CityTwin · Document legal

Politică de confidențialitate

Ultima actualizare: 13 iunie 2026 · versiunea 1.0

Document-cadru, pus la dispoziție cu bună-credință. Înainte de utilizarea cu o instituție publică trebuie validat de un specialist în protecția datelor și completat la câmpurile marcate [între paranteze].

1. Cine suntem

CityTwin este un digital twin urban, evidence-first, dezvoltat de Asociația Română pentru Smart City (ARSC). Contact: eduard@arsc.ro. Date de identificare complete (sediu, CIF/CUI, reprezentant): vezi Nota legală.

Responsabil cu protecția datelor (DPO), dacă e desemnat: [nume / e-mail DPO].

2. Două roluri diferite

Rolul nostru GDPR depinde de context:

Demonstrația publică (modelul Brașov de pe citytwin.ro): prelucrăm preponderent date deschise, ne-personale (zone, proiecte, infrastructură, statistici). Aici ARSC acționează ca operator pentru puținele date tehnice descrise mai jos.
Instanță livrată unei instituții: instituția (de regulă primăria) este operatorul datelor din modelul ei, iar ARSC este împuternicit (procesator) care prelucrează strict conform instrucțiunilor ei, în baza unui contract și a unui Acord de prelucrare (DPA).

3. Ce date prelucrăm

3.1 Nu folosim urmărire

Platforma nu folosește cookie-uri de urmărire, analytics, pixeli publicitari sau profilare. Nu construim profiluri de utilizator și nu vindem date. Din acest motiv nu afișăm un banner de cookie-uri: nu există consimțământ de cerut pentru urmărire, fiindcă nu urmărim.

3.2 Stocare locală (în browserul tău)

Salvăm în localStorage, doar pe dispozitivul tău, preferințe funcționale (ex. stratul de hartă ales, dacă ai văzut turul, confirmarea privind încărcarea unui model). Aceste date nu pleacă de pe dispozitiv și pot fi șterse oricând din browser.

3.3 Întrebările către asistentul AI

Când pui o întrebare asistentului, trimitem către serviciul de raționament întrebarea ta și modelul orașului curent, pentru a-ți genera răspunsul. Nu cerem și nu avem nevoie de date care te identifică. Recomandăm să nu introduci date cu caracter personal în întrebări. Modelele încărcate de utilizator rămân local în browser și sunt trimise la serviciul AI doar în momentul în care pui o întrebare.

3.4 Jurnale tehnice

Furnizorii noștri de infrastructură pot înregistra, pentru securitate și funcționare, date tehnice minime (adresă IP, momentul cererii, tip de browser). Le folosim pentru a preveni abuzul (ex. limitarea ratei de cereri) și a menține serviciul, în baza interesului legitim. Nu le folosim pentru profilare.

3.5 Imaginile camerelor publice

Pentru funcția de trafic, afișăm cadre din camere publice puse la dispoziție de operatorii lor. Numărarea obiectelor se face local, în browserul tău - nu trimitem imaginile la un server al nostru și nu le stocăm. Imaginile pot conține persoane; sunt feed-uri deja publice ale operatorilor, afișate cu atribuire, fără stocare.

4. Temeiul legal (GDPR Art. 6)

Prelucrare	Temei
Răspunsuri AI la întrebările tale	Interes legitim - a furniza serviciul solicitat (Art. 6(1)(f))
Preferințe locale (localStorage)	Necesare pentru funcționarea cerută de tine
Jurnale tehnice / anti-abuz	Interes legitim - securitatea rețelei și a informației (Art. 6(1)(f))
Date din modelul unei instituții	Stabilit de instituție (operator); noi prelucrăm ca împuternicit (Art. 28)

5. Sub-împuterniciți și transferuri

Folosim furnizori terți pentru găzduire, hărți, trafic, vreme și raționament AI. Lista completă, cu țara de prelucrare, este la Sub-împuterniciți.

Unii furnizori pot prelucra date în afara UE/SEE (ex. SUA). Pentru aceste transferuri ne bazăm pe garanțiile prevăzute de GDPR (clauze contractuale standard / decizii de adecvare, după caz). Vezi pagina de sub-împuterniciți pentru detalii actualizate.

6. Cât păstrăm datele

Preferințe locale: până le ștergi tu din browser.
Întrebări AI: prelucrate pentru a genera răspunsul; nu construim un istoric personal pe serverele noastre. Reținerea la furnizorul AI este guvernată de politica lui (vezi sub-împuterniciți).
Jurnale tehnice: perioadă scurtă, conform setărilor furnizorilor de infrastructură.
Date dintr-o instanță de instituție: conform DPA-ului încheiat cu instituția.

7. Drepturile tale (GDPR Art. 15-22)

Ai dreptul de acces, rectificare, ștergere, restricționare, opoziție și portabilitate. Pentru datele dintr-o instanță a unei instituții, adresează cererea instituției (operatorul); te putem sprijini ca împuternicit. Scrie-ne la eduard@arsc.ro.

Poți depune plângere la autoritatea de supraveghere - în România, ANSPDCP (dataprotection.ro).

8. Date personale puse din greșeală

Platforma nu este destinată datelor cu caracter personal. Dacă observi că un model conține din greșeală date personale, anunță-ne la eduard@arsc.ro: le eliminăm și, dacă e cazul, notificăm incidentul conform GDPR (în 72 de ore către autoritate, când e necesar). Vezi și Termenii, secțiunea privind conținutul încărcat.

9. Securitate

Aplicăm măsuri tehnice și organizatorice: chei API păstrate pe server (niciodată în browser), limitarea ratei de cereri, politici stricte de securitate a conținutului (CSP), comunicare criptată (HTTPS), principiul minimizării datelor. Vezi auditul de securitate din depozitul de cod.

10. Modificări

Putem actualiza această politică. Versiunea curentă, cu data, e mereu aici. Modificările importante vor fi semnalate în platformă.