Politica de Confidentialitate - LUCA

1. Identitatea si datele de contact ale operatorului

Operatorul de date responsabil pentru prelucrarea datelor personale prin intermediul platformei LUCA este:

Denumire: JBA WEB AGENCY SRL

CUI: 45013493

Nr. Reg. Com.: J2021003372228

Judet: Iasi — Localitate: Loc. Iasi

Adresa: Sos. Pacurari 54 Bl. 554 Sc. A Et. 5 Ap. 13, Cod Postal 700547

Email general: alex@getluca.ro

Email GDPR: gdpr@getluca.ro

Responsabil cu protectia datelor (DPO): dpo@getluca.ro

Website: getluca.ro

Platforma: app.getluca.ro

2. Definitii

„Date personale” — orice informatii care se refera la o persoana fizica identificata sau identificabila (persoana vizata), conform definitiei din GDPR.

„Prelucrare” — orice operatiune sau set de operatiuni efectuate asupra datelor personale (colectare, stocare, utilizare, transmitere, stergere etc.).

„Organizator” — persoana fizica sau juridica care creeaza un cont pe platforma LUCA si gestioneaza evenimente.

„Participant” — persoana fizica ale carei date sunt prelucrate prin platforma in legatura cu un eveniment gestionat de un Organizator.

„LUCA AI” — asistentul virtual bazat pe inteligenta artificiala care comunica cu participantii prin WhatsApp, utilizand modelele de limbaj ale OpenAI.

„Operator” — JBA WEB AGENCY SRL, in calitate de entitate care stabileste scopul si mijloacele prelucrarii datelor Organizatorilor.

„Imputernicit” — JBA WEB AGENCY SRL, in calitate de entitate care prelucreaza datele Participantilor in numele si la instructiunile Organizatorului.

3. Categoriile de date personale prelucrate

3.1. Date ale Organizatorilor (cont de utilizator)

Nume si prenume
Adresa de email
Parola (stocata exclusiv sub forma de hash bcrypt — nu in text simplu)
Google ID (numai daca Organizatorul opteaza pentru autentificare Google OAuth)
Timestamps de autentificare (ultima logare, numarul de logari)
Token-uri de acces Google Calendar (criptate, daca se foloseste integrarea Calendar — optionala)

3.2. Date ale Participantilor la evenimente

Prenume si nume
Numar de telefon (pentru comunicare WhatsApp)
Adresa de email (optional, daca este furnizata de organizator)
Campuri suplimentare optionale furnizate de organizator (de ex. specialitate, institutie)
Statut de inregistrare si istoricul participarii la evenimente

Date BLOCATE automat: Platforma refuza stocarea CNP-ului, codurilor de afectiune medicala, seriei/numarului din cartea de identitate, adreselor complete de domiciliu sau IBAN-ului, chiar daca acestea sunt transmise prin formularele de inregistrare ale organizatorilor.

3.3. Date de comunicare (mesaje WhatsApp)

Istoricul complet al conversatiilor intre Participant si asistentul LUCA AI
Timestamp-uri de trimitere, livrare si citire a mesajelor
Statusul mesajelor (trimis, livrat, citit, eroare)
Intrebarile la care asistentul nu a putut raspunde, impreuna cu clasificarea lor (urgenta, categorie, sentiment)

3.4. Date de eveniment

Detalii eveniment introduse de organizator (titlu, descriere, data, locatie, pachete, program, FAQ-uri)
Documente incarcate de organizator (prezentari, programe, materiale informative)
Certificate de participare generate (continand numele participantului)

3.5. Date analitice (agregate, fara date personale)

Numar de participanti, mesaje, intrebari per eveniment
Rate de raspuns, timpi medii de raspuns
Statistici de performanta ale asistentului AI

Aceste date sunt agregate si nu permit identificarea persoanelor.

