IMG-BLOG-302 blog-hero-gdpr-shield-illustration.svg · 1200×500 DE CREAT
Datele clienților tăi în drum spre sub-procesatori în SUA — vs alternativa local-first.

Acum 8 luni un prieten consultant SEO mi-a povestit despre un audit pe care l-a făcut pentru o clinică medicală privată. A folosit un tool SaaS cloud popular, a generat raport, a livrat clientului. La două săptămâni după, clinica a primit un audit de la ANSPDCP. Întrebare: „cu ce sub-procesatori își partajează clinica datele pacienților?". Lista trimisă includea numele tool-ului SEO. De ce era acolo? Pentru că în DPA-ul tool-ului scria explicit că procesează URL-uri, content scrapuit, keywords list, audit history pe sub-procesatori în SUA. Prietenul meu nu citise niciodată DPA-ul. Clientul lui — și mai puțin.

Ce e Data Processing Agreement (DPA), pe scurt

DPA = contract între tine (Operator de date) și un tool / serviciu (Persoană Împuternicită de Operator) care procesează date personale în numele tău. E obligatoriu sub GDPR (Art. 28) când transferi date personale unui terț.

În context SEO: dacă folosești Ahrefs să auditezi clinica-cardiologie.ro, transferi URL-urile pacientilor (chiar dacă URL-urile nu conțin nume direct, în context medical orice URL public al unei clinici pot identifica vizitatori). Ahrefs devine sub-procesator. Tu ai obligația să ai DPA semnat cu Ahrefs și să-l listezi în registrul ANSPDCP-ul clientului tău.

Realitatea: majoritatea consultanților nu fac asta. Tool-urile SaaS au DPA pre-redactat acceptat la check-box „I accept Terms" la sign-up. E acoperit juridic pentru tool, dar nu te protejează pe tine în fața unui audit ANSPDCP.

Ce semnezi de fapt când folosești un tool SEO cloud

Citesc DPA-urile publice ale celor 3 tool-uri majore. Iată ce conțin (versiuni 2025, verificate pe site-urile oficiale).

Sub-procesatori (Sub-processors): Cloud providers la care tool-ul își stochează / procesează date. Tipic include AWS (SUA), Cloudflare (SUA + Global), Google Workspace (SUA), Stripe (SUA), Intercom / Zendesk (SUA), Datadog / Sentry (SUA pentru logs). Lista poate avea 15-30 entități. Aproape toate au sediu în SUA.

Transfer de date în țări terțe: GDPR cere base juridic specific (Standard Contractual Clauses, Adequacy Decision, Binding Corporate Rules) pentru transfer outside EU. Tool-urile SaaS folosesc tipic SCC + relianță pe EU-US Data Privacy Framework (din 2023, încă fragil legal). Asta înseamnă că datele clienților tăi călătoresc pe Atlantic, sunt stocate în servere AWS Virginia / Oregon, și sunt teoretic accesibile autorităților SUA sub FISA Section 702.

Retenție date: tipic 12-36 luni post-cancellation account. Asta înseamnă că dacă mâine renunți la abonament, datele pe care le-ai introdus rămân în sistemele lor încă 1-3 ani. „Hard delete" upon request e disponibil de obicei, dar trebuie cerut explicit prin email la support.

Logging și telemetrie: tool-ul colectează metadata (cine a făcut ce query, când, de pe ce IP, ce browser). Tipic stocate 6-12 luni. Folosite pentru „security, abuse prevention, product improvement". Nu sunt parte din „content data" pe care o introduci, dar sunt date personale.

AI training data: punctul cel mai sensibil. Multe tool-uri au început în 2024-2025 să adauge clauze tip „we may use your data to train AI models". În unele cazuri opt-out explicit e disponibil; în altele e by default. Citește cu lupa ce zice secțiunea „AI / Machine Learning Use".

Categorii de date pe care un tool SEO le procesează

Înțelegerea exactă ce date partajezi te ajută să evaluezi riscul real.

