Política de Privacidade - Plano Empresa
Plano Empresa: Esta política aplica-se a empresas que utilizam a plataforma PrismaNR diretamente. Para consultorias de SST, consulte a Política de Privacidade para Consultorias.
1. Introdução
A PrismaNR LTDA ("nós", "nosso" ou "PrismaNR") está comprometida com a proteção dos dados pessoais de todos os usuários de nossa plataforma. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos suas informações, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD).
Ao utilizar a plataforma PrismaNR no Plano Empresa, você declara ter lido e compreendido esta Política.
2. Papéis na LGPD
No Plano Empresa, a relação é direta (B2B) entre a empresa e a PrismaNR, diferente do modelo via consultoria. Os papéis são:
| Papel | Responsável | Descrição |
|---|---|---|
| Controlador | Empresa Contratante | Define as finalidades do tratamento dos dados dos funcionários e é responsável pelas decisões sobre o uso dos resultados |
| Operador | PrismaNR LTDA | Fornece a infraestrutura tecnológica e realiza o tratamento em nome do Controlador |
| Suboperadores técnicos | DigitalOcean, Asaas | Prestadores de serviços contratados pela PrismaNR |
Nota: No modelo via consultoria, a PrismaNR atua como Suboperador. No Plano Empresa, a PrismaNR atua como Operador, pois a relação é direta com a empresa (Controlador).
3. Dados Tratados
3.1. Dados Cadastrais (Empresa e Usuários)
- Razão social, CNPJ, endereço, telefone;
- Nome, e-mail, cargo dos Usuários (GestorEmpresa, AnalistaEmpresa);
- Dados de acesso: logs de login, IP, dispositivo.
3.2. Dados de Respondentes (Funcionários)
Proteção Especial — LGPD Art. 5º, II
Respostas de avaliações psicossociais são consideradas Dados Pessoais Sensíveis e recebem proteção máxima. No Plano Empresa, a Empresa Contratante (empregador) nunca terá acesso a respostas individuais de seus funcionários, por questões de conflito de interesse e proteção do trabalhador.
- Identificadores: código anônimo interno (sem vínculo com nome ou matrícula);
- Dados demográficos: setor, unidade, tempo de empresa (sem identificação individual);
- Respostas de questionários: tratadas exclusivamente de forma agregada;
- Consentimento LGPD: data e hora do aceite do termo de consentimento.
3.3. Dados Financeiros
- Informações de faturamento: CNPJ, endereço fiscal;
- Histórico de pagamentos.
Nota: Dados de cartão de crédito são processados exclusivamente pelo gateway de pagamento (Asaas) e não são armazenados em nossos servidores.
4. Finalidade do Tratamento
| Dado | Finalidade |
|---|---|
| Dados cadastrais | Gestão de conta, suporte, comunicações |
| Respostas de avaliações | Geração de relatórios estatísticos agregados para PGR/GRO |
| Dados de uso | Melhoria da plataforma, segurança |
| Dados financeiros | Faturamento, conformidade fiscal |
5. Restrições de Acesso a Dados Individuais
No Plano Empresa, implementamos restrições adicionais para proteger os dados dos funcionários:
| Tipo de Dado | Acesso pela Empresa | Motivo |
|---|---|---|
| Estatísticas agregadas por dimensão | Permitido | Dados organizacionais para PGR |
| Médias por GHE (mín. 5 respondentes) | Permitido | Limiar de anonimato respeitado |
| Taxa de participação | Permitido | Dado organizacional |
| Respostas individuais | Bloqueado | Conflito de interesse empregador-empregado |
| Identificação de respondentes | Bloqueado | Proteção LGPD — dados sensíveis |
| Laudo Psicológico | Bloqueado | Ato privativo de psicólogo (Lei 4.119/62) |
Quando a análise indicar necessidade de intervenção individual, o sistema alertará a Empresa e indicará profissionais qualificados de todo o Brasil para atendimento por demanda, preservando a confidencialidade dos dados.
