HOOD21 — PRIVACY POLICY

Last updated: 18 May 2026
Version: 1.0

1. Who We Are

Hood21 (the "Platform," "we," "us," or "our") is a project preparing to launch a tokenized real estate investment platform based in Romania. Hood21 is being structured as a Romanian limited liability company (SRL). Until the legal entity is formally registered, this Platform is operated by its founder under Romanian law.

Contact:

• Email: office@hood21.com
• Website: https://hood21.com
• Data Protection contact: office@hood21.com

This Privacy Policy explains how we collect, use, store, and protect your personal data when you visit hood21.com, join the waitlist, register an account, or otherwise interact with the Platform.

This policy complies with:

• EU General Data Protection Regulation (GDPR, 2016/679)
• Romanian Law no. 190/2018 on data protection
• ePrivacy Directive (2002/58/EC)

2. What Data We Collect

We collect only the data necessary to operate the Platform and provide our services. The data we collect depends on how you interact with us:

A. Waitlist Signup

When you join the Hood21 waitlist, we collect:

• Email address
• Optional: name (if provided)
• Timestamp of signup
• IP address (for spam prevention; stored briefly)

B. Account Registration

When you create a Hood21 account, we collect:

• Email address
• Password (stored as a one-way hash; we never see the plaintext)
• Name
• Role selection (tenant or investor)
• Date and time of account creation

C. Authentication

When you sign in:

• Login session timestamps
• Browser session identifiers (for "remember me" feature)

D. Technical Data — Automatically Collected

When you visit hood21.com, our systems automatically process:

• IP address (used for security and approximate geographic analytics; not associated with your identity)
• Browser type and version
• Device type (desktop, mobile)
• Country (approximate, from IP)
• Pages visited and time spent
• Referring website (if any)

This data is processed in aggregate by privacy-first analytics services (Cloudflare Web Analytics and Vercel Analytics). We do not use third-party advertising trackers.

E. Post-Launch — Investment-Related Data

When the Platform launches investment features (currently pre-launch), we will additionally collect:

• Identity verification documents (KYC) — processed by a specialized third-party verification provider
• Solana wallet address (for token holders)
• Transaction history on the Solana blockchain (which is publicly recorded by the blockchain itself, not by us)
• Tax residency information (for regulatory reporting)

Detailed information about investment-related data will be provided at the time of account upgrade to investor status.

3. How We Use Your Data — Legal Bases

Under GDPR, we must have a legal basis for processing your personal data. The legal bases we rely on are:

A. Consent (Art. 6(1)(a) GDPR)

• For sending marketing emails about Hood21 (waitlist updates, launch announcements, product news)
• For optional features you explicitly opt into

You may withdraw consent at any time. Withdrawing consent does not affect the lawfulness of processing that occurred before withdrawal.

B. Contract Performance (Art. 6(1)(b) GDPR)

• For providing account features (login, dashboards, transaction processing) after you register
• For sending transactional emails (password reset, security notifications)

C. Legal Obligation (Art. 6(1)(c) GDPR)

• For complying with anti-money-laundering (AML), know-your-customer (KYC), and tax reporting laws once investment features are active
• For responding to legitimate legal requests from authorities

D. Legitimate Interests (Art. 6(1)(f) GDPR)

• For securing the Platform against fraud, abuse, and attacks
• For maintaining technical infrastructure and troubleshooting
• For aggregate, anonymized analytics

4. Marketing Communications

If you join the waitlist or register an account, we may send you marketing emails about Hood21, including:

• Project updates
• Launch announcements
• New features
• Investment opportunities (when applicable)
• Educational content about tokenized real estate

By providing your email address, you consent to receive these communications.

You can unsubscribe at any time by:

• Clicking the "Unsubscribe" link at the bottom of any marketing email
• Emailing office@hood21.com
• Adjusting preferences in your account settings (when available)

Unsubscribing from marketing emails does not affect critical transactional emails (security alerts, account confirmations), which we are required to send for the service to function.

5. How Long We Keep Your Data

We retain your personal data only as long as necessary for the purposes described above, or as required by law.

• Waitlist email addresses: until you unsubscribe or request deletion
• Account data: for the duration of your account, plus additional retention required by Romanian tax/financial laws (typically 5-10 years)
• Technical logs (IP, user agent): up to 30 days for security purposes
• KYC and transaction records (post-launch): retained for the legally mandated period (Romanian AML law currently requires 5 years after the end of business relationship)

6. Who Has Access to Your Data

Internally, only authorized personnel of Hood21 can access your data, and only to the extent necessary for their role.

