Politica de confidențialitate
Ultima actualizare: 28 martie 2026
Această Politică de Confidențialitate descrie modul în care Magellan Consult colectează, utilizează, stochează și protejează datele dvs. cu caracter personal atunci când utilizați platforma noastră. Prelucrarea datelor se realizează în conformitate cu Regulamentul (UE) 2016/679 (Regulamentul General privind Protecția Datelor — GDPR), Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR și celelalte acte normative aplicabile în România.
1. Identitatea operatorului de date
Operatorul de date cu caracter personal este:
Magellan Consult
Sediu: București, România
E-mail: contact@magellan-consult.ro
Responsabil protecția datelor (DPO): dpo@magellan-consult.ro
Orice întrebări sau solicitări privind protecția datelor cu caracter personal pot fi adresate la adresele de mai sus.
2. Categoriile de date cu caracter personal colectate
Colectăm și prelucrăm următoarele categorii de date cu caracter personal:
2.1. Date de identificare și autentificare
- Numele și prenumele
- Adresa de e-mail
- Parola (stocată criptat prin Supabase Auth)
- Rolul în platformă (admin, consultant, client)
- Asocierea cu cabinetul parlamentar (client_id)
2.2. Date de sesiune și autentificare
- Token-uri JWT (JSON Web Tokens) pentru menținerea sesiunii active
- Token-uri Google OAuth (access token, refresh token) pentru accesul la Google Drive — stocate criptat în baza de date folosind AES-256-GCM
- Token-uri Microsoft OAuth (access token, refresh token) pentru accesul la e-mail Outlook — stocate criptat în baza de date folosind AES-256-GCM (doar dacă utilizatorul conectează Outlook)
- Data și ora ultimei autentificări
2.3. Date de utilizare a Platformei
- Interacțiuni cu asistentul AI: textele trimise pentru sumarizare, traducere sau redactare, precum și rezultatele generate (stocate în tabela ai_interactions)
- Consemne de vot vizualizate, pozițiile de vot selectate și notele adăugate
- Întrebări parlamentare create, inclusiv conținutul și statusul acestora
- Task-uri create, inclusiv titlul, descrierea, statusul, prioritatea, termenele, atribuirile și jurnalul de audit al task-urilor (cine a efectuat ce acțiune și când)
- Notificările recepționate și statusul lor (citit/necitit), inclusiv tipul evenimentului care a generat notificarea
- E-mailuri sincronizate din Outlook, dacă este activată integrarea Microsoft: expeditorul, subiectul, conținutul parțial al mesajelor și clasificarea AI asociată (stocat în tabelele email_messages și email_classifications)
- Jurnalul de activitate (activity_logs)
2.4. Date tehnice colectate automat
- Adresa IP
- Tipul browserului și sistemul de operare
- Date de performanță și erori (colectate prin Vercel Analytics, unde este cazul)
3. Temeiul legal al prelucrării (baza juridică)
Prelucrăm datele dvs. cu caracter personal pe baza următoarelor temeiuri juridice prevăzute de articolul 6 din GDPR:
| Prelucrare | Temei juridic | Articol GDPR |
|---|---|---|
| Crearea și gestionarea contului de utilizator | Executarea contractului de consultanță | Art. 6(1)(b) |
| Furnizarea consemnelor de vot și a calendarului parlamentar | Executarea contractului | Art. 6(1)(b) |
| Accesul la Google Drive (OAuth) | Consimțământul explicit al utilizatorului | Art. 6(1)(a) |
| Procesarea textelor prin asistentul AI | Interesul legitim (îmbunătățirea serviciului) + executarea contractului | Art. 6(1)(b), (f) |
| Jurnalizarea activității și rapoartele de activitate | Interesul legitim (documentarea serviciilor livrate) | Art. 6(1)(f) |
| Colectarea datelor tehnice (IP, browser) | Interesul legitim (securitate, depanare) | Art. 6(1)(f) |
| Gestionarea task-urilor cabinetului parlamentar | Executarea contractului de consultanță | Art. 6(1)(b) |
| Sincronizare e-mail Outlook (OAuth Microsoft) | Consimțământul explicit al utilizatorului | Art. 6(1)(a) |
| Clasificarea e-mailurilor prin AI (Google Gemini) | Consimțământul explicit + executarea contractului | Art. 6(1)(a), (b) |
| Respectarea obligațiilor legale (audit, răspundere) | Obligație legală | Art. 6(1)(c) |
4. Integrarea Google OAuth și datele din Google Drive
4.1. Platforma oferă posibilitatea de a vă conecta contul Google pentru a accesa fișierele din Google Drive direct din interfața platformei. Această conectare este opțională și necesită consimțământul dvs. explicit.
