Politica de Confidențialitate
Ultima actualizare: 15 aprilie 2026 | Versiunea 1.1
1. Operatorul de Date
Operatorul de date cu caracter personal este:
NEW TIMES WESTCOAST AG S.R.L.
CUI: 44336437
Nr. Registrul Comerțului: J2021001309035
Adresa: Strada Gruiului Nr. 76, Bloc P9, Sc. A, Et. 1, Ap. 3, Corp 115100, Câmpulung, Jud. Argeș, România
Responsabil cu protecția datelor (DPO): [email protected]
Prezenta politică de confidențialitate se aplică tuturor utilizatorilor platformei LexLord (www.lexlord.ro) și descrie modul în care colectăm, procesăm, stocăm și protejăm datele dumneavoastră personale, în conformitate cu Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018 și legislația română aplicabilă.
2. Categorii de Date Personale Colectate
2.1 Date furnizate direct de dumneavoastră
- Date de înregistrare: nume, prenume, adresă de email, parolă (stocată criptat cu bcrypt, 12 runde).
- Date profesionale: denumirea cabinetului/societății de avocatură, bara la care sunteți înregistrat (opțional).
- Date de facturare: denumire companie, CUI, adresa de facturare (necesare emiterii facturilor fiscale).
- Conținut încărcat: documente juridice, fișiere procesate prin OCR, mesaje în chat-ul AI.
2.2 Date colectate automat
- Date tehnice: adresă IP (anonimizată), tip browser, sistem de operare, rezoluție ecran.
- Date de utilizare: pagini accesate, funcționalități utilizate, durata sesiunilor, interacțiuni cu interfața.
- Cookie-uri: cookie-uri esențiale de autentificare (JWT), cookie-uri funcționale și de analiză (vezi Politica de Cookie-uri).
2.3 Date pe care NU le colectăm
- Date de plată: numerele cardurilor bancare sunt procesate exclusiv de Stripe și nu tranzitează și nu sunt stocate pe serverele noastre.
- Date biometrice sau categorii speciale de date: nu colectăm date privind originea etnică, opinii politice, convingeri religioase, date genetice sau biometrice.
3. Temeiul Juridic al Prelucrării
| Scop | Temei juridic |
|---|---|
| Crearea și gestionarea contului | Executarea contractului (Art. 6(1)(b) GDPR) |
| Furnizarea serviciilor AI (chat, analiză, OCR) | Executarea contractului (Art. 6(1)(b) GDPR) |
| Procesarea plăților și facturare | Executarea contractului + Obligație legală (Art. 6(1)(b) și (c) GDPR) |
| Securitatea platformei și prevenirea fraudei | Interes legitim (Art. 6(1)(f) GDPR) |
| Îmbunătățirea serviciilor și analiză statistică | Interes legitim (Art. 6(1)(f) GDPR) |
| Comunicări de marketing (numai cu consimțământ) | Consimțământ (Art. 6(1)(a) GDPR) |
| Conformitate cu obligații legale și fiscale | Obligație legală (Art. 6(1)(c) GDPR) |
4. Scopurile Prelucrării
- Furnizarea, menținerea și îmbunătățirea serviciilor Platformei.
- Procesarea întrebărilor juridice și generarea răspunsurilor AI.
- Procesarea documentelor încărcate prin OCR.
- Gestionarea abonamentelor și procesarea plăților.
- Comunicarea cu utilizatorii (suport tehnic, notificări de serviciu).
- Asigurarea securității platformei și detectarea activităților frauduloase.
- Respectarea obligațiilor legale (fiscale, contabile, raportare).
- Analiză statistică anonimizată pentru îmbunătățirea serviciilor.
