Política de Privacidade e Termos de Uso

1. Quem é o controlador

A CLINICA CORPORATIVA - TREINAMENTO EM DESENVOLVIMENTO PROFISSIONAL E GERENCIAL LTDA., CNPJ 58.293.085/0001-23, com sede em Rua Dr. Virgílio de Carvalho Pinto, 381 cj 34, Pinheiros, São Paulo - SP, CEP 05415-030, é a controladora de dados pessoais tratados nesta plataforma, conforme Art. 5º, VI da LGPD.

Nas pesquisas executadas para empresas clientes, a empresa contratante atua como controladora dos dados dos seus colaboradores respondentes, e a Clínica Corporativa atua como operadora (Art. 5º, VII), realizando tratamento em nome e segundo as instruções da contratante.

2. Dados que coletamos

Coletamos o mínimo de dados necessário para operar a plataforma:

2.1 Do administrador (consultor/RH com conta)

• E-mail e senha (autenticação Supabase) — senha armazenada com hash unidirecional, nunca em texto claro.
• Nome do workspace, salas/pesquisas criadas, templates e configurações de uso.
• Logs técnicos de acesso: IP, user-agent, timestamp — para auditoria de segurança.

2.2 Do colaborador respondente

• Nome próprio (auto-declarado) — usado apenas para evitar dupla submissão. Nunca aparece associado a respostas no relatório final.
• Respostas à pesquisa: Sim/Não, escala 0–5, texto livre (respostas abertas). Submissões são timestampadas.
• Dados demográficos opcionais (área, liderança, etc.) — apenas quando configurados pela contratante e preenchidos voluntariamente. Sempre exibidos como agregados (mínimo 5 respondentes por segmento) para preservar o anonimato.
• Hash de IP (não o IP em texto claro): aplicamos função hash com salt para proteger contra envios duplicados automatizados, sem permitir reidentificação.

2.3 O que não coletamos

• Não pedimos CPF, RG, e-mail, telefone, cargo, salário ou foto do respondente.
• Não tratamos dados sensíveis (saúde, biometria, origem racial/étnica, opinião política, filiação sindical etc. — Art. 5º, II) intencionalmente. Caso o respondente forneça voluntariamente em uma resposta aberta, os dados são tratados exclusivamente em forma agregada/anonimizada na síntese.
• Não usamos cookies de rastreamento de terceiros ou pixels publicitários.

3. Finalidade do tratamento

Os dados pessoais são tratados exclusivamente para:

• Operar a plataforma de pesquisa (autenticação, persistência de respostas, geração de relatórios agregados).
• Sintetizar respostas abertas em insights agregados via inteligência artificial (Google Gemini), sem identificação individual no output.
• Prevenir abuso (rate limiting, deduplicação por hash de IP).
• Cumprir obrigações legais e responder a requisições de autoridades competentes.

Não realizamos profiling nem decisões automatizadas que produzam efeitos sobre os respondentes (Art. 20).

4. Base legal

O tratamento de dados pessoais nesta plataforma fundamenta-se nas seguintes hipóteses do Art. 7º da LGPD:

• Consentimento expresso (Art. 7º, I): o colaborador respondente aceita explicitamente esta política antes de iniciar a pesquisa, mediante checkbox.
• Execução de contrato (Art. 7º, V): para administradores, o tratamento é necessário para a prestação do serviço contratado.
• Legítimo interesse (Art. 7º, IX): logs técnicos e prevenção de fraude/abuso, sempre observado o teste de proporcionalidade e os direitos do titular.

5. Compartilhamento e operadores

Os dados são compartilhados apenas com prestadores que atuam como operadores conforme Art. 5º, VII, e exclusivamente dentro do necessário para a operação:

• Supabase (banco de dados PostgreSQL e autenticação) — armazena dados em datacenters AWS. Operador com contrato de processamento de dados (DPA) padrão.
• Vercel (hospedagem da aplicação web). Operador com DPA padrão.
• Google (Gemini API) — processa textos das respostas abertas para gerar a síntese agregada. Conforme o contrato com a Google, dados de inferência da Gemini API não são usados para treino de novos modelos e não são retidos além do necessário para responder à chamada.

Não vendemos, alugamos ou cedemos dados pessoais a terceiros para fins comerciais. Não há transferência internacional além da implícita nesses operadores; quando ocorre, são adotadas as garantias do Art. 33 da LGPD (cláusulas contratuais padrão e níveis de proteção adequados).

6. Retenção e eliminação

Os dados são retidos pelo prazo necessário ao cumprimento das finalidades do tratamento:

• Respostas brutas (com nome do respondente para deduplicação): mantidas durante a vigência da pesquisa e por até 12 meses após o encerramento, para eventual reanálise. Após esse prazo, anonimizamos irreversivelmente o nome.
• Relatórios agregados: mantidos enquanto a empresa contratante preservar a conta. Não contêm dados pessoais identificáveis.
• Logs técnicos: até 12 meses, conforme melhores práticas de auditoria de segurança.

O titular pode solicitar a eliminação imediata de seus dados pessoais a qualquer momento (ver seção 7), salvo nos casos previstos no Art. 16 (cumprimento de obrigação legal, estudo por órgão de pesquisa anonimizado, exercício regular de direitos).

