Politica de Confidențialitate

Cum colectăm, folosim și protejăm datele tale personale.

Cuprins

Ultima actualizare

Ultima actualizare: 10 mai 2025

Platforma sferal.ai este un sistem alimentat de inteligență artificială conceput pentru a ajuta organizațiile să gestioneze, proceseze și automatizeze datele și fluxurile lor de lucru. sferal.ai este operată de SFERAL („noi”), o entitate juridică înregistrată în România, cu sediul social în Strada Gara Herăstrău, nr. 4C, etaj 2, Unitatea Zona 1, București, Sector 2. Ne angajăm să îți protejăm viața privată și să asigurăm prelucrarea în siguranță a datelor tale cu caracter personal, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și cu alte legi aplicabile privind protecția datelor.

Domeniul de aplicare al acestei Politici

Această politică se aplică tuturor datelor cu caracter personal prelucrate de SFERAL în legătură cu furnizarea serviciilor sale către persoane fizice, companii – B2B și autorități publice – B2G (clienți) care utilizează platforma.

Acoperă datele prelucrate:

  • în calitate de operator – atunci când stabilim scopurile și mijloacele de prelucrare (ex.: administrarea contului, facturare, suport);
  • în calitate de persoană împuternicită – atunci când prelucrăm date în numele clienților noștri (ex.: conținutul documentelor, fluxuri interne configurate de clienți).

Prezentare generală a prelucrărilor – Scopuri, temeiuri legale, perioade de stocare

În funcție de natura interacțiunii și utilizării platformei, prelucrăm următoarele categorii de date cu caracter personal. Fiecare activitate de prelucrare se desfășoară în baza temeiului legal aplicabil și pentru perioadele de stocare indicate mai jos:

Nume, prenume, adresă de email, număr de telefon

  • Scop: Crearea conturilor de utilizator, comunicare și suport clienți.
  • Temei legal: Executarea contractului (art. 6(1)(b) GDPR); Interes legitim (art. 6(1)(f) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: Cât timp contul este activ, plus 2 ani de la ștergere.

Funcție și companie/organizație

  • Scop: Identificarea utilizatorilor în contexte B2B și comunicări personalizate.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: 2 ani de la ultima interacțiune a utilizatorului.

Detalii de facturare

  • Scop: Conformitate cu obligațiile financiare și legale.
  • Temei legal: Obligație legală (art. 6(1)(c) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: 5 ani de la 1 iulie a anului următor celui financiar în care au fost emise documentele.

Date de autentificare

  • Scop: Răspuns la solicitări și asigurarea suportului clienți.
  • Temei legal: Executarea contractului sau interes legitim (art. 6(1)(b)/(f) GDPR, B2B).
  • Rolul SFERAL: Operator.
  • Stocare: 1 an de la data comunicării.

Adresă IP și geolocație

  • Scop: Securitate, analiză și optimizarea serviciilor regionale.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: 12 luni.

Tip dispozitiv și browser, jurnale de sistem, activitate de utilizare

  • Scop: Optimizarea platformei și diagnosticare.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: 12 luni.

Cookie-uri și tehnologii de urmărire

  • Scop: Analitice, marketing și funcționalitate site (vezi Politica de Cookie pentru detalii).
  • Temei legal: Consimțământ (art. 6(1)(a) GDPR); Interes legitim (cookie-uri strict necesare, art. 6(1)(f)).
  • Rolul SFERAL: Operator.
  • Stocare: Conform Politicii de Cookie (de regulă 6–24 luni).

Recenzii, chat-uri și sondaje în platformă

  • Scop: Îmbunătățirea serviciilor și analiza feedback-ului.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: 2 ani.

