Politica de confidențialitate

• Operator: persoană fizică cu ocupație liberală
• Sediu: NAS (auto-găzduit)
• CUI / CIF: —
• Nr. înregistrare ONRC: —
• Telefon: —
• Email general: [email protected]
• Email DPO: [email protected]

Colectăm doar datele minime necesare pentru operarea serviciului. Le grupăm în patru categorii:

2.1. Date de cont (obligatorii)

• adresa de email (identificator unic);
• parolă (stocată exclusiv sub formă hash Argon2id);
• nume afișat (display name);
• data nașterii (pentru verificarea vârstei și intervale de referință relevante);
• sex biologic (necesar pentru interpretarea rezultatelor medicale).

2.2. Date tehnice (colectate automat)

• adresa IP;
• user agent (browser, sistem de operare, versiune);
• timestamp login, logout, acțiuni semnificative (audit);
• referrer request (pentru debugging).

2.3. Date medicale — categorie specială (Art. 9 GDPR)

• variante genomice (VCF / JSON încărcate de tine);
• rezultate laborator (PDF, valori, intervale de referință);
• medicamente prescrise (denumire, doză, frecvență);
• diagnoze (ICD-10 / ICD-11, dată, status);
• pedigree familial (relații genetice, condiții ereditare, cancer familial);
• note personale medicale.

2.4. Cookies și stocare locală

Consultă Politica de cookies pentru lista completă. Sintetic:

• gv_access_token, gv_refresh_token, gv_csrf — autentificare (cookies necesare);
• genovault_consent_version — versiunea consimțământului (cookie necesar);
• genovault_theme_preference — preferință temă (cookie funcțional, cu consimțământ);
• __cf_bm — bot management Cloudflare (cookie necesar, furnizor terț).

Procesăm datele tale pe următoarele temeiuri:

• Contract (Art. 6.1.b GDPR) — pentru a opera serviciul pe care l-ai solicitat (cont, stocare date, autentificare).
• Consimțământ explicit (Art. 6.1.a + Art. 9.2.a GDPR) — pentru procesarea datelor medicale și a categoriilor speciale. Retragerea consimțământului este gratuită și nu afectează liceitatea procesărilor anterioare.
• Obligație legală (Art. 6.1.c GDPR) — pentru audit trail, retention obligatoriu, raportare incidente către ANSPDCP.
• Interes legitim (Art. 6.1.f GDPR) — pentru securitatea infrastructurii (rate limiting, bot detection), cu evaluare prealabilă a balanței dintre interesul operator și drepturile tale.

• oferirea unui dashboard personal pentru datele tale medicale;
• vizualizare trend-uri lab și timeline evenimente;
• afișare informativă a adnotărilor PGx / ACMG pe variante genomice;
• parsing opțional al PDF-urilor de laborator (cu furnizor LLM selectabil);
• export / portabilitate date (la cerere);
• comunicare prin email (confirmări, notificări securitate, incidente).

Lucrăm cu un număr minim de furnizori, fiecare legat prin Data Processing Agreement (DPA). Aceștia procesează date exclusiv conform instrucțiunilor noastre:

• Cloudflare Inc. — CDN, WAF, Tunnel (US/EU). Date procesate: IP, user agent, request metadata. DPA: cloudflare.com/cloudflare-customer-dpa.
• Resend Inc. — livrare email tranzacțional (US). Date procesate: email destinatar, conținut mesaj. DPA: resend.com/legal/dpa.
• Google LLC (Gemini API) — opțional, doar dacă activezi parsing AI de PDF lab. Date procesate: conținut PDF lab (PII mascat înainte de transmitere). DPA: cloud.google.com/terms/data-processing-addendum.
• Anthropic PBC (Claude API) — opțional, doar dacă activezi parsing AI de PDF lab. Date procesate: conținut PDF lab (PII mascat înainte de transmitere). DPA: anthropic.com/legal/data-protection-addendum.
• Auto-găzduire (NAS local) — stocare bază de date, fișiere medicale criptate și backup-uri pe NAS controlat direct de operator. Niciun furnizor terț de hosting nu deține datele.

