CityTwin · Document legal

Politică de confidențialitate

Ultima actualizare: 15 iunie 2026 · versiunea 1.2

1. Cine suntem

CityTwin este un digital twin urban, evidence-first, dezvoltat de Asociația Română pentru Smart City (ARSC). Contact: info@arsc.ro, tel. +40 31 425 42 63. Sediu: Integral Business Center, Bd. Pipera nr. 1-IA, Voluntari, Ilfov, România.

Responsabil cu protecția datelor (DPO): Daniel Ene, dpo@arsc.ro.

2. Două roluri diferite

Rolul nostru GDPR depinde de context:

Demonstrația publică (modelul Brașov de pe citytwin.ro): prelucrăm preponderent date deschise, ne-personale (zone, proiecte, infrastructură, statistici). Aici ARSC acționează ca operator pentru puținele date tehnice descrise mai jos.
Instanță livrată unei instituții: instituția (de regulă primăria) este operatorul datelor din modelul ei, iar ARSC este împuternicit (procesator) care prelucrează strict conform instrucțiunilor ei, în baza unui contract și a unui Acord de prelucrare (DPA).

3. Ce date prelucrăm

3.1 Nu folosim urmărire

Platforma nu folosește cookie-uri de urmărire, analytics, pixeli publicitari sau profilare. Nu construim profiluri de utilizator și nu vindem date. Din acest motiv nu afișăm un banner de cookie-uri: nu există consimțământ de cerut pentru urmărire, fiindcă nu urmărim.

3.2 Stocare locală (în browserul tău)

Salvăm în localStorage, doar pe dispozitivul tău, preferințe funcționale (ex. stratul de hartă ales, dacă ai văzut turul, confirmarea privind încărcarea unui model). Aceste date nu pleacă de pe dispozitiv și pot fi șterse oricând din browser.

3.3 Întrebările către asistentul AI

Când pui o întrebare asistentului, trimitem către serviciul de raționament întrebarea ta și modelul orașului curent, pentru a-ți genera răspunsul. Nu cerem și nu avem nevoie de date care te identifică. Recomandăm să nu introduci date cu caracter personal în întrebări. Modelele încărcate de utilizator rămân local în browser și sunt trimise la serviciul AI doar în momentul în care pui o întrebare.

3.4 Jurnale tehnice

Furnizorii noștri de infrastructură pot înregistra, pentru securitate și funcționare, date tehnice minime (adresă IP, momentul cererii, tip de browser). Le folosim pentru a preveni abuzul (ex. limitarea ratei de cereri) și a menține serviciul, în baza interesului legitim. Nu le folosim pentru profilare.

3.5 Imaginile camerelor publice

Pentru funcția de trafic, afișăm cadre din camere publice puse la dispoziție de operatorii lor. Numărarea obiectelor se face local, în browserul tău - nu trimitem imaginile la un server al nostru și nu le stocăm. Imaginile pot conține persoane; sunt feed-uri deja publice ale operatorilor, afișate cu atribuire, fără stocare.

3.6 Formularele de contact și de pilot

Dacă ne scrii prin formularul de contact sau prin formularul de pilot de pe pagina principală, prelucrăm datele pe care le completezi voluntar: nume, e-mail, telefon (opțional), funcție/rol, instituție, județ, tipul comunității și mesajul. Le folosim exclusiv pentru a te contacta în legătură cu solicitarea ta (un pilot sau o implementare CityTwin). Temeiul este consimțământul tău, exprimat prin bifa de confirmare din formular (Art. 6(1)(a) GDPR); îl poți retrage oricând scriind la info@arsc.ro.

Formularele sunt procesate prin serviciul Netlify Forms (Netlify, Inc.), care poate prelucra datele și în afara UE/SEE (SUA); pentru acest transfer ne bazăm pe clauzele contractuale standard ale UE. Datele din formular nu sunt folosite pentru profilare, nu sunt vândute și sunt păstrate doar cât e necesar pentru a-ți răspunde și a gestiona o eventuală relație de pilot, apoi sunt șterse la cerere sau când scopul a fost atins (vezi secțiunea 6).

