Política de Privacidade
Última atualização: 17 de março de 2026
Versão: PP-v3.0
1. Introdução
A presente Política de Privacidade descreve como o RISK.OS, plataforma de gestão de riscos psicossociais desenvolvida pela Serviços GW Treinamentos LTDA. (CNPJ: 58.526.869/0001-54), coleta, utiliza, armazena e protege os dados pessoais dos usuários, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e demais legislações aplicáveis.
Ao utilizar nossa plataforma, você concorda com as práticas descritas nesta política. Caso não concorde com qualquer termo, solicitamos que não utilize nossos serviços.
2. Dados Pessoais Coletados
2.1 Dados de Cadastro
Nome completo, endereço de e-mail, cargo/função, organização vinculada e perfil de acesso (role).
2.2 Dados Pessoais Sensíveis (Art. 11 LGPD)
A Plataforma trata dados pessoais sensíveis relativos à saúde ocupacional dos colaboradores do Contratante, especificamente: respostas a instrumentos de avaliação de riscos psicossociais validados cientificamente (HSE-It — Health and Safety Executive Indicator Tool, validado no Brasil por Lucca & Sobral, 2017; módulo complementar de Avaliação Aprofundada; e instrumento NR-37 Offshore), que podem incluir informações sobre condições de saúde mental, estresse, ansiedade, assédio e fatores de risco psicossocial no ambiente de trabalho.
O tratamento desses dados sensíveis fundamenta-se no Art. 11, II, "a" e "b" da LGPD: cumprimento de obrigação legal ou regulatória pelo controlador (NR-1, Portaria MTE nº 1.419/2024) e para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
Todas as respostas são pseudonimizadas e agregadas por k-anonimato (threshold mínimo de 7 respondentes), sem exposição individual ao empregador. Um hash criptográfico irreversível (HMAC-SHA256) é utilizado exclusivamente para prevenir duplicidade de respostas, sem vincular a identidade do respondente aos dados coletados.
2.3 Dados Sociodemográficos (Opcionais)
Faixa etária, sexo, tempo de empresa, turno, cargo. Coletados mediante consentimento específico, utilizados exclusivamente para segmentação estatística agregada.
2.4 Dados de Navegação
Endereço IP, tipo de navegador, páginas acessadas, data e hora de acesso, e cookies essenciais para funcionamento da sessão.
2.5 Dados de Pagamento
Processados exclusivamente pelo Stripe, Inc. (PCI-DSS compliant). Não armazenamos dados de cartão de crédito, CVV ou dados bancários em nossos servidores.
3. Finalidade do Tratamento
Prestação do serviço
Gestão de riscos psicossociais, geração de relatórios e planos de ação conforme NR-1 e NR-37.
Segurança da plataforma
Autenticação, prevenção de fraudes, detecção de acessos não autorizados e auditoria.
Comunicação
Envio de notificações operacionais, lembretes de pesquisa e resumos semanais.
Melhoria contínua
Análise agregada e anonimizada para aprimoramento dos instrumentos proprietários e da plataforma. O instrumento HSE-It é utilizado sob licença OGL v3.0 e não é modificado.
Obrigação legal
Cumprimento de obrigações regulatórias (NR-1, NR-37, PGR) e fiscalizações trabalhistas.
Faturamento
Processamento de pagamentos e emissão de faturas via Stripe.
4. Base Legal (Arts. 7º e 11 LGPD)
O tratamento de dados pessoais pelo RISK.OS fundamenta-se nas seguintes bases legais:
- Execução de contrato (Art. 7º, V): para prestação dos serviços contratados.
- Cumprimento de obrigação legal (Art. 7º, II / Art. 11, II, "a"): para atendimento às normas regulamentadoras (NR-1, NR-37, Portaria MTE nº 1.419/2024).
- Tutela da saúde (Art. 11, II, "b"): para tratamento de dados sensíveis relativos à saúde ocupacional, em procedimento realizado por profissionais da área.
