Politica de Confidențialitate — Echilibru

Politica de Confidențialitate

Ultima actualizare: 17 aprilie 2026 · Versiunea 1.2 · Conformă GDPR (Reg. UE 2016/679) · Include Registrul Activităților de Prelucrare (Art. 30 GDPR)

🛡️ Conform Regulamentului General privind Protecția Datelor (GDPR)

Operator de date: SC Arta Monumentală SRL

CUI: RO16404714  ·  Nr. Reg. Com.: J2004000847043

Sediu social: Str. Aviatorilor nr. 3B, Bacău, România

Email: contact@echilibru.app  ·  Tel: +40 746 014 567

Reprezentant legal: Psih. Angelica Agachi

1. Ce date colectăm

1.1 Date furnizate direct de utilizator

  • Psihologi / Psihoterapeuți: nume, email, telefon, specializări, parolă (stocată bcrypt), date de facturare
  • Clienți: nume, email, parolă (stocată bcrypt)

1.2 Date generate prin utilizarea platformei

  • Check-in-uri zilnice (dispoziție, energie, somn, emoții)
  • Însemnări de jurnal personal
  • Rezultate chestionare psihologice validate (GAD-7, PHQ-9, BDI-II, DASS-21, PCL-5, AUDIT, WEMWBS, ECR-12 etc.)
  • Mesaje schimbate între client și terapeut
  • Activitate pe platformă (secțiuni accesate, exerciții completate)
  • Note clinice adăugate de terapeut (inclusiv cele generate cu asistență AI)
  • Obiective terapeutice și progres
  • Semnături digitale pe acorduri de consimțământ

1.3 Date tehnice

  • Data și ora ultimei autentificări
  • Date de sesiune PHP (nu se stochează date de navigare sau IP pe termen lung)
  • Date de plată procesate prin PayU (numărul cardului nu este stocat de noi)

2. De ce colectăm aceste date

  • Furnizarea serviciului: crearea și gestionarea contului, accesul la funcționalitățile platformei
  • Suport terapeutic: permiterea terapeutului să monitorizeze evoluția clientului
  • Generare note clinice AI: datele sunt transmise procesatorului AI exclusiv pentru generarea notelor solicitate de terapeut și nu sunt stocate de terț
  • Procesare plăți: abonamente practicieni, procesate prin PayU
  • Îmbunătățirea platformei: date anonimizate privind utilizarea funcționalităților
  • Obligații legale: respectarea legislației aplicabile (GDPR, Legea 190/2018)

Temeiul juridic al prelucrării: executarea contractului (Art. 6(1)(b) GDPR) și, pentru datele de sănătate, consimțământul explicit (Art. 9(2)(a) GDPR).

3. Date speciale (de sănătate)

Platforma procesează date care pot fi considerate date privind sănătatea conform Art. 9 GDPR (stare emoțională, rezultate chestionare psihologice, note terapeutice, semnături pe acorduri de consimțământ). Aceste date sunt:

  • Colectate exclusiv cu consimțământul explicit al utilizatorului, înregistrat electronic la crearea contului
  • Accesibile doar clientului și terapeutului său
  • Niciodată partajate cu terți în formă identificabilă
  • Stocate criptat în baza de date pe servere din UE
  • Procesate prin AI doar la cererea explicită a terapeutului, fără stocare la terți

4. Cine are acces la date

  • Terapeutul: are acces la datele clienților săi (cei pe care i-a adăugat sau aprobat)
  • Clientul: are acces doar la propriile date
  • Administratorul platformei (SC Arta Monumentală SRL): acces tehnic limitat, necesar exclusiv pentru mentenanță și suport
  • Terți procesatori: doar în limitele descrise în Secțiunea 9 (Procesatori autorizați)
  • Autorități: doar în baza unei obligații legale exprese

5. Cât timp păstrăm datele

  • Conturi active: pe durata utilizării platformei
  • După ștergerea contului: datele clinice sunt șterse în termen de 30 de zile
  • Date de facturare: păstrate 5 ani conform legislației fiscale române (Legea 82/1991)
  • Backup-uri: datele din backup-uri sunt suprascrise în maximum 60 de zile
  • Jurnale tehnice (logs): șterse automat după 30 de zile

6. Securitatea datelor

  • Parolele sunt stocate exclusiv criptat (bcrypt)
  • Comunicația este criptată prin HTTPS/TLS (certificat SSL activ)
  • Accesul la baza de date este restricționat (localhost only)
  • Platforma este găzduită pe servere din România (ClausWeb, datacenter UE), protejate cu Imunify360
  • Autentificare cu doi factori activată pe panoul de administrare al serverului
  • Fișierele de configurare (credențiale) au permisiuni restrictive (chmod 600)
  • Jurnale de acces (access log) menținute pentru detectarea activității suspecte
  • Scanare automată malware în timp real (Imunify360)

7. Drepturile tale (GDPR)

👁️Dreptul de acces

Poți solicita o copie a datelor tale oricând.

