Correct Logo

Politica de confidențialitate

Ultima actualizare: 30 aprilie 2026

O politică de confidențialitate e, de obicei, un perete de text pe care nu-l citește nimeni. Am încercat să o scriem cât mai clar și pe limba ta, ca să știi exact ce se întâmplă cu datele tale când folosești Correct. Dacă ai întrebări, scrie-ne oricând.

De ce această politică?

Correct este aplicația pentru scriere în limba română, iar Gramm este asistentul AI care te ajută să scrii mai clar și fără greșeli. Pentru a funcționa, avem nevoie de câteva informații despre tine — de la adresa de email până la textele pe care ni le trimiți spre corecție.

Această pagină îți explică, pas cu pas, ce date colectăm, de ce le colectăm, cum le protejăm și ce drepturi ai în legătură cu ele, conform Regulamentului general privind protecția datelor (GDPR, UE 2016/679) și legislației franceze aplicabile (Loi Informatique et Libertés).

Cine suntem?

Responsabilul prelucrării datelor tale (operatorul de date) este:

  • Denumire: Correct
  • Sediu: 11 rue du Val de Grâce, 75005 Paris, Franța
  • Email: hello@getcorrect.app
  • Website: getcorrect.app

Nu am desemnat un responsabil cu protecția datelor (DPO) deoarece nu întrunim condițiile prevăzute de Art. 37 GDPR. Persoana de contact pentru orice chestiune legată de date personale este accesibilă la hello@getcorrect.app. Răspundem de obicei în 1–3 zile lucrătoare.

Ce date colectăm?

Date pe care ni le dai tu

  • La înregistrare: adresa de email și parola (criptată), sau datele venite automat prin contul tău Google sau Facebook (email, nume, avatar).
  • Profilul: prenume, nume de familie, nume de afișare, username, avatarul ales, nivelul de limbă și, opțional, numărul de telefon (verificat prin SMS).
  • Textele tale: conținutul trimis pentru verificare gramaticală (maximum 8.000 de caractere per mesaj). Textul este procesat de inteligența artificială și stocat în contul tău.
  • Fișierele atașate: documente PDF, TXT, DOCX sau MD (maximum 10 MB). Extragem textul, dar nu păstrăm fișierul original.
  • Feedback-ul tău: aprecieri/deprecieri pe corecturi și reguli, comentarii și motivul eventual al ștergerii contului.
  • Cuvintele favorite: cuvintele salvate din dicționar, cu definiția și sursa lor.
  • Plăți și abonamente: când vom activa planurile plătite, Stripe va procesa datele necesare facturării și plății: email, nume, adresă de facturare, țară, identificatori de client/abonament/tranzacție, status plată și informații fiscale unde este necesar. Correct nu va stoca numărul complet al cardului.

Date colectate automat

  • Sesiunea ta: adresa IP, orașul și țara (derivate din IP, prin funcționalități de geolocalizare ale infrastructurii de hosting), tipul de browser și un identificator aleatoriu de dispozitiv (UUID stocat local). Le ștergem automat după 90 de zile.
  • Utilizarea: câte cuvinte ai verificat într-o zi (doar un contor numeric, nu conținutul textelor).
  • Performanța paginilor: metrici Web Vitals (LCP, FID, CLS), colectate anonim pentru optimizare.

Detecția automată a conținutului de criză

Correct analizează automat mesajele trimise pentru a detecta conținut care indică un posibil risc vital (de exemplu, autoagresiune sau gânduri suicidare). Detecția se face prin două mecanisme:

  • Potrivire locală de cuvinte cheie — un set de expresii în limba română, verificat pe serverul nostru, fără apel extern.
  • OpenAI Moderation API — un algoritm de clasificare automat, care verifică conținutul mesajului.

Când un mesaj este identificat ca fiind de criză, afișăm imediat numere de telefon de urgență (Telefonul Verde Antisuicid, Telefonul Copilului, 112). Nu salvăm, nu stocăm și nu înregistrăm conținutul mesajului detectat. Detecția funcționează în timp real, în memorie, fără nicio persistență în baza de date.

Ce NU colectăm

Nu colectăm date biometrice, nu folosim trackere publicitare și nu vindem niciodată datele tale către terți.

