Politica de confidențialitate

1. Introducere

Bine ai venit pe Lexter. Știm că încărcarea unor documente precum cartea de identitate sau un contract poate părea un pas mare — este absolut normal să ai întrebări și rezerve. Am scris această politică cât mai clar posibil ca să înțelegi exact ce facem cu datele tale și, la fel de important, ce NU facem.

Această politică se aplică oricărei persoane care accesează site-ul nostru (în continuare „Platforma") și respectă Regulamentul (UE) 2016/679 (GDPR), Legea 190/2018 și legislația română aplicabilă.

2. Cine suntem (operatorul de date)

Lexter este operatorul datelor tale cu caracter personal. Ne poți contacta oricând la contact@lexter.ro, indiferent de motiv — întrebări, solicitări GDPR, raportare incidente de securitate, etc. Locația noastră operațională este Cluj-Napoca, Județul Cluj, România.

3. Principiile pe care le respectăm

Tratăm datele tale cu aceste principii în minte:

Colectăm doar datele strict necesare pentru a-ți oferi serviciul
NU stocăm documentele pe care le încarci (detalii mai jos)
Criptăm datele sensibile atât în transit (HTTPS/TLS), cât și în baza de date
NU vindem datele tale și NU le folosim pentru marketing fără consimțământ explicit
NU avem cookie-uri de publicitate sau tracking
Poți solicita ștergerea completă a contului tău oricând, printr-un simplu email

4. Documentele încărcate NU sunt stocate

Acesta este probabil cel mai important punct pentru tine: documentele pe care le încarci (cărți de identitate, contracte, PDF-uri, imagini) NU sunt salvate nicăieri pe serverele noastre.

Cum funcționează procesul tehnic:

Primim fișierul în memoria serverului (RAM), exclusiv pentru a-l procesa
Textul este extras cu ajutorul unui serviciu OCR (Google Cloud Vision) și/sau al unui parser local (pdf-parse, mammoth, word-extractor)
Textul extras este trimis către un model de limbaj (OpenAI) care identifică și structurează câmpurile relevante (nume, CNP, adresă etc.)
Doar rezultatul structurat (câmpuri identificate) este salvat în baza de date, în formă criptată
Fișierul original este eliminat din memorie la finalul cererii HTTP — nu există copii pe disc, storage obiect sau backup

Cu alte cuvinte, după ce apeși butonul „Următorul", documentul tău original nu mai există nicăieri în infrastructura Lexter.

5. Ce date colectăm

5.1 Date de cont

La înregistrare colectăm: adresa de email (obligatoriu, folosită pentru autentificare), parola (stocată exclusiv sub formă de hash bcrypt — nu o cunoaștem în clar, nici chiar administratorii nu o pot vedea) și, opțional, numele tău.

5.2 Date extrase din documente

Pentru dosarele create colectăm datele necesare pentru generarea documentelor ONRC: nume și prenume, CNP, serie și număr CI, adresă de domiciliu, cetățenie, date de naștere, date despre societate (denumire, capital social, coduri CAEN), date despre sediul social și, unde este cazul, despre beneficiarul real.

5.3 Date tehnice și de securitate

Pentru prevenirea abuzurilor și depanare înregistrăm: adresa IP, user-agent-ul browserului, timpul acțiunilor (audit log), precum și contorizări temporare pentru limitarea ratei cererilor (rate limiting).

5.4 Categorii speciale de date

CNP-ul este considerat dată cu caracter personal specială conform legislației române. Îl procesăm strict în baza executării contractului de prestare a serviciului (generarea dosarului ONRC) și al obligațiilor legale aferente — niciodată pentru alte scopuri.

6. Temeiul legal al prelucrării

Prelucrăm datele tale doar dacă avem un temei legal valid, conform art. 6 GDPR:

Executarea contractului (art. 6(1)(b)): pentru datele de cont și cele necesare generării dosarelor pe care ni le soliciți.
Interes legitim (art. 6(1)(f)): pentru datele tehnice minime necesare securității serviciului (IP, audit log, rate limit).
Obligație legală (art. 6(1)(c)): când legislația ne impune păstrarea anumitor informații (ex.: registre contabile, dacă e cazul).
Consimțământ (art. 6(1)(a)): acolo unde îți cerem explicit acordul — de exemplu, pentru comunicări nesolicitate, pe care momentan nu le trimitem.

7. Cum stocăm și securizăm datele

Securitatea datelor tale este tratată ca o prioritate tehnică, nu ca o bifă de conformitate. Măsurile implementate includ:

Criptare în transit: toate cererile către Platformă folosesc HTTPS/TLS
Criptare la nivel de aplicație (AES-256-GCM): câmpurile sensibile din dosare — CNP, serie și număr CI, adrese de domiciliu, adresa sediului social, numele beneficiarului real — sunt criptate cu o cheie secretă înainte de a ajunge în baza de date. Chiar și cineva cu acces la baza de date vede doar valori criptate, ilizibile fără cheie
Hashing parole: parolele sunt stocate cu bcrypt, folosind un factor de lucru modern, deci nu pot fi recuperate în clar — nici de noi
Izolare per-utilizator: fiecare dosar este accesibil doar contului care l-a creat; orice cerere care nu trece verificarea de autentificare este respinsă la nivel de API
Rate limiting: limităm numărul de cereri per IP și per utilizator pentru a preveni atacurile brute-force și scrapingul
Audit log: păstrăm un jurnal al acțiunilor importante (creare/citire/modificare/ștergere dosare) pentru a putea investiga eventuale probleme
Principiul privilegiului minim: doar personalul strict necesar are acces la infrastructura de producție, pe bază de autentificare multi-factor

