AscultAI – Politica de Confidențialitate

Despre noi

Serviciul AscultAI este furnizat de ApolloIQ SRL, o companie de tehnologie AI cu sediul în Marea Britanie, specializată în automatizare și soluții bazate pe inteligență artificială pentru sectorul medical. AscultAI este un scrib medical AI care transformă conversațiile clinice în note medicale structurate, ajutând profesioniștii din domeniul sănătății să reducă sarcina administrativă și să se concentreze pe pacienți.

Prin prezenta Politică de Confidențialitate, ne angajăm să protejăm datele tale cu caracter personal și să asigurăm transparența privind modul în care le colectăm, procesăm și stocăm. Respectăm în totalitate prevederile Regulamentului General privind Protecția Datelor (GDPR) și legislația aplicabilă în domeniul protecției datelor.

Responsabil cu protecția datelor (DPO):
Vlad Repede
Email: vlad.repede@apolloiq.co.uk

Ce date colectăm?

Colectăm și procesăm mai multe categorii de date personale, în funcție de modul în care interacționezi cu serviciul AscultAI. Mai jos sunt detaliate categoriile principale:

Date de cont

Atunci când îți creezi un cont AscultAI, colectăm informații de bază necesare pentru autentificare și gestionarea contului tău. Acestea includ numele tău complet, adresa de email, informații profesionale (specialitatea medicală, clinica sau instituția de care aparții) și preferințele de utilizare a platformei.

Date de utilizare

Pe parcursul utilizării platformei, colectăm automat informații tehnice referitoare la activitatea ta. Acestea includ log-uri de acces (data și ora autentificărilor, adresa IP), statistici agregate privind utilizarea serviciului (număr de transcrieri, durata sesiunilor) și informații despre dispozitivul și browserul utilizat.

Date din conversații

Funcționalitatea principală a AscultAI presupune procesarea înregistrărilor audio din consultațiile medicale. Aceste înregistrări audio sunt procesate temporar pentru a genera transcrierile text corespunzătoare. Înregistrările audio nu sunt stocate pe termen lung după finalizarea procesului de transcriere.

Date medicale

În contextul utilizării medicale a serviciului, AscultAI poate procesa date de sănătate ale pacienților, așa cum sunt definite de Articolul 9 al GDPR. Aceste date sunt considerate categorii speciale de date personale și beneficiază de garanții suplimentare de protecție. Prelucrarea lor se face exclusiv în scopul furnizării serviciului de transcriere și structurare a notelor medicale, pe baza consimțământului și a instrucțiunilor Operatorului (clientul nostru).

Note și documente generate

AscultAI generează automat note medicale structurate, rezumate și alte documente pe baza conversațiilor transcrise. Aceste output-uri sunt create de inteligența artificială și sunt puse la dispoziția utilizatorului pentru revizuire, editare și validare. Responsabilitatea privind acuratețea și utilizarea acestor documente revine exclusiv utilizatorului.

Cum colectăm datele?

Datele tale sunt colectate prin trei canale principale:

Direct de la tine

Colectăm date pe care ni le furnizezi în mod direct atunci când îți creezi contul, completezi profilul profesional, configurezi preferințele de utilizare sau ne contactezi pentru suport. Aceste date sunt furnizate în mod voluntar de către tine.

Automat, prin utilizarea platformei

Pe parcursul utilizării serviciului AscultAI, anumite date sunt colectate în mod automat. Acestea includ log-urile de acces la platformă, statisticile agregate de utilizare, informațiile tehnice despre dispozitiv și browser, precum și datele necesare pentru asigurarea securității și funcționării optime a serviciului.

Prin procesarea conversațiilor

Atunci când utilizezi funcționalitatea de transcriere a AscultAI, datele sunt colectate prin procesarea fluxului audio capturat de aplicație. Procesul urmează o secvență clară: audio → text (transcriere) → note structurate (generate de AI). Fiecare etapă este realizată cu respectarea strictă a principiului minimizării datelor și a securității informațiilor.