Nu vindem, nu închiriem și nu schimbăm datele tale cu terți în scop comercial. Nu folosim datele tale pentru antrenarea modelelor AI.

O parte dintre furnizori (Cloudflare, Resend, Google, Anthropic) sunt localizați în SUA. Transferul datelor în afara SEE se realizează pe baza:

• Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană conform Deciziei (UE) 2021/914;
• EU-US Data Privacy Framework (DPF), acolo unde furnizorul este certificat.

Evaluăm periodic adecvarea transferurilor și putem adopta măsuri tehnice suplimentare (encryption at rest, pseudonimizare) unde este cazul.

Ca persoană vizată, ai următoarele drepturi:

• Dreptul de acces (Art. 15) — să obții o copie a datelor tale. Disponibil prin export JSON/PDF în Setări → Date.
• Dreptul la rectificare (Art. 16) — să corectezi date inexacte. Disponibil direct în aplicație.
• Dreptul la ștergere / dreptul de a fi uitat (Art. 17) — să ștergi contul și datele asociate. Disponibil în Setări → Ștergere cont.
• Dreptul la restricționare (Art. 18) — să ceri suspendarea temporară a procesării. Disponibil prin email DPO.
• Dreptul la portabilitate (Art. 20) — să primești datele într-un format structurat, care poate fi citit automat. Export JSON disponibil.
• Dreptul de opoziție (Art. 21) — la procesările bazate pe interes legitim.
• Dreptul de retragere a consimțământului (Art. 7.3) — oricând, gratuit, fără afectarea liceității procesărilor anterioare.
• Dreptul de a depune plângere la ANSPDCP (Art. 77) dacă consideri că procesarea îți încalcă drepturile.

Pentru exercitarea drepturilor, contactează-ne la [email protected]. Răspundem în maximum 30 de zile calendaristice (poate fi prelungit cu încă 60 de zile pentru cereri complexe).

Aplicația afișează recomandări PGx și clasificări de variante genomice generate automat pe baza literaturii științifice (CPIC, ClinVar, ACMG). Aceste afișări au efect informativ, nu produc efecte juridice și nu afectează drepturile tale.

Conform Art. 22 GDPR, ai dreptul de a:

• obține intervenție umană (discuție cu un medic sau DPO);
• exprima punctul tău de vedere asupra clasificării;
• contesta rezultatul afișat.

Nu folosim profilare pentru scoring automat al utilizatorului, targeting publicitar sau decizii care produc efecte juridice.

Implementăm măsuri tehnice și organizatorice adecvate (Art. 32 GDPR):

• criptare în tranzit (TLS 1.3);
• encryption at rest pentru backup-uri;
• parole hashed cu Argon2id;
• CSRF protection, SameSite cookies, rate limiting;
• audit log pentru acțiuni sensibile;
• acces minim principle (least privilege) la nivel de infrastructură;
• backup-uri regulate, testate periodic.

În caz de breach (Art. 33-34 GDPR), notificăm ANSPDCP în maximum 72 de ore și utilizatorii afectați fără întârziere, conform Incident Response Plan.

Datele de contact ale responsabilului cu protecția datelor (DPO / Responsabil):

• Email: [email protected]
• Adresă corespondență: furnizabilă prin email DPO la cerere scrisă (operator auto-găzduit; adresa fizică nu este publicată pentru protecția operatorului).

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

• Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București
• Telefon: +40 318 059 211 / +40 318 059 212
• Email: [email protected]
• Web: www.dataprotection.ro

Putem actualiza această politică pe măsură ce serviciul evoluează sau apar schimbări legislative. Fiecare versiune este marcată cu dată și număr de versiune. Modificările substanțiale sunt comunicate utilizatorilor prin email și necesită un nou consimțământ unde este cazul.

Versiunea curentă: 1.0 · Data: 2026-04-24.