Externally, we share your data with the following categories of processors, all of which are bound by appropriate data processing agreements:

A. Infrastructure Providers

• Vercel Inc. (USA) — website hosting
• Supabase Inc. (USA / Singapore) — authentication and database
• Cloudflare Inc. (USA) — content delivery, security, and waitlist API
• GoDaddy LLC (USA) — domain name registration

B. Email Providers

• Brevo (Sendinblue SA, France) — sends transactional and marketing emails on our behalf
• Zoho Corporation (India / EU) — receives email at office@hood21.com

C. Blockchain Infrastructure (post-launch)

• Helius (USA) — Solana RPC provider
• Solana network — all token transactions are recorded on the public Solana blockchain; this is inherent to how blockchain technology works and cannot be changed by us

D. Future Processors (when launched)

• KYC verification provider (Sumsub, Onfido, or similar — final selection pending)
• Payment processors for fiat conversions

International Data Transfers

Some of our processors are based outside the European Economic Area (EEA). Where this is the case, we ensure that transfers are protected by:

• Standard Contractual Clauses (SCCs) approved by the European Commission
• Adequacy decisions where available
• Other lawful safeguards under Chapter V of the GDPR

7. Cookies and Local Storage

Hood21 uses the following browser storage mechanisms:

A. sessionStorage — temporary data cleared when you close the tab. Used for:

• User interface state during a session
• Multi-step form progress

B. localStorage — persistent data stored on your device. Used for:

• "Remember me" login functionality (only when you check the box)
• Language preference (EN/RO)
• Authentication session tokens (required for staying logged in)

C. No Third-Party Tracking Cookies

We do not use Google Analytics, Facebook Pixel, or other third-party advertising trackers. Our analytics (Cloudflare and Vercel) operate without setting tracking cookies in your browser.

You can clear all Hood21 storage at any time through your browser settings. Doing so will log you out and reset your preferences.

8. Your Rights Under GDPR

As a person whose data we process, you have the following rights under GDPR:

A. Right to Access (Art. 15) — You can request a copy of all personal data we hold about you.

B. Right to Rectification (Art. 16) — You can request correction of inaccurate or incomplete data.

C. Right to Erasure / "Right to Be Forgotten" (Art. 17) — You can request deletion of your personal data, subject to legal retention requirements (e.g., we must keep some transaction records for tax purposes).

D. Right to Restrict Processing (Art. 18) — You can ask us to pause processing in certain cases.

E. Right to Data Portability (Art. 20) — You can request your data in a machine-readable format (typically JSON or CSV) for transfer to another service.

F. Right to Object (Art. 21) — You can object to processing based on legitimate interests or for direct marketing purposes.

G. Right to Withdraw Consent (Art. 7) — Where processing is based on consent, you can withdraw it at any time.

H. Right to Lodge a Complaint (Art. 77) — You can file a complaint with the Romanian data protection authority:

ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)
Bd. General Gheorghe Magheru 28-30, Sector 1, 010336 București, România
anspdcp@dataprotection.ro
www.dataprotection.ro

How to Exercise Your Rights

Send a request to office@hood21.com with:

• Your name and email associated with the account
• The specific right you want to exercise
• Sufficient detail for us to identify your data

We will respond within 30 days (extendable by 60 days for complex requests).

9. Security

We take reasonable technical and organizational measures to protect your data, including:

• HTTPS encryption for all communications with hood21.com
• Password hashing (we never store plaintext passwords)
• Database access controls and Row-Level Security policies
• Rate limiting on authentication endpoints
• Regular security reviews

However, no method of transmission or storage is 100% secure. While we strive to use commercially acceptable means to protect your data, we cannot guarantee absolute security.

If we become aware of a personal data breach affecting your data, we will notify you and the Romanian data protection authority within 72 hours, as required by GDPR Art. 33-34.

10. Children

Hood21 is not intended for individuals under 18 years of age. We do not knowingly collect personal data from minors. If we become aware that we have collected such data without parental consent, we will delete it promptly.

11. Changes to This Policy

We may update this Privacy Policy from time to time. The "Last updated" date at the top of this policy reflects the most recent revision.

