Hiro - Human Intelligence & Responsible Optimization

# POLÍTICA DE PRIVACIDADE — SISTEMA HIRO

**Effective Team Tecnologia Ltda.**  
**CNPJ:** [INSERIR CNPJ]  
**Endereço:** [INSERIR ENDEREÇO COMPLETO]  
**E-mail:** [email protected]  
**Encarregado de Dados (DPO):** [INSERIR NOME E EMAIL DO DPO]  

**Versão:** 1.1  
**Data de Vigência:** [DATA DE GO-LIVE]  
**Última Atualização:** [DATA DE GO-LIVE]  

---

## 1. INTRODUÇÃO

**1.1.** A Effective Team Tecnologia Ltda. ("Effective Team", "nós" ou "nosso") é a desenvolvedora e operadora do Sistema HIRO, uma plataforma SaaS de gestão de riscos psicossociais e avaliação organizacional.

**1.2.** Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos os Dados Pessoais de nossos Clientes, Usuários e colaboradores que participam de campanhas criadas no Sistema.

**1.3.** Esta Política está em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD) e demais legislações aplicáveis.

**1.4.** Ao utilizar o Sistema HIRO, você concorda com os termos desta Política de Privacidade.

---

## 2. DEFINIÇÕES

Para os fins desta Política, consideram-se:

**2.1. Dados Pessoais:** Informação relacionada a pessoa natural identificada ou identificável, conforme LGPD.

**2.2. Dados Sensíveis:** Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, saúde, vida sexual, dado genético ou biométrico, conforme LGPD.

**2.3. Titular:** Pessoa natural a quem se referem os Dados Pessoais.

**2.4. Controlador:** Pessoa jurídica (Cliente) que define as finalidades e meios de tratamento de Dados Pessoais.

**2.5. Operador:** Pessoa jurídica (Effective Team) que realiza o tratamento de Dados Pessoais em nome do Controlador.

**2.6. Tratamento:** Toda operação realizada com Dados Pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

**2.7. Anonimização:** Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

---

## 3. PAPEL DAS PARTES

**3.1. Effective Team como Operadora**

A Effective Team atua como **Operadora** dos Dados Pessoais dos colaboradores que participam de campanhas criadas pelo Cliente, processando dados conforme instruções do Cliente (Controlador).

**3.2. Cliente como Controlador**

O Cliente (Organização) atua como **Controlador** dos Dados Pessoais de seus colaboradores, sendo responsável por:

a) Obter consentimento prévio e informado dos colaboradores antes de incluí-los em campanhas.

b) Definir as finalidades e meios de tratamento dos Dados Pessoais.

c) Garantir a licitude do tratamento.

d) Responder a solicitações de Titulares (acesso, correção, exclusão, etc.).

**3.3. Effective Team como Controladora**

A Effective Team atua como **Controladora** dos Dados Pessoais dos Usuários (RH, gestores) que acessam o Sistema, sendo responsável por:

a) Coletar e processar dados de cadastro e autenticação.

b) Garantir a segurança e confidencialidade desses dados.

c) Responder a solicitações de Titulares.

---

## 4. DADOS COLETADOS

### 4.1. Dados de Usuários (RH e Gestores)

Coletamos os seguintes Dados Pessoais de Usuários que acessam o Sistema:

| Dado | Finalidade | Base Legal (LGPD) |
|------|------------|-------------------|
| Nome completo | Identificação do Usuário | Execução de contrato (Art. 7º, V) |
| E-mail | Autenticação e comunicação | Execução de contrato (Art. 7º, V) |
| Senha (hash criptografado) | Autenticação | Execução de contrato (Art. 7º, V) |
| Cargo/Função | Controle de acesso (RBAC) | Execução de contrato (Art. 7º, V) |
| Logs de acesso (IP, data/hora) | Segurança e auditoria | Legítimo interesse (Art. 7º, IX) |

**Não coletamos:** CPF, RG, endereço residencial, telefone pessoal, dados bancários de Usuários.

---

### 4.2. Dados de Colaboradores (Participantes de Campanhas)

Coletamos os seguintes Dados Pessoais de colaboradores que participam de campanhas NR-1 ou entrevistas:

| Dado | Finalidade | Base Legal (LGPD) |
|------|------------|-------------------|
| Nome completo | Identificação e rastreabilidade | Consentimento (Art. 7º, I) |
| E-mail | Envio de convites para campanhas | Consentimento (Art. 7º, I) |
| Cargo/Função | Análise agregada por área | Consentimento (Art. 7º, I) |
| Área/Departamento | Análise agregada por área | Consentimento (Art. 7º, I) |
| Data de contratação | Histórico de participação | Consentimento (Art. 7º, I) |
| Respostas de campanhas NR-1 | Avaliação de riscos psicossociais | Consentimento (Art. 7º, I) + Tutela da saúde (Art. 7º, VII) + Cumprimento de obrigação legal (Art. 7º, II - NR-1) |
| Respostas de entrevistas | Avaliação de fit cultural | Consentimento (Art. 7º, I) |