4.2. Domeniul de acces solicitat: Solicităm exclusiv permisiunea „drive.readonly" (Google Drive API), care permite doar citirea fișierelor, nu și modificarea, ștergerea sau crearea de fișiere noi.
4.3. Ce date accesăm din Google:
- Lista fișierelor și dosarelor din folderul Google Drive partajat de cabinetul parlamentar (nume, tip, data modificării)
- Conținutul fișierelor pentru previzualizare în platformă (prin proxy server — nu stocăm copii locale)
4.4. Stocarea token-urilor: Token-urile Google OAuth (access token și refresh token) sunt stocate în baza de date Supabase, în tabela google_tokens, protejată prin Row Level Security (RLS) — fiecare utilizator poate accesa doar propriile token-uri. Token-urile sunt stocate criptat folosind algoritmul AES-256-GCM; cheia de criptare este păstrată exclusiv în variabilele de mediu ale serverului și nu este niciodată stocată în baza de date. Token-urile sunt utilizate exclusiv pentru a menține accesul la Google Drive și sunt reîmprospătate automat la expirare.
4.5. Revocarea accesului: Puteți revoca oricând accesul platformei la Google Drive din setările contului dvs. Google la adresa https://myaccount.google.com/permissions. Revocarea nu va afecta funcționarea celorlalte module ale platformei.
5. Integrarea Microsoft OAuth și sincronizarea e-mailurilor Outlook
5.1. Platforma oferă posibilitatea de a conecta contul Microsoft pentru a sincroniza e-mailurile relevante din căsuța poștală Outlook direct în interfața platformei. Această conectare este opțională și necesită consimțământul dvs. explicit. Funcționalitatea este în curs de implementare și va deveni disponibilă după finalizarea verificării editorului Microsoft pentru conturile @senat.ro.
5.2. Domeniul de acces solicitat: Solicităm exclusiv permisiunea „Mail.Read" (Microsoft Graph API), care permite doar citirea mesajelor din căsuța poștală, nu și trimiterea, modificarea sau ștergerea acestora.
5.3. Ce date accesăm din Microsoft:
- Expeditorul, subiectul și conținutul parțial al mesajelor — transmise modelului Google Gemini 2.0 Flash pentru clasificare automată
- Rezultatul clasificării AI (categoria în care se încadrează e-mailul) — stocat în tabela email_classifications
- Metadate ale mesajelor: data primirii, identificatorul unic Microsoft al mesajului
5.4. Stocarea token-urilor: Token-urile Microsoft OAuth (access token și refresh token) sunt stocate în baza de date Supabase, în tabela microsoft_tokens, protejată prin Row Level Security (RLS). Token-urile sunt stocate criptat folosind algoritmul AES-256-GCM, cu aceeași arhitectură de securitate aplicată token-urilor Google. Cheia de criptare este păstrată exclusiv în variabilele de mediu ale serverului.
5.5. Revocarea accesului: Puteți revoca oricând accesul platformei la Outlook din setările contului dvs. Microsoft la adresa https://myaccount.microsoft.com/permissions. Revocarea nu va afecta funcționarea celorlalte module ale platformei.
6. Datele conversațiilor AI
6.1. Atunci când utilizați funcționalitățile AI ale platformei (sumarizare, traducere, redactare, procese-verbale), textele pe care le trimiteți sunt procesate de Google AI API (modelul Google Gemini 2.0 Flash, furnizat de Google LLC), un serviciu extern de inteligență artificială. Clasificarea automată a e-mailurilor sincronizate din Outlook utilizează de asemenea Google Gemini 2.0 Flash.
