Politica de confidențialitate

Versiune: 2026-06-10. Această politică se aplică platformei Lex Vigilans, accesibilă la lexvigilans.com.

1. Operator de date

Platforma Lex Vigilans este operată de THE YELLOW PENCIL COMPANY SRL, persoană juridică română cu sediul social în Str. Ponor nr. 21, Dumbrăvița, jud. Timiș, România, înregistrată la Registrul Comerțului sub nr. J35/2779/2021, cod unic de înregistrare 44571645, neplătitor de TVA, în calitate de operator al datelor cu caracter personal în sensul GDPR.

Pentru orice cerere privind datele tale sau exercitarea drepturilor GDPR, contactează-ne la: office@lexvigilans.com

Nu am desemnat un responsabil cu protecția datelor (DPO) obligatoriu în sensul art. 37 GDPR; adresa de mai sus este punctul unic de contact pentru toate solicitările legate de date.

2. Datele pe care le colectăm

Colectăm exclusiv datele necesare furnizării serviciului și respectării obligațiilor legale:

• Adresa de email — identificator de cont, folosit pentru autentificare și pentru comunicări legate de serviciu (confirmare cont, notificări, anunțuri privind modificări materiale ale termenilor).
• Parola — stocată exclusiv sub formă de hash criptografic (bcrypt); nu stocăm parola în clar. Niciun angajat sau sistem nu poate accesa parola ta.
• Numele afișat (display name) — opțional, furnizat de utilizator, folosit exclusiv pentru personalizarea interfeței.
• Preferințele de limbă — română sau engleză, pentru adaptarea interfeței și a răspunsurilor asistentului.
• Istoricul conversațiilor — interogările introduse în asistentul AI și răspunsurile generate, stocate pentru a permite continuitatea sesiunii și pentru auditarea calității serviciului.
• Preferințe marketing — dacă ai optat pentru comunicări opționale (newsletter, anunțuri de funcționalități noi).
• Date tehnice minimale — adresa IP (sau un hash al acesteia), tipul de browser (user-agent), timestamp-urile cererilor — pentru securitate, prevenirea abuzului și jurnale de audit. Retenție scurtă (v. §5).

Ce NU colectăm: nu colectăm date cu privire la identitatea judecătorilor sau a altor participanți la proceduri judiciare. Nu solicităm și nu trebuie să primim date despre instanțe sau judecători ca intrare în modelele noastre de limbaj. Nu colectăm date medicale sau alte categorii speciale de date în sensul art. 9 GDPR.

3. Cum folosim datele (temei juridic)

Prelucrăm datele tale în baza următoarelor temeiuri juridice GDPR:

• Executarea contractului — art. 6(1)(b) GDPR: livrarea serviciului de cercetare juridică (căutare în corpus, asistent AI, dosare didactice), gestionarea contului și a autentificării.
• Interes legitim — art. 6(1)(f) GDPR: securitatea platformei, prevenirea abuzului și a accesului neautorizat, detectarea tentativelor de fraudă, îmbunătățirea calității sintezei pe baza feedback-ului agregat și anonim.
• Obligație legală — art. 6(1)(c) GDPR: păstrarea jurnalelor de audit pentru obligații de conformitate și, acolo unde este cazul, pentru obligații fiscale.
• Consimțământ — art. 6(1)(a) GDPR: pentru comunicări de marketing opționale (newsletter, anunțuri de funcționalități noi), dacă și când vei opta explicit. Consimțământul poate fi retras oricând.

4. Cu cine partajăm datele

Nu vindem și nu cedăm datele tale unor terți în scop publicitar. Partajăm date limitate cu următorii subprocesori, în temeiul unor acorduri de prelucrare (DPA) conforme GDPR:

• Supabase Inc. (SUA / UE) — baza de date relațională și serviciul de autentificare. Datele sunt stocate în regiunea EU (Frankfurt, AWS eu-central-1). Transfer internațional acoperit de Clauze Contractuale Standard (SCC).
• Anthropic PBC (SUA) — generarea răspunsurilor sintetizate (modelul Claude). Interogările sunt transmise Anthropic pentru inferență. Transfer internațional acoperit de SCC.
• OpenAI Inc. (SUA) — generarea vectorilor de căutare semantică (embeddings) pentru indexarea corpusului juridic. Transfer internațional acoperit de SCC.
• Vercel Inc. (SUA) — găzduirea aplicației web și rețeaua globală de livrare (CDN / Edge Network). Transfer internațional acoperit de SCC.
• Resend Inc. (SUA) — livrarea emailurilor tranzacționale (confirmare cont, notificări). Transfer internațional acoperit de SCC.
• Upstash Inc. (SUA / UE) — serviciu Redis pentru rate limiting și protecție anti-abuz. Primește exclusiv un hash al adresei IP și un contor numeric; nu primește date de cont sau conținut. Transfer internațional acoperit de SCC.

