PrismaNR - Gestão de Riscos Psicossociais
Voltar ao Site Acessar Plataforma
  1. Início
  2. Política de Privacidade - Plano Empresa

Política de Privacidade - Plano Empresa

Versão 1.2 - Vigência: Maio de 2026 (Seção 12: Canal de Denúncias)

Plano Empresa: Esta política aplica-se a empresas que utilizam a plataforma PrismaNR diretamente. Para consultorias de SST, consulte a Política de Privacidade para Consultorias.

1. Introdução

A PrismaNR LTDA ("nós", "nosso" ou "PrismaNR") está comprometida com a proteção dos dados pessoais de todos os usuários de nossa plataforma. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos suas informações, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD).

Ao utilizar a plataforma PrismaNR no Plano Empresa, você declara ter lido e compreendido esta Política.

2. Papéis na LGPD

No Plano Empresa, a relação é direta (B2B) entre a empresa e a PrismaNR, diferente do modelo via consultoria. Os papéis são:

Papel Responsável Descrição
Controlador Empresa Contratante Define as finalidades do tratamento dos dados dos funcionários e é responsável pelas decisões sobre o uso dos resultados
Operador PrismaNR LTDA Fornece a infraestrutura tecnológica e realiza o tratamento em nome do Controlador
Suboperadores técnicos DigitalOcean, Asaas Prestadores de serviços contratados pela PrismaNR

Nota: No modelo via consultoria, a PrismaNR atua como Suboperador. No Plano Empresa, a PrismaNR atua como Operador, pois a relação é direta com a empresa (Controlador).

3. Dados Tratados

3.1. Dados Cadastrais (Empresa e Usuários)

  • Razão social, CNPJ, endereço, telefone;
  • Nome, e-mail, cargo dos Usuários (GestorEmpresa, AnalistaEmpresa);
  • Dados de acesso: logs de login, IP, dispositivo.

3.2. Dados de Respondentes (Funcionários)

Proteção Especial — LGPD Art. 5º, II

Respostas de avaliações psicossociais são consideradas Dados Pessoais Sensíveis e recebem proteção máxima. No Plano Empresa, a Empresa Contratante (empregador) nunca terá acesso a respostas individuais de seus funcionários, por questões de conflito de interesse e proteção do trabalhador.

  • Identificadores: código anônimo interno (sem vínculo com nome ou matrícula);
  • Dados demográficos: setor, unidade, tempo de empresa (sem identificação individual);
  • Respostas de questionários: tratadas exclusivamente de forma agregada;
  • Consentimento LGPD: data e hora do aceite do termo de consentimento.

3.3. Dados Financeiros

  • Informações de faturamento: CNPJ, endereço fiscal;
  • Histórico de pagamentos.

Nota: Dados de cartão de crédito são processados exclusivamente pelo gateway de pagamento (Asaas) e não são armazenados em nossos servidores.

4. Finalidade do Tratamento

Dado Finalidade
Dados cadastrais Gestão de conta, suporte, comunicações
Respostas de avaliações Geração de relatórios estatísticos agregados para PGR/GRO
Dados de uso Melhoria da plataforma, segurança
Dados financeiros Faturamento, conformidade fiscal

5. Restrições de Acesso a Dados Individuais

No Plano Empresa, implementamos restrições adicionais para proteger os dados dos funcionários:

Tipo de Dado Acesso pela Empresa Motivo
Estatísticas agregadas por dimensão Permitido Dados organizacionais para PGR
Médias por GHE (mín. 5 respondentes) Permitido Limiar de anonimato respeitado
Taxa de participação Permitido Dado organizacional
Respostas individuais Bloqueado Conflito de interesse empregador-empregado
Identificação de respondentes Bloqueado Proteção LGPD — dados sensíveis
Laudo Psicológico Bloqueado Ato privativo de psicólogo (Lei 4.119/62)

Quando a análise indicar necessidade de intervenção individual, o sistema alertará a Empresa e indicará profissionais qualificados de todo o Brasil para atendimento por demanda, preservando a confidencialidade dos dados.