Material changes (such as new categories of data we collect or new ways we share data) will be communicated:

• By email to registered users
• By a notice on hood21.com
• At least 30 days before taking effect, where required by law

12. Contact Us

For any questions about this Privacy Policy or your data:

• Email: office@hood21.com
• Website: https://hood21.com

HOOD21 — POLITICĂ DE CONFIDENȚIALITATE

Ultima actualizare: 18 mai 2026
Versiunea: 1.0

1. Cine suntem

Hood21 („Platforma", „noi", „nouă" sau „al nostru") este un proiect care se pregătește să lanseze o platformă de investiții imobiliare tokenizate, cu sediul în România. Hood21 este în curs de constituire ca societate cu răspundere limitată (SRL) de drept român. Până la înregistrarea formală a persoanei juridice, această Platformă este operată de fondatorul său în conformitate cu legislația română.

Contact:

• E-mail: office@hood21.com
• Site web: https://hood21.com
• Contact pentru protecția datelor: office@hood21.com

Această Politică de Confidențialitate explică modul în care colectăm, utilizăm, stocăm și protejăm datele dvs. cu caracter personal atunci când vizitați hood21.com, vă alăturați listei de așteptare, vă înregistrați un cont sau interacționați în alt mod cu Platforma.

Această politică respectă:

• Regulamentul General privind Protecția Datelor al UE (RGPD, 2016/679)
• Legea română nr. 190/2018 privind protecția datelor
• Directiva ePrivacy (2002/58/CE)

2. Ce date colectăm

Colectăm numai datele necesare pentru a opera Platforma și pentru a furniza serviciile noastre. Datele pe care le colectăm depind de modul în care interacționați cu noi:

A. Înscrierea pe lista de așteptare

Atunci când vă alăturați listei de așteptare Hood21, colectăm:

• Adresa de e-mail
• Opțional: numele (dacă este furnizat)
• Marca temporală a înscrierii
• Adresa IP (pentru prevenirea spam-ului; stocată pe perioadă scurtă)

B. Înregistrarea contului

Atunci când vă creați un cont Hood21, colectăm:

• Adresa de e-mail
• Parola (stocată ca hash unidirecțional; nu vedem niciodată textul în clar)
• Numele
• Selecția rolului (chiriaș sau investitor)
• Data și ora creării contului

C. Autentificare

Atunci când vă conectați:

• Mărci temporale ale sesiunilor de autentificare
• Identificatori ai sesiunii de browser (pentru funcția „ține-mă minte")

D. Date tehnice — colectate automat

Atunci când vizitați hood21.com, sistemele noastre procesează automat:

• Adresa IP (utilizată pentru securitate și analize geografice aproximative; neasociată cu identitatea dvs.)
• Tipul și versiunea browserului
• Tipul dispozitivului (desktop, mobil)
• Țara (aproximativă, derivată din adresa IP)
• Paginile vizitate și timpul petrecut
• Site-ul de proveniență (dacă există)

Aceste date sunt procesate agregat de servicii de analiză orientate către confidențialitate (Cloudflare Web Analytics și Vercel Analytics). Nu folosim instrumente de urmărire publicitară terțe.

E. După lansare — date legate de investiții

Atunci când Platforma va lansa funcțiile de investiții (în prezent este în faza prelansare), vom colecta suplimentar:

• Documente de verificare a identității (KYC) — procesate de un furnizor terț specializat de verificare
• Adresa portofelului Solana (pentru deținătorii de tokeni)
• Istoricul tranzacțiilor pe blockchain-ul Solana (înregistrat public de însuși blockchain-ul, nu de noi)
• Informații privind rezidența fiscală (pentru raportare la autoritățile competente)

Informații detaliate privind datele legate de investiții vor fi furnizate la momentul actualizării contului către statutul de investitor.

3. Cum utilizăm datele dvs. — temei juridic

Conform RGPD, trebuie să existe un temei juridic pentru prelucrarea datelor dvs. cu caracter personal. Temeiurile juridice pe care ne bazăm sunt:

A. Consimțământ (Art. 6(1)(a) RGPD)

• Pentru transmiterea de e-mailuri de marketing despre Hood21 (actualizări ale listei de așteptare, anunțuri de lansare, noutăți despre produs)
• Pentru funcții opționale la care v-ați înscris în mod explicit

Vă puteți retrage consimțământul în orice moment. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate anterior retragerii.