7. Seus direitos como titular

Você é titular dos seus dados e a LGPD garante (Art. 18) os seguintes direitos, exercíveis gratuitamente:

• Confirmação da existência de tratamento.
• Acesso aos seus dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
• Portabilidade a outro fornecedor.
• Eliminação dos dados tratados com consentimento.
• Informação sobre com quem compartilhamos seus dados.
• Revogação do consentimento a qualquer momento.
• Oposição ao tratamento realizado com base em hipóteses dispensadas de consentimento.
• Revisão de decisões automatizadas (não se aplica aqui, pois não realizamos decisões automatizadas com efeito sobre o titular).

Para exercer qualquer um destes direitos, escreva para o DPO em leocesarcorbi@gmail.com. Responderemos em até 15 dias corridos. É necessário comprovar a identidade do solicitante para prevenir fraude.

8. Segurança

Adotamos medidas técnicas e administrativas para proteger os dados pessoais:

• Transporte criptografado (TLS 1.2+ em todas as comunicações).
• Senhas armazenadas com hash unidirecional via Supabase Auth.
• Row-Level Security (RLS) no banco: cada administrador só acessa as salas que criou; respostas só são lidas pelo controlador da pesquisa.
• Rate limiting em endpoints sensíveis para conter ataques automatizados e enumeração.
• Logs de auditoria para ações administrativas.
• Princípio do mínimo privilégio no acesso de operadores.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os afetados em prazo razoável (Art. 48).

9. Cookies e tecnologias similares

Utilizamos apenas cookies estritamente necessários:

• Cookies de sessão (Supabase Auth) para manter o administrador logado.
• localStorage para registrar o consentimento do respondente à pesquisa, evitando solicitar novamente em refreshes da mesma sessão.

Não utilizamos cookies de marketing, fingerprinting, pixels de redes sociais ou ferramentas de tracking cross-site.

10. Termos de uso

10.1 Aceitação

Ao criar conta ou ao responder uma pesquisa, você concorda com estes Termos. Se não concordar, não use a plataforma.

10.2 Conta de administrador

• Você é responsável pela confidencialidade de suas credenciais.
• Não compartilhe sua conta nem use credenciais de terceiros.
• Notifique imediatamente em caso de suspeita de acesso não autorizado.

10.3 Uso aceitável

É vedado:

• Usar a plataforma para coletar dados de pessoas sem base legal adequada.
• Tentar burlar mecanismos de segurança (RLS, rate limit, anonimização agregada).
• Usar a plataforma para fins ilícitos, discriminatórios ou coercitivos.
• Fazer engenharia reversa, scraping massivo ou tentar acessar dados de outras contas.
• Sobrecarregar a infraestrutura com requisições automatizadas não autorizadas.

10.4 Propriedade intelectual

A marca, identidade visual e o software da Clínica Corporativa são protegidos por direitos autorais e marcários. Os dados coletados pertencem à empresa controladora da pesquisa, conforme o contrato. Os relatórios gerados podem ser usados internamente pela contratante; redistribuição pública requer autorização.

10.5 Limitação de responsabilidade

A plataforma é fornecida “como está”. Esforçamo-nos para garantir disponibilidade e correção dos relatórios, mas a interpretação dos resultados é de responsabilidade da contratante. Não nos responsabilizamos por decisões de gestão tomadas com base nos dados.

10.6 Encerramento

Podemos suspender ou encerrar contas que violem estes Termos, mediante notificação prévia quando possível. O administrador pode encerrar a conta a qualquer momento solicitando ao DPO em leocesarcorbi@gmail.com.

10.7 Lei aplicável

Estes Termos são regidos pelas leis da República Federativa do Brasil. Eventuais controvérsias serão dirimidas perante o foro da sede do controlador.

11. Contato e DPO

Encarregado de Proteção de Dados (DPO): Leonardo Cesar Corbi

E-mail: leocesarcorbi@gmail.com

Endereço: Rua Dr. Virgílio de Carvalho Pinto, 381 cj 34, Pinheiros, São Paulo - SP, CEP 05415-030

Você também pode contatar a Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que seus direitos não foram adequadamente atendidos.

Como exercer seus direitos: envie um e-mail para o DPO acima informando o seu ID de consentimento (o código exibido na tela de agradecimento ao fim da pesquisa). Responderemos em até 15 dias corridos, conforme o Art. 19 da LGPD. Caso não tenha guardado o ID, descreva a pesquisa em que participou — faremos o melhor esforço para localizar e atender sua solicitação.

Localização dos dados (data residency): os dados são processados em datacenters dos nossos operadores — tipicamente na região us-east-1 (AWS, Virginia, EUA) para Supabase e Vercel, e nos endpoints regionais do Google Cloud para a Gemini API. Esta transferência internacional é amparada pelo Art. 33, IX da LGPD (com contratos contendo cláusulas de proteção equivalentes às nossas) e por decisão de adequação quando aplicável.

12. Alterações desta política

Podemos atualizar esta política para refletir mudanças regulatórias, técnicas ou operacionais. A versão atualizada passará a vigorar a partir da publicação desta página, e o cabeçalho registrará a data e o número da versão.

Em caso de alterações substanciais que afetem direitos dos titulares, solicitaremos novo consentimento quando aplicável.

Esta política foi elaborada como base de conformidade com a LGPD. Os campos entre [colchetes] devem ser preenchidos pelo controlador. Recomendamos revisão por advogado especialista em proteção de dados antes da operação em produção.