6. Base Legal

O tratamento de dados pessoais pela PrismaNR fundamenta-se nas seguintes bases legais da LGPD:

  • Execução de contrato (Art. 7º, V): Prestação dos serviços contratados;
  • Cumprimento de obrigação legal (Art. 7º, II): NR-1, legislação trabalhista e fiscal;
  • Legítimo interesse (Art. 7º, IX): Segurança da plataforma, prevenção a fraudes;
  • Consentimento (Art. 7º, I): Obtido dos respondentes antes do preenchimento das avaliações.

7. Segurança dos Dados

Implementamos medidas técnicas e organizacionais para proteger os dados pessoais:

  • Criptografia: Dados em trânsito (TLS 1.3) e em repouso (AES-256);
  • Controle de acesso: Autenticação robusta com tokens de sessão, permissões granulares por perfil e expiração automática por inatividade;
  • Bloqueio técnico: Respostas individuais inacessíveis à Empresa Contratante via sistema, mesmo para usuários com CRP;
  • Infraestrutura: Servidores em data centers DigitalOcean com certificação ISO 27001;
  • Monitoramento: Logs de auditoria, rate limiting nos endpoints críticos, detecção de anomalias;
  • Auditoria LGPD: Registro imutável de todo acesso a respostas individuais (quem acessou, quando e por qual finalidade), em conformidade com o Art. 37 e Art. 46 da LGPD;
  • Consentimento explícito: Respondentes precisam aceitar o termo de privacidade antes de iniciar o questionário, com registro do momento do consentimento;
  • Backups: Cópias de segurança automáticas do banco de dados gerenciado, com retenção de 7 dias (DigitalOcean Managed Database).

8. Compartilhamento de Dados

Os dados pessoais podem ser compartilhados com:

Destinatário Finalidade Proteção
DigitalOcean Hospedagem e processamento Contrato de DPA, data centers seguros
Asaas Processamento de pagamentos PCI-DSS, LGPD compliance
Google Gemini (IA) Geração de análises Apenas dados agregados, sem identificação

Dados individuais de respondentes NUNCA são compartilhados com a Empresa Contratante, gestores, ou utilizados para decisões trabalhistas individuais.

9. Retenção de Dados

Tipo de Dado Período de Retenção Justificativa
Dados cadastrais Duração do contrato + 5 anos Obrigações fiscais e legais
Respostas de avaliações 5 anos após a avaliação Conformidade NR-1/PGR
Relatórios gerados 20 anos Prazo prescricional trabalhista
Logs de acesso 6 meses Marco Civil da Internet
Dados financeiros 5 anos Legislação fiscal

Após os períodos indicados, os dados são anonimizados ou eliminados de forma segura.

10. Direitos do Titular

Conforme a LGPD, você tem direito a:

  • Acesso: Solicitar cópia dos seus dados pessoais;
  • Correção: Atualizar dados incompletos ou incorretos;
  • Anonimização/Bloqueio: Solicitar tratamento restrito;
  • Eliminação: Requerer exclusão de dados desnecessários;
  • Portabilidade: Receber seus dados em formato estruturado (CSV ou JSON);
  • Revogação do consentimento: Quando o tratamento for baseado em consentimento;
  • Informação: Saber com quem seus dados foram compartilhados.

Para exercer seus direitos, entre em contato pelo e-mail: contato@prismanr.com.br

Responderemos em até 15 dias úteis, conforme previsto na LGPD.

10.1. Direitos dos Respondentes (Funcionários)

Os funcionários que participam das avaliações possuem os mesmos direitos previstos na LGPD. A Empresa Contratante (Controlador) é responsável por:

  • Informar seus funcionários sobre a finalidade da avaliação;
  • Garantir a participação voluntária;
  • Assegurar que as respostas não serão utilizadas para decisões trabalhistas adversas;
  • Atender solicitações de exercício de direitos dos titulares.

11. Encarregado de Dados (DPO)

Para questões relacionadas à proteção de dados pessoais, entre em contato através do e-mail:

contato@prismanr.com.br

12. Canal de Denúncias (Add-on opcional)

Esta seção complementa a presente Política e aplica-se exclusivamente às Empresas Contratantes que tenham contratado o módulo opcional Canal de Denúncias (Lei nº 14.457/2022).