4. Scopurile prelucrarii datelor

Scop	Date prelucrate	Temei juridic
Crearea si gestionarea contului de Organizator	Email, parola, nume	Executarea contractului (art. 6(1)(b) GDPR)
Autentificare Google OAuth	Google ID, email	Consimtamant (art. 6(1)(a) GDPR)
Comunicare AI cu participantii prin WhatsApp	Telefon, mesaje, date eveniment	Interes legitim al organizatorului (art. 6(1)(f) GDPR)
Gestionarea participantilor la evenimente	Prenume, nume, telefon, email	Executarea contractului cu organizatorul / Consimtamant participant
Trimitere campanii WhatsApp	Telefon, date identificare	Consimtamant participant / Interes legitim
Generare certificate de participare	Prenume, nume	Executarea contractului
Escaladare intrebari catre organizator	Mesaje, clasificare urgenta	Interes legitim
Statistici si imbunatatirea serviciului	Date agregate (fara identificare personala)	Interes legitim
Conformitate GDPR (jurnale stergeri)	Identificatori anonimizati	Obligatie legala (art. 6(1)(c) GDPR)
Sincronizare Google Calendar (optionala)	Date eveniment, token Calendar	Consimtamant explicit (art. 6(1)(a) GDPR)

5. Temeiul juridic al prelucrarii

Prelucrarea datelor personale se realizeaza pe baza urmatoarelor temeiuri juridice prevazute de art. 6 din Regulamentul (UE) 2016/679 (GDPR):

Executarea contractului (art. 6(1)(b)) — prelucrarea datelor Organizatorului pentru crearea contului, furnizarea serviciilor LUCA si respectarea angajamentelor contractuale.
Consimtamant (art. 6(1)(a)) — autentificare Google OAuth, sincronizare Google Calendar, comunicari de marketing. Consimtamantul poate fi retras oricand, fara a afecta legalitatea prelucrarii anterioare retragerii.
Interes legitim (art. 6(1)(f)) — rutarea mesajelor WhatsApp ale participantilor catre asistentul AI potrivit, detectarea si prevenirea abuzurilor, imbunatatirea serviciilor, securizarea platformei. Interesul legitim al Operatorului nu prevaleaza asupra drepturilor si libertatilor persoanelor vizate.
Obligatie legala (art. 6(1)(c)) — retinerea jurnalelor anonimizate ale stergerilor pentru demonstrarea conformitatii cu GDPR.

6. Destinatari si procesatori de date

In vederea furnizarii serviciilor LUCA, datele personale pot fi transmise urmatorilor procesatori (imputerniciti), cu care Operatorul a incheiat Acorduri de Prelucrare a Datelor (DPA):

OpenAI, Inc.

SUA

Scop: Procesarea conversatiilor prin modelele de limbaj GPT; stocarea thread-urilor de conversatie si a vectorilor de cautare pentru cunostintele evenimentului.

Date transmise: Mesajele WhatsApp ale participantilor, documentele si informatiile evenimentului incarcate de organizator.

Website: openai.com/privacy

Meta Platforms Ireland Ltd. / WhatsApp Business API

Irlanda / SUA

Scop: Livrarea mesajelor WhatsApp catre participanti; primirea raspunsurilor si notificarilor de status (trimis, livrat, citit) prin API-ul Meta Cloud v22.0.

Date transmise: Numarul de telefon al participantului, continutul mesajelor WhatsApp.

Website: whatsapp.com/legal/privacy-policy

Resend Inc.

SUA

Scop: Livrarea emailurilor transactionale si de notificare catre organizatori (escaladari, alerte de sistem).

Date transmise: Adresa de email a organizatorului, continutul notificarilor.

Website: resend.com/privacy

Google LLC

SUA

Scop: Autentificare Google OAuth (optionala); sincronizare Google Calendar (optionala, numai la cererea explicita a organizatorului).

Date transmise: Google ID, email, token de acces Calendar (numai daca organizatorul activeaza integrarea).

Website: policies.google.com/privacy

Railway Corp.

SUA

Scop: Gazduire cloud a backend-ului platformei LUCA (server aplicatie + baza de date PostgreSQL).

Date transmise: Toate datele stocate in baza de date a platformei.

Website: railway.app/legal/privacy

Furnizor hosting cPanel / LiteSpeed

Romania / EU

Scop: Gazduire frontend (interfata web a platformei LUCA, accesibila la app.getluca.ro).

Date transmise: Fisierele statice ale aplicatiei web (nu date personale).

Nici un alt destinatar nu are acces la datele personale prelucrate prin platforma LUCA, cu exceptia cazurilor in care legea impune comunicarea catre autoritati competente.

7. Transferuri internationale de date

Unii din procesatorii de mai sus (OpenAI, Resend, Google, Railway) sunt localizati in Statele Unite ale Americii, tara care nu beneficiaza de o decizie de adecvare generala din partea Comisiei Europene.

