Politica de confidențialitate

Versiune: 2026-06-04. Această politică se aplică platformei Lares Pecoris, accesibilă la larespecoris.vet.

1. Operator de date

Platforma Lares Pecoris este operată de GROMA SRL, persoană juridică română cu sediul social în Str. Mircea Dimitrie Rațiu nr. 5, Camera 1, Ap. 2, Timișoara, jud. Timiș, România, înregistrată la Registrul Comerțului sub nr. J2026035922005, cod unic de înregistrare 54804217, neplătitor de TVA, care este operatorul datelor cu caracter personal în sensul GDPR. Răspunderea privind protecția datelor revine integral GROMA SRL. Pentru orice cerere privind datele tale sau exercitarea drepturilor GDPR, contactează-ne la:

office@larespecoris.vet

GROMA SRL nu are obligația de a desemna un responsabil cu protecția datelor (DPO) în sensul art. 37 GDPR, întrucât prelucrarea nu implică monitorizarea pe scară largă sau prelucrarea pe scară largă a categoriilor speciale de date; adresa de mai sus este punctul unic de contact pentru toate solicitările legate de date.

2. Datele pe care le colectăm

Colectăm exclusiv datele necesare furnizării serviciului și respectării obligațiilor legale:

• Adresa de email — identificator de cont, folosit pentru autentificare prin magic link și pentru comunicări legate de serviciu (confirmare cont, notificări de abonament, anunțuri privind modificări materiale ale termenilor).
• Numele și prenumele — opțional la înregistrare, folosit pentru personalizarea interfeței și pentru facturile emise prin Stripe.
• Denumirea clinicii / cabinetului veterinar — opțional, furnizat de utilizator, folosit exclusiv în profilul de cont.
• Specialitatea veterinară și preferințele de conținut — opționale, pentru personalizarea rezultatelor de căutare și a studiilor didactice afișate.
• Numărul de înregistrare în Colegiul Medicilor Veterinari — opțional; dacă este furnizat, servește la verificarea calității de profesionist.
• Date de abonament și plată — plan ales, dată de start, dată de reînnoire. Nu stocăm date de card. Toate plățile sunt procesate exclusiv prin Stripe; noi primim doar un token de referință (customer ID Stripe) și starea abonamentului.
• Interacțiunile cu platforma — interogările introduse în căutare, studiile didactice accesate, feedback-ul trimis (semnalări de erori, evaluări de utilitate). Aceste date sunt folosite pentru livrarea serviciului și pentru îmbunătățirea calității conținutului.
• Date tehnice minimale — adresa IP (sau un hash al acesteia), tipul de browser (user-agent), timestamp-urile cererilor — pentru securitate, prevenirea abuzului și jurnale de audit. Retenție scurtă (v. §5).

Ce NU colectăm: nu colectăm date despre animalele de companie sau pacienții veterinari ai utilizatorilor noștri. Te rugăm să nu introduci în platformă informații identificabile despre animale, proprietari sau dosare clinice reale. Studiile didactice sunt prin definiție scenarii anonimizate.

3. Cum folosim datele (temei juridic)

Prelucrăm datele tale în baza următoarelor temeiuri juridice GDPR:

• Executarea contractului — art. 6(1)(b) GDPR: livrarea serviciului de referință veterinară (căutare în ghiduri, studii didactice, sinteză de consens), gestionarea contului, procesarea abonamentului și emiterea facturilor.
• Interes legitim — art. 6(1)(f) GDPR: securitatea platformei, prevenirea abuzului și a accesului neautorizat, detectarea tentativelor de fraudă, îmbunătățirea calității sintezei de conținut pe baza feedback-ului agregat și anonim.
• Obligație legală — art. 6(1)(c) GDPR: păstrarea jurnalelor de audit pentru obligații de conformitate, inclusiv cele fiscale legate de abonamentele facturate.
• Consimțământ — art. 6(1)(a) GDPR: pentru comunicări de marketing opționale (newsletter, anunțuri de funcționalități noi), dacă și când vei opta explicit pentru acestea. Consimțământul poate fi retras oricând.

Lares Pecoris este un instrument de referință, nu un sistem de asistare a deciziei clinice și nu un dispozitiv medical. Nu prelucrăm date medicale ale pacienților (art. 9 GDPR nu se aplică în regim de excepție, deoarece nu solicităm și nu trebuie să primim date medicale despre pacienți umani sau animale reale).