Conținut audio/video (suport, CCTV, training)

  • Scop: Asigurarea calității, training și monitorizare de securitate.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR); Obligație legală pentru CCTV (art. 6(1)(c) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: CCTV: 30 zile, Apeluri suport: 1 an, Training: 2 ani

Nume, email, informații profesionale (marketing direct)

  • Scop: Trimitere emailuri de marketing sau notificări din platformă (newslettere, oferte, actualizări).
  • Temei legal: Consimțământ (art. 6(1)(a) GDPR); Interes legitim (art. 6(1)(f)).
  • Rolul SFERAL: Operator.
  • Stocare: Până la retragerea consimțământului sau 2 ani de la ultima interacțiune.

Cookie-uri și date de tracking (pixel, comportament on-site)

  • Scop: Publicitate comportamentală, analize de audiență, măsurarea performanței reclamelor.
  • Temei legal: Consimțământ (art. 6(1)(a) GDPR); Interes legitim (art. 6(1)(f)).
  • Rolul SFERAL: Operator.
  • Stocare: Conform Politicii de Cookie (de regulă 6–24 luni).

Răspunsuri la sondaje și date de feedback

  • Scop: Cercetare de piață și îmbunătățirea produsului.
  • Temei legal: Consimțământ (art. 6(1)(a) GDPR); Interes legitim (art. 6(1)(f)).
  • Rolul SFERAL: Operator.
  • Stocare: 2 ani.

Intrări și ieșiri (prompturi, conținut generat)

  • Scop: Furnizarea serviciilor AI, generarea de rezultate și integrarea cu instrumente terțe.
  • Temei legal: Executarea contractului (art. 6(1)(b) GDPR); Interes legitim (art. 6(1)(f)).
  • Rolul SFERAL: Operator pentru intrări/ieșiri în platformă; Persoană împuternicită când acționăm în numele clienților (prelucrare documente).
  • Stocare: Conform Acordului de Prelucrare a Datelor (DPA): pe durata abonamentului pentru clienții plătitori, 15 zile pentru clienții neplătitori.

Date privind utilizarea platformei și interacțiunile cu sistemul

  • Scop: Depanare și identificare/remediere erori.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: Până la 12 luni, sau mai mult dacă este necesar pentru rezolvare.

Jurnale de sistem, IP, metadate de utilizare, credențiale, metadate documente

  • Scop: Prevenirea/investigarea fraudei, abuzului, încălcărilor de politici, accesului neautorizat și protejarea drepturilor.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR); Obligație legală (art. 6(1)(c)).
  • Rolul SFERAL: Operator.
  • Stocare: Până la 5 ani, după necesități de probă sau conformitate, sau mai mult dacă este impus.

Comunicări ale utilizatorilor, identificatori de cont, loguri

  • Scop: Investigarea și soluționarea disputelor.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: 3 ani de la închiderea cazului sau de la ultima interacțiune.

Evenimente de securitate, date de autentificare, loguri de activitate

  • Scop: Investigarea și rezolvarea incidentelor de securitate.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR); Obligație legală (art. 6(1)(c)).
  • Rolul SFERAL: Operator.
  • Stocare: Până la 3 ani, în funcție de incident, sau mai mult dacă este necesar.

Date de utilizator și de utilizare, identificare și contact

  • Scop: Folosire în tranzacții corporative (fuziuni, achiziții, vânzări de active) pentru due diligence sau transfer.
  • Temei legal: Interes legitim (art. 6(1)(f) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: Conform duratei tranzacției și obligațiilor legale de arhivare.
  • Scop: Conformitate cu obligațiile legale sau de reglementare.
  • Temei legal: Obligație legală (art. 6(1)(c) GDPR).
  • Rolul SFERAL: Operator.
  • Stocare: Cât este necesar pentru conformitate.

Date ale reprezentanților clienților (B2B/B2G)

  • Scop: Executarea contractului și comunicări profesionale.
  • Temei legal: Obligație legală (art. 6(1)(c) GDPR); Interes legitim (art. 6(1)(f)).
  • Rolul SFERAL: Operator.
  • Stocare: 5 ani de la încetarea contractului.