8. Servicii terțe (sub-procesatori)

Pentru a-ți oferi serviciul, folosim câteva servicii externe. Am selectat fiecare furnizor pentru reputația sa în materie de securitate și conformitate GDPR. Iată lista completă, nimic ascuns:

OpenAI

Scop: Extragerea structurată (LLM) a câmpurilor din textul documentelor
Date procesate: Textul OCR-izat al documentului (tranzitoriu, niciun fișier)
Locație / transfer: SUA; transfer acoperit de Clauze Contractuale Standard (SCC). OpenAI nu folosește inputurile API pentru antrenarea modelelor (politica „no training on API data")

Google Cloud Vision

Scop: OCR (extragerea textului din imagini și PDF-uri scanate)
Date procesate: Buffer-ul imaginii, tranzitoriu, nu este stocat la Google
Locație / transfer: Infrastructura Google Cloud (UE sau SUA, în funcție de regiune); transfer acoperit de SCC

Vercel

Scop: Hosting-ul aplicației și al serverelor
Date procesate: Metadate HTTP (IP, headers), cod aplicație
Locație / transfer: UE (prioritar) / SUA; transfer acoperit de SCC

Upstash (Redis)

Scop: Rate limiting — protejarea împotriva abuzurilor
Date procesate: Identificatori hash (IP sau ID utilizator), contoare temporare
Locație / transfer: UE; fără PII-uri stocate persistent

Baza de date PostgreSQL

Scop: Stocarea contului și a dosarelor (criptate)
Date procesate: Date de cont, date de dosar (câmpuri sensibile criptate)
Locație / transfer: UE; conexiune securizată TLS

Furnizor	Scop	Date procesate	Locație / transfer
OpenAI	Extragerea structurată (LLM) a câmpurilor din textul documentelor	Textul OCR-izat al documentului (tranzitoriu, niciun fișier)	SUA; transfer acoperit de Clauze Contractuale Standard (SCC). OpenAI nu folosește inputurile API pentru antrenarea modelelor (politica „no training on API data")
Google Cloud Vision	OCR (extragerea textului din imagini și PDF-uri scanate)	Buffer-ul imaginii, tranzitoriu, nu este stocat la Google	Infrastructura Google Cloud (UE sau SUA, în funcție de regiune); transfer acoperit de SCC
Vercel	Hosting-ul aplicației și al serverelor	Metadate HTTP (IP, headers), cod aplicație	UE (prioritar) / SUA; transfer acoperit de SCC
Upstash (Redis)	Rate limiting — protejarea împotriva abuzurilor	Identificatori hash (IP sau ID utilizator), contoare temporare	UE; fără PII-uri stocate persistent
Baza de date PostgreSQL	Stocarea contului și a dosarelor (criptate)	Date de cont, date de dosar (câmpuri sensibile criptate)	UE; conexiune securizată TLS

Nu folosim Google Analytics, nu folosim Facebook Pixel, nu folosim Hotjar și nu avem niciun cookie de tracking publicitar.

9. Cât timp păstrăm datele

Datele de cont: pe toată durata contului tău activ
Dosarele create: până când le ștergi tu sau îți ștergi contul
Audit log: maximum 12 luni, apoi sunt anonimizate
Date tehnice de rate limiting: între câteva minute și câteva ore (cât durează fereastra de limitare)
Documente încărcate: nu sunt stocate — sunt procesate doar în memoria serverului pe durata cererii (secunde)

Când îți ștergi contul, toate datele asociate (inclusiv dosarele) sunt șterse definitiv din baza de date în cel mult 30 de zile, cu excepția celor pe care legea ne obligă să le păstrăm.

10. Drepturile tale (GDPR)

Conform GDPR ai următoarele drepturi:

Dreptul de acces: să știi ce date deținem despre tine și să primești o copie a acestora
Dreptul de rectificare: să corectezi date incorecte sau incomplete
Dreptul la ștergere („dreptul de a fi uitat"): să ceri ștergerea completă a datelor tale
Dreptul la restricționare: să ceri oprirea temporară a prelucrării
Dreptul la portabilitate: să primești datele într-un format structurat, lizibil automat
Dreptul de opoziție: să te opui prelucrării bazate pe interes legitim
Dreptul de a depune plângere: la ANSPDCP (www.dataprotection.ro) dacă nu ești mulțumit de răspunsul nostru

Pentru a-ți exercita oricare dintre aceste drepturi, scrie-ne la contact@lexter.ro. Îți răspundem în maximum 30 de zile, fără niciun cost, cu excepția cazurilor vădit nefondate sau excesive.

11. Cookie-uri și tehnologii similare

Folosim un număr minim de cookie-uri, toate strict necesare funcționării platformei (autentificare, protecție CSRF). Nu folosim cookie-uri de publicitate sau analytics. Detaliile complete sunt în Politica noastră de cookie-uri.

12. Minori

Platforma se adresează exclusiv persoanelor care au vârsta legală pentru a încheia contracte (18 ani în România). Nu colectăm cu bună știință date de la minori. Dacă afli că un minor ne-a furnizat date, contactează-ne și le vom șterge imediat.

13. Modificări ale politicii

Putem actualiza această politică atunci când schimbăm funcționalitățile Platformei sau când legislația o cere. Vei fi notificat prin email înainte de intrarea în vigoare a modificărilor materiale, iar data ultimei actualizări este afișată în partea de sus a acestei pagini.

14. Contact

Pentru orice întrebare, solicitare sau reclamație legată de datele tale personale, scrie-ne la contact@lexter.ro. Îți răspundem personal, fără formulare automate.