4. Cu cine partajăm datele

Nu vindem și nu cedăm datele tale unor terți în scop publicitar. Partajăm date limitate cu următorii subprocesori, în temeiul unor acorduri de prelucrare a datelor (DPA) conforme GDPR:

• Supabase Inc. (SUA / UE) — baza de date relațională și serviciul de autentificare. Datele sunt stocate în regiunea EU (Frankfurt, AWS eu-central-1). Transfer internațional acoperit de Clauze Contractuale Standard (SCC).
• Stripe Inc. (SUA) — procesare plăți și gestionare abonamente. Stripe primește datele de facturare (email, nume, plan) pentru emiterea facturilor și procesarea plăților. Transfer internațional acoperit de SCC. Stripe deține propriile certificări PCI-DSS. Nu transmitem date de card către serverele Lares.
• Anthropic PBC (SUA) — generarea răspunsurilor sintetizate (modelul Claude). Interogările anonimizate sunt transmise Anthropic pentru inferență. Transfer internațional acoperit de SCC.
• OpenAI Inc. (SUA) — generarea vectorilor de căutare semantică (embeddings) pentru indexarea ghidurilor. Transfer internațional acoperit de SCC.
• Vercel Inc. (SUA) — găzduirea aplicației web și rețeaua globală de livrare (CDN / Edge Network). Transfer internațional acoperit de SCC.
• Resend Inc. (SUA) — livrarea emailurilor tranzacționale (magic link, notificări de cont, facturi). Transfer internațional acoperit de SCC.
• Upstash Inc. (SUA / UE) — serviciu Redis pentru rate limiting și protecție anti-abuz. Primește exclusiv un hash al adresei IP și un contor numeric; nu primește date de cont sau conținut. Transfer internațional acoperit de SCC.
• SmartBill SRL (România) — generarea facturilor fiscale și încărcarea acestora în Sistemul Național RO e-Factura. SmartBill primește datele necesare emiterii facturii: numele cumpărătorului, adresa de facturare, CUI/CIF (pentru B2B), suma plătită, perioada de abonament, planul ales. Date stocate în UE. Acord DPA semnat conform art. 28 GDPR.
• ANAF (Agenția Națională de Administrare Fiscală) — destinatar de date impus de lege. Toate facturile emise pentru tranzacții B2B (din iulie 2024) și B2C (din ianuarie 2025) sunt încărcate automat prin SmartBill în Spațiul Privat Virtual (SPV) ANAF, conform OUG 120/2021 și Legii 296/2023. Factura conține datele de identificare ale cumpărătorului (nume / denumire juridică, CUI/CIF pentru B2B, adresă) și descrierea serviciului. Temei juridic: obligație legală (art. 6(1)(c) GDPR + art. 319 Codul fiscal).

Toți subprocesorii operează în baza propriilor politici de confidențialitate și a acordurilor DPA semnate cu operatorul Lares Pecoris. Lista subprocesorilor poate fi actualizată — modificările materiale vor fi anunțate conform §9.

5. Cât timp păstrăm datele

• Date de cont (email, nume, preferințe): pe durata activității contului, plus 30 de zile de grație după ștergerea contului, pentru a permite recuperarea în caz de ștergere accidentală. La expirarea perioadei de grație, datele sunt șterse definitiv.
• Istoricul interogărilor și al studiilor didactice accesate: 24 de luni de la creare, după care sunt anonimizate sau șterse.
• Jurnale de audit (audit_log): 24 de luni, pentru securitate și conformitate. Jurnalele de audit financiar legate de abonamente pot fi păstrate 5 ani conform obligațiilor fiscale românești.
• Date tehnice (IP, user-agent, timestamp în loguri server): 30 de zile, după care sunt șterse sau anonimizate.
• Date de plată (referință Stripe, starea abonamentului): pe durata abonamentului activ plus 5 ani conform obligațiilor contabile și fiscale. Datele de card nu sunt stocate de Lares.