Cum folosim datele?

Datele tale personale sunt utilizate exclusiv în scopurile descrise mai jos. Ne angajăm să nu le folosim pentru niciun alt scop fără a te informa în prealabil.

Furnizarea Serviciului

Scopul principal al prelucrării datelor este furnizarea serviciului AscultAI: transcrierea conversațiilor clinice, generarea de note medicale structurate, oferirea de funcționalități de editare și gestionare a documentelor clinice. Datele sunt procesate exclusiv pentru a-ți oferi instrumentele și rezultatele pe care le soliciți prin utilizarea platformei.

Statistici agregate și anonimizate

Utilizăm date agregate și complet anonimizate pentru a genera statistici privind performanța serviciului, timpii de procesare și volumele de utilizare. Aceste statistici nu conțin date cu caracter personal și nu permit identificarea niciunui utilizator individual sau pacient.

Conformitate cu cerințele legale

Putem prelucra datele tale în măsura necesară pentru a ne conforma obligațiilor legale aplicabile, inclusiv răspunsurile la solicitări ale autorităților competente, respectarea reglementărilor fiscale și contabile, sau exercitarea și apărarea drepturilor noastre legale.

Important: Nu antrenăm modele AI cu datele tale AscultAI NU folosește datele din conversații, transcrieri sau note medicale pentru antrenarea, re-antrenarea sau îmbunătățirea modelelor de inteligență artificială. Datele tale clinice rămân ale tale și sunt utilizate exclusiv pentru a-ți furniza serviciul solicitat.

Rolurile noastre: Operator și Procesator

Conform prevederilor GDPR, în relația de prelucrare a datelor personale, fiecare parte are un rol clar definit:

Clientul = Operatorul de date (Data Controller)

Clientul nostru (clinica, cabinetul medical sau profesionistul din domeniul sănătății care utilizează AscultAI) acționează în calitate de Operator de date. Operatorul este cel care stabilește scopul și mijloacele prelucrării datelor cu caracter personal ale pacienților săi. Operatorul este responsabil pentru legalitatea colectării datelor, obținerea consimțământului necesar și informarea persoanelor vizate (pacienților) cu privire la prelucrare.

ApolloIQ = Procesatorul de date (Data Processor)

ApolloIQ SRL acționează în calitate de Procesator de date, conform Articolului 28 al GDPR. Aceasta înseamnă că prelucrăm datele personale exclusiv pe baza instrucțiunilor documentate ale Operatorului, în scopul furnizării serviciului AscultAI. Nu prelucrăm datele în scopuri proprii și nu le utilizăm în niciun alt mod decât cel stabilit prin contractul de servicii.

Relația dintre Operator și Procesator este reglementată printr-un Addendum privind Prelucrarea Datelor (DPA), care definește în detaliu obligațiile fiecărei părți, măsurile de securitate implementate, procedurile de notificare și drepturile persoanelor vizate.

Unde stocăm datele?

Securitatea geografică a datelor este un aspect fundamental al strategiei noastre de protecție. Toate datele prelucrate prin AscultAI sunt stocate și procesate exclusiv în Uniunea Europeană.

Infrastructura noastră se bazează pe Microsoft Azure, utilizând centrul de date din regiunea North Europe (Irlanda). Această locație asigură conformitatea deplină cu cerințele GDPR privind transferurile de date și oferă un nivel ridicat de securitate fizică și logică.

Nu efectuăm transferuri de date către țări din afara Spațiului Economic European (SEE). Toate operațiunile de prelucrare, inclusiv transcrierea, generarea de note și stocarea documentelor, se desfășoară integral pe serverele situate în UE.

Garanția localizării datelor Datele tale nu părăsesc niciodată granițele Uniunii Europene. Aceasta include atât datele în tranzit, cât și datele stocate, precum și orice copii de siguranță (backup-uri) generate de sistem.

Cu cine partajăm datele?