  1. URL-uri site client: lista paginilor scanate. În context medical / juridic / financiar, URL-urile pot dezvălui structura confidențială (ex: /proceduri-private/intervenții-2024-q3/lista-pacienti.html — chiar dacă pagina e publică, structura e sensibilă). Stocate în DB tool-ului indefinit pe durata abonamentului.
  2. Content scrapuit din pagini: full HTML și text al fiecărei pagini auditate. Asta poate include emails publice, nume de oameni din pagini Despre, telefon, formulare de contact. Tool-ul îl stochează pentru analiză, posibil pe sub-procesatori SUA.
  3. Keywords introduse manual de tine: lista cuvintelor-cheie pe care le monitorizezi. Pentru un SEO la firmă farmaceutică, lista include uneori brand name + ingredient activ + indicații medicale. Astea sunt informații proprietare care, leaked, ar avantaja concurența directă.
  4. Audit history și changelog: ce ai modificat, când, care a fost rezultatul. Pentru clienți cu obligații audit trail (financiar, juridic), tool-ul devine parte din lanțul de evidence — și trebuie să îi poți asigura integritatea.
  5. Backlinks data și competitor research: cine ce link a primit de la cine. În unele cazuri include date personal-identificable (autori articole, contact info webmasters).
  6. Metadata utilizare: cine din echipa ta a făcut ce query, când, de pe ce IP. Date personale ale angajaților tăi.

Riscuri reale dacă ai client cu obligații compliance

Trei scenarii concrete, fiecare cu impact financiar real.

Scenariu 1 — Client medical / spital: GDPR + Ordin MS 1410/2016 + ANSPDCP cer registru complet sub-procesatori. Tool-ul tău SEO (cu sediu SUA, sub-procesatori SUA) trebuie listat. La audit, autoritatea cere DPA semnat individual (nu generic „accept terms"). Lipsa = sancțiune până la 4% din cifra de afaceri anuală a clinicii. Realitatea: clinica te dă în judecată ca consultant pentru încălcare contract servicii.

Scenariu 2 — Client juridic / cabinet avocatură: secret profesional avocat-client (Legea 51/1995). URL-urile listei de cazuri, structura site-ului care reflectă specializări, content scrapuit din pagini de portofoliu. Toate astea, transferate la sub-procesator în SUA, intră potențial sub jurisdicție FISA. Avocat care își partajează datele cu serviciu unde guvernul SUA are acces teoretic = încălcare deontologie.

Scenariu 3 — Client fintech / instituție financiară: BNR + ASF cer aprobare prealabilă pentru orice sub-procesator care atinge date sensibile financiar. Tool-ul tău SEO nu e aprobat de BNR (fundația „nu e business critical"). Dar dacă în audit găsesc tool-ul ca sub-procesator nelistat, sancțiune + obligație notificare incident.

Concluzie scenarii: În toate cele trei cazuri, consultantul SEO devine ținta primară a sancțiunii (și nu, „nu am știut" nu te scoate juridic).

Cum arată un DPA corect (8 puncte de verificat)

IMG-BLOG-304 infographic-8-points-dpa-checklist.svg · 900×600 DE CREAT
Cele 8 puncte de verificat înainte să accepți DPA-ul oricărui tool SEO cloud.

Înainte să dai click pe „Accept" sau să introduci primele date client, citești DPA-ul tool-ului și verifici cele 8 puncte:

  1. Lista completă sub-procesatori, actualizată, cu obligația notificării când se schimbă (tipic 30 zile preavis).
  2. EU data residency option: tool-ul oferă opțiune să stocheze datele tale exclusiv în servere EU? Multe au început să ofere asta în 2024-2025 (tipic la planuri Enterprise, nu Pro).
  3. SCC explicit menționat + actualizare 2021 (clauzele vechi 2010 nu mai sunt valide după Schrems II).
  4. Retenție date clar definită: cât timp după account cancellation rămân datele tale? Cum ceri hard delete? Cât durează să fie efectuat?
  5. AI training opt-out clear: tool-ul folosește datele tale ca AI training? Cum opt-out? E by default sau opt-in?
  6. Breach notification SLA: în câte ore notifică tool-ul în caz de breach? GDPR cere 72h. Mulți SaaS au „undue delay" vag.
  7. Audit rights: poți tu însuți audita tool-ul (chiar dacă teoretic, prin documentation request)? Tipic limited la planuri Enterprise.
  8. Right to portability: poți exporta toate datele tale în format reusabil (JSON, CSV)? Tipic disponibil dar uneori frustrant (limit pe export size, retry needed).

Dacă lipsesc 3+ din cele 8, semn că DPA-ul e generic și nu va trece la audit autoritate competentă.

