Política de Privacidade
Última atualização: 23 de abril de 2026
1. Quem somos
O PGR Psicossocial é uma plataforma SaaS destinada a profissionais de Saúde e Segurança do Trabalho (SST) para gestão de riscos psicossociais conforme a NR-1. Nesta política, "nós" refere-se ao PGR Psicossocial e "você" ao usuário da plataforma (consultor SST) ou respondente de pesquisa (funcionário de empresa cliente).
2. Dados que coletamos
2.1. Dados do consultor SST (controlador)
- Nome, email e senha (hash criptográfico — nunca armazenamos a senha em texto)
- Logo da empresa (opcional, para personalização de relatórios)
- Dados de faturamento (processados pelo Stripe, não armazenados em nossos servidores)
2.2. Dados das empresas clientes
- CNPJ, razão social, CNAE, porte, endereço
- Estrutura organizacional: nomes de departamentos/setores e número de funcionários
2.3. Respostas do questionário (funcionários)
Anonimato garantido por design
- Não coletamos nenhum dado pessoal do respondente: sem nome, CPF, email, matrícula ou qualquer identificador
- Não retemos o endereço IP do respondente em nossos servidores; o Google Analytics 4, utilizado apenas para contagem de eventos, recebe o IP anonimizado (truncado na ingestão) conforme descrito na Seção 9
- Cada resposta armazenada contém apenas: identificador do setor avaliado + 35 respostas numéricas (1 a 5)
- As respostas do questionário nunca são enviadas ao Google Analytics — permanecem exclusivamente em nosso banco de dados
- É tecnicamente impossível vincular uma resposta a um indivíduo — essa limitação é intencional
2.4. Canal de denúncias (Lei 14.457/2022)
O Canal de Denúncias (Escuta Ativa) é um produto opcional para empresas-clientes que precisam cumprir o Art. 23 da Lei 14.457/2022. O denunciante escolhe entre denúncia anônima (padrão) ou identificada.
Denúncia anônima
- Nenhum identificador pessoal é coletado: sem nome, CPF, email, matrícula ou IP do denunciante
- Armazenamos apenas: protocolo gerado aleatoriamente, descrição do relato, categoria, gravidade e tipo de dispositivo (mobile/desktop) para fins de UX
- O protocolo é a única forma de o denunciante voltar a acompanhar o caso — não exigimos cadastro
Denúncia identificada
- Coletamos o nome e contato fornecidos voluntariamente pelo denunciante (campos opcionais e explícitos no formulário)
- Estes dados são tratados com base no consentimento do titular (Art. 7°, I, LGPD) e no exercício regular de direitos em processo (Art. 7°, X)
- Acesso restrito ao(s) responsável(is) cadastrado(s) pelo controlador para gerenciamento daquele canal
Conteúdo da descrição
- O texto livre da descrição pode incluir nomes ou cargos de pessoas mencionadas pelo denunciante (denunciados, testemunhas)
- Esses dados são tratados sob a hipótese do exercício regular de direitos em processo (Art. 7°, X, LGPD) e da obrigação legal da empresa-cliente cumprir a Lei 14.457/2022 (Art. 7°, II)
- Os direitos das pessoas mencionadas (acesso, correção) são exercidos junto à empresa-cliente, que é a controladora dos dados
Trilha de auditoria
Toda alteração no caso (mudança de status, atribuição de responsável, envio de mensagem, registro de resolução) é registrada em log com data/hora e ator. O log é imutável e disponível ao controlador sob solicitação.
3. Base legal (LGPD)
| Dado | Base legal |
|---|---|
| Dados do consultor SST | Execução de contrato (Art. 7°, V, LGPD) |
| Dados das empresas clientes | Legítimo interesse do consultor (Art. 7°, IX, LGPD) |
| Respostas do questionário | Dados anonimizados — não constituem dados pessoais nos termos da LGPD (Art. 12) |
| Canal de denúncias — denúncia anônima | Cumprimento de obrigação legal — Lei 14.457/2022 (Art. 7°, II, LGPD) |
| Canal de denúncias — denúncia identificada | Consentimento do titular (Art. 7°, I) + obrigação legal (Art. 7°, II, LGPD) |
| Pessoas mencionadas na descrição | Exercício regular de direitos em processo (Art. 7°, X) + obrigação legal da controladora (Art. 7°, II, LGPD) |
4. Como usamos os dados
- Calcular escores de risco psicossocial por setor e dimensão do HSE-IT
- Gerar a seção psicossocial do PGR com texto técnico baseado em templates
- Gerar planos de ação no formato 5W2H
- Exportar relatórios em PDF e DOCX
- Enviar comunicações transacionais (confirmação de conta, lembretes de prazo)
Não vendemos seus dados para terceiros. Não utilizamos os dados para treinamento de modelos de IA. Não enviamos comunicações de marketing sem consentimento explícito. A única transferência a terceiros ocorre com o processador de pagamentos (Stripe) e com o Google Analytics 4, este último em formato agregado e sem dados pessoais identificáveis, conforme detalhado na Seção 9.