Transferurile catre acesti procesatori se realizeaza pe baza urmatoarelor garantii adecvate:

Clauze contractuale standard (SCC) adoptate de Comisia Europeana (Decizia de punere in aplicare (UE) 2021/914), incheiate cu fiecare procesator din SUA.
Cadrul EU-SUA privind confidentialitatea datelor (Data Privacy Framework — DPF), acolo unde procesatorul este certificat in cadrul acestui program (Google LLC, Meta Platforms).

Puteti obtine o copie a garantiilor de transfer aplicabile contactand gdpr@getluca.ro.

8. Durata stocarii datelor

Categorie de date	Durata retentiei
Datele participantilor (telefon, email, mesaje)	Sterse automat la 90 de zile dupa data de incheiere a evenimentului
Contul si datele Organizatorului	Pe durata existentei contului; sterse la cerere sau la 12 luni de inactivitate
Datele evenimentului (descriere, documente, program)	Pe durata contului organizatorului; sterse odata cu evenimentul sau contul
Jurnale anonimizate de stergere (conformitate GDPR)	Indefinit (nu contin date personale identificabile)
Statistici agregate	Indefinit (nu contin date personale)
Thread-uri conversatie OpenAI	Sterse din OpenAI la momentul stergerii participantului sau evenimentului
Numere blocate (opt-out WhatsApp)	Indefinit (necesare pentru a preveni recontactarea dupa retragerea consimtamantului)

La expirarea termenelor de stocare, datele sunt sterse irevocabil sau anonimizate, astfel incat sa nu mai permita identificarea persoanei vizate.

9. Drepturile persoanelor vizate

In conformitate cu GDPR, aveti urmatoarele drepturi cu privire la datele dumneavoastra personale:

👁

Dreptul de acces (art. 15 GDPR)

Aveti dreptul de a obtine o confirmare cu privire la prelucrarea datelor dumneavoastra si o copie a acestora.

✏

Dreptul la rectificare (art. 16 GDPR)

Aveti dreptul de a solicita corectarea datelor inexacte sau completarea datelor incomplete.

🗑

Dreptul la stergere („dreptul de a fi uitat”) (art. 17 GDPR)

Aveti dreptul de a solicita stergerea datelor dumneavoastra personale. Participantii pot initia stergerea imediat, direct din WhatsApp, tastando „stop”, „sterge” sau „gdpr” — datele vor fi sterse complet si numarul va fi adaugat pe lista permanenta de blocare (pentru a preveni recontactarea accidentala).

🔒

Dreptul la restrictionarea prelucrarii (art. 18 GDPR)

In anumite circumstante, aveti dreptul de a solicita restrictionarea prelucrarii datelor dumneavoastra.

📤

Dreptul la portabilitatea datelor (art. 20 GDPR)

Aveti dreptul de a primi datele dumneavoastra intr-un format structurat, utilizat curent si care poate fi citit automat, si de a le transmite unui alt operator.

🚫

Dreptul la opozitie (art. 21 GDPR)

Aveti dreptul de a va opune prelucrarii datelor dumneavoastra in scopuri de marketing direct sau atunci cand prelucrarea se bazeaza pe interesul legitim al operatorului.

🕵

Dreptul de a nu fi supus deciziilor automate (art. 22 GDPR)

Clasificarea intrebarilor dupa urgenta si sentiment este realizata automat de catre AI, insa nu produce efecte juridice sau efecte similare semnificative asupra persoanei vizate; este utilizata exclusiv pentru prioritizarea interna in platforma.

10. Cum va exercitati drepturile

Puteti exercita oricare dintre drepturile mentionate anterior prin urmatoarele modalitati:

Opt-out imediat prin WhatsApp

Trimiteti unul din urmatoarele cuvinte catre asistentul LUCA prin WhatsApp: stop, sterge sau gdpr. Datele dumneavoastra vor fi sterse complet in cel mai scurt timp posibil si nu veti mai fi contactat de niciun asistent LUCA.

Email GDPR

Trimiteti o cerere scrisa la gdpr@getluca.ro cu subiectul „Cerere GDPR”, specificand dreptul pe care doriti sa il exercitati si datele de contact pentru a va putea identifica. Vom raspunde in termen de 30 de zile calendaristice.

Responsabil cu protectia datelor (DPO)

Pentru solicitari complexe sau reclamatii, contactati DPO-ul nostru la dpo@getluca.ro.

