LEADAROSistemul AI de operare a lead-urilor pentru afaceri de servicii.
AutentificareÎncepe Demo
GDPR & DPA

Notă privind GDPR și prelucrarea datelor

Data intrării în vigoare: 26 mai 2026

Această notă descrie modul în care LEADARO respectă Regulamentul (UE) 2016/679 („GDPR") și explică modul în care operatorii (proprietarii de workspace) pot obține un Acord de Prelucrare a Datelor („DPA") semnat pentru contul lor. Este publicată ca document complementar pentru Politica de confidențialitate și pentru Termenii serviciului; în caz de conflict pe o clauză specifică, DPA-ul semnat prevalează față de această notă și de Politica de confidențialitate.

LEADARO este o platformă B2B SaaS operată de The Brand Doers Media SRL (CUI RO40413030, București, România) — brandul de produs LEADARO se află în cadrul acestei entități juridice. Operăm în principal ca Persoană împuternicită pentru datele despre lead-uri, clienți și conversații aduse de operatori în workspace-ul lor. Operăm ca Operator de date pentru un set restrâns de date de cont și facturare pe care le colectăm direct de la operatori la înregistrare. Ambele roluri sunt detaliate mai jos.

  • Rol de împuternicit. Pentru înregistrările de lead-uri, transcrierile conversațiilor (WhatsApp / SMS / apeluri Vapi / chatbot / e-mail), programări, notițe, credențiale de integrare și ciornele generate de AI dintr-un workspace, proprietarul workspace-ului este Operatorul de date, iar LEADARO este Persoana împuternicită care acționează pe baza instrucțiunilor documentate ale acestuia.
  • Rol de operator. Pentru adresa de e-mail a contului, nume, hash-ul parolei, identificatorii de facturare, log-urile de audit ale evenimentelor de autentificare și formularele de contact de pe site-ul de marketing, LEADARO este Operatorul de date.
  • Prelucrarea în comun nu se aplică. Nu determinăm împreună cu operatorii scopurile și mijloacele pentru datele din workspace-urile lor.

În relația de împuternicit, LEADARO prelucrează următoarele categorii de date cu caracter personal exclusiv pentru a livra serviciul contractat:

  • Date de contact ale clienților finali ai operatorului (nume, telefon, e-mail, handle social).
  • Conținut de conversație pe canalele conectate de operator (WhatsApp Cloud, Meta Messenger / Instagram DM, voce prin Vapi / Twilio, SMS prin Twilio, chatbot, e-mail prin Postmark).
  • Statusul lead-ului, răspunsuri de calificare, metadate de programare, activitate de follow-up.
  • Credențiale de integrare (token-uri refresh criptate) furnizate de operator pentru a-și conecta propriile conturi terțe.

Categoriile speciale de date cu caracter personal (Articolul 9 GDPR — sănătate, biometrice, etc.) nu fac parte din domeniul vizat al serviciului. Operatorii din verticale reglementate (de ex. clinici) trebuie să evite introducerea unor astfel de date în LEADARO dacă DPA-ul lor specific nu autorizează explicit acest lucru.

Persoanele vizate au următoarele drepturi conform Articolelor 15–22 GDPR:

  • Acces — să primească o copie a datelor cu caracter personal deținute despre ele.
  • Rectificare — să corecteze date inexacte sau incomplete.
  • Ștergere („dreptul de a fi uitat") — sub rezerva excepțiilor de obligație legală.
  • Restricționare — să suspende prelucrarea în circumstanțe definite.
  • Portabilitate — să primească datele într-un format structurat, citibil automat.
  • Opoziție — să se opună prelucrării întemeiate pe interese legitime.
  • Nicio decizie complet automată cu efect juridic — suprafețele AI ale LEADARO produc ciorne și recomandări pentru revizuire umană; echipa umană a operatorului ia deciziile orientate către operator (calificare, confirmare programare, escaladare).

Deoarece LEADARO este Persoana împuternicită pentru datele din workspace, cererile de exercitare a drepturilor din partea clienților finali trebuie adresate operatorului (workspace-ul care a captat lead-ul). Operatorul poate folosi apoi instrumentele de export și ștergere ale platformei sau poate solicita asistența noastră în baza DPA-ului pentru a îndeplini cererea. A se vedea /legal/data-deletion pentru fluxul de ștergere.

Următorii sub-împuterniciți sunt angajați în livrarea serviciului LEADARO. Fiecare este obligat printr-un acord scris (DPA sau echivalent) și este restricționat la prelucrarea datelor pe baza instrucțiunilor documentate:

  • Supabase Inc. — bază de date PostgreSQL gestionată, autentificare, stocare obiecte. Regiune: Irlanda (UE). supabase.com/privacy.
  • Vercel Inc. — găzduire aplicație, edge runtime, logging structurat. Regiune principală: Statele Unite; rutare edge UE aplicată traficului public. vercel.com/legal/privacy-policy.
  • Wildbit (Postmark) — e-mail tranzacțional și trimitere de e-mail inițiată de operator. Rutare SEE unde este disponibilă. postmarkapp.com/privacy-policy.
  • Anthropic PBC — inferență LLM Claude pentru funcționalități AI Brain. Statele Unite. Datele sunt prelucrate sub DPA-ul Anthropic și nu sunt folosite pentru antrenarea modelelor. anthropic.com/legal/privacy.
  • OpenAI OpCo LLC — inferență LLM GPT pentru funcționalități AI Brain. Statele Unite. Datele sunt prelucrate sub DPA-ul OpenAI și nu sunt folosite pentru antrenarea modelelor. openai.com/policies/privacy-policy.
  • Vapi Inc. — orchestrare AI vocal (vorbire în timp real, pipeline de transcripție). Statele Unite. vapi.ai/privacy.
  • Twilio Inc. — trunk vocal PSTN și SMS pe piețele suportate. Statele Unite, cu stocare regională UE unde este disponibilă. twilio.com/legal/privacy.
  • Meta Platforms Ireland Ltd. — acces WhatsApp Cloud, Messenger și Instagram DM prin API-ul Meta Graph. Irlanda (UE). facebook.com/privacy/policy.
  • Better Stack — păstrarea log-urilor operaționale și alertare (fără date cu caracter personal ale clienților finali; doar metadate operaționale, ID-uri de cerere și evenimente de audit). Regiune UE. betterstack.com/privacy.