Protecția datelor tale înseamnă și limitarea strictă a accesului terților la informațiile tale personale. Partajăm date doar în situațiile absolut necesare și cu respectarea celor mai stricte standarde de securitate.

Sub-procesator aprobat: Microsoft Azure

Singurul sub-procesator aprobat este Microsoft Azure (UE), care furnizează infrastructura de cloud computing pe care funcționează AscultAI. Microsoft acționează în calitate de sub-procesator, fiind supus acelorași obligații contractuale de protecție a datelor ca și ApolloIQ. Toate serviciile Microsoft utilizate sunt configurate pentru a opera exclusiv în Uniunea Europeană.

Nu partajăm datele pentru marketing

Nu vindem, nu închiriem și nu partajăm datele tale cu caracter personal cu terți în scopuri de marketing, publicitate sau profilare comercială. Datele tale nu sunt niciodată accesate de parteneri comerciali, agenții de publicitate sau brokeri de date.

Situații în care partajarea este permisă

Partajarea datelor se face doar în două situații clar delimitate:

Pentru furnizarea serviciului — exclusiv cu sub-procesatorii aprobați, în limita strict necesară pentru operarea platformei AscultAI.
Conform cerințelor legale — în situațiile în care suntem obligați prin lege să divulgăm informații, ca răspuns la o hotărâre judecătorească, un mandat sau o solicitare oficială a unei autorități competente.

Cum protejăm datele?

Implementăm un set comprehensiv de măsuri tehnice și organizatorice pentru a asigura protecția datelor tale personale împotriva accesului neautorizat, pierderii, modificării sau distrugerii accidentale.

Măsuri tehnice

Control al accesului pe bază de roluri (RBAC) — Accesul la date este acordat strict pe baza rolului fiecărui utilizator, asigurând că fiecare persoană autorizată poate accesa doar datele necesare îndeplinirii sarcinilor sale.
Criptarea comunicațiilor (TLS 1.2+) — Toate datele transmise între dispozitivul tău și serverele AscultAI sunt criptate folosind protocoale TLS versiunea 1.2 sau superioară, prevenind interceptarea informațiilor în tranzit.
Criptarea datelor stocate (AES-256) — Datele stocate pe serverele noastre sunt protejate prin criptare AES cu o lungime a cheii de 256 de biți, un standard de securitate utilizat la nivel militar.
Acces limitat conform principiului minimizării — Aplicăm principiul „need-to-know", ceea ce înseamnă că accesul la date este restricționat la nivelul minim necesar pentru funcționarea serviciului.

Măsuri organizatorice

Audit intern periodic — Efectuăm evaluări periodice ale măsurilor de securitate implementate, identificând și remediind potențiale vulnerabilități înainte de a fi exploatate.
Obligația de confidențialitate — Întregul personal autorizat al ApolloIQ care are acces la datele personale a semnat angajamente de confidențialitate și este instruit periodic cu privire la obligațiile de protecție a datelor.
Politici și proceduri interne — Deținem politici documentate privind gestionarea accesului, răspunsul la incidente de securitate, recuperarea în caz de dezastru și continuitatea activității.

Care sunt drepturile tale?

Conform Regulamentului General privind Protecția Datelor (GDPR), beneficiezi de un set complet de drepturi privind datele tale cu caracter personal. Poți exercita oricare dintre aceste drepturi contactându-ne la adresa indicată mai jos.