5. Destinatari și Împuterniciți
Datele dumneavoastră pot fi partajate cu următorii terți, exclusiv în măsura necesară furnizării serviciilor:
| Furnizor | Scop | Locație |
|---|---|---|
| Hetzner Online GmbH | Găzduire servere și stocare date | Finlanda și Germania (UE) |
| Stripe, Inc. | Procesare plăți | Irlanda (UE) — entitatea europeană Stripe |
| Zoho Corporation | Servicii email (SMTP) | Țările de Jos (UE) |
| Cloudflare, Inc. | CDN și protecție DDoS | UE (cu garanții de transfer) |
| Sub-procesator inferență AI | Procesare întrebări juridice — datele sunt triplu-anonimizate înainte de trimitere (vezi sistemul de protecție de mai jos). Lista actualizată a sub-procesatorilor este disponibilă la cerere prin [email protected]. | UE / date anonime |
5.1 Sistemul de Protectie PII — Triplu Strat (Defense in Depth)
Datele transmise către modelele AI sunt protejate prin 3 straturi de securitate:
| Strat | Tehnologie | Ce protejeaza | Latenta |
|---|---|---|---|
| Strat 1 | Regex TypeScript (server intern) | CNP, IBAN, telefon RO, email, card bancar, CI, CUI, parole, IP | ~0.1ms |
| Strat 2 | Microsoft Presidio (SDK enterprise) | PERSON, LOCATION, PHONE_NUMBER, EMAIL, CREDIT_CARD, IP_ADDRESS, US_SSN, etc. | Automat |
| Strat 3 | Microsoft Presidio + NER românesc (procesare in UE) | Nume romanesti, organizatii, locatii (ce regex nu poate detecta) | ~50ms |
Cum functioneaza:Cand un avocat trimite o intrebare (ex: "Ion Popescu a pierdut dosarul cu Georgiana Ionescu din Brasov, telefon 0723456789"), toate cele 3 straturi actioneaza inainte ca textul sa paraseasca serverul. Rezultatul: datele personale sunt eliminate complet, iar modelul AI primeste doar intrebarea tehnica fara identificatori personali.
GDPR Art. 4(1): Dupa cele 3 straturi de filtrare, datele nu mai indeplinesc definitia GDPR Art. 4(1) — nu mai sunt date cu caracter personal. Prin urmare, transferul catre orice furnizor AI (inclusiv in SUA) nu intra sub incidenta GDPR Art. 44-49. Nu este necesar DPA pentru datele procesate de AI.
Notă privind acordurile de prelucrare a datelor (DPA):
- Hetzner Online GmbH — DPA se aplică automat prin Terms of Service, conform Art. 28 GDPR. Datacenter în Germania (UE).
- Stripe, Inc. — DPA se aplică automat prin Stripe Terms of Service.
- Cloudflare, Inc. — DPA se aplică automat prin Cloudflare Terms of Service.
- Zoho Corporation — DPA se aplică automat prin Zoho Privacy Policy și Terms of Service.
- Sub-procesator inferență AI — Nu este necesar DPA conform GDPR Art. 4(1) — datele sunt complet anonime înainte de trimitere.
Nu vindem, nu închiriem și nu furnizăm datele dumneavoastră personale către terți în scopuri de marketing.
6. Transferuri Internaționale de Date
Datele cu caracter personal (identificabile) sunt stocate și procesate exclusiv în Uniunea Europeană.
Serverele de bază de date și stocare sunt localizate în Finlanda și Germania (Hetzner). Nu se efectuează transferuri de date cu caracter personal în afara Spațiului Economic European (SEE). Conformitate completă cu cerințele Schrems II.
Nota privind procesarea AI: Datele transmise către modelele de inteligență artificială sunt triplu-anonimizate automatprin 3 straturi de protectie (regex server intern + Microsoft Presidio + NER românesc). Datele anonime nu mai constituie „date cu caracter personal" conform GDPR Art. 4(1) si, prin urmare, GDPR nu se aplică transferului către orice furnizor AI, indiferent de locația acestuia. Aceasta ne permite să utilizăm cel mai performant model AI pentru cercetare juridică, fără a încălca legislația europeană privind protecția datelor.
7. Perioada de Păstrare a Datelor
Datele sunt păstrate conform Politicii de Retentie a Datelor LexLord, în conformitate cu principiul limitării stocării (GDPR Art. 5(1)(e)). Pentru detalii complete, consultați documentul oficial.
| Categorie de date | Perioadă de păstrare |
|---|---|
| Date de cont (nume, email) | Pe durata existenței contului + 30 zile după ștergere |
| Istoric conversații AI | Pe durata existenței contului (ștergere la cerere) |
| Documente încărcate (OCR) | Maximum 90 de zile, apoi șterse automat |
| Date de facturare și fiscale | 10 ani (conform Legii contabilității nr. 82/1991) |
| Jurnale de securitate (audit trail) | 12 luni |
| Date anonimizate de analiză | Nelimitat (nu mai constituie date personale) |
8. Drepturile Dumneavoastră
În conformitate cu GDPR, aveți următoarele drepturi privind datele dumneavoastră personale:
- Dreptul de acces — puteți solicita o copie a datelor personale pe care le deținem despre dumneavoastră.
- Dreptul la rectificare — puteți solicita corectarea datelor inexacte sau completarea datelor incomplete.
- Dreptul la ștergere („dreptul de a fi uitat") — puteți solicita ștergerea datelor personale, sub rezerva obligațiilor legale de păstrare.
- Dreptul la restricționarea prelucrării — puteți solicita limitarea prelucrării datelor în anumite condiții.