De asemenea, aveti dreptul de a depune o plangere la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP):

B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, Cod Postal 010336, Bucuresti

Email: anspdcp@dataprotection.ro

Website: www.dataprotection.ro

11. Securitatea datelor

JBA WEB AGENCY SRL implementeaza masuri tehnice si organizatorice adecvate pentru a proteja datele personale impotriva accesului neautorizat, pierderii accidentale, distrugerii sau dezvaluirii, inclusiv:

Criptarea parolelor — parolele organizatorilor sunt stocate exclusiv sub forma de hash-uri bcrypt ireversibile; niciodata in text simplu.
HTTPS obligatoriu — toate comunicatiile intre browser si platforma sunt criptate prin TLS.
Verificare HMAC — webhook-urile WhatsApp sunt verificate prin semnatura HMAC-SHA256 pentru a preveni injectarea de mesaje false.
Autentificare JWT — token-uri cu timp de expirare limitat pentru sesiunile utilizatorilor.
Acces bazat pe roluri — fiecare organizator poate accesa exclusiv datele propriilor evenimente; nu exista acces cross-account.
Rate limiting — limitarea numarului de cereri per IP pentru prevenirea atacurilor brute-force.
Filtrare automata date sensibile — campurile sensibile (CNP, coduri medicale, IBAN etc.) sunt blocate automat si nu sunt niciodata stocate.
Backup-uri periodice — baza de date este backed up in mod regulat pe infrastructura Railway.

In cazul unui incident de securitate care afecteaza datele personale, Operatorul va notifica Organizatorii afectati si, daca este cazul, autoritatea de supraveghere (ANSPDCP) in termenele prevazute de GDPR (72 de ore de la constatarea incidentului).

12. Prelucrarea datelor participantilor (LUCA ca Imputernicit)

In relatia cu Participantii la evenimente, JBA WEB AGENCY SRL actioneaza in calitate de Imputernicit, prelucrând datele acestora exclusiv la instructiunile si in numele Organizatorului (care este Operator al datelor Participantilor proprii).

In aceasta calitate:

LUCA prelucreaza datele Participantilor numai in scopurile definite de Organizator (comunicare despre eveniment, raspunsuri AI, trimitere certificate etc.).
LUCA nu utilizeaza datele Participantilor in scopuri proprii, in afara celor necesare furnizarii si imbunatatirii serviciului (vezi sectiunea 13).
LUCA pune la dispozitia Organizatorului mijloacele necesare pentru a onora cererile de exercitare a drepturilor Participantilor (stergere, export, rectificare).
Relatia dintre LUCA si Organizator este guvernata de Acordul de Prelucrare a Datelor (DPA), disponibil pe platforma.

13. Monitorizarea conversatiilor si imbunatatirea serviciilor

In calitate de operator al platformei LUCA, JBA WEB AGENCY SRL isi rezerva dreptul de a accesa si analiza conversatiile dintre asistentul AI si participantii la evenimentele organizate prin platforma, in urmatoarele scopuri:

Monitorizarea calitatii — verificarea acuratetii si relevantei raspunsurilor generate de asistentul AI.
Depanare tehnica — identificarea si rezolvarea erorilor sau disfunctionalitatilor in comunicarea AI.
Imbunatatirea serviciului — antrenarea si optimizarea algoritmilor de raspuns pe baza interactiunilor reale, in forma anonimizata sau agregata.
Prevenirea abuzurilor — detectarea utilizarii necorespunzatoare a platformei (spam, continut ilegal, incalcarea Termenilor si Conditiilor).
Conformitate legala — indeplinirea obligatiilor legale in cazul solicitarilor autoritatilor competente.

Temeiul legal: Accesul la conversatii se realizeaza in baza interesului legitim al Operatorului, conform art. 6 alin. (1) lit. (f) din Regulamentul (UE) 2016/679 (GDPR). Interesul legitim consta in necesitatea de a asigura calitatea, securitatea si imbunatatirea continua a serviciului oferit.

Datele din conversatii nu sunt vandute sau transferate catre terte parti in scopuri comerciale. Cand sunt utilizate pentru imbunatatirea algoritmilor, datele sunt anonimizate sau agregate astfel incat persoanele vizate sa nu poata fi re-identificate.

Nota: Organizatorul evenimentului, in calitate de operator al datelor participantilor sai, are obligatia de a informa participantii cu privire la faptul ca conversatiile pot fi accesate de catre Operatorul platformei in scopurile mentionate mai sus.