Precizare despre UUID: Identificatorul de dispozitiv (UUID) menționat mai sus este un cod aleatoriu generat o singură dată și stocat exclusiv pe dispozitivul tău. Îl folosim doar pentru detectarea dispozitivelor noi (notificări de securitate) și pentru rate limiting. Nu combinăm acest identificator cu alte semnale (rezoluție ecran, fonturi instalate etc.) pentru a construi o amprentă digitală (fingerprint) și nu îl folosim pentru publicitate sau urmărire cross-site.

Cum folosim datele din contul tău Google?

Această secțiune se aplică doar dacă alegi să te conectezi cu Google, să folosești Google One Tap sau să conectezi Google ca metodă de autentificare în contul tău Correct. Accesul este limitat la scopurile OAuth strict necesare pentru autentificare: openid, userinfo.email și userinfo.profile.

Ce date accesăm de la Google

  • adresa ta de email asociată contului Google;
  • numele complet sau, dacă Google le trimite separat, prenumele și numele de familie;
  • fotografia de profil, dacă există în contul tău Google și este pusă la dispoziție de furnizor;
  • un identificator tehnic al identității Google și datele temporare necesare pentru finalizarea autentificării prin Supabase.

Nu accesăm Gmail, Google Drive, Google Calendar, Google Contacts sau alte date din contul tău Google. Cerem doar informațiile strict necesare pentru autentificare și configurarea profilului. Nu folosim tokenurile Google pentru a apela API-uri Google în numele tău.

Cum folosim aceste date

  • ca să îți creăm contul sau să te autentificăm în contul Correct;
  • ca să legăm contul Google la un cont existent, dacă alegi asta din setări;
  • ca să precompletăm profilul și onboarding-ul cu numele tău și, dacă există, fotografia de profil;
  • ca să îți afișăm numele și avatarul în interfață;
  • ca să protejăm contul și să prevenim fraudele sau conectările abuzive.

Nu folosim datele venite de la Google pentru publicitate, profilare comercială, vânzare către terți sau antrenarea modelelor noastre AI. Utilizarea datelor Google este limitată la funcțiile vizibile ale contului tău și respectă Google API Services User Data Policy, inclusiv cerințele de Limited Use.

Cu cine pot fi partajate

  • Supabase — pentru autentificare, gestionarea identității și stocarea securizată a contului tău.
  • Brevo — doar adresa de email și, când este disponibil, prenumele, pentru emailuri tranzacționale de cont și pentru emailuri opționale pe care alegi să le primești.

Nu transferăm și nu vindem datele Google către rețele de publicitate, brokeri de date sau alți revânzători de informații.

Cum le stocăm și protejăm

Datele de profil folosite pentru contul tău sunt stocate în Supabase, în regiunea Europe Central (Frankfurt). Le protejăm prin conexiuni criptate (TLS), controale de acces, Row Level Security, parole hash-uite și loguri sanitizate, astfel încât emailurile, telefoanele și tokenurile să nu apară în clar. Datele sunt accesibile doar persoanelor autorizate care au nevoie de ele pentru operarea, securizarea sau suportul serviciului.

Cât timp le păstrăm și cum le poți șterge

Păstrăm datele venite de la Google cât timp contul tău Correct este activ sau cât timp metoda Google rămâne conectată la cont. Poți cere ștergerea lor în orice moment prin deconectarea metodei Google, prin ștergerea contului din setări sau scriindu-ne la hello@getcorrect.app. După ștergere, eliminăm datele din sistemele active și transmitem cererea de ștergere către procesatorii care le găzduiesc. Jurnalele de securitate dezidentificate pot rămâne separat, pentru maximum 12 luni, fără legătură directă cu identitatea ta.

Ce date sunt obligatorii și ce e opțional?

Nu orice dată e necesară. Iată ce e obligatoriu și ce e opțional:

  • Email și parolă: obligatorii (condiție contractuală). Fără ele, nu putem crea contul și nu poți folosi serviciul.
  • Prenume și nume de afișare: obligatorii la completarea profilului (personalizare serviciu).
  • Număr de telefon: opțional. Îl poți adăuga pentru verificare suplimentară, dar serviciul funcționează perfect fără el.
  • Textele trimise: necesare pentru furnizarea serviciului de corecturi (condiție contractuală). Fără text, nu avem ce corecta.
  • Feedback-ul: complet opțional. Ne ajută să îmbunătățim serviciul, dar nu e obligatoriu.