6. Drepturile dumneavoastră

Conform GDPR (Reg. UE 2016/679) și Legii 190/2018, ai următoarele drepturi:

• Drept de acces (art. 15): poți solicita o copie a tuturor datelor cu caracter personal pe care le prelucrăm despre tine.
• Drept de rectificare (art. 16): poți cere corectarea datelor inexacte sau completarea datelor incomplete.
• Drept de ștergere / „dreptul de a fi uitat" (art. 17): poți cere ștergerea datelor tale în condițiile prevăzute de GDPR (de ex., când datele nu mai sunt necesare scopului pentru care au fost colectate). Retenția obligatorie (jurnale de audit financiar) poate limita ștergerea completă pe durata termenelor legale.
• Drept de restricționare a prelucrării (art. 18): poți cere limitarea prelucrării în situațiile prevăzute de GDPR (ex. contestarea exactității datelor, prelucrare ilegală dar preferi restricționarea în locul ștergerii).
• Drept la portabilitate (art. 20): poți primi datele tale într-un format structurat, utilizat în mod curent și care poate fi citit automat (JSON sau CSV), și le poți transmite altui operator.
• Drept de opoziție (art. 21): poți te opune prelucrării bazate pe interesul legitim al operatorului, inclusiv în scopuri de marketing direct.
• Drepturi legate de deciziile automate (art. 22): Lares Pecoris nu ia decizii automate individuale cu efecte juridice semnificative asupra utilizatorilor. Deciziile privind suspendarea contului pentru abuz sunt supuse revizuirii umane.
• Dreptul de a depune plângere: poți depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — dataprotection.ro.

Pentru exercitarea oricărui drept, trimite o solicitare scrisă la office@larespecoris.vet. Răspundem în termen de 30 de zile calendaristice (cu posibilitate de prelungire cu încă 60 de zile în cazuri complexe, cu notificare prealabilă).

7. Transferuri internaționale

Mai mulți subprocesori menționați în §4 sunt stabiliți în Statele Unite ale Americii (Stripe, Anthropic, OpenAI, Vercel, Resend, Upstash). Transferul datelor cu caracter personal către aceștia se realizează pe baza Clauzelor Contractuale Standard (SCC) adoptate de Comisia Europeană prin Decizia de punere în aplicare (UE) 2021/914, care oferă garanții adecvate conform art. 46 GDPR.

Supabase stochează datele în UE (Frankfurt); pentru componentele sale de asistență și administrare situate în afara UE, Supabase aplică de asemenea SCC.

Poți solicita o copie a SCC aplicabile pentru oricare subprocesor scriind la office@larespecoris.vet.

8. Cookie-uri

Lares Pecoris folosește exclusiv cookie-uri esențiale pentru funcționarea serviciului:

• Cookie de sesiune Supabase Auth — păstrează starea de autentificare între cereri. Fără acest cookie, nu poți rămâne autentificat. Cookie-ul expiră la închiderea sesiunii sau după inactivitate conform configurației Auth.
• Cookie CSRF — protejează formularele împotriva atacurilor de tip Cross-Site Request Forgery. Nu conține date personale.

Nu folosim cookie-uri de analiză, tracking comportamental sau publicitate. Nu folosim Google Analytics, Meta Pixel sau servicii similare.

9. Schimbări ale acestei politici

Când modificăm această politică în mod material (de ex., adăugarea unui subprocesor nou, modificarea perioadelor de retenție, schimbarea temeiului juridic pentru o prelucrare), vom:

• Actualiza data versiunii de la începutul acestui document cu cel puțin 30 de zile înainte de intrarea în vigoare a modificărilor;
• Notifica utilizatorii prin email la adresa înregistrată în cont;
• Afișa un anunț vizibil la autentificarea următoare.

Versiunile anterioare ale politicii sunt disponibile la cerere la office@larespecoris.vet.

10. Contact

Pentru orice întrebare legată de această politică, pentru exercitarea drepturilor GDPR sau pentru sesizări privind prelucrarea datelor:

office@larespecoris.vet

Dacă nu primești un răspuns satisfăcător în termen de 30 de zile, ai dreptul să depui plângere la ANSPDCP (dataprotection.ro).

Privacy Policy (English)

Current version: 2026-06-04. Applies to the Lares Pecoris platform at larespecoris.vet.

1. Data Controller

The data controller is GROMA SRL, a Romanian legal entity with registered office at Str. Mircea Dimitrie Rațiu nr. 5, Camera 1, Ap. 2, Timișoara, jud. Timiș, România, registered with the Trade Register under no. J2026035922005, sole registration code (CUI) 54804217, VAT-exempt. GROMA SRL bears full responsibility for data protection. For all data-related requests and GDPR rights: office@larespecoris.vet.

GROMA SRL is not required to appoint a Data Protection Officer under Art. 37 GDPR, as its processing does not involve large-scale monitoring or large-scale processing of special categories of data; the address above is the single contact point for all data requests.

