Política de Privacidade

1. Responsável pelo Tratamento (Controlador)

A plataforma Electia é operada pela ResultX, inscrita no CNPJ sob o nº 39.561.409/0001-12, com sede em Recife/PE, Brasil.

Encarregado de Proteção de Dados (DPO): Marcos Carneiro. Para questões relacionadas ao tratamento de dados pessoais, exercício de direitos do titular, ou outras solicitações de privacidade, entre em contato pelo e-mail: dpo@resultx.app.

2. Dados Coletados

Coletamos os seguintes dados pessoais para a prestação do serviço:

• Nome completo e e-mail (identificação)
• Telefone (comunicação, opcional)
• Data de admissão, faixa salarial, cargo, departamento (contexto organizacional)
• Respostas a testes comportamentais e situacionais (avaliação)
• Campos personalizados que a empresa optar por adicionar ao cadastro do colaborador (opcional)
• Áudio e transcrição de reuniões 1:1, quando o gestor optar por gravar (opt-in)
• Dados de navegação: IP, user-agent, data/hora de acesso (segurança e auditoria)

3. Finalidade do Tratamento

Os dados coletados são utilizados exclusivamente para:

• Aplicação de assessments comportamentais e situacionais
• Geração de relatórios de perfil profissional
• Matching colaborador vs. cargo
• Indicadores de clima psicossocial e compliance NR-1 (forma agregada anônima)
• Pesquisas de clima organizacional (forma agregada anônima)
• Recomendações geradas por inteligência artificial (Nexus)

4. Bases Legais (LGPD Art. 7º e 11º)

O tratamento de dados é realizado sob múltiplas bases legais, conforme a finalidade:

• Execução de contrato (Art. 7º, V): cadastro do colaborador e prestação do serviço contratado pela empresa empregadora.
• Consentimento do titular (Art. 7º, I): aplicação de assessments comportamentais e situacionais, registro em listas de marketing (sempre opt-in granular).
• Legítimo interesse (Art. 7º, IX): logs de navegação, segurança e auditoria; análises agregadas anônimas (mínimo N≥5 respondentes).
• Cumprimento de obrigação legal (Art. 7º, II): retenção de registros para auditorias trabalhistas e fiscalizações.
• Tutela da saúde por profissional habilitado(Art. 11º, II, "f"): dados de saúde mental individuais (módulo opt-in) somente quando há psicólogo cadastrado com CRP e responsabilidade técnica formal pela cadeia de custódia clínica.

5. Compartilhamento de Dados

Os resultados de avaliações comportamentais são compartilhados apenas com os gestores autorizados da empresa contratante, conforme escopo de acesso definido por papel (Administrador, RH, Gestor, Visualizador).

Resultados de clima psicossocial e bem-estar coletivo são apresentados exclusivamente de forma agregada anônima, com mínimo de 5 respondentes por recorte, sem possibilidade de identificação individual.

Resultados de saúde mental individual (módulo opt-in) são acessíveis apenas a administradores e profissional de saúde cadastrado (CRP). Setor de RH NÃO tem acesso a dados clínicos individuais.

Não vendemos, alugamos ou compartilhamos dados pessoais com terceiros para fins de marketing externo.

6. Retenção e Exclusão

Aplicamos prazos de retenção proporcionais ao motivo da baixa, conforme detalhado abaixo. Após o prazo aplicável, os dados são eliminados de forma irreversível por rotina automatizada de expurgo, sem possibilidade de recuperação.

• Dados ativos: mantidos enquanto o colaborador estiver ativo na empresa e o contrato do Electia estiver vigente.
• Inativação pelo gestor (soft delete): quando a empresa desativa um colaborador (por desligamento, licença ou qualquer motivo), os dados ficam retidos por 12 (doze) meses, contados da data da inativação. Esse período cobre auditorias trabalhistas, fiscalizações e compromissos contratuais. Após 12 meses, os dados do colaborador são eliminados de forma irreversível.
• Exclusão de conta pelo próprio titular (self-delete): quando o usuário solicita a exclusão da sua conta (em Configurações › Segurança), aplicamos um período de 30 (trinta) dias de carência, durante o qual o titular pode reativar a conta revertendo a solicitação. Após os 30 dias, os dados são eliminados de forma irreversível.
• Exclusão administrativa: quando a empresa solicita a exclusão imediata de um colaborador (em oposição à inativação), o período de carência é de 30 (trinta) diasantes da eliminação irreversível.
• Registros de consentimento: mantidos para fins de comprovação legal, com dados pessoais anonimizados (hash unidirecional). Esses registros não permitem identificar o titular.
• Dados agregados e anonimizados: indicadores estatísticos (métricas, benchmarks, pesquisas de clima em formato agregado) podem ser mantidos indefinidamente, desde que não permitam a reidentificação de titulares individuais.