Dreptul de acces — Ai dreptul să soliciți o copie a datelor personale pe care le deținem despre tine, precum și informații despre modul în care le prelucrăm. Îți vom furniza aceste informații într-un format clar și accesibil.
Dreptul la rectificare — Dacă datele tale personale sunt inexacte sau incomplete, ai dreptul să soliciți corectarea sau completarea acestora fără întârziere.
Dreptul la ștergere („dreptul de a fi uitat") — Poți solicita ștergerea datelor tale personale atunci când acestea nu mai sunt necesare pentru scopul în care au fost colectate, când îți retragi consimțământul sau când prelucrarea este ilegală.
Dreptul la restricționarea prelucrării — Ai dreptul de a solicita limitarea prelucrării datelor tale în anumite situații, de exemplu atunci când contești exactitatea datelor sau te opui prelucrării.
Dreptul la portabilitatea datelor — Poți solicita primirea datelor tale personale într-un format structurat, utilizat în mod curent și care poate fi citit automat, precum și transferul acestor date către un alt operator.
Dreptul de opoziție — Ai dreptul de a te opune prelucrării datelor tale personale în orice moment, din motive legate de situația ta particulară.
Dreptul de a depune plângere — Dacă consideri că prelucrarea datelor tale personale încalcă prevederile GDPR, ai dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) din România.

Pentru exercitarea oricăruia dintre aceste drepturi, te rugăm să ne contactezi la adresa:
Email: vlad.repede@apolloiq.co.uk

Vom răspunde solicitării tale în termen de cel mult 30 de zile calendaristice de la primirea cererii. În cazuri complexe, acest termen poate fi prelungit cu încă 60 de zile, cu notificarea ta prealabilă.

Retenția și ștergerea datelor

Datele tale personale sunt păstrate pe durata contractului de utilizare a serviciului AscultAI. Aplicăm principiul limitării stocării, ceea ce înseamnă că datele nu sunt reținute mai mult decât este necesar pentru scopul în care au fost colectate.

Pe durata contractului

Cât timp contul tău este activ și contractul de servicii este în vigoare, păstrăm datele tale pentru a-ți furniza serviciul AscultAI în mod continuu. Datele de cont, preferințele, transcrierile și notele generate sunt disponibile pe toată această perioadă.

La încetarea contractului

La momentul încetării contractului de utilizare, fie prin expirare, fie prin reziliere, se aplică următoarea procedură:

Exportul datelor — Clientul (Operatorul) poate solicita exportul tuturor datelor sale într-un format standard și interoperabil, într-un termen rezonabil de la încetarea contractului.
Ștergerea datelor — După expirarea termenului de export, toate datele personale sunt șterse definitiv sau anonimizate ireversibil din sistemele noastre, inclusiv din backup-uri, într-un termen rezonabil.
Excepții — Anumite date pot fi reținute și după încetarea contractului, în măsura impusă de legislația aplicabilă (de exemplu, date contabile sau fiscale impuse de lege, sau date necesare pentru exercitarea sau apărarea drepturilor legale).

Utilizarea în contexte medicale

AscultAI este conceput pentru a fi utilizat de profesioniștii din domeniul sănătății în cadrul consultațiilor medicale. Întrucât aceasta implică prelucrarea unor categorii speciale de date personale (date de sănătate, conform Articolului 9 al GDPR), se aplică garanții suplimentare și responsabilități specifice.

Responsabilitatea Operatorului privind consimțământul pacienților Clientul (Operatorul) este singurul responsabil pentru obținerea consimțământului pacienților ÎNAINTE de utilizarea funcționalității de înregistrare a AscultAI. Acest consimțământ trebuie să fie liber exprimat, specific, informat și lipsit de ambiguitate, în conformitate cu cerințele GDPR.

Obținerea consimțământului

Înainte de a începe înregistrarea unei consultații medicale cu AscultAI, profesionistul din domeniul sănătății trebuie să obțină consimțământul explicit al pacientului. Acest consimțământ poate fi:

Scris — Prin completarea unui formular de consimțământ pe hârtie sau în format electronic, semnat de pacient.
Verbal, documentat — Prin obținerea consimțământului verbal al pacientului, cu condiția documentării acestuia (de exemplu, notarea în fișa pacientului a faptului că consimțământul a fost acordat, inclusiv data și ora).

