Sari la conținut

Compliance și Protecția Datelor

Ultima actualizare: 7 aprilie 2026

1. DPIA — Evaluare Impact Date Personale

SimpluFisc procesează date personale și sensibile la scară cu tehnologie AI/ML. Conform Articolului 35 din GDPR, am efectuat o Evaluare Impactului asupra Protecției Datelor (DPIA).

Descrierea Procesării

SimpluFisc procesează documente fiscale (facturi, declarații, bilanțuri, norme fiscale) folosind:

  • OCR (Optical Character Recognition) — extracție text din imagini/PDF
  • AI clasificare — sortare automată în categorii contabile
  • Analytics anonime — aggregate, fără identificare utilizator

Riscuri Identificate

  • — Pierderea sau furt de date confidențiale (facturi, IBAN, CUI)
  • — Acces neautorizat de terți (breșă securitate, subpoenă)
  • — Eroare AI în clasificare care expune date contextuală
  • — Retenție prelungită — date nu se șterg când ar trebui

Măsuri de Diminuare Implementate

  • Transmisie criptată TLS 1.3 între utilizator, server și sub-procesatori
  • Stocaj la furnizor cloud UE (Hetzner Germania, criptare la nivel de disk standard furnizor)
  • Token-uri ANAF criptate Fernet în baza de date (niciodată în clar în log-uri)
  • Redactare PII din log-urile interne: CNP-urile și emailurile detectate sunt înlocuite cu marker ([MASKED_CNP]) automat
  • Human-in-the-loop: clasificările AI sunt sugestii, contabilul confirmă
  • Audit pe acțiuni admin: orice modificare făcută de admin (impersonare, schimbare reguli, ștergere user) este înregistrată cu timestamp + admin ID. Audit detaliat pe acces documente individuale: în implementare pentru Q3 2026.
  • Drepturi GDPR exercitabile self-service: export JSON complet și ștergere cont disponibile direct din contul utilizatorului
Concluzie: Riscul este acceptabil cu măsurile implementate. Beneficiile (automatizare, eficiență) depășesc riscurile, care sunt gestionate sistematic.

2. AI Act — Conformitate Regulament (UE) 2024/1689

SimpluFisc utilizează sisteme AI pentru OCR și clasificare documente. Am evaluat conformitatea cu Regulamentul UE 2024/1689 (AI Act).

Clasificare Risc

SimpluFisc NU este sistem AI cu risc ridicat conform Anexei III la AI Act. Nu rulează algoritmi cu impact legal nemijlocit — clasifică doar, fără decizie autonomă.

Motivare: Sarcina procedurală îngustă (clasificare documente contabile) cu human-in-the-loop obligatoriu. Contabilul validează totul, deci SimpluFisc doar sugerează, nu decide.

Obligații Transparență (Art. 50)

Chiar dacă nu cem "risc ridicat", implementez obligații de transparență:

  • Etichetă "AI-sugerat" pe orice output generat de AI (clasificări, recomandări)
  • Disclaimer: răspunsurile AI sunt orientative, nu consiliere profesională
  • Scor confidence: afișez încrederea AI în clasificare (0–100%)

Logging și Audit (Art. 52)

Menținem un registru al apelurilor AI relevante pentru calitate și debug:

  • — Timestamp și user ID
  • — Model AI folosit + provider
  • — Hash al promptului și răspunsului (pentru integritate, nu conținutul în clar)
  • — Tool calls executate și rezultate sintetizate

Retenție AI traces: 90 de zile (configurabil per platformă din admin, conform principiului „date minim necesar"). Retenție conversații chat: până la ștergerea contului de către utilizator.

3. ROPA — Registrul Activităților de Procesare

Conform Articolului 30 din GDPR, mențin un registru complet al tuturor activităților de procesare a datelor personale.

Rol și Responsabilități

  • Data Controller (Responsabil): Cabinetul contabil (clientul SimpluFisc) — determină scopul și mijloacele procesării
  • Data Processor (Processor): SimpluFisc SRL — procesează datele în baza instrucțiunilor controllerului

Categorii de Date

  • — Documente fiscale (facturi, bilanțuri, declarații)
  • — CUI / Cod de Identificare Entitate
  • — IBAN și date bancărescare (dacă încărcat)
  • — CNP (doar pentru PFA, opțional)
  • — Adrese și telefoane de contact

Categorii de Subiecți

  • — Reprezentanți legali de firme (PFA, SRL, ONG)
  • — Angajații acestora (pentru procesare salarizare)

Sub-Procesatori (Articolul 28(2))

  • Hetzner (Germania): Hosting cloud, servere în UE (EU-GDPR compliant)
  • Mistral AI (Franța/US): OCR și clasificare AI — datele trimise sunt anonymizate (fără user ID, metadata)
  • Google OAuth: doar autentificare, nu stocare date utilizator (cf. politica Google)
  • Stripe (USA): procesare plăți — PCI DSS Level 1, nu stocrez card

Transfer Internațional

Mistral AI (OCR): Procesează pe servere EU/US cu anonimizare. Suntem acoperit de Decizia de Adecvare SCC (Standard Contractual Clauses) UE-US.
Restul: Stocajul e 100% EU (Hetzner), fără transfer internațional.

Retenție Date

  • Documente fiscale: 5–10 ani (conform Cod Fiscal RO art. 25)
  • Conversații Fisco: până la ștergerea contului de către utilizator
  • AI traces (debug pipeline): 90 de zile, configurabil din admin
  • Date utilizare (IP, contoare): 90 de zile
  • Cont după ștergere: anonimizare imediată (email/nume/profil), audit trail păstrat conform obligațiilor legale

4. Contact Data Protection Officer (DPO)

Pentru orice întrebări despre protecția datelor, drepturile GDPR, sau pentru a exercita drepturile de acces, ștergere, portabilitate:

Email: dpo@simplufisc.ro

Adresă poștală: Rm. Vâlcea, România (sediul SimpluFisc SRL)

Răspunsul la solicitări: maxim 30 de zile calendaristice.

Avem și contact ANPC și SAL (mediator disputes) — vezi pagina Termeni și Condiții.

Rezumat Conformitate

  • GDPR — Registru ROPA complet, DPA cu toți sub-procesatorii, drepturi exercitabil
  • AI Act — Transparență obligatorie, logging complet, etichetare "AI-sugerat"
  • DPIA — Evaluare risc complet, măsuri de diminuare implementate
  • Criptare, anonymizare, audit trail, retenție limitată — best practices implementate