Înapoi la natix.chat

Politica de Confidențialitate

Ultima actualizare: 24 aprilie 2026

Acest document descrie modul în care Natix colectează, procesează și protejează datele personale atunci când folosești natix.chat. A se citi împreună cu Termenii și Condițiile.

1. Operator de date

Operatorul datelor tale personale este Natix, cu punct de contact la hello@natix.ro. Pentru orice întrebări privind protecția datelor, inclusiv exercitarea drepturilor GDPR, ne poți scrie la această adresă.

Procesăm datele în conformitate cu Regulamentul UE 2016/679 (GDPR) și cu legislația română aplicabilă (Legea 190/2018).

2. Ce date colectăm

2.1 Date de cont

  • Email, nume, imagine de profil (dacă te autentifici cu Google)
  • Parolă (stocată criptat cu bcrypt) — doar pentru autentificarea cu email/parolă
  • Codurile OTP trimise pe email pentru verificare

2.2 Date de onboarding

  • Data nașterii (pentru verificarea vârstei minime)
  • Dimensiunea companiei, departamentul, rolul

2.3 Date generate în utilizare

  • Conversații: mesajele pe care le trimiți agenților AI și răspunsurile lor
  • Documente: fișierele pe care le încarci pentru procesare AI (PDF, DOCX, XLSX, imagini)
  • Configurări: departamente, agenți custom, prompt-uri, integrări
  • Utilizare: număr de mesaje, tokeni consumați, feature-uri folosite, timestamp-uri
  • Jurnale tehnice: IP (scurtă durată, pentru rate limiting), user-agent, erori

2.4 Date de plată

Plățile sunt procesate integral de Stripe. Nu stocăm numere de card, CVV sau date sensibile de plată. Din Stripe primim doar: tip card (Visa/Mastercard), ultimele 4 cifre, adresa de facturare, istoric tranzacții, TVA/VAT.

2.5 Date din integrări OAuth (opțional)

Dacă conectezi o integrare externă, păstrăm doar tokenii necesari și metadata minimă:

  • Gmail, Outlook: access token + refresh token (criptate), adresa de email, ID-uri conversații procesate
  • Google Drive, OneDrive: access token + refresh token (criptate), lista documentelor pe care ni le partajezi explicit
  • Notion: access token, workspace ID, paginile la care ne dai acces

Cerem scope-uri minime (principiul minimizării datelor). Poți revoca accesul oricând din pagina Integrări sau din contul providerului.

3. Cum folosim datele

  • Furnizarea serviciului natix.chat și a tuturor funcționalităților
  • Autentificare și securitatea contului
  • Procesarea conversațiilor cu agenți AI (vezi secțiunea 5)
  • Indexare RAG (Retrieval-Augmented Generation) a documentelor tale în Bază de Cunoștințe
  • Trimiterea de emailuri tranzacționale (verificare, resetare parolă, facturi)
  • Trimiterea de emailuri de produs (actualizări, sfaturi onboarding, template-uri noi) — te poți dezabona oricând
  • Aplicarea limitelor de utilizare conform planului tău
  • Prevenirea fraudei și a abuzului (rate limiting, detecție spam)
  • Îmbunătățirea serviciului prin metrici agregate (nu folosim conversațiile tale pentru antrenare AI)

4. Temei juridic (GDPR art. 6)

  • Executarea contractului (art. 6(1)(b)) — pentru serviciul în sine, plăți, cont
  • Interes legitim (art. 6(1)(f)) — securitate, prevenire abuz, metrici tehnice
  • Consimțământ (art. 6(1)(a)) — pentru integrări OAuth opționale și emailuri de marketing
  • Obligație legală (art. 6(1)(c)) — păstrarea facturilor (Legea contabilității)

5. Procesarea AI

Mesajele și documentele pe care le trimiți sunt procesate de modele AI (Claude Sonnet 4.5 și Claude Haiku 4.5) prin AWS Bedrock, exclusiv în regiunea EU (Frankfurt).

