Politica de confidențialitate.

Atunci când îți creezi un cont: adresă de email, nume, date de autentificare.

Când folosești Portivo: datele financiare pe care le introduci sau pe care le imporți din extrase bancare (CSV/PDF) — tranzacții, solduri, bugete, obiective, investiții.

Automat: tipul dispozitivului, browser, adresa IP, locația aproximativă (țară), tipare de utilizare. Nu urmărim pentru advertising.

Generarea rapoartelor tale, calcularea scorurilor, rularea AI-ului pe datele tale, trimiterea de emailuri tranzacționale (resetare parolă, notificări de facturare).

Procesarea plăților — prin Stripe, procesatorul nostru oficial. Nu stocăm numere de card pe serverele noastre.

Respectarea obligațiilor legale române (ANAF, BNR, GDPR).

Nu vindem niciodată datele tale financiare. Nu le împărtășim cu advertiseri. Nu le folosim pentru a antrena modele externe.

Row-Level Security (RLS) în baza de date — izolare completă între conturi. Fiecare query este legat de ID-ul tău de utilizator, la nivel de PostgreSQL.

Criptare în tranzit (TLS 1.3) și în repaus (AES-256).

Servere în Uniunea Europeană — Frankfurt, nu Ashburn. GDPR strict, nu „compliant".

Stocarea principală e în UE. Câțiva furnizori (Stripe, Sentry, analiticele Vercel) pot prelucra în SUA pe bază de Clauze Contractuale Standard (SCC) / Data Privacy Framework — vezi secțiunile IX–X.

Audit logs pentru orice acces administrativ. Zero acces manual la datele tale fără consimțământ explicit pentru suport.

Acces — exportă-ți toate datele în orice moment, self-service, în format JSON sau ZIP (cu fișiere CSV per categorie). Setări → Date · GDPR. Primești pe email un link de descărcare valabil 7 zile. Codul numeric personal nu este inclus în export, pentru siguranța datelor — îl găsești oricând în formularele fiscale generate în aplicație.

Rectificare — editează orice tranzacție, categorie, buget. Istoric de modificări păstrat.

Ștergere — cere ștergerea contului direct din aplicație, tastând fraza de confirmare. Înregistrăm cererea și ștergem contul în 30 de zile (perioadă de grație în care o poți anula scriindu-ne). Setări → Date · GDPR.

Portabilitate — datele tale, într-un format standard, la orice competitor.

Opoziție — te poți dezabona din orice comunicare. Un singur click.

Strict necesare: sesiune, autentificare, preferințe. Nu le poți dezactiva — fără ele, aplicația nu funcționează.

Analytice: anonimizate, opt-in explicit. Nu folosim Google Analytics. Folosim Vercel Web Analytics — analitice agregate, cookieless, fără consimțământ necesar.

Zero tracking cross-site. Zero third-party advertising cookies.

Cont activ — datele tale, pentru tine. Fără limită.

Cont șters — 30 de zile de grace period, apoi ștergere completă din baza de date de producție și 90 de zile din backup-uri criptate.

Date fiscale (facturi, declarații) — păstrate 10 ani, conform legii române. Anonimizate la ștergerea contului acolo unde e posibil.

Această retenție privește obligațiile contabile proprii ale operatorului; datele tale de cont se șterg conform secțiunii Drepturi (Ștergere).

Nu am numit un Responsabil cu Protecția Datelor — nu este obligatoriu la scara actuală (Art. 37 GDPR). Pentru orice chestiune de protecția datelor: legal@portivo.ro.

Pentru plângeri la autoritatea de supraveghere (ANSPDCP): www.dataprotection.ro

Operator de date: ALPHAFIT EXPRESS SRL, Str. Cornișa Bistriței 11, Sc. A, Ap. 21, 600100, Bacău, jud. Bacău, CUI 40625580, Reg. Com. J2019000418043. Marca „Portivo".

Executarea contractului (Art. 6(1)(b)) — furnizarea serviciului, calcule, rapoarte, emailuri tranzacționale.

Obligație legală (Art. 6(1)(c)) — obligații contabile și fiscale ale operatorului.

Interes legitim (Art. 6(1)(f)) — securitate, prevenirea fraudei, menținerea în funcțiune.

Consimțământ (Art. 6(1)(a)) — comunicări de marketing, dacă te abonezi. Analiticele web sunt cookieless și anonime, deci nu necesită consimțământ.

Lucrăm cu un număr restrâns de subîmputerniciți, fiecare sub contract de prelucrare (DPA):

• Supabase (AWS) — Bază de date și autentificare. Locație: Frankfurt, UE. Date în UE.
• Vercel — Găzduire aplicație + analitice web agregate (cookieless). Locație: UE / SUA. Transfer: SCC + Data Privacy Framework.
• Upstash Redis — Cache și limitare de trafic. Locație: UE. Date în UE.
• Stripe — Procesarea plăților. Locație: SUA. Transfer: SCC + Data Privacy Framework.
• Resend — Emailuri tranzacționale. Locație: UE / SUA. Transfer: SCC.
• Sentry — Monitorizarea erorilor (doar identificator de utilizator). Locație: SUA. Transfer: SCC.

Datele tale sunt stocate principal în Uniunea Europeană (Frankfurt). Anumiți subîmputerniciți (Stripe, Resend, Sentry, analiticele Vercel) pot prelucra date în Statele Unite, pe baza Clauzelor Contractuale Standard (SCC) și/sau a Data Privacy Framework.

Scorurile, recomandările și „cazurile AI" sunt generate de reguli deterministe, transparente — nu de profilare opacă în sensul Art. 22 GDPR. Nu luăm decizii cu efecte juridice automate asupra ta. Ai dreptul la intervenție umană: scrie la legal@portivo.ro.

Codul numeric personal (CNP) îl folosim exclusiv pentru formularele fiscale pe care le generezi în aplicație (Declarația Unică, Formular 230 etc.), conform Legii 190/2018. Nu este inclus în exportul de date și este criptat sau omis acolo unde e posibil.