Politica de confidențialitate

Ultima actualizare: aprilie 2026

1. Operatorul de date

SC KINETICFIT SRL, cu sediul în Strada Sfântul Lazăr 1, Iași 700044, România, CUI: 32824191, înregistrată la Registrul Comerțului sub nr. J22/284/2014, operează sub brandul Alchimeia Mind Care & Longevity (denumit în continuare „Alchimeia", „noi" sau „Operatorul").

Contact Responsabil cu Protecția Datelor (DPO): [DPO email TBD]. Pentru întrebări generale: receptie@alchimeia.ro, tel: +40 332 410 261.

2. Categorii de date prelucrate

În cadrul serviciilor oferite, prelucrăm următoarele categorii de date personale:

  • Date de identificare: nume, prenume, data nașterii, CNP (când e necesar din punct de vedere medical sau fiscal), adresă, telefon, email.
  • Date de sănătate — categorie specială conform Art. 9 GDPR: rezultate Brain Mapping QEEG (electroencefalograme cantitative), date HRV (variabilitate cardiacă), chestionare psihologice (DASS-21 și altele), anamneză medicală, observații clinice, protocoale terapeutice, rapoarte de progres pre/post intervenție. Pentru acestea este necesar consimțământul tău explicit, scris.
  • Date de facturare: informații necesare emiterii documentelor fiscale.
  • Date tehnice: adresă IP, tip browser, date de navigare pe site (prin cookies — vezi secțiunea 10).

3. Temeiul juridic al prelucrării

Datele de sănătate (categorie specială — Art. 9 GDPR) sunt prelucrate în baza:

  • Art. 9 alin. (2) lit. (a) GDPR — consimțământul tău explicit, acordat în scris prin formularul de consimțământ semnat la prima vizită.
  • Art. 9 alin. (2) lit. (h) GDPR — prelucrarea este necesară în scopuri de medicină preventivă, diagnostic, furnizarea de asistență sau tratament medical.
  • Legea 46/2003 — Legea drepturilor pacientului din România.
  • Ordinul MS 1410/2016 și reglementările privind fișa medicală.

Datele de identificare și facturare sunt prelucrate în baza Art. 6 alin. (1) lit. (b) GDPR — executarea contractului de servicii, și Art. 6 alin. (1) lit. (c) — obligații legale fiscale.

4. Scopul prelucrării

  • Furnizarea serviciilor integrate: Brain Mapping QEEG, neurofeedback, PBM, HRV Biofeedback, tDCS, TMS, evaluări H3
  • Generarea rapoartelor clinice (PDF-uri cu rezultate QEEG, HRV, scoruri validate)
  • Monitorizarea progresului (comparații pre/post protocol)
  • Comunicări legate de programări, follow-up, recomandări clinice
  • Facturare și îndeplinirea obligațiilor fiscale și contabile
  • Îmbunătățirea serviciilor (analize agregate, anonimizate)

5. Durata stocării datelor

  • Fișe medicale (QEEG, HRV, rapoarte clinice, anamneze): 25 de ani de la ultima interacțiune, conform legislației române privind arhivarea documentelor medicale.
  • Date de facturare și contabile: 10 ani, conform Legii contabilității 82/1991.
  • Date de contact (marketing, newsletter): până la retragerea consimțământului sau maxim 5 ani de la ultima interacțiune.
  • Date tehnice / cookies: conform politicii de cookies, maxim 13 luni.

6. Partajarea datelor și transferuri internaționale

Datele tale medicale nu sunt vândute, închiriate sau partajate cu terți în scop de marketing. Datele pot fi partajate, strict în scopul furnizării serviciului, cu următoarele categorii de destinatari:

  • iMediSync (Coreea de Sud): procesare QEEG prin baza de date normativă. Transfer pe bază de clauze contractuale standard (SCCs). Datele transmise sunt pseudonimizate.
  • Resend, Inc. (SUA): furnizor de email tranzacțional pentru confirmări programări și comunicare operațională. Transfer pe bază de SCCs.
  • Cal.com, Inc. (SUA): platformă de programare online. Transfer pe bază de SCCs.
  • Vercel Inc. (SUA): infrastructură de hosting pentru acest site. Transfer pe bază de SCCs.
  • Telegram FZ-LLC (EAU): canal intern de notificare operațională pentru echipa AMD (alerte lead nou, programări). Nu stocăm conversații cu pacienți pe Telegram; se transmit doar: nume, email, sursa formularului, UTM. Transfer pe bază de consimțământ informat și măsuri tehnice minime (text encripted in transit).
  • MedSoft (România): sistem de management pacienți (CMS medical). Găzduit intern în cadrul clinicii Alchimeia, datele rămân în România. Acces strict pentru personalul medical și administrativ, în baza fișei postului.
  • Furnizori tehnici locali (contabilitate, IT, arhivare) — în baza contractelor de prelucrare (DPA) cu clauze GDPR stricte.
  • Autorități publice — doar când legea impune (CNAS, CNSSS, instanțe, organe de control).

Pentru detalii suplimentare privind garanțiile aplicate transferurilor internaționale, ne poți scrie la [DPO email TBD].

7. Drepturile tale (GDPR)

Conform GDPR, ai următoarele drepturi asupra datelor tale:

  • Dreptul de acces — să primești o copie a datelor pe care le prelucrăm despre tine.
  • Dreptul la rectificare — corectarea datelor inexacte sau incomplete.
  • Dreptul la ștergere („dreptul de a fi uitat") — cu excepția obligațiilor legale de retenție (fișa medicală).
  • Dreptul la restricționare — limitarea prelucrării în anumite condiții.
  • Dreptul la portabilitate — să primești datele într-un format structurat, uzual, citibil automat.
  • Dreptul de opoziție — față de prelucrări bazate pe interes legitim sau marketing direct.
  • Dreptul de a retrage consimțământul — în orice moment, fără a afecta legalitatea prelucrării anterioare.
  • Dreptul de a nu fi subiect al unei decizii automate — nu luăm decizii clinice exclusiv automat.

Pentru exercitarea oricăruia dintre aceste drepturi, scrie-ne la [DPO email TBD] sau la receptie@alchimeia.ro, ori în scris la sediu (Strada Sfântul Lazăr 1, Iași 700044, România). Răspundem în maxim 30 de zile calendaristice.

8. Securitatea datelor

Implementăm măsuri tehnice și organizatorice adecvate pentru protecția datelor: criptare în tranzit (TLS) și în repaus, acces restricționat pe bază de rol, autentificare pe mai mulți factori pentru conturile cu acces la date medicale, backup-uri securizate, jurnalizare acces, instruire periodică a personalului. Datele QEEG și rapoartele clinice sunt stocate pe servere cu acces limitat la personalul clinic autorizat.

9. Plângeri la autoritatea de supraveghere

Dacă simți că drepturile tale au fost încălcate, ai dreptul să depui o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP): www.dataprotection.ro, B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București.

10. Cookies și tehnologii de tracking

Site-ul folosește următoarele tehnologii, toate descrise explicit în bannerul de consimțământ afișat la prima vizită:

  • Vercel Analytics & Speed Insights — statistici anonimizate de trafic și performanță, fără cookies. Temei: interes legitim (Art. 6 alin. (1) lit. (f) GDPR).
  • Google Analytics 4 — comportament de navigare, funnel, conversii. Folosește cookies și se activează DOAR cu consimțământul tău explicit. Furnizor: Google Ireland Limited. Transfer de date în SUA pe bază de SCCs.
  • Meta Pixel — măsurare conversii publicitare și audiențe remarketing. Folosește cookies și se activează DOAR cu consimțământul tău explicit. Furnizor: Meta Platforms Ireland Limited. Transfer de date în SUA pe bază de SCCs.

Îți poți modifica oricând preferințele de cookies folosind linkul din subsolul site-ului. Dacă refuzi, GA4 și Meta Pixel nu se vor încărca.

11. Modificări ale politicii

Putem actualiza această politică ocazional. Modificările semnificative îți vor fi comunicate prin email sau printr-un anunț vizibil pe site. Data ultimei actualizări este afișată la începutul documentului.