  • Datele tale NU sunt folosite pentru antrenarea modelelor AI — Anthropic și AWS au un Data Processing Agreement care exclude explicit acest lucru
  • AWS Bedrock păstrează input-urile maxim 30 zile (pentru abuse detection), apoi le șterge
  • Folosim prompt caching (cache de 1h la nivel Bedrock) pentru eficiență — cache-ul este izolat pe cont AWS
  • Pentru indexare RAG, extragem text din documente și stocăm embeddings vectoriale în AWS Bedrock Knowledge Base (tot EU)

6. Infrastructură și localizare date

Toate datele sunt procesate și stocate exclusiv în Uniunea Europeană:

  • Bază de date: AWS RDS PostgreSQL — EU North (Stockholm)
  • Stocare fișiere: AWS S3 — EU Central (Frankfurt)
  • Procesare AI: AWS Bedrock — EU Central (Frankfurt)
  • Trimitere emailuri: Resend + AWS SES — EU
  • CDN & Edge: AWS CloudFront cu PoP-uri EU

Nu facem transferuri de date în afara SEE.

7. Sub-procesatori

Pentru funcționarea serviciului colaborăm cu următorii sub-procesatori, toți cu DPA (Data Processing Agreement) semnat:

  • Amazon Web Services EMEA SARL — infrastructură cloud (compute, storage, AI, email)
  • Stripe Payments Europe Ltd. — procesare plăți (PCI-DSS)
  • Resend Inc. — livrare emailuri tranzacționale
  • Google Ireland Ltd. — OAuth + Gmail/Drive (doar dacă tu conectezi)
  • Microsoft Ireland Operations Ltd. — OAuth + Outlook/OneDrive (doar dacă tu conectezi)
  • Notion Labs Inc. — OAuth + Notion API (doar dacă tu conectezi)

Nu vindem, închiriem sau partajăm datele tale cu terți în scop de marketing.

8. Cookie-uri

  • Esențiale: sesiune de autentificare (JWT), tokenuri CSRF, preferință cookie consent. Fără aceste cookie-uri serviciul nu funcționează.
  • De preferință: temă (dark/light), lățime sidebar, locale preferat (RO/EN).

Nu folosim cookie-uri de tracking, publicitate sau analytics third-party.

9. Retenția datelor

  • Cont activ: păstrăm datele cât timp contul este activ
  • După ștergere cont: datele sunt șterse în maxim 30 zile, cu excepția celor necesare obligațiilor legale (facturi — 10 ani conform Legii contabilității)
  • Backup-uri: expiră automat după 30 zile
  • Jurnale de acces: 90 zile
  • Conversații arhivate: păstrate cât contul e activ; poți șterge individual oricând

10. Drepturile tale (GDPR)

Ai următoarele drepturi, exercitabile prin email la hello@natix.ro:

  • Dreptul de acces (art. 15) — să primești o copie a datelor tale
  • Dreptul la rectificare (art. 16) — să corectezi date inexacte
  • Dreptul la ștergere (art. 17) — "dreptul de a fi uitat"
  • Dreptul la restricționare (art. 18) — să oprești temporar procesarea
  • Dreptul la portabilitate (art. 20) — export în format structurat (JSON)
  • Dreptul de opoziție (art. 21) — la procesare bazată pe interes legitim sau marketing
  • Dreptul de a retrage consimțământul — oricând, fără efect retroactiv
  • Dreptul de a nu fi supus unei decizii automate (art. 22) — nu luăm decizii automate cu impact legal asupra ta

Răspundem în maxim 30 zile de la cerere.

11. Autoritatea de supraveghere

Dacă nu ești mulțumit de modul în care-ți procesăm datele, ai dreptul să depui plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

12. Securitate

  • TLS 1.2+ pentru toate conexiunile
  • Parolele hashuite cu bcrypt (cost factor ≥ 12)
  • Tokeni OAuth criptați simetric (AES-256) în baza de date
  • Acces restricționat la infrastructură (MFA, least-privilege IAM)
  • Monitorizare și alerte automate pe evenimente suspecte
  • Backup-uri criptate zilnice cu retenție 30 zile

13. Minori

natix.chat nu este destinat persoanelor sub 16 ani. Nu colectăm cu bună știință date de la minori. Dacă afli că un minor ne-a furnizat date, te rugăm să ne scrii la hello@natix.ro pentru ștergere imediată.

14. Modificări ale acestei politici

Te vom notifica prin email cu cel puțin 30 zile înainte de orice modificare materială. Modificările minore (clarificări, corecturi) intră în vigoare la publicare, cu data actualizată în antet.

15. Contact

Pentru orice întrebare sau exercitare a drepturilor GDPR: hello@natix.ro