✏️Dreptul de rectificare

Poți corecta datele incorecte.

🗑️Dreptul la ștergere

Poți solicita ștergerea datelor tale.

⏸️Dreptul la restricționare

Poți limita prelucrarea datelor tale.

📦Dreptul la portabilitate

Poți primi datele într-un format structurat (JSON/CSV).

🚫Dreptul de opoziție

Poți te opune prelucrării în anumite condiții.

Pentru exercitarea oricărui drept, contactați-ne la contact@echilibru.app. Vom răspunde în termen de 30 de zile calendaristice.

Aveți dreptul de a depune o plângere la ANSPDCP: www.dataprotection.ro

8. Cookie-uri și tehnologii de urmărire

Cookie-uri esențiale (fără consimțământ)

Platforma folosește cookie-uri de sesiune necesare funcționării (autentificare). Acestea sunt șterse la închiderea browserului și nu permit identificarea sau urmărirea utilizatorilor.

Cookie-uri de analiză și marketing (cu consimțământ)

Pe paginile publice ale site-ului utilizăm Meta Pixel (Facebook) pentru măsurarea eficienței campaniilor publicitare. Această tehnologie plasează cookie-uri de urmărire și transmite date de comportament către Meta Platforms Ireland Limited.

✅ Consimțământul tău contează

Meta Pixel este activat exclusiv după acordarea consimțământului prin bannerul de cookie-uri afișat la prima vizită. Poți retrage consimțământul oricând din setările de cookies ale browserului sau contactându-ne la contact@echilibru.app.

Utilizatorii autentificați (în interiorul platformei) nu sunt supuși urmăririi prin Meta Pixel.

Politica de confidențialitate Meta: facebook.com/privacy/policy

9. Procesatori de date autorizați

Colaborăm cu următorii procesatori de date terți, cu care avem încheiate Acorduri de Prelucrare a Datelor (DPA) sau care operează sub clauze contractuale standard (SCC) agreate de Comisia Europeană:

🇵🇱 PayU S.A.
Procesare plăți online

Procesează plățile pentru abonamentele practicienilor. Datele cardului nu sunt stocate de noi. PayU este certificat PCI-DSS Level 1 și are sediul în Varșovia, Polonia (UE). Datele rămân în spațiul UE.

🇺🇸 Anthropic PBC
Generare note clinice AI

Date transmise exclusiv la cererea explicită a terapeutului pentru generarea notelor clinice. Datele nu sunt reținute sau folosite pentru antrenament. Transfer acoperit de SCC.

🇷🇴 ClausWeb SRL
Hosting & infrastructură

Furnizor de hosting cu servere în România (UE). Imunify360, backup automat, protecție DDoS. Date stocate exclusiv pe teritoriul UE.

🇮🇪 Meta Platforms Ireland
Marketing (Meta Pixel)

Utilizat exclusiv pe paginile publice, cu consimțământ prealabil. Nu are acces la datele clinice ale utilizatorilor autentificați.

⚠️ Transferuri internaționale: Anthropic PBC este o companie cu sediul în SUA. Transferul datelor este acoperit de Clauze Contractuale Standard (SCC) adoptate prin Decizia Comisiei Europene 2021/914, asigurând un nivel echivalent de protecție cu cel din UE. Procesatorii pentru plăți (PayU), hosting (ClausWeb) și marketing (Meta Ireland) operează exclusiv în spațiul Uniunii Europene.

10. Registrul Activităților de Prelucrare (Art. 30 GDPR)

Conform Art. 30 din Regulamentul (UE) 2016/679, SC Arta Monumentală SRL menține evidența activităților de prelucrare a datelor cu caracter personal:

ActivitateCategorii de dateCategorii persoaneTemei juridicRetențieDestinatari
Gestionare conturi practicieniIdentificare, contact, credențiale, specializăriPsihologi, psihoterapeuțiContractDurata cont + 30 zileIntern, ClausWeb
Gestionare conturi cliențiIdentificare, contact, credențialeClienți ai practicienilorContractDurata cont + 30 zileIntern, terapeut propriu
Check-in-uri zilniceDate de sănătate (dispoziție, somn, energie)CliențiConsimțământDurata cont + 30 zileTerapeut propriu
Chestionare psihologiceDate de sănătate (scoruri clinice validate)CliențiConsimțământDurata cont + 30 zileTerapeut propriu
Note cliniceDate de sănătate (note terapeutice)CliențiConsimțământDurata cont + 30 zileTerapeut propriu
Generare note AIDate de sănătate (transmise temporar)Clienți (indirect)ConsimțământNu se stochează la terțAnthropic PBC (SCC)
Acorduri de consimțământDate de sănătate, semnături digitaleClienți, practicieniObligație legală Consimțământ5 ani (Legea 455/2001)Intern
Procesare plățiDate financiare (fără date card)PracticieniContract5 ani fiscalPayU S.A. (UE)
Comunicare emailAdresă email, conținut mesajPracticieni, cliențiContractDurata contSMTP intern (mail.echilibru.app)
Marketing digitalDate comportamentale (paginile publice)Vizitatori site publicConsimțământConform politicii MetaMeta Platforms Ireland (UE)
Jurnale de securitateDate tehnice de acces (fără IP pe termen lung)Toți utilizatoriiInteres legitim30 zileIntern, ClausWeb

11. Modificări ale politicii

Orice modificare semnificativă a acestei politici va fi comunicată utilizatorilor prin email cu minimum 14 zile calendaristice înainte de intrarea în vigoare. Versiunea curentă este întotdeauna disponibilă la echilibru.app/gdpr.php.

12. Contact

Pentru orice întrebare privind prelucrarea datelor personale sau pentru exercitarea drepturilor GDPR:

Autoritate de supraveghere: ANSPDCPwww.dataprotection.ro

← Înapoi la platformă

Privacy Policy

Last updated: April 17, 2026 · Version 1.2 · GDPR compliant (EU Reg. 2016/679) · Includes Record of Processing Activities (Art. 30 GDPR)

🛡️ Compliant with the General Data Protection Regulation (GDPR)

Data controller: SC Arta Monumentală SRL

VAT ID: RO16404714  ·  Trade Reg.: J2004000847043

Registered address: Str. Aviatorilor nr. 3B, Bacău, Romania

Email: contact@echilibru.app  ·  Phone: +40 746 014 567

Legal representative: Psych. Angelica Agachi

1. Data we collect

1.1 Data provided directly by the user

  • Psychologists / Psychotherapists: name, email, phone, specialisations, password (bcrypt encrypted), billing data
  • Clients: name, email, password (bcrypt encrypted)

1.2 Data generated through platform use

  • Daily check-ins (mood, energy, sleep, emotions)
  • Personal journal entries
  • Validated psychological questionnaire results (GAD-7, PHQ-9, BDI-II, DASS-21, PCL-5, AUDIT, WEMWBS, ECR-12, etc.)
  • Messages exchanged between client and therapist
  • Platform activity (sections visited, exercises completed)
  • Clinical notes added by the therapist (including AI-assisted notes)
  • Therapeutic goals and progress
  • Digital signatures on consent agreements

1.3 Technical data

  • Date and time of last login
  • PHP session data (no long-term browsing data or IP addresses stored)
  • Payment data processed via PayU (card numbers are never stored by us)

2. Why we collect this data

  • Service delivery: account creation and management, access to platform features
  • Therapeutic support: enabling the therapist to monitor the client's progress
  • AI clinical note generation: data is transmitted to the AI processor solely at the therapist's explicit request and is not retained by the third party
  • Payment processing: practitioner subscriptions, processed via PayU
  • Platform improvement: anonymised data on feature usage
  • Legal obligations: compliance with applicable legislation (GDPR, Romanian Law 190/2018)

Legal basis for processing: contract performance (Art. 6(1)(b) GDPR) and, for health data, explicit consent (Art. 9(2)(a) GDPR).

3. Special (health) data

The platform processes data that may qualify as health data under Art. 9 GDPR. Such data is collected solely with explicit consent, accessible only to the client and their therapist, never shared in identifiable form, stored encrypted on EU servers, and processed via AI only at the therapist's explicit request without third-party retention.

4. Who has access to data

  • The therapist: has access to their clients' data
  • The client: has access only to their own data
  • Platform administrator (SC Arta Monumentală SRL): limited technical access for maintenance and support only
  • Third-party processors: only within the limits described in Section 9
  • Authorities: only on the basis of an express legal obligation

5. How long we retain data

  • Active accounts: for the duration of platform use
  • After account deletion: clinical data is deleted within 30 days
  • Billing data: retained for 5 years under Romanian tax law (Law 82/1991)
  • Backups: overwritten within a maximum of 60 days
  • Technical logs: automatically deleted after 30 days

6. Data security

  • Passwords stored exclusively in encrypted form (bcrypt)
  • Communications encrypted via HTTPS/TLS
  • Database access restricted (localhost only)
  • Platform hosted on servers in Romania (ClausWeb, EU datacenter), protected by Imunify360
  • Two-factor authentication on server administration panel
  • Configuration files have restrictive permissions (chmod 600)
  • Access logs maintained for suspicious activity detection
  • Real-time automatic malware scanning (Imunify360)

7. Your rights (GDPR)

👁️Right of access

You may request a copy of your data at any time.