5. Propriedade dos dados
Todos os dados inseridos pelo consultor SST (empresas, setores, avaliações, textos do PGR) são de propriedade exclusiva do consultor. O PGR Psicossocial atua como operador (processador) conforme Art. 5°, VII, LGPD. O consultor é o controlador dos dados de suas empresas clientes.
6. Armazenamento e segurança
- Dados armazenados em servidores no Brasil
- Conexões criptografadas via HTTPS/TLS 1.3
- Senhas armazenadas com hash Argon2id (estado da arte em criptografia de senhas)
- Backups diários automatizados
- Acesso restrito à equipe técnica autorizada
7. Retenção e exclusão
- Dados são mantidos enquanto a conta do consultor estiver ativa
- O consultor pode excluir qualquer empresa, avaliação ou dados associados a qualquer momento
- Ao cancelar a conta, todos os dados são permanentemente excluídos em até 30 dias
- Respostas de questionário anonimizadas podem ser retidas para fins estatísticos agregados, sem possibilidade de identificação
7.1. Retenção específica do Canal de Denúncias
| Dado | Prazo de retenção |
|---|---|
| Caso ativo (status ≠ Encerrada) | Mantido enquanto o caso estiver em apuração |
| Caso encerrado — metadados (protocolo, status, datas, categoria, gravidade) | 5 anos a partir do encerramento, para fins de auditoria trabalhista e fiscalização do MTE |
| Caso encerrado — descrição original e mensagens trocadas com o denunciante | 2 anos a partir do encerramento; após esse prazo são purgados automaticamente |
| Trilha de auditoria (log de alterações) | 5 anos, alinhada à retenção dos metadados |
| Dados de denúncia identificada (nome/contato do denunciante) | Purgados junto com a descrição original (2 anos) ou imediatamente, se solicitado pelo titular após o encerramento |
O controlador (empresa-cliente, via consultor SST) pode solicitar a purga antecipada da descrição e dos dados identificáveis a qualquer momento após o encerramento do caso.
8. Direitos do titular (LGPD Art. 18)
Consultores SST podem exercer seus direitos de acesso, correção, portabilidade e exclusão de dados entrando em contato pelo email [email protected]. Respondentes de questionário: como não coletamos dados pessoais, não há dados para acessar, corrigir ou excluir.
Canal de denúncias: a empresa-cliente, na figura de controladora, pode exportar todos os dados do canal (cadastro, casos, mensagens e trilha de auditoria) a qualquer momento pela página da empresa, via botão "Exportar dados (LGPD)" — formato JSON estruturado para fácil leitura por sistemas de terceiros. Denunciantes identificados podem solicitar correção ou exclusão de seus dados pessoais entrando em contato com o(a) responsável pelo canal informado pela empresa-cliente.
9. Cookies e medição de uso (Google Analytics 4)
Utilizamos cookies estritamente necessários para autenticação (sessão do consultor) e,
adicionalmente, o Google Analytics 4 (ID de medição G-EJ90324DRV)
para métricas agregadas de uso. A ferramenta está configurada com as seguintes proteções de privacidade:
- Anonimização de IP (
anonymize_ip: true): o endereço IP é truncado antes de ser registrado pelo Google - Google Signals desativado (
allow_google_signals: false): não há enriquecimento com dados demográficos ou de interesse - Personalização de anúncios desativada (
allow_ad_personalization_signals: false): os dados não são utilizados para fins publicitários
O GA4 grava cookies de primeira parte (_ga e _ga_*)
no domínio desta plataforma, utilizados exclusivamente para agregação de métricas.
9.1. Página pública do questionário
Na página anônima do questionário, o GA4 é utilizado apenas para contar dois eventos de funil:
survey_started e
survey_completed.
Nenhum dado identificador do respondente é enviado: sem IP não anonimizado, sem nome,
sem email, sem identificador do setor ou da empresa, sem token do link da pesquisa.
As respostas do questionário (as 35 questões Likert) nunca saem do nosso banco de dados
e jamais são transmitidas ao Google.
9.2. Área autenticada (consultor)
Na área logada do consultor, o GA4 registra eventos de funil do produto — por exemplo, cadastro, criação de empresa, ciclo de vida de avaliações e eventos de faturamento. Os parâmetros enviados não incluem emails, CNPJs, nomes de pessoas ou nomes de empresas ou setores. Enviamos apenas contagens e categorias de baixa cardinalidade (por exemplo, plano contratado e tipo de cobrança).
9.3. Como recusar a medição
Você pode optar por não participar da medição instalando o complemento oficial de desativação do Google Analytics ou utilizando extensões de bloqueio de rastreadores no seu navegador. A desativação não afeta o funcionamento da plataforma.
10. Alterações nesta política
Eventuais alterações serão comunicadas por email aos consultores cadastrados com pelo menos 15 dias de antecedência. A versão atualizada estará sempre disponível nesta página.
Contato
Para dúvidas sobre privacidade e proteção de dados:
[email protected]