6.2. Ce stocăm noi:
- O referință la textul trimis (primele 500 de caractere) — pentru raportare și audit
- Tipul interacțiunii (sumarizare, traducere, redactare, proces-verbal)
- Numărul de token-uri utilizate
- Feedback-ul dvs. (pozitiv/negativ, dacă este oferit)
- Data și ora interacțiunii
6.3. Ce se trimite către Google: Textul integral pe care îl trimiteți pentru procesare este transmis către serverele Google LLC (Google AI API). Conform politicii Google, datele trimise prin API nu sunt utilizate pentru antrenarea modelelor lor.
6.4. Vă recomandăm să nu introduceți date cu caracter personal sensibil, date clasificate sau informații extrem de confidențiale în instrumentele AI.
7. Cookie-uri și tehnologii similare
7.1. Platforma utilizează un număr minim de cookie-uri, strict necesare pentru funcționarea corectă:
| Cookie | Scop | Durată | Tip |
|---|---|---|---|
| sb-*-auth-token | Sesiunea de autentificare Supabase (JWT) | Sesiune / reîmprospătare | Strict necesar |
| active_client_id | Clientul activ selectat (pentru utilizatori cu acces la mai multe cabinete) | Sesiune | Strict necesar |
| mc_view_as | Vizualizare ca client (mod administrativ) — permite administratorilor să acceseze vizualizarea unui client pentru asistență și depanare | Sesiune | Strict necesar |
| mc_trusted_device | Dispozitiv de încredere pentru verificarea în doi pași (2FA) | 30 de zile | Strict necesar |
7.2. Nu utilizăm cookie-uri de marketing, publicitate sau urmărire (tracking). Nu utilizăm Google Analytics sau alte instrumente de tracking comportamental.
7.3. Deoarece folosim exclusiv cookie-uri strict necesare pentru funcționarea platformei, conform legislației UE nu este necesar un banner de consimțământ pentru cookie-uri.
8. Perioadele de retenție a datelor
Păstrăm datele dvs. cu caracter personal doar atât timp cât este necesar pentru scopurile pentru care au fost colectate:
| Categorie de date | Perioadă de retenție | Justificare |
|---|---|---|
| Date de cont (nume, e-mail) | Pe durata relației contractuale + 3 ani | Executarea contractului + prescripție civilă |
| Token-uri Google OAuth | Până la revocarea accesului sau dezactivarea contului | Consimțământ |
| Interacțiuni AI | 2 ani de la data interacțiunii | Raportare, îmbunătățirea serviciului |
| Consemne de vot și note | Pe durata relației contractuale + 5 ani | Documentarea activității parlamentare |
| Întrebări parlamentare | Pe durata mandatului parlamentar + 5 ani | Obligație de arhivare a documentelor parlamentare |
| Jurnale de activitate | 3 ani | Audit și raportare |
| Token-uri Microsoft OAuth | Până la revocarea accesului sau dezactivarea contului | Consimțământ |
| Task-uri și jurnale de audit | Pe durata relației contractuale + 3 ani | Executarea contractului |
| E-mailuri sincronizate din Outlook | 90 de zile de la sincronizare | Minimizarea datelor |
| Notificări | 90 de zile | Funcționare platformă |
| Date tehnice (IP, browser) | 90 de zile | Securitate și depanare |
La expirarea perioadei de retenție, datele sunt șterse automat sau anonimizate ireversibil.
9. Drepturile persoanei vizate
Conform GDPR, beneficiați de următoarele drepturi cu privire la datele dvs. cu caracter personal:
8.1. Dreptul de acces (Art. 15 GDPR)
Aveți dreptul de a obține confirmarea că datele dvs. sunt prelucrate și de a solicita o copie a acestor date. Vom răspunde solicitării dvs. în maximum 30 de zile.
8.2. Dreptul la rectificare (Art. 16 GDPR)
Puteți solicita corectarea datelor inexacte sau completarea datelor incomplete. Anumite date (numele, e-mailul) pot fi modificate direct din pagina de cont a platformei.
8.3. Dreptul la ștergere („dreptul de a fi uitat") (Art. 17 GDPR)
Puteți solicita ștergerea datelor dvs. cu caracter personal. Vom procesa cererea în maximum 30 de zile, cu excepția cazurilor în care păstrarea datelor este necesară pentru:
- Respectarea unei obligații legale
- Exercitarea sau apărarea unui drept în instanță
- Executarea unui contract în vigoare
8.4. Dreptul la restricționarea prelucrării (Art. 18 GDPR)
Puteți solicita restricționarea prelucrării datelor dvs. în anumite condiții, de exemplu atunci când contestați exactitatea datelor sau considerați că prelucrarea este ilegală.
