecare request (nu doar la inițializare sesiune)

4.4. Protecție în tranzit

• TLS 1.2+ pe toate conexiunile

• HSTS (HTTP Strict Transport Security) cu preload

• Semnare HMAC-SHA256 pe comunicațiile interne (gateway → n8n)

5. Împuterniciți (sub-procesatori)

Lexito utilizează următorii sub-procesatori pentru furnizarea Serviciului:

Sub-procesatorScopDate prelucrateLocație Anthropic, Inc. (Claude AI)Procesare limbaj natural, asistență juridică conversaționalăConținut conversații (în sesiunea utilizatorului, nu stocat de Lexito)SUA (DPA, EU-US DPF) Stripe, Inc.Procesare plăți, gestiune abonamenteDate card (stocate doar de Stripe), email, CUIUE/SUA (DPA, SCC) Resend, Inc.Trimitere emailuri tranzacționale (coduri verificare, notificări, facturi)Email destinatar, subiect (conținut tranzitează, nu se stochează de Lexito)SUA (DPA) Twilio, Inc.Notificări WhatsApp (briefing, alerte documente)Număr telefon, conținut mesajSUA (DPA, SCC) SmartBill SRLFacturare fiscală, eFactura/SPVCUI, denumire firmă, adresă, sumă, TVARomânia Google LLC (Drive, Calendar)Stocare documente, sincronizare calendar (în contul clientului)Fișiere juridice, termene (stocate în contul avocatului, nu pe serverele Lexito)UE (per setarea utilizatorului) ANAFValidare CUI firme (API public, gratuit)CUIRomânia ECRIS / portal.just.roMonitorizare dosare (SOAP API public)Număr dosar (date publice)România

6. Transferuri internaționale de date

Unii sub-procesatori operează în SUA. Transferurile se realizează pe baza:

• Clauzelor Contractuale Standard (SCC) aprobate de Comisia Europeană

• EU-US Data Privacy Framework (unde este certificat)

• Acordurilor de Procesare a Datelor (DPA) încheiate cu fiecare sub-procesator

O evaluare de impact privind transferul datelor (TIA) a fost efectuată pentru fiecare sub-procesator.

7. Durata stocării

• Date cont activ — pe durata abonamentului + 30 zile după expirare (pentru export)

• Date financiare și facturi — 10 ani (obligație legală fiscală, Legea 82/1991)

• Jurnale de utilizare (usage_events) — 12 luni

• Jurnale de audit (audit_log) — 24 luni

• Coduri verificare email — 10 minute (expirare automată, ștergere după utilizare)

• Coduri verificare telefon — 10 minute (expirare automată, ștergere după utilizare)

• Sesiuni — 24 ore (în memorie, niciodată pe disc)

• Conturi abandonate (fără firmă, fără activitate) — șterse automat după 30 zile

• Date la reziliere — șterse complet la 30 zile după ultima zi de abonament, la cerere sau automat

8. Drepturile persoanei vizate

Conform GDPR, aveți următoarele drepturi:

• Dreptul de acces (art. 15) — puteți solicita o copie a tuturor datelor dumneavoastră personale prelucrate

• Dreptul la rectificare (art. 16) — puteți solicita corectarea datelor inexacte sau incomplete

• Dreptul la ștergere (art. 17) — puteți solicita ștergerea datelor (cu excepția celor păstrate din obligații legale)

• Dreptul la restricționare (art. 18) — puteți solicita limitarea temporară a prelucrării

• Dreptul la portabilitate (art. 20) — puteți solicita exportul datelor în format CSV/JSON, utilizabil de alt serviciu

• Dreptul la opoziție (art. 21) — puteți obiecta la prelucrarea bazată pe interes legitim

• Dreptul de retragere a consimțământului (art. 7(3)) — pentru notificări WhatsApp, retractabil oricând prin instrumentul manage_notifications

• Dreptul de a nu fi supus unei decizii automatizate (art. 22) — termenele calculate automat sunt orientative și trebuie verificate de avocat

Pentru exercitarea oricăruia dintre aceste drepturi, contactați-ne la [email protected]. Vom răspunde în termen de maximum 30 de zile calendaristice.

9. Plângeri

Dacă considerați că prelucrarea datelor dumneavoastră încalcă GDPR, aveți dreptul de a depune o plângere la:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, 010336, România
Telefon: +40.318.059.211
Website: www.dataprotection.ro

10. Cookie-uri și tehnologii similare

Lexito utilizează doar cookie-uri strict necesare pentru funcționare:

• csrf_token — protecție CSRF pe formularul de conectare (httpOnly, sameSite strict, secure în producție, sesiune)

Nu utilizăm cookie-uri de marketing, analytics, tracking sau advertising.

Conform excepției art. 5(3) din Directiva ePrivacy (2002/58/CE), cookie-urile strict necesare nu necesită consimțământul utilizatorului.

11. Notificarea breșelor de securitate

În cazul unei breșe de securitate care afectează date cu caracter personal, Operatorul va:

• Notifica ANSPDCP în termen de 72 de ore de la constatare (art. 33 GDPR)

• Notifica utilizatorii afectați fără întârziere nejustificată dacă breșa prezintă risc ridicat (art. 34 GDPR)

• Documenta incidentul, impactul, și măsurile corective în registrul de incidente

12. Evaluări de impact (DPIA)

Operatorul a efectuat evaluări de impact privind protecția datelor (DPIA) pentru:

• Prelucrarea datelor profesionale ale avocaților (categorie profesională specială)

• Utilizarea AI (Claude) pentru procesarea documentelor juridice

• Monitorizarea automată ECRIS (date din sistemul judiciar)

• Transferurile internaționale către Anthropic, Stripe, Twilio, Resend

13. Date ale minorilor

Serviciul este destinat exclusiv profesioniștilor juridici. Nu colectăm în mod intenționat date ale persoanelor sub 18 ani.

14. Modificări ale politicii

Această politică poate fi actualizată periodic. Modificările substanțiale vor fi comunicate prin email cu cel puțin 15 zile înainte de intrarea în vigoare.

Versiunile anterioare sunt disponibile la cerere.

15. Contact DPO

Pentru orice întrebări privind protecția datelor cu caracter personal:

• Gamerina SRL

• CUI: RO43020532

• Str. Cometei 2-4, Cluj-Napoca 400493, Cluj, România

• Email: [email protected]