4. Temeiul legal (GDPR Art. 6)

Prelucrare	Temei
Răspunsuri AI la întrebările tale	Interes legitim - a furniza serviciul solicitat (Art. 6(1)(f))
Datele din formularele de contact / pilot	Consimțământ (Art. 6(1)(a)) - voluntar, retractabil oricând
Preferințe locale (localStorage)	Necesare pentru funcționarea cerută de tine
Jurnale tehnice / anti-abuz	Interes legitim - securitatea rețelei și a informației (Art. 6(1)(f))
Date din modelul unei instituții	Stabilit de instituție (operator); noi prelucrăm ca împuternicit (Art. 28)

Pentru prelucrările întemeiate pe interesul legitim (Art. 6(1)(f)) am efectuat un test de echilibrare: interesul de a furniza și securiza serviciul cerut nu prevalează asupra drepturilor tale, întrucât datele sunt minimizate, nepersonale ca regulă, nu sunt folosite pentru profilare și nu sunt vândute. Te poți opune oricând (vezi secțiunea 7).

5. Sub-împuterniciți și transferuri

Folosim furnizori terți pentru găzduire, hărți, trafic, vreme și raționament AI. Lista completă, cu țara de prelucrare, este la Sub-împuterniciți.

Asistentul AI rulează pe Mistral AI (Franța), deci datele trimise lui rămân în Uniunea Europeană, sub GDPR. Câțiva furnizori auxiliari (imagini satelitare, relief, găzduire) pot prelucra date în afara UE/SEE (ex. SUA); pentru aceștia ne bazăm pe garanțiile GDPR (clauze contractuale standard / decizii de adecvare, după caz). Vezi pagina de sub-împuterniciți pentru detalii.

6. Cât păstrăm datele

Preferințe locale: până le ștergi tu din browser.
Întrebări AI: prelucrate pentru a genera răspunsul; nu construim un istoric personal pe serverele noastre. Reținerea la furnizorul AI este guvernată de politica lui (vezi sub-împuterniciți).
Date din formularele de contact / pilot: păstrate cât e necesar pentru a-ți răspunde și a gestiona o eventuală relație de pilot; șterse la retragerea consimțământului sau când scopul a fost atins.
Jurnale tehnice: perioadă scurtă, conform setărilor furnizorilor de infrastructură.
Date dintr-o instanță de instituție: conform DPA-ului încheiat cu instituția.

7. Drepturile tale (GDPR Art. 15-22)

Ai dreptul de acces, rectificare, ștergere, restricționare, opoziție și portabilitate. Pentru datele dintr-o instanță a unei instituții, adresează cererea instituției (operatorul); te putem sprijini ca împuternicit. Scrie-ne la info@arsc.ro.

Poți depune plângere la autoritatea de supraveghere - în România, ANSPDCP (dataprotection.ro).

8. Date personale puse din greșeală

Platforma nu este destinată datelor cu caracter personal. Dacă observi că un model conține din greșeală date personale, anunță-ne la info@arsc.ro: le eliminăm și, dacă e cazul, notificăm incidentul conform GDPR (în 72 de ore către autoritate, când e necesar). Vezi și Termenii, secțiunea privind conținutul încărcat.

9. Securitate (GDPR Art. 32 · NIS2)

În temeiul art. 32 din GDPR aplicăm măsuri tehnice și organizatorice adecvate riscului: chei și secrete păstrate exclusiv pe server (niciodată în browser sau în codul public), comunicare criptată (HTTPS/TLS), politici stricte de securitate a conținutului (CSP) și headere de securitate, limitarea ratei de cereri și plafoane de cheltuială (anti-abuz), minimizarea datelor, cod sursă într-un depozit privat, iar codul aplicației nu este servit public.

Ca furnizor către sectorul public, aliniem măsurile la Directiva (UE) 2022/2555 (NIS2): politică de securitate a informației, plan de răspuns la incident (cu raportare către DNSC în 24h/72h/1 lună), registru de risc, inventar de active, securitatea lanțului de aprovizionare și politică de divulgare coordonată a vulnerabilităților (security.txt). Documentația de securitate este pusă la dispoziția instituțiilor-client la cerere.

10. Evidența prelucrărilor (ROPA)

Menținem, după caz, o evidență a activităților de prelucrare conform art. 30 din GDPR. Pentru o instanță livrată unei instituții, evidența se corelează cu cea a operatorului prin DPA.

11. Cadrul legal aplicabil

GDPR - Regulamentul (UE) 2016/679;
Legea nr. 190/2018 (măsuri de aplicare a GDPR în România);
NIS2 - Directiva (UE) 2022/2555 și legislația română de transpunere (securitate cibernetică);
AI Act - Regulamentul (UE) 2024/1689 (vezi Termeni);
Directiva ePrivacy 2002/58/CE (cookie-uri) - nu folosim urmărire, deci nu cerem consimțământ în acest scop.

12. Modificări

Putem actualiza această politică. Versiunea curentă, cu data, e mereu aici. Modificările importante vor fi semnalate în platformă.