B. Executarea contractului (Art. 6(1)(b) RGPD)

• Pentru furnizarea funcțiilor contului (autentificare, panouri de control, procesarea tranzacțiilor) după înregistrare
• Pentru transmiterea de e-mailuri tranzacționale (resetarea parolei, notificări de securitate)

C. Obligație legală (Art. 6(1)(c) RGPD)

• Pentru respectarea legislației privind combaterea spălării banilor (AML), Cunoaște-ți Clientul (KYC) și raportarea fiscală, odată ce funcțiile de investiții vor fi active
• Pentru a răspunde solicitărilor legitime ale autorităților

D. Interese legitime (Art. 6(1)(f) RGPD)

• Pentru securizarea Platformei împotriva fraudei, abuzurilor și atacurilor
• Pentru întreținerea infrastructurii tehnice și depanare
• Pentru analize agregate și anonimizate

4. Comunicări de marketing

Dacă vă alăturați listei de așteptare sau vă înregistrați un cont, vă putem trimite e-mailuri de marketing despre Hood21, inclusiv:

• Actualizări privind proiectul
• Anunțuri de lansare
• Funcții noi
• Oportunități de investiții (după caz)
• Conținut educațional privind imobiliarele tokenizate

Prin furnizarea adresei dvs. de e-mail, sunteți de acord să primiți aceste comunicări.

Vă puteți dezabona în orice moment prin:

• Apăsarea linkului „Dezabonare" („Unsubscribe") din partea de jos a oricărui e-mail de marketing
• Trimiterea unui e-mail la office@hood21.com
• Modificarea preferințelor în setările contului dvs. (când vor fi disponibile)

Dezabonarea de la e-mailurile de marketing nu afectează e-mailurile tranzacționale esențiale (alerte de securitate, confirmări de cont), pe care suntem obligați să le transmitem pentru funcționarea serviciului.

5. Cât timp păstrăm datele dvs.

Păstrăm datele dvs. cu caracter personal numai pentru perioada necesară scopurilor descrise mai sus sau pentru perioada cerută de lege.

• Adrese de e-mail din lista de așteptare: până la dezabonare sau până la solicitarea ștergerii
• Date ale contului: pe durata contului, plus perioada suplimentară de păstrare cerută de legislația fiscală/financiară română (de obicei 5-10 ani)
• Jurnale tehnice (IP, agent utilizator): până la 30 de zile, în scopuri de securitate
• Înregistrări KYC și de tranzacții (după lansare): păstrate pe perioada impusă legal (legislația română AML impune în prezent 5 ani de la încheierea relației de afaceri)

6. Cine are acces la datele dvs.

Pe plan intern, numai personalul autorizat al Hood21 poate accesa datele dvs., și doar în măsura necesară rolului său.

Pe plan extern, partajăm datele dvs. cu următoarele categorii de persoane împuternicite, toate fiind obligate prin acorduri adecvate de prelucrare a datelor:

A. Furnizori de infrastructură

• Vercel Inc. (SUA) — găzduirea site-ului
• Supabase Inc. (SUA / Singapore) — autentificare și bază de date
• Cloudflare Inc. (SUA) — livrare de conținut, securitate și API-ul listei de așteptare
• GoDaddy LLC (SUA) — înregistrarea numelui de domeniu

B. Furnizori de e-mail

• Brevo (Sendinblue SA, Franța) — transmite e-mailuri tranzacționale și de marketing în numele nostru
• Zoho Corporation (India / UE) — primește e-mailurile la office@hood21.com

C. Infrastructură blockchain (după lansare)

• Helius (SUA) — furnizor RPC pentru Solana
• Rețeaua Solana — toate tranzacțiile cu tokeni sunt înregistrate pe blockchain-ul public Solana; aceasta este o caracteristică inerentă tehnologiei blockchain și nu poate fi modificată de noi

D. Persoane împuternicite viitoare (la lansare)

• Furnizor de verificare KYC (Sumsub, Onfido sau similar — selecția finală este în curs)
• Procesatori de plăți pentru conversii fiat

Transferuri internaționale de date

Unele dintre persoanele împuternicite ale noastre își au sediul în afara Spațiului Economic European (SEE). În aceste cazuri, ne asigurăm că transferurile sunt protejate prin:

• Clauze contractuale standard (SCC) aprobate de Comisia Europeană
• Decizii de adecvare, atunci când sunt disponibile
• Alte garanții legale prevăzute de Capitolul V din RGPD

7. Cookie-uri și stocare locală

Hood21 utilizează următoarele mecanisme de stocare în browser:

A. sessionStorage — date temporare șterse la închiderea filei. Utilizate pentru:

• Starea interfeței utilizator pe durata sesiunii
• Progresul formularelor cu mai mulți pași

B. localStorage — date persistente stocate pe dispozitivul dvs. Utilizate pentru:

• Funcția „ține-mă minte" la autentificare (numai dacă bifați caseta)
• Preferința de limbă (EN/RO)
• Token-urile sesiunii de autentificare (necesare pentru a rămâne conectat)

C. Fără cookie-uri de urmărire de la terți

Nu folosim Google Analytics, Facebook Pixel sau alte instrumente de urmărire publicitară terțe. Sistemele noastre de analiză (Cloudflare și Vercel) funcționează fără a seta cookie-uri de urmărire în browserul dvs.

