Política de Privacidade

Última atualização: 18 de junho de 2026

1. Quem somos

Somos os responsáveis pela plataforma Psicomapp, ferramenta de gestão de pesquisas de riscos psicossociais no trabalho, sediada em Brasília/DF, Brasil.

Para dúvidas sobre privacidade: privacidade@psicomapp.com.br

2. Encarregado de Dados (DPO)

Em conformidade com o art. 41 da LGPD, indicamos como Encarregada pelo Tratamento de Dados Pessoais (DPO):

O Encarregado é o canal oficial para solicitações de titulares de dados e comunicação com a Autoridade Nacional de Proteção de Dados (ANPD).

3. Dados que coletamos

Dados de conta (Administrador): nome, e-mail e senha (hash) ou dados de autenticação Google. Usados para autenticação e comunicação.

Dados de empresas: razão social, CNPJ, CNAE, contatos — fornecidos pelo administrador para organização interna.

Dados de colaboradores: nome, e-mail, setor e cargo — carregados pelo administrador via planilha para envio de convites de pesquisa.

Respostas de pesquisa: respostas aos questionários (dados de saúde ocupacional/psicossocial). São armazenadas de forma agregada e associadas ao setor/cargo, sem identificação individual nos relatórios.

Dados de saúde (opcionais): quando o administrador utiliza a funcionalidade de registro de afastamentos, podem ser armazenados códigos CID (classificação de diagnósticos) e indicadores de saúde mental. Estes são considerados dados sensíveis nos termos do art. 5°, II da LGPD e tratados com base no art. 11, II, "b" (proteção da vida e incolumidade física do trabalhador) e art. 11, II, "g" (garantia da prevenção à fraude e à segurança do titular), no contexto do cumprimento da NR-1.

Dados de uso: logs de acesso, IP, navegador — coletados automaticamente pela infraestrutura Supabase/Vercel para segurança e diagnóstico.

4. Base legal (LGPD)

O tratamento dos dados é baseado em:

  • Execução de contrato (art. 7°, V) — para dados de conta e faturamento;
  • Legítimo interesse (art. 7°, IX) — para logs de segurança e melhoria do serviço;
  • Obrigação legal / interesse legítimo do empregador (art. 7°, II e IX) — para dados de colaboradores e respostas no contexto da NR-1;
  • Proteção da vida e incolumidade do trabalhador (art. 11, II, "b") — para dados sensíveis de saúde registrados pelo empregador.

O administrador (usuário da plataforma) é o controlador dos dados de seus colaboradores. A Psicomapp atua como operadora, tratando esses dados exclusivamente conforme as instruções do controlador.

5. Como usamos os dados

  • Autenticação e acesso à plataforma;
  • Envio de convites de pesquisa por e-mail;
  • Geração de relatórios diagnósticos (DRPS) e de acompanhamento;
  • Comunicações sobre a conta, plano e atualizações do sistema;
  • Melhoria e monitoramento do serviço.

Não vendemos, alugamos nem compartilhamos dados pessoais com terceiros para fins comerciais.

6. Compartilhamento e transferência internacional

Compartilhamos dados apenas com os seguintes subprocessadores:

  • Supabase Inc. (banco de dados e autenticação) — servidores na região us-east-1 (EUA). A transferência internacional é necessária para a execução do contrato com o usuário, nos termos do art. 33, inciso VII da LGPD. As obrigações de processamento de dados estão previstas nos Termos de Serviço da Supabase Inc. (supabase.com/terms), que incluem compromissos de confidencialidade e segurança compatíveis com as exigências da LGPD. Um Acordo de Processamento de Dados (DPA) individual será formalizado quando disponível no plano contratado;
  • Vercel Inc. (hospedagem, EUA) — servidor na região mais próxima do usuário. A transferência é amparada pelo art. 33, inciso VII da LGPD (necessidade para execução do serviço). As obrigações de processamento de dados estão previstas nos Termos de Serviço da Vercel Inc. (vercel.com/legal). Um DPA individual pode ser solicitado conforme o plano contratado;
  • Resend Inc. (EUA) — serviço de envio de e-mails transacionais. Dados de e-mail de colaboradores são transmitidos exclusivamente para disparo dos convites de participação. A transferência é amparada pelo art. 33, inciso VII da LGPD e por Acordo de Processamento de Dados (DPA) formalmente assinado com a Resend Inc.;
  • Asaas Cobrança Simplificada S.A. (processamento de pagamentos — CNPJ 19.540.550/0001-21) — quando aplicável;
  • Google LLC — Gemini API (processamento de OCR para digitalização de questionários físicos em papel) — utilizado exclusivamente quando o administrador opta por digitalizar questionários impressos. As imagens enviadas são processadas temporariamente e não retidas pelo Google para treinamento de modelos, conforme os termos da Gemini API.

