LGPD · Lei 13.709/2018
Política de Privacidade
Última atualização: 27 de maio de 2026 · Versão 1.0
1. Quem somos
O ENEONE é uma plataforma SaaS B2B operada por ENEONE Tecnologia Ltda. (CNPJ 34.460.355/0001-85 — desenvolvida por BRR Labs), com sede no Brasil, que automatiza a conformidade com a Norma Regulamentadora 1 do Ministério do Trabalho (NR-01) sobre gestão de riscos psicossociais ocupacionais.
Esta política descreve quais dados coletamos, por que coletamos, com quem compartilhamos e quais são os seus direitos como titular, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), com a NR-01 e com a Resolução CFP nº 11/2018 do Conselho Federal de Psicologia.
2. Encarregado pelo Tratamento de Dados (DPO)
Em cumprimento ao art. 41 da LGPD, designamos um Encarregado (DPO) para receber pedidos de titulares e da Autoridade Nacional de Proteção de Dados (ANPD):
- E-mail: dpo@eneone.com.br
- Prazo de resposta: até 15 dias corridos
3. Quais dados coletamos
3.1. Dados de cadastro (gestor, psicóloga, empresário, admin)
- Nome completo, e-mail, papel (role) e empresa vinculada
- Para psicólogas: número do CRP (validado junto ao Conselho Federal de Psicologia)
- Logs de acesso (data, hora, IP, dispositivo)
3.2. Dados de respostas ao questionário (funcionários)
As respostas ao questionário COPSOQ II são gravadas de forma anônima: nenhum identificador pessoal (nome, CPF, e-mail) é vinculado à resposta.
- Apenas o fato de ter respondido é registrado em tabela separada (
user_cycle_status), para evitar que a mesma pessoa responda duas vezes. - Os scores e severidades são agregados por dimensão e só são liberados quando há no mínimo 7 respondentes (quórum configurável por empresa).
- Você (titular) nunca recebe ou é confrontado com sua resposta individual.
3.3. Dados sensíveis
Não coletamos dado pessoal sensível (origem racial, religião, opinião política, dado genético, biométrico ou de saúde) fora do escopo das respostas anônimas ao COPSOQ II, que tratam de fatores psicossociais ocupacionais (carga de trabalho, suporte social, conflito trabalho-família, etc.) e estão sob base legal de obrigação legal e regulatória(LGPD art. 11, II, “a”).
4. Por que coletamos (finalidade e base legal)
| Dado | Finalidade | Base legal LGPD |
|---|---|---|
| Cadastro de usuários | Autenticação, segregação por papel, vínculo com empresa | Execução de contrato (art. 7º, V) |
| Respostas ao questionário (anônimas) | Diagnóstico de riscos psicossociais (DRPS) exigido pela NR-01 | Cumprimento de obrigação legal (art. 7º, II) |
| Logs de acesso | Auditoria de segurança e prevenção a fraude | Legítimo interesse (art. 7º, IX) |
| CRP da psicóloga | Validação de habilitação técnica para assinatura do DRPS | Obrigação regulatória (CFP) |
5. Com quem compartilhamos
- Sua empresa empregadora: apenas os scores agregados por dimensão (nunca individuais).
- Psicóloga responsável: scores agregados + plano de ação, para revisão técnica e assinatura.
- Provedores de infraestrutura: Supabase (banco de dados) e Railway (hospedagem), ambos sob acordo de processamento de dados (DPA) e LGPD. O plano de ação é gerado de forma determinística (modelo técnico pré-aprovado pela psicóloga responsável), sem uso de inteligência artificial sobre os seus dados.
- Autoridades públicas: somente mediante ordem judicial ou requisição legal expressa.
Não vendemos, não cedemos e não monetizamos seus dados para terceiros.
6. Por quanto tempo retemos
- Respostas ao questionário: 2 anos a partir do encerramento do ciclo, conforme orientação da NR-01 sobre conservação do DRPS para fiscalização.
- Cadastro de usuários: enquanto a conta estiver ativa + 1 ano após inativação.
- Logs de auditoria: 5 anos (prazo prescricional trabalhista).
7. Seus direitos como titular (art. 18 LGPD)
Você pode, a qualquer momento e gratuitamente, solicitar:
- Confirmação da existência de tratamento dos seus dados
- Acesso aos dados que mantemos sobre você
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD
- Portabilidade a outro fornecedor de serviço
- Eliminação dos dados pessoais tratados com base no seu consentimento (exceto quando há obrigação legal de retenção, como o DRPS)
- Informação sobre compartilhamento com terceiros
- Revogação do consentimento, quando aplicável
Para exercer esses direitos, escreva para dpo@eneone.com.br ou use o atalho dentro do app (Perfil → Privacidade → Solicitar exclusão).
8. Anonimato técnico
O ponto crítico desta plataforma é o anonimato técnico das respostas. Implementamos isso em 3 camadas:
- Banco de dados: a tabela
responsesnão tem colunauser_id. É tecnicamente impossível ligar uma resposta a um usuário. - Quórum mínimo: scores só são exibidos com ≥ 7 respondentes. Se sua empresa tem menos, ninguém vê os resultados — nem o gestor, nem a psicóloga.
- Row Level Security (RLS): políticas no Postgres impedem que qualquer consulta SQL (mesmo de admin) recupere respostas individualizadas.
9. Cookies e rastreamento
Usamos exclusivamente cookies de sessão de autenticação (gerados pelo Supabase Auth, com prefixo sb-), marcados como HttpOnly e Secure. Eles guardam o token de acesso e são renovados automaticamente enquanto a sessão estiver ativa.Não usamos cookies de rastreamento, analytics de terceiros ou pixels publicitários.
10. Segurança
- Tráfego criptografado em TLS 1.3
- Banco com criptografia em repouso (AES-256)
- Autenticação por e-mail/senha, com hash bcrypt
- RLS ativa em todas as tabelas; auditoria imutável (
audit_logINSERT-only) - Backups diários com retenção de 30 dias e teste mensal de restore
11. Transferência internacional de dados
Nossos provedores (Supabase, Railway) podem armazenar dados em datacenters fora do Brasil. Em todos os casos, a transferência é feita sob Cláusulas Padrão Contratuaise mecanismos equivalentes ao art. 33 da LGPD.
12. Crianças e adolescentes
A plataforma é destinada exclusivamente a maiores de 18 anos no contexto de relação de trabalho. Não coletamos intencionalmente dados de crianças ou adolescentes.
13. Alterações nesta política
Esta política pode ser atualizada para refletir mudanças legais, regulatórias ou de produto. Mudanças materiais serão comunicadas com 15 dias de antecedência por e-mail para todos os usuários ativos.
14. Contato
Para qualquer dúvida sobre esta política, fale com nosso DPO: dpo@eneone.com.br.
Para reclamações não resolvidas, o titular pode acionar a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.