← Custos

Politica de confidențialitate

Versiune curentă: 2026-04-30. Necesită revizuire juridică înainte de lansare publică.

1. Cine prelucrează datele

Operatorul datelor este echipa proiectului Custos. Pentru detalii de contact și pentru cereri privind drepturile tale, scrie la [adresă de contact].

2. Ce date colectăm

  • Adresa de email — pentru autentificare prin magic link.
  • Întrebările tale și răspunsurile generate — pentru livrarea serviciului și pentru audit.
  • Cazurile ipotetice introduse în /case — fără date identificabile, pentru analiză structurată.
  • Calculele de doză și sursele utilizate — pentru audit clinic.
  • Feedback-ul (semnalări, „util") — pentru îmbunătățirea calității.
  • Date tehnice minimale (IP, user-agent) — pentru securitate și anti-abuz, păstrate scurt.

3. Ce NU colectăm

  • Nu colectăm date despre pacienții tăi reali. Te rugăm să nu introduci CNP, nume sau dosare clinice.
  • Nu colectăm date de localizare GPS.
  • Nu folosim cookie-uri de tracking comercial sau publicitate.

4. De ce le prelucrăm (temei juridic)

Prelucrarea se face în baza:

  • Executării contractului (art. 6(1)(b) GDPR) — pentru livrarea serviciului.
  • Interesului legitim (art. 6(1)(f) GDPR) — pentru securitate, prevenirea abuzului, îmbunătățirea calității.
  • Obligațiilor legale (art. 6(1)(c) GDPR) — pentru păstrarea jurnalelor de audit.

5. Cu cine partajăm datele (procesatori)

  • Supabase Inc. — bază de date și autentificare. Date găzduite în UE (Frankfurt).
  • OpenAI Inc. — pentru generarea vectorilor de căutare (embeddings) ai întrebărilor tale.
  • Anthropic PBC — pentru generarea răspunsurilor (Claude).
  • Vercel Inc. — pentru găzduirea aplicației web.
  • Upstash Inc. — pentru contorizare anti-abuz (rate limiting); date minimale (IP hash + counter).
  • Cloudflare Inc. — pentru DNS și protecție DDoS pe domeniul custossapiens.org.

Toți procesatorii operează în temeiul propriilor politici de confidențialitate și clauze contractuale standard pentru transferuri internaționale, unde se aplică.

6. Cât timp păstrăm datele

  • Date de autentificare (email, sesiuni): atât timp cât contul este activ.
  • Conversații de chat, cazuri, feedback: 24 luni de la creare, apoi anonimizare sau ștergere.
  • Jurnale de audit (audit_log): 36 luni, pentru securitate și obligații de conformitate.
  • Date tehnice (IP, user-agent în log-uri server): 30 zile.

7. Drepturile tale (GDPR art. 15–22)

Ai dreptul:

  • De acces la datele tale (art. 15).
  • De rectificare a datelor inexacte (art. 16).
  • De ștergere („dreptul de a fi uitat", art. 17).
  • De restricționare a prelucrării (art. 18).
  • De portabilitate a datelor (art. 20).
  • De a te opune prelucrării (art. 21).
  • De a depune plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) — dataprotection.ro.

Pentru exercitarea drepturilor, scrie la [adresă de contact privacy].

8. Securitate

Folosim TLS pentru toate comunicațiile, autentificare prin magic link (fără parolă transmisă), separare a rolurilor în baza de date (Row Level Security activ), rotație periodică a cheilor API, și jurnale de audit pentru toate acțiunile sensibile.

9. Cookie-uri

Folosim doar cookie-uri esențiale pentru sesiunea de autentificare (Supabase Auth). Nu folosim cookie-uri de tracking analitic sau publicitate.

10. Modificări ale acestei politici

Modificările materiale vor fi anunțate la autentificarea următoare cu cel puțin 30 de zile înainte. Versiunile arhivate vor fi disponibile la cerere.

Privacy Policy (English)

1. Data controller

Custos project team. For contact and rights requests: [contact address].

2. Data we collect

  • Email address — for magic-link authentication.
  • Your questions and generated answers — for service delivery and audit.
  • Hypothetical cases entered in /case — without identifiable data, for structured analysis.
  • Dose calculations and cited sources — for clinical audit.
  • Feedback (flags, likes) — for quality improvement.
  • Minimal technical data (IP, user-agent) — for security and abuse prevention, retained briefly.

3. Data we do NOT collect

  • We do not collect data about your real patients. Please do not enter national IDs, names, or clinical records.
  • No GPS location data.
  • No commercial-tracking or advertising cookies.

4. Why we process (legal basis)

  • Performance of contract (GDPR Art. 6(1)(b)) — service delivery.
  • Legitimate interest (Art. 6(1)(f)) — security, abuse prevention, quality improvement.
  • Legal obligation (Art. 6(1)(c)) — audit-log retention.

5. Processors we share data with

  • Supabase Inc. — database + auth, hosted in EU (Frankfurt).
  • OpenAI Inc. — embedding-vector generation for search.
  • Anthropic PBC — chat-answer generation (Claude).
  • Vercel Inc. — web app hosting.
  • Upstash Inc. — anti-abuse rate counting; minimal data (IP hash + counter).
  • Cloudflare Inc. — DNS + DDoS protection for custossapiens.org.

6. Retention

  • Auth data (email, sessions): for account lifetime.
  • Chat conversations, cases, feedback: 24 months from creation, then anonymisation or deletion.
  • Audit logs: 36 months, for security and compliance.
  • Technical data (server IP/user-agent logs): 30 days.

7. Your rights (GDPR Art. 15–22)

You have the right to access, rectification, deletion ("right to be forgotten"), restriction, portability, and objection. You may file a complaint with the Romanian DPA — ANSPDCP, dataprotection.ro.

8. Security

TLS for all communications, magic-link authentication (no password transmitted), database role separation (Row Level Security active), periodic API key rotation, and audit logging for all sensitive actions.

9. Cookies

Only essential cookies for the auth session (Supabase Auth). No analytics or advertising cookies.

10. Changes to this policy

Material changes will be announced at next sign-in at least 30 days in advance. Archived versions are available on request.

Disclaimer medical · Terms of Use