Praxio

Ultima actualizare: 8 iunie 2026 · Versiunea 1.2

Politica de confidențialitate

Praxio este o platformă de management pentru cabinete de psihologie. Înțelegem că datele cu care lucrați sunt extrem de sensibile — atât datele dumneavoastră profesionale, cât și datele clienților dumneavoastră. Această politică explică transparent cum le protejăm.

1. Identitatea operatorului și a persoanei împuternicite

Persoana împuternicită (procesator)

Platforma Praxio este dezvoltată și operată de:

  • ALVERNA IMOBILIARE SRL
  • CUI: 38371154 | J12/6089/2017
  • Sediu: Str. Alexandru Donici nr. 26-28, Cluj-Napoca, Cluj
  • Email: [email protected]

În relație cu datele clienților introduse în platformă, ALVERNA IMOBILIARE SRL acționează exclusiv în calitate de persoană împuternicită (processor) conform art. 28 GDPR.

Operatorul de date

Psihologul sau psihoterapeutul care utilizează platforma (prin entitatea sa juridică — cabinet individual, PFI, SRL etc.) este operatorul de date în sensul GDPR față de clienții săi. Acesta decide ce date colectează, în ce scop și pe ce bază legală, și este responsabil față de persoanele vizate (pacienți/clienți).

Acordul de prelucrare a datelor (DPA) dintre Praxio și utilizatorul-psiholog este disponibil la cerere la adresa [email protected].

2. Categoriile de date prelucrate

2.1 Date ale utilizatorilor (psihologi)

  • Date de cont: Nume, prenume, email, parolă (hash bcrypt), avatar — furnizate de utilizator sau Google OAuth
  • Date profesionale: Denumire cabinet, adresă, telefon, CUI, număr parafă CPR, specialitate — furnizate de utilizator
  • Date de facturare: Date de identificare fiscală pentru abonament, istoric plăți — furnizate de utilizator, procesate prin Stripe
  • Date tehnice: Adresa IP, browser, dispozitiv, pagini accesate, timestamp-uri acțiuni — colectate automat
  • Date de utilizare: Funcționalități accesate, erori generate, performanță sesiune — colectate automat

2.2 Date introduse de utilizator (date ale clienților/pacienților)

  • Date de identificare client: Nume, prenume, CNP, adresă, telefon, email — date personale obișnuite
  • Date clinice: Note de ședință, evaluări psihologice, diagnostic, istoricul terapeutic — date speciale (art. 9 GDPR)
  • Date financiare client: Facturi emise, sume, metode de plată — date personale obișnuite
  • Documente: Contracte, acorduri de evaluare, documente scanate — date personale, confidențialitate sporită
Important: Datele clinice ale pacienților (note de ședință, evaluări, diagnostice) sunt date cu caracter special conform art. 9 GDPR. Praxio nu accesează, nu analizează și nu utilizează aceste date în niciun scop propriu. Ele sunt stocate criptat și accesibile exclusiv utilizatorului-psiholog autentificat.

3. Scopurile și temeiul legal al prelucrării

Scop Temei legal Notă
Furnizarea serviciului Praxio Executarea contractului (art. 6(1)(b)) Fără aceasta, serviciul nu poate fi prestat
Autentificare și securitate cont Executarea contractului și Interes legitim Protejarea accesului la date sensibile
Procesarea plăților abonament Executarea contractului și Obligație legală Facturare, conformitate fiscală
Notificări și remindere serviciu Executarea contractului Alerte programări, notificări sistem
Îmbunătățirea platformei Interes legitim (art. 6(1)(f)) Date agregate anonimizate
Comunicări de marketing Consimțământ (art. 6(1)(a)) Opțional, retragere oricând
Conformitate legală Obligație legală (art. 6(1)(c)) Răspuns solicitări autorități, obligații fiscale

4. Măsuri tehnice și organizatorice de securitate

Securitate tehnică

  • Criptare în tranzit: TLS 1.2/1.3 pentru toate comunicațiile
  • Criptare la stocare: AES-256-GCM la nivel de aplicație, cu cheie unică per cabinet protejată prin AWS KMS (Frankfurt)
  • Row Level Security (RLS): Fiecare psiholog accesează exclusiv propriile date — izolare completă la nivel de bază de date
  • Autentificare: Parole hash-uite cu bcrypt
  • Token-uri iCal: Token unic per utilizator, regenerabil oricând din setări
  • Backup-uri automate: Daily backup cu retenție 30 zile
  • Monitorizare: Logging acces și alertare anomalii

Securitate organizatorică

  • Accesul intern la date este restricționat prin principiul minimului de privilegii
  • Personalul cu acces la infrastructură este instruit GDPR
  • Nu există acces uman la datele clinice ale pacienților în condiții normale de operare
  • Incidentele de securitate sunt raportate autorității de supraveghere în 72 de ore conform art. 33 GDPR

5. Subprocesori (terți cu acces la date)

Furnizor Scop Locație Garanții
Supabase Baza de date, autentificare, stocare UE (AWS eu-west-1) DPA, SCC
Railway Hosting aplicație web UE DPA, SCC
Resend Email tranzacțional (notificări, remindere) UE DPA
Stripe Procesare plăți abonamente UE/SUA SCC, PCI DSS
Google Autentificare OAuth (opțional) UE/SUA SCC
OpenRouter Procesare AI (funcționalități asistent) SUA DPA, SCC
AWS KMS Protecție chei de criptare per cabinet UE (Frankfurt, eu-central-1) DPA, ISO 27001
Cloudflare R2 Stocare fișiere (documente, evaluări, contracte) UE DPA, SCC
SMSLink Trimitere SMS remindere ședințe România Contract prestări servicii
ANAF (SPV) Trimitere facturi electronice conform legii România Obligație legală
Privitor la funcționalitățile AI: Când utilizați funcțiile AI (scanare documente, brief ședință, transpunere evaluări), textul este trimis către modelul AI pentru procesare. Nu sunt trimise date de identificare ale clientului (nume, CNP). Furnizorii AI nu stochează datele pentru antrenare conform acordurilor noastre contractuale.