Date ale candidaților (CV-uri, scrisori, calificări)

  • Scop: Recrutare și evaluarea candidaților.
  • Temei legal: Executarea contractului (art. 6(1)(b) GDPR); Interes legitim (art. 6(1)(f)).
  • Rolul SFERAL: Operator.
  • Stocare: 6 luni de la decizia finală, dacă nu există consimțământ pentru o perioadă mai lungă; CV-urile candidaților neselectați se șterg imediat.

Conținut de documente încărcat de clienții plătitori

  • Scop: Extracție automată de date și analiză de documente.
  • Temei legal: Acord de persoană împuternicită (art. 28 GDPR).
  • Rolul SFERAL: Persoană împuternicită.
  • Stocare: Conform DPA; implicit pe durata abonamentului activ.

Conținut de documente încărcat de clienții neplătitori

  • Scop: Extracție automată de date și analiză de documente.
  • Temei legal: Acord de persoană împuternicită (art. 28 GDPR).
  • Rolul SFERAL: Persoană împuternicită.
  • Stocare: 15 zile.

Când acționăm ca Persoană Împuternicită

Atunci când prelucrăm în numele clienților, clientul (Operatorul) stabilește temeiul legal (ex.: consimțământ, interes legitim). Clienții sunt exclusiv responsabili pentru a se asigura că datele personale din fluxurile, documentele sau procesele lor sunt colectate și prelucrate legal.

Scopuri specifice AI

Antrenarea și îmbunătățirea modelelor AI se realizează numai cu consimțământul prealabil, explicit al clientului.

Automatizările și inferențele bazate pe AI sunt folosite pentru a asista la clasificare, extragere și analiză de date. O astfel de prelucrare este necesară pentru executarea serviciilor contractate de client.

Persoane împuternicite și partajarea datelor

i) Pentru a asigura funcționalitatea, performanța și securitatea platformei, apelăm la furnizori terți atent selectați („subprocesatori”) care pot prelucra date personale în numele nostru. Acești subprocesatori ne sprijină în zone precum procesarea modelelor AI, analitice, infrastructură, comunicarea cu clienții și plăți.

Cooptăm doar subprocesatori care oferă garanții suficiente privind implementarea măsurilor tehnice și organizatorice adecvate pentru a îndeplini cerințele GDPR și pentru a asigura protecția drepturilor tale.

Fiecare subprocesator este obligat contractual să prelucreze datele în conformitate cu GDPR și cu legile locale aplicabile, inclusiv prin semnarea Clauzelor Contractuale Standard acolo unde este cazul.

Clauză de actualizare a subprocesatorilor: Modificările aduse subprocesatorilor vor fi comunicate prin actualizarea prezentei Politici de Confidențialitate. Continuarea utilizării platformei după o astfel de actualizare constituie acceptarea noului subprocesator. Dacă te opui, trebuie să încetezi imediat utilizarea platformei.

Categorii de subprocesatori și rolurile acestora:

Intercom

  • Rol/Funcție: Gestionarea comunicării cu clienții și a interacțiunilor de suport.
  • Locația datelor: Uniunea Europeană (UE).
  • Mecanism de adecvare: SEE (respectă standardele de protecție a datelor din Spațiul Economic European).

Hotjar

  • Rol/Funcție: Analize comportamentale pentru înțelegerea modului în care utilizatorii interacționează cu serviciul.
  • Locația datelor: UE.
  • Mecanism de adecvare: SEE.

OpenAI

  • Rol/Funcție: Execută sarcini de procesare AI a textului, precum recunoașterea entităților (NER), rezumate și alte funcționalități AI.
  • Locația datelor: în afara UE (SUA).
  • Mecanism de adecvare: DPF* (Data Privacy Framework – conformitate pentru transferurile UE–SUA).

Anthropic

  • Rol/Funcție: Furnizează capabilități de procesare AI generativă (ex.: creare și analiză de conținut).
  • Locația datelor: în afara UE (SUA).
  • Mecanism de adecvare: DPF*.

