Transparência
Última atualização: 23 de abril de 2026
Esta página detalha quem tem acesso aos seus dados, como protegemos a confidencialidade, e como verificar nossas práticas a qualquer momento. Funciona como complemento à Política de Privacidade e ao Termos de Uso.
1. Quem tem acesso ao Canal de Denúncias
O acesso aos dados do Canal de Denúncias de uma empresa é estritamente controlado:
| Quem | O que vê |
|---|---|
| Responsável(eis) cadastrados pela empresa-cliente | Acesso total às denúncias daquela empresa via login no painel /canal/login |
| Destinatários adicionais de notificação (opcional, configurado pelo consultor) | Recebem cópia por email de cada nova denúncia e nova mensagem; não têm acesso ao painel |
| Consultor SST contratado | Vê apenas a estatística de canais ativos por empresa-cliente (totais, sem conteúdo); pode atribuir/alterar o responsável |
| Equipe técnica do PGR Psicossocial | Acesso administrativo apenas para suporte sob solicitação registrada e investigação de incidentes; ações ficam em log de auditoria |
| Provedores de infraestrutura (hospedagem, banco de dados, email) | Acesso técnico restrito ao que é necessário para operar a infraestrutura; não leem conteúdo de denúncias |
Toda alteração feita por um responsável (mudança de status, atribuição, mensagem, resolução) é registrada com data, hora e ator em uma trilha de auditoria imutável.
2. O que o denunciante deixa rastreável
Denúncia anônima
- Não coletamos: nome, CPF, email, IP, geolocalização ou qualquer outro identificador
- Coletamos apenas: protocolo aleatório, descrição, categoria, gravidade, tipo de dispositivo (mobile/desktop) — usado apenas para melhoria de UX
- O protocolo é a única forma de o denunciante voltar a acompanhar o caso
Denúncia identificada
- Coletamos apenas o que o denunciante informa voluntariamente: nome e contato
- Esses dados aparecem apenas no painel do(s) responsável(eis) e nas notificações por email
3. Suboperadores (terceiros que tocam dados)
| Provedor | Finalidade | Localização |
|---|---|---|
| Hospedagem e banco de dados | Armazenamento e execução da aplicação | Brasil |
| Resend | Envio de emails transacionais (notificações, recuperação de senha) | EUA (TLS em trânsito) |
| Asaas / Stripe | Processamento de pagamento do contrato consultor ↔ plataforma | Brasil / EUA |
| Google Analytics 4 | Análise agregada de uso (sem dados pessoais — IP anonimizado) | EUA |
| api.qrserver.com | Geração de QR Code para o cartaz do canal (apenas o link público é enviado) | EUA |
4. Medidas técnicas de proteção
- Conexões criptografadas via HTTPS/TLS 1.3 em 100% do tráfego
- Senhas armazenadas em hash Argon2id (estado da arte)
- Tokens JWT com expiração curta para sessões autenticadas
- Cookies
httpOnlyeSameSite=Laxpara prevenir vazamento e CSRF - Backups diários automatizados
- Trilha de auditoria imutável de cada alteração no canal
- Rate limiting no envio de denúncias (mín. 30 segundos entre submissões)
- Validação de entrada server-side em todos os campos
5. Como auditar você mesmo
- Trilha de auditoria do caso: visível na página de cada denúncia no painel do canal
- Exportar todos os dados de uma empresa (LGPD Art. 18): botão "Exportar dados (LGPD)" na página da empresa, no painel do consultor
- Termo de Tratamento de Dados (DPA): link "Termo LGPD" na seção do canal, na página da empresa
- Excluir dados a qualquer momento: o consultor pode excluir empresa, avaliação ou caso encerrado pelo próprio painel
6. Notificação de incidentes
Em caso de incidente de segurança envolvendo dados pessoais, notificamos a empresa-cliente (controladora) e a ANPD em até 72 horas da ciência, conforme Art. 48 da LGPD. Mantemos um plano de resposta a incidentes documentado.
7. Contato
Dúvidas, solicitações ou pedidos formais relacionados a privacidade e proteção de dados: [email protected]. Respondemos em até 15 dias úteis.