Dacă nu furnizezi datele obligatorii, consecința e simplă: nu putem furniza serviciul (contul nu poate fi creat sau funcțiile cheie nu pot fi utilizate).

Pe ce bază legală prelucrăm datele?

Suntem obligați de GDPR să avem un motiv clar pentru fiecare tip de prelucrare. Iată care sunt:

  • Executarea contractului (Art. 6(1)(b)): serviciul de corecturi gramaticale, stocarea conversațiilor și gestionarea contului tău.
  • Interes legitim (Art. 6(1)(f)): notificările de securitate (de exemplu, când te conectezi de pe un dispozitiv nou), protecția contra abuzurilor (rate limiting) și logurile de audit.
  • Consimțământ (Art. 6(1)(a)): emailuri de marketing și sfaturi. Poți retrage consimțământul oricând din setările profilului.
  • Obligație legală (Art. 6(1)(c)): răspunsul la solicitările autorităților competente, dacă este cazul.
  • Siguranța utilizatorului: dacă detectăm conținut care indică un posibil risc, afișăm imediat numere de telefon de urgență. Prelucrarea are loc exclusiv în timp real, fără stocare.

Cu cine mai ajung datele tale?

Nu vindem și nu cedăm datele tale nimănui. Totuși, pentru ca Correct să funcționeze, colaborăm cu câțiva furnizori de încredere. Fiecare are propriile politici de protecție a datelor și clauze contractuale standard conform GDPR.

Infrastructură și hosting

  • Vercel (SUA, certificat EU-US Data Privacy Framework) — hosting și livrarea paginilor.
  • Supabase (regiunea Europe Central — Frankfurt, UE) — autentificare, baza de date, funcții serverless. Toate datele sunt protejate prin Row Level Security (fiecare utilizator vede doar datele proprii). Baza de date principală este găzduită în UE; dacă suportul sau sub-procesatorii Supabase implică acces din afara UE, acesta este acoperit prin DPA și clauze contractuale standard.
  • Upstash (UE) — cache temporar (corecturi: 7 zile, dicționar: 90 de zile) și rate limiting. Stocăm doar date tehnice necesare (fără conținutul textelor).

Inteligență artificială

  • OpenAI (SUA) — procesarea textelor pentru corecturi gramaticale. Trimitem către OpenAI doar conținutul pe care îl introduci pentru corectare. Nu includem intenționat identificatori ai contului (email, user ID) în cererea trimisă. Totuși, dacă textul pe care ni-l trimiți conține date cu caracter personal (de exemplu, un nume, o adresă sau un CNP), acestea vor fi procesate de OpenAI în cadrul corecturii. Conform termenilor API, OpenAI nu folosește datele trimise prin API pentru antrenarea modelelor.

Emailuri

  • Brevo (Franța, UE) — trimiterea emailurilor tranzacționale (resetare parolă, notificări de securitate) și de marketing (sfaturi săptămânale). Primește emailul tău, prenumele, tipul de cont și data înregistrării.

Plăți și abonamente

  • Stripe — planificat pentru paid launch. Stripe va procesa plăți, facturi, abonamente, metode de plată și date antifraudă doar dacă alegi un plan plătit. Până la activarea plăților, Stripe nu primește date din contul tău Correct.

Monitorizare și erori

  • Axiom (SUA, clauze contractuale standard) — loguri de performanță și Web Vitals. Datele personale sunt pseudonimizate (hashing HMAC) înainte de transmitere.
  • Sentry (SUA, certificat EU-US Data Privacy Framework) — detectarea erorilor aplicației, cu protecție PII activată. Nu trimitem corpul requestului, textele tale, emailuri, telefoane, cookie-uri, tokenuri sau identificatori de cont în clar.

Autentificare externă

  • Google — furnizor de autentificare OAuth și Google One Tap. Detaliile exacte despre datele accesate, utilizate, stocate și șterse sunt explicate în secțiunea „Cum folosim datele din contul tău Google?”.
  • Facebook — autentificare OAuth. Primim emailul și numele tău. Oferim și un endpoint dedicat pentru ștergerea datelor, conform cerințelor Meta.