Notificăm operatorii în scris (e-mail către adresa proprietarului workspace-ului) cu cel puțin 14 zile înainte de adăugarea sau înlocuirea unui sub-împuternicit care prelucrează date din workspace. Operatorii care obiectează pe motive rezonabile, documentate, legate de protecția datelor, pot rezilia workspace-ul afectat conform Termenilor serviciului.

Datele cu caracter personal sunt stocate în repaus în Uniunea Europeană (Supabase, Irlanda). Unii sub-împuterniciți (Vercel, Anthropic, OpenAI, Vapi, Twilio, Better Stack) operează din Statele Unite. Pentru aceste transferuri ne bazăm pe:

  • Clauze Contractuale Standard ale Comisiei Europene (SCC) semnate cu fiecare sub-împuternicit din SUA;
  • Măsuri tehnice suplimentare incluzând TLS 1.2+ în tranzit, AES-256 în repaus, izolarea cheilor secrete și minimizarea datelor cu caracter personal trimise către fiecare sub-împuternicit;
  • Autocertificare în cadrul EU-US Data Privacy Framework acolo unde sub-împuternicitul publică una (nu ne bazăm exclusiv pe DPF).
  • Date de business din workspace — păstrate pe durata workspace-ului, inclusiv istoricul conversațiilor (nu ștergem automat conversațiile după un interval fix). Operatorii pot solicita în scris ștergerea unor conversații, lead-uri sau a întregului set de date din workspace în orice moment; ștergerile per-înregistrare se finalizează în 30 de zile de la cerere, ștergerea la închiderea workspace-ului se finalizează în 30 de zile de la închiderea contului.
  • Credențiale de integrare — până când operatorul deconectează integrarea.
  • Date de cont — pe durata contului LEADARO; șterse în 30 de zile de la închiderea contului, cu excepția cazurilor în care legea impune păstrarea pe o perioadă mai lungă.
  • Log-uri tehnice și de securitate — 90 de zile, apoi agregate sau șterse.
  • Backup-uri Supabase — backup-uri zilnice păstrate timp de 7 zile. Recuperarea point-in-time nu este momentan activată. Ștergerile din baza de date de producție se propagă în backup-urile zilnice ulterioare; rândurile șterse expiră din fereastra de backup în 7 zile.
  • Facturi și evidențe fiscale — 10 ani, conform legislației fiscale române.

A se vedea pagina Securitate pentru setul complet de măsuri. Sinteză:

  • Criptare AES-256-GCM în repaus pentru credențialele de integrare; cheia de criptare per-mediu este păstrată într-un manager de secrete separat.
  • TLS 1.2+ în tranzit pentru fiecare endpoint public și intern.
  • Politici de Row-Level Security per workspace aplicate la nivel de bază de date și verificate de o suită CI de politici.
  • Izolare multi-tenant pe trei straturi (verificare apartenență în route handler, RLS, credențiale per workspace).
  • Alertare operațională pe Better Stack cu rotație on-call 24/7.
  • Accesul la datele de producție este restricționat la operatori nominali, conform principiului celui mai mic privilegiu.

În cazul unei breșe confirmate de date cu caracter personal care implică date din workspace, LEADARO va:

  • Notifica operatorii afectați în scris fără întârziere nejustificată și în orice caz în termen de 72 de ore de la momentul în care a luat la cunoștință de breșă;
  • Furniza operatorului informațiile cerute de Articolul 33(3) GDPR (natura breșei, categoriile și numărul aproximativ de persoane afectate, consecințele probabile, măsurile de atenuare luate);
  • Coopera cu obligațiile proprii ale operatorului de notificare a persoanelor vizate acolo unde este aplicabil.

Operatorul (în calitate de Operator de date) este responsabil pentru notificarea propriei autorități de supraveghere și, dacă este necesar, a persoanelor vizate.

Operatorii de pe un plan plătit pot solicita oricând un Acord de Prelucrare a Datelor semnat. Trimiteți un e-mail la office@thebrandoers.com cu subiectul „DPA request" și ID-ul workspace-ului. Returnăm un PDF contrasemnat în 10 zile lucrătoare. DPA-ul încorporează prin referință SCC-urile 2021/914 ale Comisiei UE pentru orice transfer către un sub-împuternicit în afara SEE.

Întrebările generale legate de protecția datelor și cererile de exercitare a drepturilor trebuie trimise la office@thebrandoers.com. LEADARO nu a numit un Responsabil cu Protecția Datelor desemnat deoarece prelucrarea nu atinge pragurile obligatorii de DPO din Articolul 37 GDPR (fără prelucrare la scară largă a categoriilor speciale ca activitate principală); inbox-ul de confidențialitate de mai sus este monitorizat ca punct unic de contact.

Persoanele vizate care consideră că drepturile lor nu au fost respectate pot depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) la www.dataprotection.ro sau la autoritatea de supraveghere a țării UE de reședință.