6. Base Legal
O tratamento de dados pessoais pela PrismaNR fundamenta-se nas seguintes bases legais da LGPD:
- Execução de contrato (Art. 7º, V): Prestação dos serviços contratados;
- Cumprimento de obrigação legal (Art. 7º, II): NR-1, legislação trabalhista e fiscal;
- Legítimo interesse (Art. 7º, IX): Segurança da plataforma, prevenção a fraudes;
- Consentimento (Art. 7º, I): Obtido dos respondentes antes do preenchimento das avaliações.
7. Segurança dos Dados
Implementamos medidas técnicas e organizacionais para proteger os dados pessoais:
- Criptografia: Dados em trânsito (TLS 1.3) e em repouso (AES-256);
- Controle de acesso: Autenticação robusta com tokens de sessão, permissões granulares por perfil e expiração automática por inatividade;
- Bloqueio técnico: Respostas individuais inacessíveis à Empresa Contratante via sistema, mesmo para usuários com CRP;
- Infraestrutura: Servidores em data centers DigitalOcean com certificação ISO 27001;
- Monitoramento: Logs de auditoria, rate limiting nos endpoints críticos, detecção de anomalias;
- Auditoria LGPD: Registro imutável de todo acesso a respostas individuais (quem acessou, quando e por qual finalidade), em conformidade com o Art. 37 e Art. 46 da LGPD;
- Consentimento explícito: Respondentes precisam aceitar o termo de privacidade antes de iniciar o questionário, com registro do momento do consentimento;
- Backups: Cópias de segurança automáticas do banco de dados gerenciado, com retenção de 7 dias (DigitalOcean Managed Database).
8. Compartilhamento de Dados
Os dados pessoais podem ser compartilhados com:
| Destinatário | Finalidade | Proteção |
|---|---|---|
| DigitalOcean | Hospedagem e processamento | Contrato de DPA, data centers seguros |
| Asaas | Processamento de pagamentos | PCI-DSS, LGPD compliance |
| Google Gemini (IA) | Geração de análises | Apenas dados agregados, sem identificação |
Dados individuais de respondentes NUNCA são compartilhados com a Empresa Contratante, gestores, ou utilizados para decisões trabalhistas individuais.
9. Retenção de Dados
| Tipo de Dado | Período de Retenção | Justificativa |
|---|---|---|
| Dados cadastrais | Duração do contrato + 5 anos | Obrigações fiscais e legais |
| Respostas de avaliações | 5 anos após a avaliação | Conformidade NR-1/PGR |
| Relatórios gerados | 20 anos | Prazo prescricional trabalhista |
| Logs de acesso | 6 meses | Marco Civil da Internet |
| Dados financeiros | 5 anos | Legislação fiscal |
Após os períodos indicados, os dados são anonimizados ou eliminados de forma segura.
10. Direitos do Titular
Conforme a LGPD, você tem direito a:
- Acesso: Solicitar cópia dos seus dados pessoais;
- Correção: Atualizar dados incompletos ou incorretos;
- Anonimização/Bloqueio: Solicitar tratamento restrito;
- Eliminação: Requerer exclusão de dados desnecessários;
- Portabilidade: Receber seus dados em formato estruturado (CSV ou JSON);
- Revogação do consentimento: Quando o tratamento for baseado em consentimento;
- Informação: Saber com quem seus dados foram compartilhados.
Para exercer seus direitos, entre em contato pelo e-mail: contato@prismanr.com.br
Responderemos em até 15 dias úteis, conforme previsto na LGPD.
10.1. Direitos dos Respondentes (Funcionários)
Os funcionários que participam das avaliações possuem os mesmos direitos previstos na LGPD. A Empresa Contratante (Controlador) é responsável por:
- Informar seus funcionários sobre a finalidade da avaliação;
- Garantir a participação voluntária;
- Assegurar que as respostas não serão utilizadas para decisões trabalhistas adversas;
- Atender solicitações de exercício de direitos dos titulares.
