Politica de confidențialitate

Această politică explică modul în care BIOCORE, operat de [Numele firmei SRL], CUI [CUI], cu sediul în [Adresă completă] („noi", „operatorul"), prelucrează datele cu caracter personal ale utilizatorilor („tu", „persoana vizată") prin platforma disponibilă la [domeniu].

Prelucrarea respectă Regulamentul (UE) 2016/679 (RGPD), Legea 190/2018 și orientările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

1. Operatorul de date

• Denumire: [Numele firmei SRL]
• CUI: [CUI]
• Sediu social: [Adresă completă]
• Email contact: contact@biocore.ro
• Responsabil cu protecția datelor (DPO): [email DPO sau „nu este desemnat"]

2. Datele pe care le prelucrăm

2.1 Date de cont

Email, nume, parolă (stocată ca hash bcrypt), data creării contului și sesiunile active.

2.2 Date de profil biologic

Vârstă, sex biologic, înălțime, greutate, obiectiv (slăbire/menținere/surplus), nivel de activitate, ținte zilnice (somn, apă, stres baseline).

2.3 Preferințe alimentare

Tipar alimentar (standard, vegetarian etc.), alergii și intoleranțe (cele 14 categorii din Reg. UE 1169/2011), excluse, observarea posturilor, mese pe zi.

2.4 Date de sănătate (categorii speciale, art. 9 RGPD)

Rezultate de laborator încărcate de tine: PDF-ul brut, textul extras, valorile interpretate (markeri lipidici, glicemie, hormonali etc.). Aceste date sunt clasificate ca date privind sănătatea și primesc protecții suplimentare conform RGPD.

2.5 Date de utilizare

Conversații cu AI Coach, completări zilnice ale protocolului, jurnal nutrițional, scoruri zilnice agregate.

2.6 Date de plată și facturare

Plățile sunt procesate exclusiv de Stripe; datele cardului nu ajung pe serverele noastre. Stocăm doar identificatori Stripe (customer id, subscription id), istoricul facturilor și, pentru emiterea facturilor fiscale, datele facturare (nume/firmă, CUI dacă e cazul, adresă).

3. Scopurile și temeiurile prelucrării

• Furnizarea serviciului (cont, plan nutrițional, AI Coach) — temei: executarea contractului (art. 6(1)(b) RGPD).
• Prelucrarea datelor de sănătate (analize lab) — temei: consimțământul tău explicit (art. 9(2)(a) RGPD). Consimțământul se acordă bifat distinct la încărcarea primei analize și poate fi retras oricând.
• Facturare și conformitate fiscală — temei: obligație legală (art. 6(1)(c) RGPD), inclusiv păstrarea facturilor 10 ani conform Codului fiscal RO.
• Securitate și prevenirea fraudelor — temei: interes legitim (art. 6(1)(f) RGPD).
• Comunicări de produs (newsletter, notificări) — temei: consimțământ (poate fi retras oricând prin link dezabonare).

4. Destinatarii datelor

Folosim următoarele categorii de procesatori (sub-procesatori):

• Stripe Payments Europe Ltd. (Irlanda) — procesare plăți și abonamente.
• OpenAI Ireland Ltd. (Irlanda) / OpenAI, L.L.C. (SUA) — generarea răspunsurilor AI Coach și a planurilor nutriționale. Mesajele tale și contextul (profil + obiective) pot fi transmise pentru procesare.
• Anthropic, PBC (SUA) — modele AI pentru funcționalități conversaționale specifice (logare „off-plan" și recalibrare zilnică).
• SmartBill (Intelligent IT SRL, România) — emiterea facturilor fiscale și transmiterea în sistemul e-Factura ANAF.
• Furnizor hosting — [ex: Hetzner Online GmbH, Germania] pentru găzduirea aplicației și a bazei de date.

Toți procesatorii operează în baza unor acorduri de prelucrare (DPA) conforme RGPD.

5. Transferuri în afara Spațiului Economic European

OpenAI L.L.C. și Anthropic PBC sunt entități cu sediul în SUA. Pentru aceste transferuri folosim:

• Clauze contractuale standard (CCS) aprobate de Comisia Europeană prin Decizia (UE) 2021/914;
• unde aplicabil, certificarea EU-US Data Privacy Framework a procesatorului.

Important: nu transmitem deliberat conținutul analizelor de laborator (PDF brut, valori) către OpenAI sau Anthropic. Către aceste servicii ajunge doar contextul minim necesar (profil, obiective și conversația AI Coach).

6. Perioadele de păstrare

• Date de cont și profil — pe toată durata contului. Ștergerea contului duce la ștergerea datelor în maxim 30 de zile.
• Date de sănătate (analize) — pe durata contului sau până retragi consimțământul.
• Conversații AI — 24 de luni de la ultima interacțiune.
• Facturi și documente fiscale — 10 ani de la emitere (obligație legală — Codul fiscal RO art. 25).
• Loguri tehnice și securitate — 12 luni.

7. Drepturile tale

În baza RGPD, ai dreptul:

• să ne soliciți confirmarea că prelucrăm date despre tine și să primești o copie (art. 15);
• să ceri rectificarea datelor inexacte (art. 16);
• să ceri ștergerea datelor („dreptul de a fi uitat", art. 17);
• să ceri restricționarea prelucrării (art. 18);
• să primești datele într-un format structurat (portabilitate, art. 20);
• să te opui prelucrării bazate pe interes legitim (art. 21);
• să retragi consimțământul oricând (pentru date de sănătate, marketing etc.) — retragerea nu afectează prelucrările deja efectuate;
• să nu fii supus unei decizii bazate exclusiv pe prelucrare automatizată care produce efecte juridice (art. 22).

Cererile se transmit la contact@biocore.ro și primesc răspuns în maxim 30 de zile.

Ai, de asemenea, dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP): B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, anspdcp@dataprotection.ro, dataprotection.ro.

8. Decizii automate și AI

Generarea planurilor nutriționale și recomandările AI Coach sunt produse de modele de inteligență artificială. Nu luăm decizii cu efect juridic bazate exclusiv pe procesarea automată — toate recomandările sunt informative și pot fi ignorate sau modificate de tine. Pentru valori medicale anormale, recomandăm consult medical; BIOCORE nu diagnostichează și nu prescrie tratamente.

9. Securitate

Aplicăm măsuri tehnice și organizatorice rezonabile: hashing parole (bcrypt), conexiuni TLS, izolare bază de date, controale de acces, loguri de audit. Datele de sănătate sunt stocate în UE și nu sunt transmise către modele AI.

10. Modificări ale acestei politici

Putem actualiza această politică. Modificările intră în vigoare la data publicării; pentru schimbări semnificative, te vom notifica prin email sau în aplicație, cu cel puțin 14 zile înainte.

ACEST DOCUMENT ESTE UN ȘABLON v1. ÎNAINTE DE LANSARE PUBLICĂ TREBUIE REVIZUIT DE UN AVOCAT SPECIALIZAT ÎN PROTECȚIA DATELOR ȘI COMPLETAT CU DATELE FIRMEI (NUME, CUI, ADRESĂ, DPO ETC.).