Nu vindem, nu închiriem și nu divulgăm datele personale unor terți în scopuri comerciale proprii.

6. Transferuri internaționale de date

Unii subprocesori (Google, Stripe, OpenRouter) operează sau procesează date în SUA. Aceste transferuri sunt protejate prin:

  • Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană
  • Mecanisme de certificare adecvate (ex: Data Privacy Framework)
  • Garanții contractuale specifice pentru date sensibile

7. Retenția datelor

Categorie Durată Motiv
Date cont activ Pe durata abonamentului Furnizare serviciu
Date după ștergere cont Maximum 14 zile Perioadă de grație pentru recuperare cont
Facturi și date fiscale 10 ani Obligație legală (Codul Fiscal)
Loguri de securitate 12 luni Detectare incidente, audit
Date backup 30 de zile Recuperare date în caz de incident
Comunicări suport 3 ani Interes legitim, rezolvare dispute

8. Drepturile dumneavoastră GDPR

Conform Regulamentului (UE) 2016/679, beneficiați de următoarele drepturi:

  • Dreptul de acces (art. 15): Puteți solicita o copie a datelor personale pe care le prelucrăm despre dumneavoastră
  • Dreptul la rectificare (art. 16): Puteți corecta datele incorecte sau incomplete direct din platformă sau prin cerere
  • Dreptul la ștergere (art. 17): Puteți solicita ștergerea contului și a datelor asociate (cu excepția datelor cu obligație legală de păstrare)
  • Dreptul la portabilitate (art. 20): Puteți solicita exportul datelor în format structurat (JSON/CSV)
  • Dreptul la opoziție (art. 21): Puteți refuza prelucrarea în scopuri de marketing sau pe baza interesului legitim
  • Dreptul la restricționare (art. 18): Puteți solicita limitarea prelucrării în anumite circumstanțe
  • Dreptul de a nu face obiectul unei decizii automate (art. 22): Nu luăm decizii automatizate cu efecte juridice bazate pe datele dumneavoastră

Răspundem cererilor în maximum 30 de zile calendaristice. Pentru cereri complexe, termenul poate fi extins cu încă 60 de zile, cu notificarea dumneavoastră prealabilă.

Dreptul de a depune plângere

Dacă considerați că prelucrăm datele dumneavoastră în mod neconform, aveți dreptul de a depune o plângere la:

  • ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
  • Adresa: B-dul G-ral. Gheorghe Magheru 28-30, București
  • Web: www.dataprotection.ro

9. Cookie-uri și tehnologii similare

Utilizăm exclusiv cookie-uri strict necesare pentru funcționarea platformei:

Cookie Scop Durată
sb-auth-token Sesiune autentificare Supabase Sesiune browser
sb-refresh-token Reînnoire token autentificare 7 zile
praxio-preferences Preferințe interfață (temă, limbă) 1 an
cookie_consent Stocarea alegerii privind cookie-urile 1 an

În aplicația Praxio (unde sunt datele clienților tăi) folosim doar cookie-uri esențiale — fără publicitate sau analiză terță parte. Site-ul de marketing (mypraxio.ro) folosește cookie-uri opționale de statistică și publicitate (Google Analytics, Google Ads, Meta, TikTok), activate doar cu consimțământul tău și refuzabile din banner. Pentru detalii complete, consultă Politica de cookies.

10. Notificarea incidentelor de securitate

În cazul unui incident de securitate care afectează datele personale:

  • Notificăm ANSPDCP în maximum 72 de ore de la identificarea incidentului (art. 33 GDPR)
  • Notificăm utilizatorii afectați fără întârzieri nejustificate dacă incidentul prezintă un risc ridicat pentru drepturile acestora (art. 34 GDPR)
  • Documentăm toate incidentele de securitate, indiferent de gravitate

11. Modificări ale politicii

Putem actualiza această politică periodic. La modificări semnificative:

  • Vă notificăm prin email cu minimum 14 zile înainte de intrarea în vigoare
  • Afișăm un banner de informare în platformă
  • Păstrăm versiunile anterioare accesibile la cerere

Continuarea utilizării platformei după data intrării în vigoare constituie acceptarea modificărilor.

12. Contact

ALVERNA IMOBILIARE SRL
CUI: 38371154 | J12/6089/2017
Str. Alexandru Donici nr. 26-28, Cluj-Napoca, Cluj
Email confidențialitate: [email protected]
Email general: [email protected]

Răspundem la toate solicitările legate de confidențialitate în maximum 5 zile lucrătoare pentru confirmare și 30 de zile pentru soluționare completă.