12.1. Dados tratados no canal

No contexto do Canal de Denúncias, os dados tratados pela PrismaNR limitam-se a:

  • Conteúdo da denúncia (texto livre, descrição do ocorrido) — fornecido voluntariamente pelo denunciante;
  • Anexos opcionais (imagem, áudio, documento) — fornecidos voluntariamente pelo denunciante;
  • Token de acompanhamento de 32 caracteres aleatórios, entregue exclusivamente ao denunciante;
  • Histórico imutável das transições de status, registrando data, hora e operador responsável.

A PrismaNR não coleta o endereço IP, o User-Agent, geolocalização ou qualquer outro dado de identificação do denunciante. O canal é estruturalmente anônimo.

12.2. Bases legais

O tratamento dos dados das denúncias fundamenta-se nas seguintes hipóteses legais previstas na Lei nº 13.709/2018 (LGPD):

  • Art. 7º, II — cumprimento de obrigação legal, considerando a Lei nº 14.457/2022 e o Decreto nº 11.815/2023;
  • Art. 7º, IX — legítimo interesse, para apuração de conduta no ambiente de trabalho.

12.3. Papéis na LGPD

No âmbito do Canal de Denúncias, a Empresa Contratante atua como Controladora dos dados das denúncias. A PrismaNR atua como Operadora, limitando-se às atividades técnicas de recepção, armazenamento auditável, controle de acesso pelos operadores designados e geração de relatórios trimestrais agregados.

12.4. Governança e salvaguardas

A operação do canal pela Empresa Contratante exige, obrigatoriamente: ao menos 2 (dois) operadores designados, Comitê de Ética com 3 (três) membros e ao menos 1 (um) operador externo à hierarquia do RH, como salvaguarda contra conflito de interesses. O sistema bloqueia automaticamente a ativação enquanto tais requisitos não forem cumpridos.

12.5. Retenção

Os dados do Canal de Denúncias são retidos pelo prazo de 5 (cinco) anos contados do encerramento da denúncia, conforme exigência da legislação trabalhista. Após esse prazo, os dados são definitivamente eliminados, salvo determinação judicial ou administrativa em contrário.

12.6. Token e impossibilidade de recuperação

Pela natureza anônima do canal, a PrismaNR não armazena qualquer correlação entre a identidade do denunciante e o token de acompanhamento. Em consequência, a perda do token pelo denunciante torna o acompanhamento daquela denúncia específica permanentemente inacessível. Trata-se de característica inerente e indissociável ao modelo anônimo exigido pela Lei nº 14.457/2022.

12.7. Subprocessadores

Para a prestação do módulo Canal de Denúncias, a PrismaNR utiliza os mesmos subprocessadores listados na Seção 8 desta Política (DigitalOcean para hospedagem em território brasileiro e Mailgun para envio de notificações), sem ampliação do escopo de compartilhamento.

13. Foro

Fica eleito o Foro da Comarca de São Paulo, Estado de São Paulo, para dirimir quaisquer questões relacionadas a esta Política de Privacidade, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

14. Atualizações

Esta Política de Privacidade pode ser atualizada periodicamente. Alterações significativas serão comunicadas por e-mail ou através de aviso na plataforma. Recomendamos a revisão periódica deste documento.

PrismaNR LTDA - CNPJ: 64.675.758/0001-02

Contato: contato@prismanr.com.br

PrismaNR

Gestão inteligente de riscos psicossociais. Automatize a conformidade NR-1 com tecnologia e inteligência artificial.

Produto

  • Recursos
  • Como Funciona
  • Investimento
  • Calculadora NR-1

Empresa

  • Quem Somos
  • Contato
  • FAQ
  • Acessar Plataforma

Legal

  • Termos de Uso (Consultorias)
  • Termos de Uso (Empresas)
  • Privacidade (Consultorias)
  • Privacidade (Empresas)

© PrismaNR LTDA. Todos os direitos reservados.