A rotina automatizada de expurgo executa mensalmente e registra em log de auditoria as operações de eliminação realizadas. O titular pode solicitar uma certidão de exclusão a qualquer momento pelo canal informado no item 9.

7. Subprocessadores

Para operar o serviço, contratamos os seguintes operadores subprocessadores. Cada um possui acordo de processamento de dados (DPA) ativo conforme exigido pelos artigos 39º e 40º da LGPD:

• Supabase (EUA/UE) — banco de dados, autenticação e armazenamento de arquivos. supabase.com/privacy
• Vercel (EUA/UE) — hospedagem, CDN e edge functions. vercel.com/legal/privacy-policy
• Brevo (UE) — e-mail transacional e (com opt-in granular) marketing. brevo.com/legal/privacypolicy
• OpenAI (EUA) — modelos de inteligência artificial (GPT-4o para testes situacionais, Whisper para transcrição opcional de reuniões 1:1, Nexus). Os dados enviados não são utilizados para treinamento dos modelos por padrão da política API da OpenAI. openai.com/policies/privacy-policy
• Stripe (EUA) — processamento de pagamentos (acessa apenas dados financeiros necessários para cobrança; não acessa resultados de assessments). stripe.com/privacy

Esta lista é mantida atualizada. Alterações materiais (inclusão/remoção de subprocessadores) serão comunicadas conforme item 11 desta política.

8. Uso de Inteligência Artificial

O Electia utiliza modelos de inteligência artificial (OpenAI) para:

• Gerar cenários de testes situacionais a partir de contexto de cargo
• Gerar perfil ideal de cargo e sugestões de matching (Nexus)
• Apoiar gestor com recomendações contextualizadas (Nexus)
• Transcrever áudios de reuniões 1:1 quando o gestor optar por gravar (Whisper)

As respostas e dados enviados para análise por IA não são utilizados para treinamento dos modelos por padrão da política API da OpenAI. O conteúdo gerado por IA é apresentado como sugestão e não substitui avaliação ou decisão humana qualificada.

9. Direitos do Titular (LGPD Art. 18º)

Nos termos da LGPD, você tem direito a:

• Confirmar a existência de tratamento dos seus dados
• Acessar seus dados pessoais
• Solicitar correção de dados incompletos ou incorretos
• Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
• Solicitar a portabilidade dos dados a outro fornecedor
• Solicitar a eliminação dos dados tratados com base em consentimento
• Obter informação sobre as entidades públicas e privadas com as quais o controlador realizou compartilhamento
• Obter informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
• Revogar o consentimento a qualquer momento

Para exercer seus direitos, entre em contato pelo e-mail dpo@resultx.app. Responderemos em até 15 (quinze) dias. Você também pode contatar o RH da sua empresa para solicitações administrativas relacionadas à sua função.

Direito de petição à ANPD: caso entenda que seu pedido não foi adequadamente atendido, você pode peticionar à Autoridade Nacional de Proteção de Dados ( gov.br/anpd).

10. Segurança

Utilizamos medidas técnicas e organizacionais para proteger seus dados, incluindo: criptografia em trânsito (TLS 1.3 com HSTS), isolamento por empresa (Row Level Security em todas as 36 tabelas sensíveis), autenticação multifator quando disponível, cabeçalhos de segurança em produção (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy), anonimização irreversível para pesquisas de clima (mínimo N≥5 respondentes), e logs de auditoria de acessos.

11. Alterações

Esta política pode ser atualizada periodicamente. Alterações materiais (incluindo inclusão ou remoção de subprocessadores, mudança de bases legais ou novos tipos de coleta) serão comunicadas por e-mail aos titulares cadastrados ou por notificação na plataforma com pelo menos 15 dias de antecedência.