Verificarea parolelor

  • Have I Been Pwned (SUA) — verificăm dacă parola aleasă apare în breșe de securitate cunoscute, folosind protocolul k-anonymity. Trimitem doar primele 5 caractere din hash-ul parolei, nu parola în sine.

Unde găsești lista de sub-procesatori?

Pentru transparență, publicăm separat lista furnizorilor care pot prelucra date în numele Correct: rolul fiecăruia, categoriile de date implicate, locația principală și garanțiile de transfer.

Lista este disponibilă pe pagina Sub-procesatori Correct. O actualizăm când adăugăm, eliminăm sau schimbăm rolul unui furnizor important.

Cât timp păstrăm datele?

Nu păstrăm nimic mai mult decât e necesar. Iată concret:

  • Contul și conversațiile: cât timp contul este activ. La ștergerea contului, ștergem datele din cont și conversațiile asociate, cu excepția cazurilor în care anumite date trebuie păstrate într-o formă pseudonimizată/dezidentificată pentru audit și securitate (de exemplu, jurnalul de securitate).
  • Sesiunile (IP, browser, locație): șterse automat după 90 de zile.
  • Feedback-ul anonim: șters automat după 90 de zile.
  • Cache-ul de corecturi: expiră automat în 7 zile.
  • Cache-ul dicționarului: expiră automat în 90 de zile.
  • Jurnalul de securitate: păstrat maximum 12 luni în scop de prevenire a fraudelor. La ștergerea contului, jurnalul este dezidentificat — evenimentele rămân, dar fără legătură cu tine.
  • Date de facturare și plăți: când planurile plătite vor fi active, păstrăm intern doar identificatorii de abonament/tranzacție și statusul necesar contului tău. Stripe păstrează datele de plată și facturare conform obligațiilor sale legale și contractuale.

Datele tale ajung în afara UE?

Câțiva dintre furnizorii noștri au sediul în Statele Unite. Transferurile sunt protejate prin mecanisme diferite, în funcție de furnizor:

  • Vercel, Sentry și Stripe: certificate EU-US Data Privacy Framework (DPF), cu clauze contractuale standard (SCC) ca mecanism alternativ acolo unde este necesar. Stripe va fi folosit doar pentru paid launch.
  • OpenAI și Axiom: clauze contractuale standard (SCC) aprobate de Comisia Europeană, completate de garanții tehnice suplimentare.
  • Supabase și Brevo: infrastructura principală este în UE (Frankfurt, respectiv Franța). Dacă suportul, securitatea sau sub-procesatorii lor implică acces din afara UE, transferul se face în baza DPA-urilor și a clauzelor contractuale standard aplicabile.
  • Upstash: datele operaționale folosite de Correct sunt configurate în UE; eventualele transferuri administrative sunt acoperite prin mecanismele contractuale ale furnizorului.

Măsuri tehnice suplimentare aplicate tuturor transferurilor: criptare în tranzit (TLS), hashing HMAC pentru datele personale din loguri, Row Level Security pe baza de date.

Cum protejăm datele?

Securitatea nu e un checkbox pe care îl bifăm și gata. E ceva la care lucrăm continuu. Iată câteva din măsurile pe care le aplicăm:

  • Criptare în tranzit (TLS/HTTPS) pe toate comunicațiile.
  • Parole criptate cu bcrypt, niciodată stocate în clar.
  • Verificare contra breșelor de securitate cunoscute (HIBP) la crearea parolei.
  • Protecție CSRF pe toate acțiunile sensibile.
  • Content Security Policy (CSP) contra atacurilor XSS.
  • Rate limiting pe API-uri cu blocare automată la depășire.
  • Row Level Security (RLS) — fiecare utilizator accesează doar datele sale.
  • Notificări de securitate la conectarea de pe un dispozitiv nou.
  • Loguri de securitate pseudonimizate (PII sanitizat prin HMAC hashing).

Folosim decizii automatizate sau profilare?