Alternativa local-first — ce semnezi cu un tool fără cloud

IMG-BLOG-303 diagram-data-flow-cloud-vs-local.svg · 1000×500 DE CREAT
Data flow comparativ: cloud SaaS (datele călătoresc spre 15+ sub-procesatori) vs local-first (datele rămân pe device).

Pentru context comparativ, iată ce semnezi când folosești un tool SEO local-first (categorie din care SEO Master PRO MAX face parte):

Sub-procesatori: doar cei pe care îi alegi tu explicit. Dacă activezi modulul AI Search Optimizer, devii direct client al Anthropic / OpenAI / Google / Perplexity (cu cheia ta API). Noi nu intermediem. Tu ai DPA direct cu provider-ul AI ales.

Transfer date trans-atlantic: zero, dacă nu activezi module care fac apeluri la AI providers. Pentru audit pur local, niciun byte nu pleacă de pe device-ul tău.

Retenție date: cât timp ții fișierele pe disk-ul tău. Hard delete = ștergi fișierul .db. Imediat.

Logging și telemetrie: zero. Aplicația rulează 100% offline pentru funcțiile core. Crash reporting opt-in (by default off).

AI training data: imposibil, pentru că datele tale nu ajung niciodată la noi. Singurele date care merg la AI providers sunt cele explicit trimise de tine prin module AI activate (cu cheia ta), și acolo se aplică termenii respectivi de API.

Breach notification SLA: ne-aplicabil. Singurul „breach" posibil pe partea noastră ar fi dacă ar fi spart GitHub-ul nostru și ar fi modificat installer-ul. Asta e detectat prin signature check (installer semnat) și notifiez în 24h prin canal public (status page + Twitter).

Right to portability: format export .smp documentat public, importabil în orice tool care implementează spec-ul. Nu există vendor lock-in.

DPA-ul tipic pentru un tool local-first e de o pagină: „nu procesăm date personale ale clienților tăi pentru că nu primim niciodată acele date". Asta e diferența fundamentală vs SaaS cloud.

Checklist 5 întrebări pentru orice tool SEO

Înainte să introduci primele date client într-un tool SEO (cloud sau local), pune-ți cele 5 întrebări:

  1. Unde stau datele clientului meu? (Local pe device, server EU, server SUA, multi-region?)
  2. Cine are acces tehnic la datele clientului meu? (Doar eu, employees tool-ului cu autentificare, sub-procesatori cloud, autorități prin warrant?)
  3. Cât timp rămân datele acolo după ce nu mai folosesc tool-ul? (Zero, 12 luni, 36 luni, indefinit?)
  4. Dacă mâine clientul cere să-i șterg toate datele, pot? În câte ore? (Imediat — fișier local. 7-30 zile — request prin support. Niciodată — nu am control.)
  5. DPA-ul tool-ului e listat ca sub-procesator în registrul GDPR al clientului meu? (Da — ești compliant. Nu — ai datorie tehnico-juridică care va exploda la primul audit.)

Dacă pe oricare răspunsul te face inconfortabil, înseamnă că trebuie fie să schimbi tool-ul, fie să schimbi clientul, fie să accepți riscul conștient. Nu există a patra opțiune juridic.

Concluzie + ce urmează

GDPR și tool-urile SEO cloud nu sunt incompatibile. Sunt incompatibile când consultantul nu citește DPA-ul, când clientul nu listează tool-ul ca sub-procesator, sau când tool-ul nu oferă transparență reală asupra unde stau datele și cine are acces.

Trei lucruri concrete pe care să le faci săptămâna asta:

  1. Listează tool-urile SEO pe care le folosești și deschide DPA-ul fiecăruia (Help / Legal / Privacy / Trust Center pe site).
  2. Verifică cele 8 puncte din Secțiunea „DPA corect" pentru fiecare. Marchează cu galben tool-urile care nu trec testul.
  3. Pentru clienții cu obligații compliance (medical, juridic, financiar, fintech), comunică explicit lista sub-procesatorilor activi. Dacă tool-ul tău nu apare în registrul lor GDPR, e timpul fie să-l adaugi, fie să schimbi tool-ul.

Restul articolelor de fond pe blog:

Întrebări pe DPA, GDPR, sub-procesatori? [email protected]. Răspund personal.