- Consentimento (Art. 7º, I / Art. 11, I): para coleta de dados sociodemográficos opcionais e cookies analíticos.
- Legítimo interesse (Art. 7º, IX): para segurança da plataforma, prevenção de fraudes e melhoria dos serviços.
5. Compartilhamento de Dados
Seus dados pessoais poderão ser compartilhados com:
Stripe, Inc. (EUA) — processamento de pagamentos (PCI-DSS compliant).
Provedores de infraestrutura — armazenamento em nuvem (AWS S3, TiDB Cloud) com criptografia.
Provedor de e-mail transacional — Brevo (Sendinblue SAS, França/UE) para envio de notificações operacionais.
Consultores vinculados — acesso aos dados da organização contratante, conforme permissões RBAC.
A lista completa e atualizada de suboperadores está disponível em /suboperadores. Não vendemos, alugamos ou compartilhamos dados pessoais com terceiros para fins de marketing.
6. Transferência Internacional de Dados
Alguns suboperadores processam dados fora do Brasil (ver /suboperadores). A transferência internacional de dados é realizada em conformidade com o Art. 33 da LGPD e com a Resolução CD/ANPD nº 19/2024 (Regulamento de Transferências Internacionais), com base nos seguintes mecanismos:
• Cláusulas-padrão contratuais (Art. 33, II, "b" LGPD / Art. 4º Res. 19/2024) — celebradas com cada suboperador internacional.
• Normas corporativas globais — quando o suboperador possui binding corporate rules aprovadas por autoridade competente.
• Certificações reconhecidas — suboperadores com certificações de proteção de dados aceitas pela ANPD.
Os Estados Unidos não possuem, até a presente data, decisão de adequação pela ANPD. Para suboperadores sediados nos EUA (Stripe, AWS), utilizamos cláusulas-padrão contratuais como mecanismo de transferência, conforme Art. 4º da Resolução CD/ANPD nº 19/2024.
7. Segurança dos Dados
Implementamos medidas técnicas e organizacionais proporcionais ao risco do tratamento, incluindo:
8. Direitos do Titular (Art. 18 LGPD)
Você possui os seguintes direitos em relação aos seus dados pessoais:
Para exercer seus direitos, acesse Configurações → LGPD dentro da plataforma ou entre em contato pelo e-mail [email protected]. Responderemos no prazo de 15 (quinze) dias, conforme Art. 18, §5º da LGPD.
9. Retenção e Eliminação
| Categoria | Período de Retenção | Após Término |
|---|---|---|
| Dados de conta (nome, e-mail) | Vigência do contrato | Eliminação em 45 dias (portabilidade) |
| Respostas pseudonimizadas | Vigência + obrigação legal | Mantidas de forma agregada e anonimizada |
| Logs de auditoria | 12 meses | Eliminação automática |
| Tokens de sessão | Até expiração | Eliminação automática |
| Dados de pagamento (IDs Stripe) | 5 anos (obrigação fiscal) | Eliminação após prazo legal |
10. Cookies
| Tipo | Finalidade | Duração |
|---|---|---|
| Essenciais | Autenticação, sessão, preferências | 30 dias |
| Analíticos | Métricas de uso (Umami Analytics — sem cookies de terceiros) | Sessão |
| Funcionais | Tema, idioma, onboarding | 1 ano |
11. Contato e Encarregado (DPO)
Para dúvidas, solicitações ou exercício de direitos:
Serviços GW Treinamentos LTDA.
CNPJ: 58.526.869/0001-54
E-mail geral: [email protected]
WhatsApp: +55 84 99197-2927
Encarregado de Proteção de Dados (DPO): Gabriel da Câmara Weydt
E-mail DPO: [email protected]
12. Alterações nesta Política
Esta política poderá ser atualizada periodicamente. Alterações significativas serão comunicadas por e-mail ou notificação na plataforma com antecedência mínima de 30 (trinta) dias. A data da última atualização será sempre indicada no topo deste documento.
© 2026 RISK.OS — Serviços GW Treinamentos LTDA. Todos os direitos reservados.