8.5. Dreptul la portabilitatea datelor (Art. 20 GDPR)
Aveți dreptul de a primi datele dvs. cu caracter personal într-un format structurat, utilizat în mod curent și care poate fi citit automat (JSON). Puteți solicita transmiterea directă a acestor date către un alt operator, în măsura în care acest lucru este fezabil din punct de vedere tehnic.
8.6. Dreptul la opoziție (Art. 21 GDPR)
Puteți să vă opuneți prelucrării datelor dvs. bazate pe interesul legitim al Magellan Consult. În acest caz, vom înceta prelucrarea, cu excepția situațiilor în care demonstrăm motive legitime imperioase care prevalează asupra intereselor, drepturilor și libertăților dvs.
8.7. Dreptul de retragere a consimțământului (Art. 7(3) GDPR)
Acolo unde prelucrarea se bazează pe consimțământul dvs. (de exemplu, conectarea Google Drive), puteți retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate anterior retragerii.
8.8. Dreptul de a depune o plângere
Dacă considerați că prelucrarea datelor dvs. încalcă GDPR, aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):
ANSPDCP
Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București
Website: www.dataprotection.ro
Cum exercitați aceste drepturi: Trimiteți o cerere la dpo@magellan-consult.ro specificând dreptul pe care doriți să îl exercitați. Vom răspunde în maximum 30 de zile calendaristice. În cazuri complexe, termenul poate fi prelungit cu încă 60 de zile, cu notificarea dvs. prealabilă.
10. Operatori împuterniciți (procesatori de date)
Pentru a furniza Serviciile, utilizăm următorii procesatori de date terți, cu care avem acorduri adecvate de prelucrare a datelor (DPA):
| Procesator | Scop | Locație date | Garanții |
|---|---|---|---|
| Supabase Inc. | Autentificare, bază de date, stocarea datelor aplicației | UE (AWS eu-central-1) | DPA, SOC2 Type II, GDPR-compliant |
| Vercel Inc. | Găzduirea aplicației web (hosting, CDN, serverless functions) | UE / SUA | DPA, SOC2, EU Data Residency disponibil |
| Google LLC | Google Drive API (acces documente), Google Calendar (sincronizare ICS), Google OAuth (autentificare terță), Google Gemini AI (clasificare e-mail, asistență AI — sumarizare, traducere, redactare, procese-verbale) | UE / SUA | DPA, Clauze contractuale standard (SCC), EU-U.S. Data Privacy Framework |
| Microsoft Corporation | Outlook e-mail (acces Mail.Read prin Microsoft Graph API) — sincronizare e-mailuri pentru clasificare AI (funcționalitate în curs de implementare) | UE / SUA | DPA, Clauze contractuale standard (SCC), EU-U.S. Data Privacy Framework |
| n8n GmbH | Automatizarea fluxurilor de lucru (colectare date parlamentare de pe senat.ro) | UE (Germania) | DPA, GDPR-compliant, ISO 27001 |
11. Transferuri internaționale de date
11.1. Datele dvs. cu caracter personal sunt stocate preponderent în centre de date situate în Uniunea Europeană (Supabase pe AWS eu-central-1, n8n în Germania).