✏️Right to rectification

You may correct inaccurate data.

🗑️Right to erasure

You may request deletion of your data.

⏸️Right to restriction

You may limit the processing of your data.

📦Right to portability

You may receive your data in a structured format (JSON/CSV).

🚫Right to object

You may object to processing under certain conditions.

To exercise any right, contact us at contact@echilibru.app. We will respond within 30 calendar days.

You have the right to lodge a complaint with ANSPDCP: www.dataprotection.ro

8. Cookies and tracking technologies

Essential cookies (no consent required)

The platform uses session cookies necessary for operation (authentication). These are deleted when the browser is closed and do not allow user identification or tracking.

Analytics and marketing cookies (consent required)

On the public pages of the site we use Meta Pixel (Facebook) to measure advertising effectiveness.

✅ Your consent matters

Meta Pixel is activated only after consent is given via the cookie banner displayed on first visit. You may withdraw consent at any time via your browser's cookie settings or by contacting us.

Authenticated users (inside the platform) are not subject to Meta Pixel tracking.

Meta's privacy policy: facebook.com/privacy/policy

9. Authorised data processors

🇵🇱 PayU S.A.
Online payment processing

Processes payments for practitioner subscriptions. Card data not stored by us. PCI-DSS Level 1 certified, headquartered in Warsaw, Poland (EU). Data remains within the EU.

🇺🇸 Anthropic PBC
AI clinical note generation

Data transmitted solely at the therapist's explicit request. Data not retained or used for training. Transfer covered by SCCs.

🇷🇴 ClausWeb SRL
Hosting & infrastructure

Hosting provider with servers in Romania (EU). Imunify360, automatic backups, DDoS protection. Data stored exclusively within the EU.

🇮🇪 Meta Platforms Ireland
Marketing (Meta Pixel)

Used exclusively on public pages, with prior consent. No access to clinical data of authenticated users.

⚠️ International transfers: Anthropic PBC is headquartered in the USA. Transfer is covered by Standard Contractual Clauses (SCCs) under European Commission Decision 2021/914. Processors for payments (PayU), hosting (ClausWeb) and marketing (Meta Ireland) operate exclusively within the European Union.

10. Record of Processing Activities (Art. 30 GDPR)

Pursuant to Art. 30 of Regulation (EU) 2016/679, SC Arta Monumentală SRL maintains the following record of personal data processing activities:

ActivityData categoriesData subjectsLegal basisRetentionRecipients
Practitioner account managementIdentity, contact, credentials, specialisationsPsychologists, psychotherapistsContractAccount duration + 30 daysInternal, ClausWeb
Client account managementIdentity, contact, credentialsPractitioner clientsContractAccount duration + 30 daysInternal, own therapist
Daily check-insHealth data (mood, sleep, energy)ClientsConsentAccount duration + 30 daysOwn therapist
Psychological questionnairesHealth data (validated clinical scores)ClientsConsentAccount duration + 30 daysOwn therapist
Clinical notesHealth data (therapeutic notes)ClientsConsentAccount duration + 30 daysOwn therapist
AI note generationHealth data (temporarily transmitted)Clients (indirectly)ConsentNot stored by third partyAnthropic PBC (SCCs)
Consent agreementsHealth data, digital signaturesClients, practitionersLegal obligation Consent5 years (Law 455/2001)Internal
Payment processingFinancial data (no card data)PractitionersContract5 years (fiscal)PayU S.A. (EU)
Email communicationEmail address, message contentPractitioners, clientsContractAccount durationInternal SMTP (mail.echilibru.app)
Digital marketingBehavioural data (public pages only)Website visitorsConsentPer Meta's policyMeta Platforms Ireland (EU)
Security logsTechnical access data (no long-term IP)All usersLegitimate interest30 daysInternal, ClausWeb

11. Policy changes

Any significant changes to this policy will be communicated to users by email at least 14 calendar days before taking effect. The current version is always available at echilibru.app/gdpr.php.

12. Contact

Supervisory authority: ANSPDCPwww.dataprotection.ro

← Back to platform