Politica Cookie
Politica de Cookie si Tracking gio
STATUS: Draft v0.1 (2026-04-27) — necesita REVIEW AVOCAT inainte de publicare.
Ultima actualizare: 2026-04-27 Versiune: v0.1
Pe scurt
gio nu foloseste cookie-uri de tracking, profilare sau publicitate. Nu folosim third-party trackers. Nu vindem si nu transferam date.
Pentru ca nu colectam date personale prin cookies, nu afisam un banner de consimtamant cookie (nu e necesar conform Directivei ePrivacy 2002/58/CE si Legii 506/2004).
1. Ce folosim
1.1 Cookie-uri tehnice strict necesare
| Cookie | Rol | Durata | Tip |
|---|---|---|---|
gio_session | autentificare admin/reviewer (doar pe pagini /admin/*) | 12 ore | first-party, httpOnly, Secure, SameSite=Strict |
gio_csrf | protectie CSRF pe formulare (/right-to-reply) | session | first-party, httpOnly, Secure, SameSite=Strict |
Aceste doua sunt strict necesare functionarii (Art. 5 alin. (3) ePrivacy: exceptie pentru cookie-uri tehnice strict necesare). Nu necesita consimtamant.
1.2 Analitica anonima — Plausible Analytics (sau Umami self-hosted)
Folosim Plausible Analytics (https://plausible.io) — sau echivalent self-hosted Umami — pentru a intelege:
- numarul aproximativ de vizitatori unici (estimat din hash IP+User-Agent rotat zilnic, fara stocare IP)
- paginile vizitate
- sursele de trafic (referrer, dar nu user)
- tara aproximativa (din IP, fara stocare)
- device type (mobile/desktop/tablet, fara fingerprint)
Plausible:
- NU foloseste cookie
- NU stocheaza adresa IP
- NU profileaza utilizatorul cross-site
- NU foloseste tehnici de fingerprinting
- E GDPR-compliant by design (certificat audit independent)
- Are sediul in Estonia (UE) — date raman in spatiul UE
1.3 Resurse self-hosted
Toate fonturile sunt self-hosted (Inter, Source Serif 4, in format WOFF2 servite de pe domeniul gio). Nu folosim Google Fonts, Adobe Fonts sau alte CDN-uri terte care ar putea seta cookies sau colecta date IP.
Imaginile, JavaScript-ul si CSS-ul sunt servite exclusiv de pe domeniul gio. Nu avem widget-uri externe (Facebook Like, Twitter Embed, YouTube embed cu cookie). Cand referim un video YouTube, folosim link extern simplu (anchor tag), care iti deschide YouTube intr-un tab nou cu propriile lor cookie-uri (controlate de YouTube/Google, nu de noi).
2. Ce NU folosim
Nu folosim niciuna dintre urmatoarele:
- ❌ Google Analytics (sau alte analytics cu cookie)
- ❌ Facebook Pixel
- ❌ Twitter / X tracking pixel
- ❌ LinkedIn Insight Tag
- ❌ AdSense / Google Ads / orice retea publicitara
- ❌ Hotjar, Mouseflow sau alte session replay tools
- ❌ Cookie-uri de marketing / remarketing
- ❌ Profile cross-site
- ❌ Fingerprinting prin canvas, audio, font-list, etc.
- ❌ Local Storage pentru tracking (folosit doar pentru preferinte UI personale, ex: tema light/dark — fara identificare)
- ❌ Server-side log-uri cu IP-ul stocat permanent (log-urile rotate la 7 zile, anonimizate)
3. De ce nu afisam cookie banner
Conform Directivei ePrivacy 2002/58/CE, transpusa in Legea 506/2004, un cookie banner e necesar doar pentru cookie-uri non-strict-necesare (tracking, marketing, profilare).
Pentru cookie-uri tehnice strict necesare (autentificare, securitate CSRF, preferinte UI personale fara tracking) NU e necesar consimtamant explicit.
Plausible Analytics, fiind cookieless si fara IP storage, nu cade sub regimul de consimtamant.
Daca pe viitor decidem sa adaugam orice cookie de tracking, vom afisa un banner conform regulilor in vigoare la momentul respectiv.
4. Drepturile tale GDPR (recap)
Chiar daca nu colectam date prin cookies, daca ne contactezi prin formular /right-to-reply sau email, datele tale (nume, email, mesaj) sunt prelucrate. Pentru aceste date:
- ai acces la datele tale (Art. 15)
- poti cere rectificare (Art. 16)
- poti cere stergere (Art. 17, dupa expirarea perioadei de retentie de 3 ani — vezi T&C sectiunea 8.3)
- poti formula plangere la ANSPDCP (www.dataprotection.ro)
5. Cum sa controlezi tracking-ul (chiar si pe alte site-uri)
Recomandari independente de gio, ca utilizator informat:
- activeaza "Do Not Track" in browser (desi nu toate site-urile il respecta — gio il respecta automat: nu rulam Plausible cand DNT=1)
- foloseste uBlock Origin sau Privacy Badger (extensii browser)
- foloseste Firefox cu protectie tracking strict, sau Brave browser
- pentru anonimitate ridicata: Tor Browser
gio te respecta pe deplin daca alegi orice dintre acestea.
6. Domenii si infrastructura
| Subiect | Furnizor | Locatie date | Rol |
|---|---|---|---|
| Hosting | Google Cloud Run | europe-west (UE) | servire pagini web |
| Storage | Google Cloud Storage | europe-west (UE) | baza de date + snapshots |
| DNS | (de configurat la registrare) | — | rezolvare domeniu |
| (de configurat — ProtonMail / Tutanota recomandate) | UE | comunicare contact + sesizari | |
| Analytics | Plausible Analytics | Estonia (UE) | metrici anonime |
| Source code | GitHub | EU/SUA | repository public |
| Snapshots data | GitHub | EU/SUA | versionare publica |
Toate datele personale prelucrate raman in Uniunea Europeana. Source code-ul si snapshot-urile JSON publice (care nu contin date personale ale utilizatorilor, doar afirmatii publice ale lui Valeriu Nicolae) sunt pe GitHub si pot fi clonate global.
7. Modificari ale acestei politici
Modificarile semnificative sunt anuntate in subsolul paginii pentru 14 zile. Versiunea curenta e mereu accesibila la /politica-cookie. Versiuni anterioare in repository-ul gio-data.
8. Contact
Pentru intrebari despre aceasta politica:
- Email:
contact@gio.ro(de configurat) - Formular:
/right-to-reply
Pentru plangere oficiala despre prelucrarea datelor:
- Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP)
- www.dataprotection.ro
- B-dul G-ral Gheorghe Magheru 28-30, Sector 1, Bucuresti, cod postal 010336
AVOCAT REVIEW — checklist intrebari pentru avocat:
- [ ] Confirmare ca Plausible Analytics nu necesita cookie banner sub Legea 506/2004 + ePrivacy?
- [ ] Cookie-urile tehnice strict necesare (
gio_session,gio_csrf) — formularea exacta a justificarii e suficienta?- [ ] DNT (Do Not Track) — obligatie legala sa-l respectam? Sau doar best-practice?
- [ ] Retentia log-urilor server-side la 7 zile — pragul recomandat? Mai scurt? Mai lung?
- [ ] Trebuie sa avem DPIA (Data Protection Impact Assessment) la lansare? La ce volum / risc?
- [ ] Pentru utilizatori non-EU (vizitatori SUA, alte tari) — schimba ceva politica?