Toți subprocesorii operează în baza propriilor politici de confidențialitate și a acordurilor DPA semnate cu Operatorul. Lista subprocesorilor poate fi actualizată — modificările materiale vor fi anunțate conform §9.

5. Cât timp păstrăm datele

• Date de cont (email, display name, preferințe): pe durata activității contului, plus 30 de zile de grație după ștergerea contului, pentru a permite recuperarea în caz de ștergere accidentală. La expirarea perioadei de grație, datele sunt anonimizate definitiv.
• Istoricul conversațiilor: 24 de luni de la creare, după care sunt anonimizate sau șterse.
• Jurnale de audit (audit_events): 24 de luni pentru securitate și conformitate. Jurnalele de audit financiar pot fi păstrate 5 ani conform obligațiilor fiscale române.
• Date tehnice (IP, user-agent, timestamp în loguri server): 30 de zile, după care sunt șterse sau anonimizate.

6. Drepturile dumneavoastră

Conform GDPR (Reg. UE 2016/679) și Legii 190/2018, ai următoarele drepturi:

• Drept de acces (art. 15): poți solicita o copie a tuturor datelor cu caracter personal pe care le prelucrăm despre tine.
• Drept de rectificare (art. 16): poți cere corectarea datelor inexacte sau completarea datelor incomplete.
• Drept de ștergere / „dreptul de a fi uitat" (art. 17): poți cere ștergerea datelor tale. Ștergerea contului este disponibilă din pagina Contul meu → Ștergere cont; datele sunt anonimizate în termen de 30 de zile calendaristice. Retenția obligatorie (jurnale de audit financiar) poate limita ștergerea completă pe durata termenelor legale.
• Drept de restricționare a prelucrării (art. 18): poți cere limitarea prelucrării în situațiile prevăzute de GDPR.
• Drept la portabilitate (art. 20): poți primi datele tale într-un format structurat, utilizat în mod curent și care poate fi citit automat (JSON sau CSV).
• Drept de opoziție (art. 21): poți te opune prelucrării bazate pe interesul legitim al operatorului, inclusiv în scopuri de marketing direct.
• Drepturi legate de deciziile automate (art. 22): Lex Vigilans nu ia decizii automate individuale cu efecte juridice semnificative asupra utilizatorilor. Deciziile privind suspendarea contului sunt supuse revizuirii umane.
• Dreptul de a depune plângere: poți depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — dataprotection.ro.

Ștergere cont: disponibilă direct din platforma Lex Vigilans, din pagina Contul meu → Ștergere cont. Datele tale sunt anonimizate în 30 de zile calendaristice de la confirmare.

Pentru exercitarea oricărui alt drept, trimite o solicitare scrisă la office@lexvigilans.com. Răspundem în termen de 30 de zile calendaristice (cu posibilitate de prelungire cu încă 60 de zile în cazuri complexe, cu notificare prealabilă).

7. Transferuri internaționale

Mai mulți subprocesori menționați în §4 sunt stabiliți în Statele Unite ale Americii (Anthropic, OpenAI, Vercel, Resend, Upstash). Transferul datelor cu caracter personal către aceștia se realizează pe baza Clauzelor Contractuale Standard (SCC) adoptate de Comisia Europeană prin Decizia de punere în aplicare (UE) 2021/914, care oferă garanții adecvate conform art. 46 GDPR.

Supabase stochează datele în UE (Frankfurt); pentru componentele de asistență situate în afara UE, Supabase aplică de asemenea SCC. Poți solicita o copie a SCC aplicabile pentru oricare subprocesor scriind la office@lexvigilans.com.

8. Cookie-uri

Lex Vigilans folosește exclusiv cookie-uri esențiale pentru funcționarea serviciului:

• Cookie de sesiune Supabase Auth — păstrează starea de autentificare între cereri. Fără acest cookie nu poți rămâne autentificat.
• Cookie CSRF — protejează formularele împotriva atacurilor Cross-Site Request Forgery. Nu conține date personale.

Cu consimțământul tău explicit (prin bannerul de cookie-uri), folosim Google Analytics 4 și Microsoft Clarity pentru statistici agregate de utilizare. Acestea se încarcă doar după ce accepți și pot fi refuzate fără nicio consecință. Microsoft Clarity este dezactivat pe paginile sensibile (/chat, /dosar, /contul-meu). Nu folosim cookie-uri de publicitate și nu vindem date.

9. Schimbări ale acestei politici

Când modificăm această politică în mod material (de ex., adăugarea unui subprocesor nou, modificarea perioadelor de retenție, schimbarea temeiului juridic), vom:

• actualiza data versiunii cu cel puțin 30 de zile înainte de intrarea în vigoare;
• notifica utilizatorii prin email la adresa înregistrată în cont;
• afișa un anunț vizibil la autentificarea următoare.