2. Data we collect

• Email address — account identifier and magic-link authentication.
• Name (first + last) — optional; used in the UI and for Stripe invoicing.
• Clinic / practice name — optional; stored in user profile only.
• Veterinary specialty and content preferences — optional; used for personalisation.
• Veterinary medical registration number — optional; used for professional status verification.
• Subscription and billing data — plan, start date, renewal date. No card data stored by Lares. Payments handled exclusively by Stripe.
• Platform interactions — search queries, didactic studies accessed, feedback submitted.
• Minimal technical data — IP address (or hash), browser type, request timestamps. Short retention (see §5).

We do not collect data about veterinary patients or client animals. Please do not enter identifiable information about animals, owners, or real clinical records.

3. How we use data (lawful basis)

• Performance of contract — Art. 6(1)(b) GDPR: service delivery, account management, subscription and invoicing.
• Legitimate interest — Art. 6(1)(f) GDPR: platform security, abuse prevention, anonymised quality improvement.
• Legal obligation — Art. 6(1)(c) GDPR: audit log retention, fiscal obligations.
• Consent — Art. 6(1)(a) GDPR: optional marketing communications where explicitly opted into.

4. Processors we share data with

• Supabase Inc. (USA/EU) — database and authentication. EU data region (Frankfurt). SCC applies.
• Stripe Inc. (USA) — payment processing and subscription management. SCC applies. PCI-DSS certified. No card data transmitted to Lares servers.
• Anthropic PBC (USA) — synthesised answer generation (Claude). SCC applies.
• OpenAI Inc. (USA) — semantic search embedding generation. SCC applies.
• Vercel Inc. (USA) — web application hosting and CDN. SCC applies.
• Resend Inc. (USA) — transactional email delivery. SCC applies.
• Upstash Inc. (USA/EU) — Redis-based rate limiting. Receives only IP hash + counter; no account or content data. SCC applies.
• SmartBill SRL (Romania) — fiscal invoice generation and upload to the Romanian RO e-Factura system. Receives the data needed to issue the invoice: buyer name, billing address, CUI/CIF (for B2B), amount paid, subscription period, plan. Data stored in the EU. DPA signed per Art. 28 GDPR.
• ANAF (Romanian National Agency for Fiscal Administration) — recipient mandated by law. All invoices for B2B (since July 2024) and B2C (since January 2025) transactions are uploaded automatically via SmartBill to the ANAF Virtual Private Space (SPV) per OUG 120/2021 and Law 296/2023. Legal basis: legal obligation (Art. 6(1)(c) GDPR + Art. 319 Fiscal Code).

5. Retention

• Account data (email, name, preferences): for account lifetime + 30-day grace period after deletion.
• Query history and accessed didactic studies: 24 months from creation, then anonymised or deleted.
• Audit logs: 24 months for security and compliance; financial audit logs up to 5 years per Romanian fiscal obligations.
• Technical data (server IP/user-agent logs): 30 days.
• Payment reference data (Stripe customer ID, subscription status): subscription lifetime + 5 years per accounting obligations. No card data stored by Lares.

6. Your rights (GDPR Art. 15–22)

• Access (Art. 15): request a copy of all personal data we hold about you.
• Rectification (Art. 16): request correction of inaccurate or incomplete data.
• Erasure / right to be forgotten (Art. 17): request deletion of your data where grounds exist. Legally-mandated retention periods (e.g., financial audit logs) may limit complete erasure.
• Restriction (Art. 18): request restriction of processing in circumstances defined by GDPR.
• Portability (Art. 20): receive your data in a structured, machine-readable format (JSON or CSV).
• Objection (Art. 21): object to processing based on legitimate interest, including direct marketing.
• Automated decision-making (Art. 22): Lares does not take automated individual decisions with significant legal effects. Account suspension decisions are subject to human review.
• Complaint: you may file a complaint with the Romanian DPA — ANSPDCP, dataprotection.ro.

To exercise any right, write to office@larespecoris.vet. We respond within 30 calendar days.

7. International transfers

Several processors listed in §4 are based in the United States. Transfers are covered by Standard Contractual Clauses (SCC) adopted by the European Commission under Decision 2021/914 (Art. 46 GDPR). Supabase stores primary data in the EU (Frankfurt). Copies of applicable SCCs are available on request.

8. Cookies

We use only essential cookies: a Supabase Auth session cookie (required to remain signed in) and a CSRF protection cookie (contains no personal data). No analytics, behavioural tracking, or advertising cookies are used.

9. Changes to this policy

Material changes will be notified by email and announced at next sign-in, at least 30 days before taking effect. Prior versions are available on request.

10. Contact

office@larespecoris.vet