Correct folosește inteligența artificială (modele de limbaj de la OpenAI) pentru a procesa textele pe care le trimiți și a genera sugestii de corecturi. Acest lucru este o prelucrare automatizată, dar:

  • Fără efecte juridice: Sugestiile de corecturi nu produc efecte juridice și nu te afectează în mod semnificativ. Ești liber să le accepți sau să le ignori.
  • Fără profilare: Nu construim profiluri despre tine pe baza textelor trimise. Nu analizăm preferințele, comportamentul sau personalitatea ta.
  • Rate limiting: Folosim un sistem automatizat de limitare a cererilor (pe baza IP-ului și a identificatorului de dispozitiv) pentru protecție contra abuzurilor. Acesta nu constituie profilare în sensul Art. 22 GDPR.

Nu luăm nicio decizie automatizată în sensul Art. 22 GDPR (adică decizii care produc efecte juridice sau similare fără intervenție umană).

Detecția automată a crizelor

Detecția conținutului de criză (autoagresiune, gânduri suicidare) se face automat, prin două mecanisme: un set de reguli locale de potrivire a cuvintelor cheie în limba română și un algoritm de clasificare AI (OpenAI Moderation API). Când este detectat un mesaj de risc, sistemul afișează imediat numere de telefon de urgență. Nu se salvează nicio dată legată de detecție — procesarea are loc exclusiv în memorie, în timp real.

Această prelucrare automată nu produce efecte juridice și nu afectează accesul tău la serviciu. Prelucrarea are loc exclusiv în timp real, fără stocare.

Ce drepturi ai?

GDPR îți acordă o serie de drepturi. Le respectăm pe toate și am făcut în așa fel încât majoritatea să le poți exercita direct, fără să ne trimiți niciun email:

  • Dreptul de acces (Art. 15): poți solicita o copie a tuturor datelor pe care le deținem despre tine.
  • Dreptul la rectificare (Art. 16): poți corecta datele inexacte direct din pagina de profil.
  • Dreptul la ștergere (Art. 17): poți șterge contul și toate datele asociate din setări. Ștergerea e ireversibilă și elimină datele din toate sistemele noastre, inclusiv de la sub-procesatori.
  • Dreptul la restricționare (Art. 18): poți solicita limitarea prelucrării în anumite circumstanțe.
  • Dreptul la portabilitate (Art. 20): poți exporta datele de profil în format JSON din setări și, unde funcția este disponibilă, conversațiile în format HTML. Pentru o copie completă a datelor asociate contului, ne poți scrie la adresa de contact.
  • Dreptul de opoziție (Art. 21): te poți opune prelucrării bazate pe interes legitim.
  • Retragerea consimțământului (Art. 7(3)): poți dezactiva emailurile de marketing din setările profilului, oricând.

Dacă preferi să faci o solicitare formală, scrie-ne la hello@getcorrect.app. Răspundem în maximum 30 de zile calendaristice.

Copii și minori

Correct nu este destinat persoanelor sub 16 ani. Prin crearea unui cont, utilizatorul confirmă că are cel puțin 16 ani. Dacă afli că un copil sub 16 ani și-a creat un cont, scrie-ne și ștergem datele imediat.

Correct nu este, în această etapă, un produs pentru administrarea claselor, elevilor sau temelor școlare de către instituții. Dacă un profesor, o școală sau o organizație vrea să folosească serviciul cu date despre elevi sau minori, trebuie să ne contacteze înainte, pentru o evaluare GDPR separată.

Unde poți depune o plângere?

Dacă consideri că datele tale nu sunt tratate cum trebuie, poți depune o plângere la autoritatea de protecție a datelor.

CNIL — autoritatea din Franța (statul operatorului)

  • Adresă: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Website: www.cnil.fr
  • Telefon: +33 1 53 73 22 22

ANSPDCP — autoritatea din România (pentru utilizatorii din România)

Conform Art. 77 GDPR, poți depune plângerea la autoritatea din statul tău de reședință, din locul de muncă sau din locul presupusei încălcări.

Dar, sincer, am prefera să încercăm mai întâi să rezolvăm lucrurile direct. Scrie-ne la hello@getcorrect.app și vom face tot posibilul.

Se poate schimba această politică?

Da, o putem actualiza periodic. Dacă modificările sunt semnificative, te vom anunța prin email sau printr-o notificare în aplicație cu cel puțin 30 de zile înainte. Data ultimei actualizări e mereu afișată sus, pe această pagină.

Cum ne contactezi?

Pentru orice întrebare legată de confidențialitatea datelor tale, scrie-ne la hello@getcorrect.app. Suntem aici.