11.2. Anumite prelucrări implică transferul de date către Statele Unite ale Americii, în special:
- Google LLC (procesarea cererilor AI prin Google Gemini 2.0 Flash, Google Drive API, Google Calendar) — serverele Google pot fi situate în SUA sau în alte regiuni în afara UE
- Microsoft Corporation (sincronizare e-mail Outlook prin Microsoft Graph API) — serverele Microsoft pot fi situate în SUA sau în alte regiuni în afara UE
- Vercel — anumite funcții serverless pot rula în regiuni SUA, deși prioritizăm regiunile UE
11.3. Pentru aceste transferuri, ne bazăm pe:
- Cadrul UE-SUA pentru protecția datelor (EU-U.S. Data Privacy Framework), unde furnizorul este certificat
- Clauze contractuale standard (SCC) aprobate de Comisia Europeană, încorporate în contractele cu procesatorii noștri
- Măsuri suplimentare de securitate: criptarea în tranzit (TLS 1.3) și la stocare, minimizarea datelor transferate, pseudonimizarea unde este posibil
12. Securitatea datelor
Magellan Consult implementează măsuri tehnice și organizatorice adecvate pentru protejarea datelor dvs. cu caracter personal, conform articolului 32 din GDPR:
- Criptarea în tranzit: toate comunicațiile cu Platforma sunt protejate prin TLS 1.3 (HTTPS)
- Criptarea la stocare: datele sunt criptate la nivel de bază de date (Supabase / AWS encryption at rest); token-urile OAuth (Google și Microsoft) sunt criptate suplimentar la nivel de aplicație folosind AES-256-GCM
- Izolarea datelor: Row Level Security (RLS) pe toate tabelele care conțin date ale clienților — fiecare utilizator poate accesa exclusiv datele cabinetului parlamentar căruia îi aparține
- Autentificarea securizată: parole stocate prin hashing (bcrypt) via Supabase Auth, sesiuni bazate pe JWT cu reîmprospătare automată
- Controlul accesului bazat pe roluri: trei niveluri de acces (admin, consultant, client) cu permisiuni distincte
- Protecția cheilor API: toate cheile API (Supabase, Google Gemini, Google Drive, Microsoft Azure) sunt stocate în variabile de mediu pe server și nu sunt niciodată expuse în codul client-side
- Middleware de securitate: protecția rutelor cu verificarea autentificării, header-uri de securitate (CSP, X-Frame-Options, X-Content-Type-Options)
- Rate limiting: limită de utilizare pe funcționalitățile AI pentru prevenirea abuzurilor
- Audituri de securitate: evaluări periodice de securitate cu identificarea și remedierea vulnerabilităților
13. Notificarea încălcărilor de securitate a datelor
13.1. În cazul unei încălcări a securității datelor cu caracter personal, Magellan Consult va notifica Autoritatea Națională de Supraveghere (ANSPDCP) în termen de 72 de ore de la luarea la cunoștință a incidentului, conform articolului 33 din GDPR.
13.2. Dacă încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile dvs., vă vom notifica fără întârziere nejustificată, conform articolului 34 din GDPR, indicând:
- Natura încălcării
- Categoriile de date afectate
- Consecințele probabile
- Măsurile luate sau propuse pentru remedierea situației
14. Confidențialitatea minorilor
14.1. Platforma nu este destinată persoanelor cu vârsta sub 18 ani. Nu colectăm cu bună știință date cu caracter personal de la minori.
14.2. Accesul la Platformă este limitat exclusiv la personalul autorizat al cabinetelor parlamentare, care sunt în mod normal persoane adulte.
14.3. Dacă descoperim că am colectat date ale unui minor, le vom șterge imediat.
15. Luarea automată a deciziilor și profilarea
15.1. Platforma nu efectuează luarea automată a deciziilor sau profilare în sensul articolului 22 din GDPR.
15.2. Consemnele de vot sunt pregătite de consultanți umani. Asistentul AI furnizează sugestii care necesită întotdeauna validare umană. Clasificarea automată a e-mailurilor este orientativă și necesită interpretare umană pentru luarea deciziilor.
16. Modificarea Politicii de Confidențialitate
16.1. Magellan Consult poate actualiza această Politică de Confidențialitate periodic pentru a reflecta modificări ale practicilor noastre sau ale legislației aplicabile.
16.2. Vom publica versiunea actualizată pe această pagină, cu indicarea datei ultimei modificări. În cazul modificărilor substanțiale, vă vom notifica prin e-mail sau printr-o notificare în Platformă.
16.3. Vă recomandăm să verificați periodic această pagină pentru a fi la curent cu modul în care vă protejăm datele.
17. Contact
Pentru orice întrebări, solicitări sau reclamații privind prelucrarea datelor dvs. cu caracter personal, ne puteți contacta la:
Magellan Consult
Sediu: București, România
E-mail general: contact@magellan-consult.ro
Responsabil protecția datelor (DPO): dpo@magellan-consult.ro
De asemenea, puteți consulta Termenii și Condițiile ale platformei pentru informații suplimentare despre utilizarea serviciilor noastre.
Ultima actualizare: 28 martie 2026. Această politică se aplică tuturor utilizatorilor platformei Magellan Consult.