Mistral AI

  • Rol/Funcție: Procesează date cu modele lingvistice mari (LLM) găzduite în UE.
  • Locația datelor: UE.
  • Mecanism de adecvare: SEE.

TogetherAI

  • Rol/Funcție: Infrastructură de calcul în cloud pentru procesarea modelelor AI.
  • Locația datelor: în afara UE (SUA).
  • Mecanism de adecvare: DPF*.

Magnetic IT

  • Rol/Funcție: Servicii de infrastructură și securitate.
  • Locația datelor: UE.
  • Mecanism de adecvare: SEE.

Stripe

  • Rol/Funcție: Procesare plăți și operațiuni financiare conexe.
  • Locația datelor: UE.
  • Mecanism de adecvare: SEE.

n8n

  • Rol/Funcție: Automatizare de fluxuri și orchestrare backend.
  • Locația datelor: UE.
  • Mecanism de adecvare: SEE.

ii) Partajare cu afiliați și entități din grup SFERAL poate divulga categoriile de date personale descrise în această Politică către afiliații săi și alte entități din același grup, în scopuri legate de operarea Serviciilor și administrarea internă.

iii) Tranzacții corporative În cazul unei restructurări, fuziuni, achiziții, vânzări de active, insolvențe sau evenimente similare, SFERAL poate transfera datele personale ca parte a tranzacției, în conformitate cu legislația aplicabilă privind protecția datelor.

iv) Servicii și integrări terțe Serviciile noastre pot include integrări sau linkuri către platforme, site-uri ori aplicații terțe (de ex., rețele sociale). Când interacționezi cu aceste servicii, datele tale pot fi colectate direct de terț, iar prelucrarea lor va fi guvernată de politica de confidențialitate a terțului. SFERAL nu controlează modul în care terții îți prelucrează datele și nu este responsabilă pentru practicile acestora. Îți recomandăm să consulți documentația lor de confidențialitate înainte de a le utiliza.

v) Obligații legale, siguranță și aplicarea drepturilor {#legal-obligations} SFERAL poate divulga datele tale personale atunci când acest lucru este impus de lege sau când este necesar pentru a respecta obligațiile legale, fiscale ori contabile; pentru a răspunde solicitărilor legale ale autorităților; pentru a investiga frauda, incidentele de securitate sau încălcările Politicii de Utilizare; pentru a proteja drepturile, siguranța sau interesele vitale ale persoanelor; pentru a ne apăra sau aplica drepturile noastre legale ori ale altora; sau pentru a respecta obligațiile contractuale și procedurile de soluționare a litigiilor.

Transferuri internaționale de date

Garanții pentru transferurile internaționale: Atunci când subprocesatorii sunt localizați în afara Spațiului Economic European (SEE), ne bazăm pe un mecanism valid de adecvare, precum EU–U.S. Data Privacy Framework (DPF), sau pe alte mecanisme adecvate de transfer, inclusiv Clauze Contractuale Standard (SCC) adoptate de Comisia Europeană și, după caz, măsuri suplimentare pentru a asigura un nivel echivalent de protecție. De asemenea, transferul de date este limitat la strictul necesar pentru furnizarea serviciului.

Drepturile persoanelor vizate

În calitate de persoană vizată, ai drepturi specifice în temeiul legislației aplicabile privind protecția datelor, inclusiv GDPR. SFERAL se angajează să îți respecte drepturile și să îți permită exercitarea efectivă a acestora. Sub rezerva condițiilor legale, poți exercita următoarele drepturi:

Dreptul de acces

Ai dreptul de a obține confirmarea dacă prelucrăm sau nu date personale care te privesc și, dacă da, acces la date și informații suplimentare despre prelucrare.

Dreptul la rectificare

Ai dreptul să soliciți corectarea datelor personale inexacte și completarea datelor incomplete.

Dreptul la ștergere („dreptul de a fi uitat”)

Poți solicita ștergerea datelor tale personale, în special atunci când datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau când îți retragi consimțământul și nu există un alt temei legal.