11. Encarregado de Dados (DPO)
Para questões relacionadas à proteção de dados pessoais, entre em contato através do e-mail:
contato@prismanr.com.br
12. Canal de Denúncias (Add-on opcional)
Esta seção complementa a presente Política e aplica-se exclusivamente às Empresas Contratantes que tenham contratado o módulo opcional Canal de Denúncias (Lei nº 14.457/2022).
12.1. Dados tratados no canal
No contexto do Canal de Denúncias, os dados tratados pela PrismaNR limitam-se a:
- Conteúdo da denúncia (texto livre, descrição do ocorrido) — fornecido voluntariamente pelo denunciante;
- Anexos opcionais (imagem, áudio, documento) — fornecidos voluntariamente pelo denunciante;
- Token de acompanhamento de 32 caracteres aleatórios, entregue exclusivamente ao denunciante;
- Histórico imutável das transições de status, registrando data, hora e operador responsável.
A PrismaNR não coleta o endereço IP, o User-Agent, geolocalização ou qualquer outro dado de identificação do denunciante. O canal é estruturalmente anônimo.
12.2. Bases legais
O tratamento dos dados das denúncias fundamenta-se nas seguintes hipóteses legais previstas na Lei nº 13.709/2018 (LGPD):
- Art. 7º, II — cumprimento de obrigação legal, considerando a Lei nº 14.457/2022 e o Decreto nº 11.815/2023;
- Art. 7º, IX — legítimo interesse, para apuração de conduta no ambiente de trabalho.
12.3. Papéis na LGPD
No âmbito do Canal de Denúncias, a Empresa Contratante atua como Controladora dos dados das denúncias. A PrismaNR atua como Operadora, limitando-se às atividades técnicas de recepção, armazenamento auditável, controle de acesso pelos operadores designados e geração de relatórios trimestrais agregados.
12.4. Governança e salvaguardas
A operação do canal pela Empresa Contratante exige, obrigatoriamente: ao menos 2 (dois) operadores designados, Comitê de Ética com 3 (três) membros e ao menos 1 (um) operador externo à hierarquia do RH, como salvaguarda contra conflito de interesses. O sistema bloqueia automaticamente a ativação enquanto tais requisitos não forem cumpridos.
12.5. Retenção
Os dados do Canal de Denúncias são retidos pelo prazo de 5 (cinco) anos contados do encerramento da denúncia, conforme exigência da legislação trabalhista. Após esse prazo, os dados são definitivamente eliminados, salvo determinação judicial ou administrativa em contrário.
12.6. Token e impossibilidade de recuperação
Pela natureza anônima do canal, a PrismaNR não armazena qualquer correlação entre a identidade do denunciante e o token de acompanhamento. Em consequência, a perda do token pelo denunciante torna o acompanhamento daquela denúncia específica permanentemente inacessível. Trata-se de característica inerente e indissociável ao modelo anônimo exigido pela Lei nº 14.457/2022.
12.7. Subprocessadores
Para a prestação do módulo Canal de Denúncias, a PrismaNR utiliza os mesmos subprocessadores listados na Seção 8 desta Política (DigitalOcean para hospedagem em território brasileiro e Mailgun para envio de notificações), sem ampliação do escopo de compartilhamento.
13. Foro
Fica eleito o Foro da Comarca de São Paulo, Estado de São Paulo, para dirimir quaisquer questões relacionadas a esta Política de Privacidade, com renúncia expressa a qualquer outro, por mais privilegiado que seja.
14. Atualizações
Esta Política de Privacidade pode ser atualizada periodicamente. Alterações significativas serão comunicadas por e-mail ou através de aviso na plataforma. Recomendamos a revisão periódica deste documento.
PrismaNR LTDA - CNPJ: 64.675.758/0001-02
Contato: contato@prismanr.com.br