RENET AIRENET AIÎnapoi la autentificare →

Politica de confidențialitate

Ultima actualizare: 26 aprilie 2026

1. Cine suntem

RENET AI este un CRM imobiliar intern operat de Echipa Renet SRL, pentru uzul agenților imobiliari autorizați din rețeaua RENET Real Estate Network. Dacă ai întrebări despre această politică, ne poți contacta la sorin@sorinraducu.ro.

2. Date Google (Limited Use disclosure)

Conectarea contului Google este opțională. Când agentul alege să o facă, aplicația solicită următoarele scope-uri OAuth, fiecare cu un scop bine definit:

  • https://www.googleapis.com/auth/calendar.events — creăm/actualizăm/ ștergem în calendarul agentului exclusiv evenimentele generate de CRM (vizionări, întâlniri). Nu citim și nu modificăm evenimente create de alte aplicații.
  • https://www.googleapis.com/auth/contacts — salvăm în Google Contacts ale agentului contactele pe care acesta le introduce în CRM (one-way CRM → Google). Nu citim și nu modificăm contacte existente create de agent manual în Google.
  • https://www.googleapis.com/auth/gmail.send — trimitem emailuri exclusiv la cererea explicită a agentului (click pe „Trimite" în fișa de contact). Nu citim niciodată inbox-ul, nu căutăm, nu marcăm, nu stocăm conținutul mesajelor.
  • openid email profile — identificarea contului Google după consimțământ.

Limited Use disclosure. Utilizarea informațiilor primite prin Google APIs respectă Google API Services User Data Policy, inclusiv cerințele Limited Use:

  • Nu vindem datele Google și nu le transferăm către terți pentru reclamă.
  • Nu folosim datele Google pentru personalizarea anunțurilor sau segmentare de marketing.
  • Nu folosim datele Google pentru antrenarea modelelor AI sau ML (proprii sau terțe).
  • Nu permitem citirea datelor Google de către oameni, cu excepția cazurilor strict necesare: (a) consimțământul explicit al agentului, (b) obligații de securitate (prevenirea fraudei, protecție), (c) obligații legale, (d) agregare anonimizată pentru statistici interne.
  • Token-urile OAuth sunt stocate criptat la rest în baza noastră de date și nu sunt expuse frontend-ului. Token-urile pot fi revocate oricând de către agent din Setări → Integrări Google sau direct din contul Google personal. La revocare, toate datele derivate sunt șterse din CRM în maximum 48h.

3. Ce date colectăm

  • Date de cont: email, nume, telefon, rol, parolă (stocată hash bcrypt, niciodată în clar).
  • Date operaționale introduse de tine ca agent: informații despre proprietăți, contacte, cereri, activități și lead-uri pe care le adaugi în CRM.
  • Date tehnice minimale: adresă IP și user-agent pentru audit de securitate la login.

4. Cum folosim datele

Datele sunt folosite exclusiv pentru a furniza serviciul CRM — autentificare, organizarea portofoliului imobiliar, matching cerere↔proprietate, publicare pe portalurile pe care le alegi explicit și comunicări tranzacționale legate de cont. Nu vindem, închiriem sau afișăm datele tale către terți pentru marketing.

5. Cu cine le partajăm

  • Google — doar dacă conectezi contul Google din Setări (Calendar, Gmail). Partajarea se limitează la scopurile OAuth acordate explicit de tine.
  • WhatsApp — doar dacă conectezi WhatsApp prin modulul WAHA, pentru trimiterea mesajelor din CRM.
  • Portaluri imobiliare (Homezz, Lajumate, Imobiliare, Storia) — doar anunțurile pe care le publici explicit.
  • Furnizori de infrastructură — hosting VPS și stocare imagini (MinIO) operați de noi. Datele nu părăsesc infrastructura noastră fără consimțământul tău.

6. Drepturile tale (GDPR)

Conform Regulamentului (UE) 2016/679, ai dreptul la:

  • acces la datele tale personale;
  • rectificare (corectarea datelor incorecte);
  • ștergere ("dreptul de a fi uitat");
  • restricționarea prelucrării;
  • portabilitatea datelor;
  • opoziție la prelucrare.

Pentru exercitarea oricărui drept, trimite un email la sorin@sorinraducu.ro. Răspundem în maximum 30 de zile. Ai și dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (www.dataprotection.ro).

7. Securitatea datelor

Implementăm măsuri tehnice și organizatorice pentru a proteja datele tale, inclusiv datele sensibile primite prin Google APIs:

  • Criptare în tranzit: tot traficul între aplicație, browser și serviciile Google se face exclusiv prin HTTPS cu TLS 1.2+. Certificatele sunt emise de autorități recunoscute (Let's Encrypt) și reînnoite automat.
  • Criptare la rest: token-urile OAuth Google (access & refresh) sunt criptate cu Fernet (AES-128-CBC + HMAC-SHA256, autentificare integrală) înainte de a fi scrise în baza de date PostgreSQL. Cheia de criptare este stocată separat de baza de date, ca variabilă de mediu a serverului, accesibilă doar procesului backend. Parolele utilizatorilor sunt stocate ca hash bcrypt, niciodată în clar.
  • Control acces: autentificarea în CRM se face prin JWT (access token 30 minute + refresh token 7 zile). Fiecare endpoint API verifică rolul utilizatorului (admin, team_manager, agent, asistent) și filtrează datele conform principiului celui mai mic privilegiu — un agent vede doar datele proprii. Token-urile Google sunt asociate strict contului agentului care le-a emis și nu sunt expuse niciodată frontend-ului.
  • Izolare infrastructură: baza de date PostgreSQL și stocarea de fișiere (MinIO) rulează în rețea privată Docker, fără expunere directă la internet. Accesul administrativ la server se face exclusiv prin SSH cu chei publice (nu parole), pe port nestandard.
  • Retenție și ștergere: datele Google (token-uri, evenimente sincronizate, contacte, jurnale de trimitere email) sunt păstrate doar atât timp cât contul Google este conectat. La revocarea consimțământului — fie din Setări → Integrări Google în CRM, fie din myaccount.google.com/permissions — token-urile sunt șterse imediat, iar datele derivate (jurnale, copii cache) sunt eliminate în maximum 48 de ore. La închiderea contului de agent, toate datele personale sunt șterse în 30 de zile.
  • Monitorizare și audit: menținem loguri de acces și operații critice (login, OAuth grant/revoke, trimitere email, modificare permisiuni) timp de minimum 90 de zile, pentru detectarea accesului neautorizat. Logurile nu conțin conținut email, parole sau token-uri.
  • Notificare incidente: în cazul unui incident de securitate care afectează datele tale personale, te notificăm pe email în maximum 72 de ore de la identificare și informăm Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, conform articolelor 33-34 GDPR.
  • Limitare acces uman: niciun angajat sau colaborator nu citește datele Google ale agenților, cu excepția cazurilor strict necesare menționate la secțiunea 2 (consimțământ explicit, securitate, obligații legale, agregare anonimizată).

8. Cookies și contact

Folosim doar cookie-uri tehnice strict necesare pentru autentificare și sesiune. Nu folosim cookie-uri de tracking sau publicitate. Pentru orice întrebare legată de prelucrarea datelor, contactează sorin@sorinraducu.ro.