**Não coletamos:** CPF, RG, endereço residencial, telefone pessoal, dados bancários, dados de saúde clínica, dados biométricos.

---

### 4.3. Dados de Pagamento

Coletamos os seguintes dados para processamento de pagamentos:

| Dado | Finalidade | Base Legal (LGPD) |
|------|------------|-------------------|
| Número do cartão de crédito | Processamento de pagamento | Execução de contrato (Art. 7º, V) |
| Nome do titular do cartão | Processamento de pagamento | Execução de contrato (Art. 7º, V) |
| Data de validade | Processamento de pagamento | Execução de contrato (Art. 7º, V) |
| CVV | Processamento de pagamento | Execução de contrato (Art. 7º, V) |

**Importante:** Os dados de pagamento são processados exclusivamente pela plataforma Stripe (PCI-DSS compliant). A Effective Team **NÃO** armazena dados completos de cartão de crédito em seus servidores.

---

### 4.4. Dados de Navegação

Coletamos automaticamente os seguintes dados técnicos:

| Dado | Finalidade | Base Legal (LGPD) |
|------|------------|-------------------|
| Endereço IP | Segurança e auditoria | Legítimo interesse (Art. 7º, IX) |
| Tipo de navegador | Compatibilidade técnica | Legítimo interesse (Art. 7º, IX) |
| Sistema operacional | Compatibilidade técnica | Legítimo interesse (Art. 7º, IX) |
| Data e hora de acesso | Auditoria e rastreabilidade | Legítimo interesse (Art. 7º, IX) |
| Páginas acessadas | Melhoria de experiência | Legítimo interesse (Art. 7º, IX) |

---

## 5. FINALIDADES DO TRATAMENTO

Os Dados Pessoais coletados são utilizados exclusivamente para as seguintes finalidades:

**5.1. Usuários (RH e Gestores)**

a) Autenticação e controle de acesso ao Sistema.

b) Gestão de permissões (RBAC).

c) Comunicação sobre atualizações, manutenções e suporte.

d) Auditoria e rastreabilidade de ações no Sistema.

e) Melhoria contínua da experiência do usuário.

**5.2. Colaboradores (Participantes de Campanhas)**

a) Envio de convites para participação em campanhas NR-1 ou entrevistas.

b) Coleta de respostas para avaliação de riscos psicossociais (NR-1).

c) Coleta de respostas para avaliação de fit cultural (entrevistas).

d) Geração de análises agregadas (sempre com N ≥ 5 para NR-1).

e) Rastreabilidade de participação em campanhas (histórico agregado).

**5.3. Pagamentos**

a) Processamento de pagamentos via Stripe.

b) Emissão de notas fiscais via eNotas.

c) Gestão de assinaturas e cobranças recorrentes.

---

## 6. COMPARTILHAMENTO DE DADOS

**6.1. Com Terceiros Autorizados**

A Effective Team compartilha Dados Pessoais apenas com os seguintes terceiros, estritamente necessários para operação do Sistema:

| Terceiro | Finalidade | Localização | Garantias |
|----------|------------|-------------|-----------|
| **Stripe** | Processamento de pagamentos | EUA | PCI-DSS compliant, cláusulas contratuais padrão |
| **eNotas** | Emissão de notas fiscais | Brasil | Contrato de processamento de dados |
| **AWS (Amazon Web Services)** | Hospedagem e infraestrutura | EUA/Brasil | Certificações ISO 27001, SOC 2 |
| **Resend** | Envio de e-mails transacionais | EUA | Contrato de processamento de dados |

**6.2. Transferência Internacional**

Alguns dados podem ser transferidos para servidores localizados fora do Brasil (EUA), conforme item 6.1. Nesses casos, garantimos:

a) Cláusulas contratuais padrão aprovadas pela ANPD.

b) Certificações de segurança internacionais (ISO 27001, SOC 2).

c) Conformidade com LGPD e GDPR (quando aplicável).