14. Cookie-uri, script tracker si alte tehnologii

14.1. Cookie-uri si stocarea locala

Platforma LUCA (app.getluca.ro) utilizeaza stocarea locala a browser-ului (localStorage) pentru retinerea token-ului de sesiune JWT al organizatorului. Nu utilizam cookie-uri de tracking sau publicitare. Nu exista cookie-uri terte pe domeniul app.getluca.ro. Pentru detalii complete, consultati Politica de Cookie-uri.

14.2. Script-ul tracker LUCA

Organizatorii pot integra pe propriile site-uri un script JavaScript furnizat de LUCA (/api/v1/tracker/{code}.js), care detecteaza automat formularele de inregistrare si trimite datele participantilor catre platforma LUCA la momentul completarii formularului.

Datele colectate de script:

Prenume si nume (din campurile formularului)
Numar de telefon
Adresa de email (daca exista in formular)
Campuri suplimentare configurate de organizator

Datele NECOLECTATE de script:

Adresa IP a vizitatorului
Informatii despre device sau browser
Comportamentul de navigare pe site
Cookie-uri sau identificatori de sesiune

Responsabilitate organizator: Organizatorul care integreaza scriptul tracker pe site-ul sau este responsabil pentru informarea vizitatorilor (prin politica de confidentialitate a propriului site) si pentru obtinerea temeiului legal corespunzator inainte de trimiterea datelor catre LUCA.

15. Integrarea WhatsApp si AI

Platforma LUCA integreaza WhatsApp Business API (Meta Cloud API v22.0) si modelele de limbaj ale OpenAI pentru furnizarea asistentului AI. In acest context:

Mesajele WhatsApp ale participantilor sunt procesate de modelele GPT ale OpenAI pentru a genera raspunsuri relevante la intrebarile despre eveniment.
Thread-urile de conversatie sunt stocate in infrastructura OpenAI si sunt sterse la momentul stergerii participantului sau evenimentului.
OpenAI, in calitate de procesator de date, nu utilizeaza datele transmise prin API pentru antrenarea propriilor modele (conform Politicii de utilizare a datelor API a OpenAI, disponibila la openai.com/privacy).
Mesajele WhatsApp sunt transmise prin API-ul Meta Cloud. Politica de confidentialitate a WhatsApp este disponibila la whatsapp.com/legal/privacy-policy.
Participantii pot opta oricand pentru stergerea datelor lor trimtand cuvantul stop, sterge sau gdpr catre asistentul LUCA prin WhatsApp.

16. Date minore

Platforma LUCA nu este destinata persoanelor cu varsta sub 16 ani. Nu colectam cu stiinta date personale ale minorilor sub aceasta varsta. In cazul in care un organizator transmite prin platforma date ale unui minor sub 16 ani fara consimtamantul parintelui sau tutorelui legal, aceste date vor fi sterse imediat la notificarea noastra.

Daca sunteti parinte sau tutore legal si credeti ca un minor a furnizat date personale prin intermediul platformei LUCA, va rugam sa ne contactati la gdpr@getluca.ro pentru a lua masuri imediate.

17. Modificari ale Politicii de Confidentialitate

JBA WEB AGENCY SRL isi rezerva dreptul de a actualiza prezenta Politica de Confidentialitate pentru a reflecta schimbarile in practicile de prelucrare a datelor, noile cerinte legale sau functionalitati noi ale platformei.

Modificarile semnificative vor fi comunicate Organizatorilor prin email cu cel putin 15 zile inainte de intrarea in vigoare. Data ultimei actualizari este afisata intotdeauna la inceputul acestui document.

Continuarea utilizarii platformei LUCA dupa data intrarii in vigoare a modificarilor constituie acceptarea politicii actualizate.

Aceasta politica trebuie citita impreuna cu Termenii si Conditiile si Acordul de Prelucrare a Datelor (DPA) ale platformei LUCA, care fac parte integranta din contractul dintre Operator si Organizator.

18. Contact si Responsabil cu Protectia Datelor (DPO)

Pentru orice intrebari, solicitari sau reclamatii referitoare la prelucrarea datelor personale, va puteti adresa:

JBA WEB AGENCY SRL

Sos. Pacurari 54 Bl. 554 Sc. A Et. 5 Ap. 13, Cod 700547, Iasi, Romania

Email GDPR: gdpr@getluca.ro

Email DPO: dpo@getluca.ro

Email general: alex@getluca.ro

Vom raspunde la orice solicitare in termen de maximum 30 de zile calendaristice de la primirea acesteia. In cazuri complexe, acest termen poate fi prelungit cu inca 60 de zile, cu notificarea dumneavoastra prealabila.