Os subprocessadores listados estão sujeitos a obrigações contratuais de confidencialidade e segurança de dados. Acordos de Processamento de Dados (DPA) individuais serão formalizados à medida que estejam disponíveis nos planos contratados.

7. Retenção de dados

Os dados são retidos pelos seguintes prazos, contados a partir do evento indicado:

  • Dados de conta do administrador (nome, e-mail, perfil): mantidos enquanto a conta estiver ativa. Após cancelamento ou exclusão da conta, retidos por 90 dias para eventual reativação e excluídos em seguida, salvo obrigação legal de prazo superior;
  • Dados de colaboradores (nome, e-mail, setor, cargo): mantidos enquanto a conta do administrador estiver ativa. São excluídos junto com a conta ou quando o próprio administrador os remover pela Plataforma;
  • Respostas de pesquisas: mantidas pelo mesmo ciclo da conta do administrador. Respostas individuais nunca são identificadas nos relatórios — são sempre apresentadas de forma agregada por setor e cargo;
  • Logs de auditoria: retidos por 12 meses a partir do registro, para fins de rastreabilidade e segurança;
  • Registros de saúde (afastamentos, CID): mantidos enquanto a conta estiver ativa e excluídos conforme solicitação do administrador ou ao encerramento da conta.

Solicitações de eliminação antecipada de dados podem ser feitas pelo e-mail privacidade@psicomapp.com.br. O atendimento ocorre em até 15 dias úteis.

8. Segurança

Adotamos medidas técnicas e organizacionais adequadas: criptografia em trânsito (TLS), Row Level Security no banco de dados (cada administrador acessa apenas seus próprios dados), autenticação robusta, controle de acesso por função e registro de auditoria de ações críticas.

9. Seus direitos (LGPD — art. 18)

Como titular de dados, você tem direito a:

  • Confirmação e acesso aos dados que tratamos;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Portabilidade;
  • Eliminação dos dados;
  • Revogação do consentimento, a qualquer momento, sem prejuízo à legalidade do tratamento realizado anteriormente;
  • Oposição ao tratamento realizado com base em legítimo interesse;
  • Informações sobre compartilhamento.

Exerça seus direitos pelo e-mail: privacidade@psicomapp.com.br. Respondemos em até 15 dias úteis.

Colaboradores das empresas clientes: se você é colaborador de uma empresa que utiliza a Psicomapp, seus dados (nome, e-mail, setor e cargo) foram cadastrados pela sua empresa para fins de pesquisa de riscos psicossociais, conforme a NR-1. A empresa é a controladora primária desses dados. Para exercer seus direitos de acesso, correção ou exclusão, dirija-se ao setor de RH ou ao responsável pela pesquisa na sua organização. A Psicomapp, como operadora, acatará as instruções do controlador para atendimento dessas solicitações. Em caso de não atendimento pela empresa, você pode contatar a Psicomapp diretamente pelo e-mail privacidade@psicomapp.com.br ou apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

10. Cookies

Utilizamos apenas cookies estritamente necessários para autenticação e manutenção de sessão (cookies de sessão Supabase Auth, com duração de até 7 dias). Não utilizamos cookies de rastreamento ou publicidade.

11. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme o art. 48 da LGPD, com no máximo 72 horas após a ciência do fato. A notificação conterá a descrição da natureza dos dados, as medidas técnicas adotadas para contenção e os contatos do Encarregado.

12. Alterações

Esta política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por e-mail com antecedência de 15 dias.

PPsicomapp

Gestão, Pesquisa e Bem-estar no Trabalho