Laudax

Acordo de Tratamento de Dados (DPA)

Define os papéis de controlador e operador entre o RT, a empresa cliente e o Laudax na operação das campanhas.

Versão v0.1-DRAFT-2026-05 · Última atualização: 28 de maio de 2026

1. Partes e papéis

Para os fins da LGPD, na operação das campanhas de avaliação psicossocial via Laudax:

Empresa cliente do RT — Controladora dos dados dos respondentes (seus empregados ou contratados), pois define a finalidade e os meios essenciais (escolha do instrumento, escopo da população avaliada, integração ao PGR).

Responsável Técnico (RT) — Controladora conjunta para fins técnicos (definição da metodologia aplicada e responsabilidade pelo laudo), mantendo, como profissional habilitado, a responsabilidade técnica perante autoridades fiscalizadoras.

Laudax — Operadora, atuando exclusivamente conforme as instruções documentadas dos controladores. Não acessa os dados para fins próprios.

2. Objeto do tratamento

Coleta de respostas a instrumentos psicossociais (COPSOQ II-Br ou HSE Management Standards), agregação anonimizada, cálculo de scores por dimensão, classificação de risco conforme NR-1 e produção do laudo final em PDF.

3. Categorias de dados tratados

  • Respostas ao instrumento (escala 1 a 5)
  • Categorias demográficas declaradas voluntariamente (setor, função, faixa etária, gênero, tempo de empresa)
  • Versão do termo de consentimento aceito + data e hora
  • Hash do endereço IP do respondente

4. Obrigações do Laudax como operador

  • Tratar os dados exclusivamente conforme instruções documentadas das controladoras
  • Garantir confidencialidade por parte de seu pessoal técnico
  • Aplicar medidas técnicas e organizacionais descritas na Política de Privacidade
  • Auxiliar as controladoras no atendimento a solicitações de titulares
  • Notificar incidentes de segurança em até 24 horas após constatação
  • Eliminar ou devolver os dados ao término da relação contratual, salvo retenção legal aplicável

5. Subprocessadores

O Laudax utiliza os seguintes subprocessadores no tratamento de dados:

  • Supabase (banco de dados e Storage, região sa-east-1)
  • Vercel (hospedagem da aplicação web)

A inclusão de novos subprocessadores será comunicada com 15 dias de antecedência ao e-mail cadastrado do RT, com possibilidade de objeção fundamentada.

6. Transferência internacional

Não há transferência internacional dos dados sensíveis de respondentes. O processamento de metadados operacionais (logs de servidor, métricas agregadas) pode envolver subprocessadores fora do Brasil; nesses casos, são utilizados mecanismos previstos no Art. 33 da LGPD, como cláusulas contratuais padrão.

7. Vigência e rescisão

Este DPA permanece vigente enquanto durar a relação contratual entre o RT e o Laudax. Em caso de rescisão, o Laudax mantém os laudos emitidos pelo prazo legal aplicável e elimina os dados pessoais que não sejam objeto de retenção obrigatória.

Documento em revisão jurídica.Este texto é um rascunho técnico utilizado durante o beta fechado do Laudax. A versão definitiva passará por revisão jurídica antes do início da comercialização e ficará versionada de forma auditável. Em caso de dúvida, contate contato@laudax.app.