Versiunile anterioare ale politicii sunt disponibile la cerere la office@lexvigilans.com.

10. Contact

Pentru orice întrebare legată de această politică, pentru exercitarea drepturilor GDPR sau pentru sesizări privind prelucrarea datelor:

office@lexvigilans.com

Dacă nu primești un răspuns satisfăcător în termen de 30 de zile, ai dreptul să depui plângere la ANSPDCP (dataprotection.ro).

Pentru informatii despre sistemul AI care alimenteaza aceasta platforma, consulta divulgarea privind transparenta AI.

Privacy Policy (English)

Current version: 2026-06-10. Applies to the Lex Vigilans platform at lexvigilans.com. The Romanian version above is the official binding version for users resident in Romania.

1. Data Controller

THE YELLOW PENCIL COMPANY SRL, Str. Ponor nr. 21, Dumbrăvița, Timiș County, Romania. For all data-related requests and GDPR rights: office@lexvigilans.com.

2. Data we collect

• Email address — account identifier and authentication.
• Password — stored as a bcrypt hash only; never in plaintext.
• Display name — optional; used in the UI only.
• Language preference — Romanian or English, for UI and assistant language.
• Conversation history — queries and AI responses, for session continuity and quality auditing.
• Marketing preferences — if you have opted into optional communications.
• Minimal technical data — IP address (or hash), browser type, request timestamps. Short retention (see §5).

We do not collect data about the identity of judges or other judicial participants. We do not collect medical or other special-category data under Art. 9 GDPR.

3. How we use data (lawful basis)

• Performance of contract — Art. 6(1)(b) GDPR: service delivery, account management, authentication.
• Legitimate interest — Art. 6(1)(f) GDPR: platform security, abuse prevention, anonymised quality improvement.
• Legal obligation — Art. 6(1)(c) GDPR: audit log retention, fiscal obligations.
• Consent — Art. 6(1)(a) GDPR: optional marketing communications where explicitly opted into. Withdrawable at any time.

4. Processors we share data with

• Supabase Inc. (USA/EU) — database and authentication. EU data region (Frankfurt). SCC applies.
• Anthropic PBC (USA) — synthesised answer generation (Claude). SCC applies.
• OpenAI Inc. (USA) — semantic search embedding generation. SCC applies.
• Vercel Inc. (USA) — web application hosting and CDN. SCC applies.
• Resend Inc. (USA) — transactional email delivery. SCC applies.
• Upstash Inc. (USA/EU) — Redis-based rate limiting. Receives only IP hash + counter; no account or content data. SCC applies.

5. Retention

• Account data (email, display name, preferences): account lifetime + 30-day grace period after deletion, then anonymised.
• Conversation history: 24 months from creation, then anonymised or deleted.
• Audit logs: 24 months; financial audit logs up to 5 years per Romanian fiscal obligations.
• Technical data (server IP/user-agent logs): 30 days.

6. Your rights (GDPR Art. 15–22)

• Access (Art. 15): request a copy of all personal data we hold.
• Rectification (Art. 16): request correction of inaccurate or incomplete data.
• Erasure / right to be forgotten (Art. 17): request deletion. Account deletion available from My Account → Delete account; data anonymised within 30 days. Legally-mandated retention periods may limit complete erasure.
• Restriction (Art. 18): request restriction of processing.
• Portability (Art. 20): receive your data in a structured, machine-readable format (JSON or CSV).
• Objection (Art. 21): object to processing based on legitimate interest, including direct marketing.
• Automated decision-making (Art. 22): Lex Vigilans does not take automated individual decisions with significant legal effects. Account suspension decisions are subject to human review.
• Complaint: you may file a complaint with the Romanian DPA — ANSPDCP, dataprotection.ro.

To exercise any right, write to office@lexvigilans.com. We respond within 30 calendar days.

7. International transfers

Several processors listed in §4 are based in the United States. Transfers are covered by Standard Contractual Clauses (SCC) under Commission Decision 2021/914 (Art. 46 GDPR). Supabase stores primary data in the EU (Frankfurt). Copies of applicable SCCs are available on request.

8. Cookies

Essential cookies (Supabase Auth session + CSRF) are always used. With yourexplicit consent (via the cookie banner) we also load Google Analytics 4 and Microsoft Clarity for aggregate usage statistics — these load only after you accept and can be declined freely. Microsoft Clarity is disabled on sensitive pages (/chat, /dosar, /contul-meu). No advertising cookies; we do not sell data.

9. Changes to this policy

Material changes will be notified by email and announced at next sign-in, at least 30 days before taking effect. Prior versions are available on request.

10. Contact

office@lexvigilans.com

For information about the AI system powering this platform, see our AI Transparency disclosure.