**6.3. Não Compartilhamos**

A Effective Team **NÃO** compartilha Dados Pessoais com:

a) Empresas de publicidade ou marketing.

b) Corretores de dados (data brokers).

c) Redes sociais.

d) Qualquer terceiro não listado no item 6.1, salvo obrigação legal.

**6.4. Compartilhamento por Obrigação Legal**

Podemos compartilhar Dados Pessoais quando exigido por lei, ordem judicial ou autoridade competente (ex: Ministério Público do Trabalho, Justiça do Trabalho).

---

## 7. ARMAZENAMENTO E RETENÇÃO

**7.1. Localização**

Os dados são armazenados em servidores da AWS localizados em:

a) **Região primária:** São Paulo, Brasil (sa-east-1).

b) **Região secundária (backup):** EUA (us-east-1).

**7.2. Prazo de Retenção**

| Tipo de Dado | Prazo de Retenção | Justificativa |
|--------------|-------------------|---------------|
| Dados de Usuários (RH) | Durante vigência da assinatura + 5 anos | Obrigação legal trabalhista |
| Dados de colaboradores (NR-1) | Durante vigência da assinatura + 20 anos | Obrigação legal NR-1 (Portaria MTE nº 3.214/1978) |
| Dados de entrevistas | Durante vigência da assinatura + 2 anos | Legítimo interesse (defesa de direitos) |
| Logs de acesso | 6 meses | Segurança e auditoria |
| Dados de pagamento (Stripe) | Conforme política da Stripe | Processado por terceiro |

**7.3. Exclusão de Dados**

Os dados pessoais tratados pelo SISTEMA HIRO serão excluídos ou anonimizados após o término da finalidade para a qual foram coletados, observados os prazos legais aplicáveis. Excepcionalmente, dados e registros poderão ser mantidos pelo período necessário ao cumprimento de obrigações legais, regulatórias ou para resguardo de direitos, incluindo, mas não se limitando, às exigências previstas na Norma Regulamentadora NR-1 e demais legislações trabalhistas aplicáveis.

Após o cancelamento da assinatura:

a) Os dados são mantidos por 30 (trinta) dias para eventual reativação.

b) Após 30 dias, os dados são **permanentemente excluídos**, salvo obrigação legal de retenção (ex: NR-1 = 20 anos).

---

## 8. SEGURANÇA DA INFORMAÇÃO

**8.1. Medidas Técnicas**

A Effective Team implementa as seguintes medidas de segurança:

a) **Criptografia:** Dados em trânsito (TLS 1.3) e em repouso (AES-256).

b) **Autenticação:** Senhas armazenadas com hash bcrypt (custo 10).

c) **Controle de acesso:** RBAC (Role-Based Access Control) com 4 níveis de permissão.

d) **Firewall:** Proteção contra ataques DDoS e injeção SQL.

e) **Logs de auditoria:** Registro de todas as ações sensíveis (login, exportação, alteração de dados).

f) **Backup:** Backup diário automatizado com retenção de 30 dias.

**8.2. Medidas Organizacionais**

a) **Treinamento:** Equipe treinada em LGPD e segurança da informação.

b) **Política de acesso:** Acesso a dados restrito a colaboradores autorizados.

c) **Contrato com terceiros:** Todos os fornecedores assinam contrato de processamento de dados.

d) **Resposta a incidentes:** Procedimento documentado para resposta a vazamentos de dados.

**8.3. Notificação de Incidentes**

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, a Effective Team:

a) Notificará a ANPD em até 72 horas.

b) Notificará os Titulares afetados em até 72 horas.

c) Tomará medidas imediatas para mitigar o incidente.

---

## 9. DIREITOS DOS TITULARES

**9.1. Direitos Garantidos pela LGPD**

Os Titulares têm os seguintes direitos em relação aos seus Dados Pessoais:

a) **Confirmação e acesso:** Confirmar se há tratamento de dados e acessá-los.

b) **Correção:** Corrigir dados incompletos, inexatos ou desatualizados.

c) **Anonimização, bloqueio ou eliminação:** Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.

d) **Portabilidade:** Solicitar portabilidade dos dados a outro fornecedor.

e) **Eliminação:** Solicitar eliminação dos dados tratados com base em consentimento.

f) **Informação sobre compartilhamento:** Saber com quais entidades públicas e privadas os dados foram compartilhados.

g) **Revogação do consentimento:** Revogar o consentimento a qualquer momento.

h) **Oposição:** Opor-se ao tratamento realizado com base em legítimo interesse.