Dreptul la restricționarea prelucrării

Poți solicita restricționarea prelucrării în anumite situații, de exemplu atunci când exactitatea datelor este contestată sau prelucrarea este ilegală.

Dreptul la portabilitatea datelor

Atunci când prelucrarea are ca temei consimțământul sau contractul și este efectuată prin mijloace automate, poți solicita să primești datele tale într-un format structurat, utilizat în mod curent și care poate fi citit automat, precum și transmiterea lor către un alt operator.

Dreptul de opoziție

Te poți opune, din motive legate de situația ta particulară, prelucrărilor întemeiate pe interes legitim. De asemenea, te poți opune oricând prelucrării datelor pentru marketing direct.

Dreptul de retragere a consimțământului

Atunci când prelucrarea se bazează pe consimțământ, îl poți retrage în orice moment, fără a afecta legalitatea prelucrării efectuate înainte de retragere.

Dreptul de a depune o plângere

Pentru a exercita oricare dintre aceste drepturi, contactează-ne la [email protected]. Putem solicita verificarea identității înainte de a procesa solicitarea. Ne propunem să răspundem în termen de o lună, termen care poate fi prelungit în anumite situații.

Gestionarea cererilor privind drepturile (DSR) pentru clienți B2B/B2G

Atunci când acționăm ca persoană împuternicită, nu răspundem direct solicitărilor persoanelor vizate. Vom:

  • retransmite fără întârziere orice DSR primit către client (Operator);
  • asista clienții cu răspunsuri tehnice sau procedurale, conform DPA.

Clienții sunt responsabili de verificarea identității și de răspunsul la astfel de solicitări, conform legii.

Securitatea datelor

Pentru a asigura integritatea, confidențialitatea și disponibilitatea datelor prelucrate prin platformă, implementăm măsuri tehnice și organizatorice robuste, atât la nivel de infrastructură, cât și operațional.

Datele sunt criptate în repaus folosind algoritmi AES-256, iar comunicațiile dintre utilizatori și serverele noastre sunt securizate prin TLS 1.3. Realizăm backup-uri automate zilnice stocate off-site, precum și backup-uri săptămânale și lunare păstrate conform politicii interne de retenție, pentru o recuperare rapidă în caz de incidente.

Accesul la datele personale și la conținutul procesat de modelele lingvistice mari (LLM) este strict controlat pe principiul „celui mai mic privilegiu”, folosind un sistem de permisiuni. Operațiunile critice și interacțiunile cu platforma sunt monitorizate și jurnalizate, iar sistemele noastre sunt supuse periodic auditurilor de securitate pentru identificarea și remedierea vulnerabilităților.

Infrastructura noastră este izolată în medii controlate, cu acces limitat exclusiv personalului tehnic autorizat. Actualizările de securitate sunt aplicate regulat, iar modelele AI integrate în platformă sunt proiectate pentru a respecta principiile de confidențialitate și pentru a împiedica transferul informațiilor sensibile către terți neautorizați.

Copiii

Serviciile noastre nu se adresează copiilor sub 16 ani și nu colectăm, folosim, divulgăm, vindem sau partajăm cu bună știință informații despre aceștia. Dacă afli că un copil sub 16 ani ne-a furnizat date personale prin intermediul Serviciilor, te rugăm să ne scrii la [email protected] și vom investiga situația și, dacă este cazul, vom șterge datele.

Modificări ale acestei politici

Este posibil să actualizăm periodic această Politică de Confidențialitate pentru a reflecta schimbări ale practicilor noastre, ale tehnologiilor sau ale cerințelor legale. Când o facem, vom actualiza data „Ultima actualizare” de la începutul documentului. Unde este adecvat, te vom notifica prin email sau în platformă. Continuarea utilizării Serviciilor după intrarea în vigoare a politicii actualizate constituie acceptarea modificărilor.

Contact

Dacă ai întrebări sau nelămuriri cu privire la această politică sau la datele tale, ne poți contacta la:

Email: [email protected]