Puteți șterge în orice moment toate datele Hood21 prin setările browserului dvs. Această acțiune vă va deconecta și va reseta preferințele dvs.

8. Drepturile dumneavoastră în baza RGPD

În calitate de persoană ale cărei date sunt prelucrate, beneficiați de următoarele drepturi în temeiul RGPD:

A. Dreptul de acces (Art. 15) — Puteți solicita o copie a tuturor datelor cu caracter personal pe care le deținem despre dvs.

B. Dreptul la rectificare (Art. 16) — Puteți solicita corectarea datelor inexacte sau incomplete.

C. Dreptul la ștergere / „dreptul de a fi uitat" (Art. 17) — Puteți solicita ștergerea datelor dvs. cu caracter personal, sub rezerva cerințelor legale de păstrare (de exemplu, suntem obligați să păstrăm anumite înregistrări tranzacționale în scopuri fiscale).

D. Dreptul la restricționarea prelucrării (Art. 18) — Ne puteți cere să suspendăm prelucrarea în anumite cazuri.

E. Dreptul la portabilitatea datelor (Art. 20) — Puteți solicita datele dvs. într-un format care poate fi citit automat (de obicei JSON sau CSV), pentru a fi transferate către un alt serviciu.

F. Dreptul la opoziție (Art. 21) — Vă puteți opune prelucrării întemeiate pe interese legitime sau prelucrării în scopuri de marketing direct.

G. Dreptul de a vă retrage consimțământul (Art. 7) — Atunci când prelucrarea se bazează pe consimțământ, îl puteți retrage în orice moment.

H. Dreptul de a depune o plângere (Art. 77) — Puteți depune o plângere la autoritatea română pentru protecția datelor:

ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)
Bd. General Gheorghe Magheru 28-30, Sector 1, 010336 București, România
anspdcp@dataprotection.ro
www.dataprotection.ro

Cum vă puteți exercita drepturile

Trimiteți o solicitare la office@hood21.com, care să conțină:

• Numele dvs. și adresa de e-mail asociată contului
• Dreptul specific pe care doriți să îl exercitați
• Suficiente detalii pentru a putea identifica datele dvs.

Vom răspunde în termen de 30 de zile (cu posibilitatea prelungirii cu 60 de zile în cazul solicitărilor complexe).

9. Securitate

Adoptăm măsuri tehnice și organizatorice rezonabile pentru a vă proteja datele, inclusiv:

• Criptare HTTPS pentru toate comunicările cu hood21.com
• Hash-uirea parolelor (nu stocăm niciodată parole în text clar)
• Controale de acces la bază de date și politici de securitate la nivel de rând (Row-Level Security)
• Limitări de rată pe punctele de autentificare
• Revizuiri de securitate periodice

Cu toate acestea, nicio metodă de transmitere sau stocare nu este 100% sigură. Deși depunem eforturi pentru a utiliza mijloace acceptabile din punct de vedere comercial pentru a vă proteja datele, nu putem garanta o securitate absolută.

Dacă luăm cunoștință de o încălcare a securității datelor cu caracter personal care vă afectează datele, vă vom notifica pe dvs. și autoritatea română pentru protecția datelor în termen de 72 de ore, conform Art. 33-34 RGPD.

10. Minori

Hood21 nu se adresează persoanelor sub 18 ani. Nu colectăm cu bună știință date cu caracter personal de la minori. Dacă luăm cunoștință că am colectat astfel de date fără consimțământul părintesc, le vom șterge prompt.

11. Modificări ale prezentei politici

Putem actualiza această Politică de Confidențialitate periodic. Data „Ultima actualizare" din partea de sus a acestei politici reflectă cea mai recentă revizie.

Modificările semnificative (cum ar fi noi categorii de date colectate sau noi modalități de partajare a datelor) vor fi comunicate:

• Prin e-mail către utilizatorii înregistrați
• Printr-un anunț pe hood21.com
• Cu cel puțin 30 de zile înainte de intrarea în vigoare, atunci când legea impune acest lucru

12. Contactați-ne

Pentru orice întrebări privind această Politică de Confidențialitate sau datele dvs.:

• E-mail: office@hood21.com
• Site web: https://hood21.com