- Dreptul la portabilitatea datelor — puteți solicita primirea datelor într-un format structurat, utilizat frecvent și care poate fi citit automat (JSON/CSV).
- Dreptul la opoziție — puteți vă opune prelucrării datelor bazate pe interesul legitim.
- Dreptul de a nu fi supus unei decizii automate — aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automatizată cu efecte juridice semnificative.
- Dreptul de retragere a consimțământului — acolo unde prelucrarea se bazează pe consimțământ, îl puteți retrage în orice moment.
Pentru exercitarea drepturilor, consultați pagina dedicată Drepturi GDPR sau contactați Responsabilul cu Protecția Datelor la: [email protected].
9. Securitatea Datelor
Implementăm măsuri tehnice și organizatorice adecvate pentru protecția datelor dumneavoastră:
- Criptare în tranzit (TLS 1.3) și la repaus (AES-256).
- Parole criptate cu bcrypt (12 runde de hashing).
- Autentificare bazată pe token-uri JWT cu expirare limitată.
- Izolarea datelor între utilizatori (arhitectură multi-tenant securizată).
- Audit trail cu semnătură digitală pe operațiuni sensibile.
- Monitorizare continuă cu sisteme de detecție a intruziunilor.
- Rate limiting și protecție DDoS.
- Backup-uri criptate cu retenție geografic redundantă în UE.
10. Inteligența Artificială și Confidențialitatea
LexLord utilizează modele de inteligență artificială pentru procesarea întrebărilor juridice, analiza documentelor și generarea de conținut. În acest context:
- Anonimizare cu dublu strat (defense in depth):
- Strat 1 — Serverul nostru (TypeScript): Filtru regex stratificat pentru identificatori specifici românesti (CNP, IBAN RO, serie buletin, telefon RO, email hash, card). aplicat in llm.service.ts si Winston logger.
- Strat 2 — Microsoft Presidio (SDK enterprise): Detectie + redactare pentru entități standard (PHONE_NUMBER, EMAIL, CREDIT_CARD, IP_ADDRESS, PERSON, US_SSN, etc.) — activ automat pe trace-uri.
- CNP (Cod Numeric Personal românesc — 13 cifre) → [CNP:1XXXXXXXXXXX] (se păstrează cifra sex)
- Serie buletin / pașaport românesc → [REDACTED]
- IBAN românesc (RO + cont) → [REDACTED]
- Număr de telefon românesc (07x / 02x) → [REDACTED]
- Adresă de email → [email_hash:xxxxxx] (hash pentru corelație în logs, fără identificare)
- Număr de card bancar → CARD:****1234 (se păstrează ultimele 4 cifre)
- Parole, tokeni, chei API → [FILTERED]
- Date anonime — GDPR nu se aplică:Conform GDPR Art. 4(1), datele care nu mai pot identifica o persoană fizică nu constituie „date cu caracter personal” și, prin urmare, GDPR nu se aplică procesării acestora. Datele anonime pot fi trimise către orice furnizor AI, inclusiv din afara UE, fără a fi necesar un mecanism de transfer ori o decizie de adecvare.
- Maparea există doar în memorie RAM: Conversia inversă (token → valoare reală) se face exclusiv pe serverele noastre, în memorie, după primirea răspunsului AI. Maparea nu este niciodată stocată, salvată sau transmisă.
- Logs: PII redacție automată: Toate jurnalele de server (Winston JSON logging) trec automat prin același filtru de anonimizare.
- NU se utilizează pentru antrenare: Datele transmise către modelele AI sunt procesate exclusiv pentru furnizarea răspunsului solicitat și nu sunt utilizate pentru antrenarea modelelor.
- Privilegiul avocat-client este respectat — datele clienților dumneavoastră nu sunt accesibile altor utilizatori sau terți.
11. Dreptul de a Depune Plângere
Dacă considerați că prelucrarea datelor dumneavoastră personale încalcă legislația privind protecția datelor, aveți dreptul de a depune o plângere la autoritatea de supraveghere:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, 010336
Telefon: +40.318.059.211
Email: [email protected]
Web: www.dataprotection.ro
12. Contact si Identificare Operator
Pentru orice întrebări privind prezenta politică de confidențialitate:
NEW TIMES WESTCOAST AG S.R.L.
CUI: 44336437
Nr. inregistrare: J2021001309035
Adresa: Strada Gruiului Nr. 76, Bloc P9, Sc. A, Et. 1, Ap. 3, Corp 115100, Câmpulung, Jud. Argeș, România
Email general: [email protected]
Email DPO: [email protected]
Web: www.lexlord.ro
© 2026 NEW TIMES WESTCOAST AG S.R.L. Toate drepturile rezervate.