Șabloane de consimțământ

Platforma AscultAI poate pune la dispoziția Operatorului șabloane de consimțământ care conțin câmpuri pre-definite pentru documentarea consimțământului pacienților. Aceste șabloane sunt oferite ca instrument de facilitare și nu constituie consultanță juridică. Operatorul rămâne responsabil pentru adaptarea și utilizarea acestora în conformitate cu legislația locală aplicabilă.

Garanții suplimentare pentru date sensibile

Pentru datele de sănătate procesate prin AscultAI, se aplică următoarele garanții suplimentare, în conformitate cu Articolul 9 al GDPR:

Prelucrarea se face exclusiv pe baza consimțământului explicit al persoanei vizate sau pentru scopuri de medicină preventivă sau a muncii, diagnostic medical, furnizare de asistență sau tratament medical.
Accesul la datele de sănătate este strict limitat la personalul autorizat care este supus obligației de confidențialitate profesională.
Se aplică măsuri tehnice suplimentare de protecție, inclusiv criptare de nivel superior și audit detaliat al accesului.
Datele de sănătate nu sunt utilizate în niciun scop secundar, inclusiv cercetare sau statistică, fără anonimizarea completă sau consimțământul separat al persoanei vizate.

Notificarea încălcărilor de securitate

În cazul în care se produce o încălcare a securității datelor cu caracter personal (data breach), ApolloIQ va acționa prompt și în conformitate cu Articolele 33 și 34 ale GDPR.

Notificarea Operatorului

În calitate de Procesator, ApolloIQ va notifica Operatorul (clientul) fără întârziere nejustificată după ce devine conștient de o încălcare a securității datelor personale. Notificarea va include:

Descrierea naturii încălcării — Tipul de date afectate, numărul aproximativ de persoane vizate și numărul aproximativ de înregistrări afectate.
Punct de contact — Numele și datele de contact ale responsabilului cu protecția datelor sau ale altui punct de contact de la care se pot obține informații suplimentare.
Consecințe probabile — O evaluare a consecințelor potențiale ale încălcării asupra drepturilor și libertăților persoanelor vizate.
Măsuri luate — O descriere a măsurilor luate sau propuse pentru remedierea încălcării și pentru atenuarea efectelor negative.

Cooperarea cu Operatorul

ApolloIQ va coopera pe deplin cu Operatorul în gestionarea încălcării, inclusiv prin furnizarea de informații suplimentare la cerere, asistență în notificarea autorității de supraveghere (ANSPDCP) și, dacă este cazul, în notificarea persoanelor vizate afectate.

Modificări ale politicii

Prezenta Politică de Confidențialitate poate fi actualizată periodic pentru a reflecta modificări ale practicilor noastre de prelucrare a datelor, ale legislației aplicabile sau ale serviciului AscultAI.

În cazul unor modificări substanțiale, te vom notifica cu cel puțin 15 zile înainte de intrarea în vigoare a noii versiuni. Notificarea se va face prin email la adresa asociată contului tău și/sau printr-un anunț vizibil pe platforma AscultAI.

Utilizarea continuă a serviciului AscultAI după intrarea în vigoare a versiunii actualizate a politicii constituie acceptarea modificărilor aduse. Dacă nu ești de acord cu noile prevederi, ai dreptul de a-ți închide contul și de a solicita ștergerea datelor tale, conform secțiunii „Retenția și ștergerea datelor".

Versiunile anterioare ale Politicii de Confidențialitate vor fi arhivate și pot fi solicitate prin contactarea DPO-ului nostru.

Contact

Pentru orice întrebări, solicitări sau nelămuriri legate de prezenta Politică de Confidențialitate sau de modul în care prelucrăm datele tale personale, te rugăm să ne contactezi:

Responsabil cu protecția datelor (DPO):
Vlad Repede
Email: vlad.repede@apolloiq.co.uk

De asemenea, ai dreptul de a depune o plângere la autoritatea de supraveghere competentă:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, cod poștal 010336, București, România
Website: www.dataprotection.ro
Email: anspdcp@dataprotection.ro