**9.2. Como Exercer os Direitos**

Para exercer seus direitos, o Titular deve enviar solicitação para:

**E-mail:** [email protected]  
**Assunto:** Solicitação LGPD - [Tipo de Solicitação]  

**Prazo de resposta:** Até 15 (quinze) dias corridos.

**Documentação necessária:** Documento de identidade com foto para confirmação de identidade.

**9.3. Limitações**

Alguns direitos podem ser limitados por obrigações legais ou regulatórias. Em especial:

a) **Exclusão de dados NR-1:** Os dados coletados em conformidade com a Norma Regulamentadora NR-1 devem ser mantidos por 20 (vinte) anos, conforme exigência legal. Durante este período, o direito à exclusão não poderá ser exercido em relação a esses dados específicos, salvo decisão judicial em contrário.

b) **Portabilidade de dados agregados:** Dados que foram anonimizados ou agregados (ex: estatísticas de risco psicossocial com N≥5) não são mais considerados dados pessoais e, portanto, não estão sujeitos ao direito de portabilidade.

c) **Dados necessários para defesa de direitos:** Dados que sejam necessários para o exercício regular de direitos em processo judicial, administrativo ou arbitral poderão ser mantidos pelo período necessário, mesmo após solicitação de exclusão.

---

## 10. COOKIES E TECNOLOGIAS SIMILARES

**10.1. Uso de Cookies**

O Sistema HIRO utiliza cookies essenciais para:

a) Manter a sessão do Usuário autenticado.

b) Garantir a segurança da navegação.

**10.2. Tipos de Cookies**

| Tipo | Finalidade | Duração |
|------|------------|---------|
| **Sessão (hiro_session_token)** | Autenticação do Usuário | Até logout ou 24 horas |
| **CSRF Token** | Proteção contra ataques CSRF | Por requisição |

**10.3. Cookies de Terceiros**

Não utilizamos cookies de terceiros para publicidade ou rastreamento.

**10.4. Gerenciamento de Cookies**

O Usuário pode desabilitar cookies nas configurações do navegador, mas isso pode afetar o funcionamento do Sistema.

---

## 11. MENORES DE IDADE

**11.1.** O Sistema HIRO não é destinado a menores de 18 (dezoito) anos.

**11.2.** Não coletamos intencionalmente Dados Pessoais de menores de idade.

**11.3.** Caso identifiquemos coleta inadvertida de dados de menores, os dados serão imediatamente excluídos.

---

## 12. ALTERAÇÕES NESTA POLÍTICA

**12.1.** A Effective Team reserva-se o direito de modificar esta Política de Privacidade a qualquer momento, mediante:

a) Publicação da nova versão no Sistema.

b) Notificação por e-mail aos Clientes com antecedência mínima de 15 (quinze) dias.

**12.2.** O uso continuado do Sistema após a vigência das modificações constitui aceitação tácita da nova Política.

**12.3.** Caso o Cliente discorde das modificações, poderá cancelar a assinatura conforme Termos de Uso.

---

## 13. ENCARREGADO DE DADOS (DPO)

**13.1.** A Effective Team designou um Encarregado de Proteção de Dados (DPO) conforme Art. 41 da LGPD.

**Nome:** [INSERIR NOME DO DPO]  
**E-mail:** [email protected]  
**Telefone:** [INSERIR TELEFONE]  

**13.2.** O DPO é responsável por:

a) Aceitar reclamações e comunicações dos Titulares.

b) Prestar esclarecimentos sobre o tratamento de dados.

c) Receber comunicações da ANPD.

d) Orientar colaboradores sobre práticas de proteção de dados.

---

## 14. LEI APLICÁVEL E FORO

**14.1.** Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, especialmente pela LGPD.

**14.2.** Fica eleito o foro da comarca de [CIDADE/ESTADO DA EFFECTIVE TEAM] para dirimir quaisquer controvérsias.

---

## 15. CONTATO

Para dúvidas, sugestões ou solicitações relacionadas a esta Política de Privacidade, entre em contato:

**Effective Team Tecnologia Ltda.**  
**E-mail:** [email protected]  
**Telefone:** [INSERIR TELEFONE]  
**Endereço:** [INSERIR ENDEREÇO COMPLETO]  

---

**Ao utilizar o Sistema HIRO, você declara ter lido, compreendido e concordado integralmente com esta Política de Privacidade.**

---

**FIM DA POLÍTICA DE PRIVACIDADE — VERSÃO 1.0**