Política de Privacidade

1. Quem somos

O Laudax é operado por Rojão Studio. Quaisquer dúvidas sobre esta política, exercício de direitos do titular ou notificação de incidente podem ser endereçadas a privacidade@laudax.app.

2. Dados que tratamos

Do profissional cadastrado (RT): nome, e-mail, registro profissional, número de ART/RRT, registros de aceite dos termos.

Da empresa cliente do RT: razão social, CNPJ, CNAE, dados de contato comercial.

Do respondente da pesquisa: respostas ao instrumento (escala 1 a 5), setor, função, faixa etária, gênero e tempo de empresa (campos demográficos opcionais), versão do termo de consentimento aceito, data e hora do envio. Não coletamos nome, CPF, e-mail nominal, matrícula ou qualquer outro identificador direto do respondente. O endereço IP é registrado apenas em forma de hash SHA-256 salgado com o token da campanha, usado exclusivamente para mitigar abuso (rate limiting e detecção de bots).

3. Dados sensíveis — LGPD Art. 11

As respostas dos instrumentos psicossociais podem revelar informações sobre saúde mental do respondente, qualificadas pela LGPD como dado pessoal sensível. O tratamento ocorre apenas mediante consentimento informado e específico do respondente (checkbox não pré-marcada na tela 1 do formulário), com finalidade estritamente delimitada à composição do laudo da empresa cliente, e os resultados são apresentados sempre de forma agregada, com supressão automática de qualquer recorte com menos de 5 respondentes.

4. Bases legais

RT cadastrado: execução de contrato (Art. 7º, V) e cumprimento de obrigação legal pelo controlador (Art. 7º, II).

Empresa cliente: legítimo interesse do RT na prestação do serviço (Art. 7º, IX).

Respondente da pesquisa: consentimento livre, informado e inequívoco (Art. 7º, I) para dados pessoais e consentimento específico (Art. 11, II) para dados sensíveis de saúde mental.

5. Armazenamento no Brasil

Todos os dados são armazenados em infraestrutura Supabase na região sa-east-1 (São Paulo). Não há transferência internacional de dados pessoais sensíveis. Eventuais subprocessadores que tratem dados em outras regiões (telemetria, e-mails transacionais) serão listados no anexo de subprocessadores quando existirem.

6. Retenção

Respostas e laudos são mantidos pelo prazo legal aplicável às avaliações ocupacionais (por analogia ao PCMSO e PGR, mínimo de 5 anos a contar da emissão do laudo). Após esse prazo, o RT pode solicitar a exclusão definitiva ou a anonimização irreversível dos registros.

7. Direitos do titular

Respondentes podem solicitar confirmação da existência de tratamento, acesso, correção, anonimização, bloqueio ou eliminação dos dados, portabilidade e informações sobre compartilhamento. Como o Laudax não armazena identificadores diretos dos respondentes, o exercício destes direitos depende da indicação do token da campanha em que o respondente participou. Solicitações devem ser endereçadas ao RT que aplicou a campanha; o Laudax, como operador, prestará suporte ao atendimento.

8. Segurança

O Laudax aplica criptografia em trânsito (HTTPS), criptografia em repouso (Supabase), isolamento de inquilino via RLS no banco de dados, e separação de privilégios entre rotas autenticadas (RT) e rotas públicas (respondentes). PDFs de laudo são entregues por URLs assinadas com expiração de 60 segundos. Incidentes envolvendo dados pessoais são comunicados à ANPD nos prazos previstos pelo Art. 48 da LGPD.