1. Controlador dos Dados
A SANA AI TECNOLOGIA LTDA ("Sana AI", "nós"), inscrita no CNPJ sob o nº 66.089.493/0001-96, com sede em Av. dos Vinhedos, nº 21, Andar 03 - Sala 303A, Bairro Jardim Sul, Uberlândia/MG, CEP 38.411-848, é a controladora dos dados pessoais tratados por meio da Plataforma Sana, nos termos da Lei 13.709/2018 (Lei Geral de Proteção de Dados — LGPD).
Encarregado de Proteção de Dados (DPO):
- Nome: SANA AI TECNOLOGIA LTDA
- E-mail: contato@sana.tec.br
O Encarregado é o ponto de contato entre o Sana, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), conforme Art. 41 da LGPD.
2. Dados que Coletamos
2.1. Dados Pessoais Comuns
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome completo | Identificação e personalização | Art. 7°, V (execução de contrato) |
| Comunicação e autenticação (SSO) | Art. 7°, V (execução de contrato) | |
| Empresa / Organização | Isolamento de dados por tenant | Art. 7°, V (execução de contrato) |
| Cargo / Área / Departamento | Segmentação para relatórios agregados | Art. 7°, V (execução de contrato) |
| Dados de autenticação (SSO) | Login seguro via provedor de identidade | Art. 7°, V (execução de contrato) |
2.2. Dados Pessoais Sensíveis (Art. 11 LGPD)
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Respostas a questionários psicossociais | Mapeamento de riscos conforme NR-1 | Art. 11, I (consentimento específico) |
| Check-ins de bem-estar (WHO-5) | Indicador individual de bem-estar | Art. 11, I (consentimento específico) |
| Resultados de avaliações de risco | Geração de indicadores agregados | Art. 11, I (consentimento específico) |
⚠️ IMPORTANTE: Os dados sensíveis listados acima são dados referentes à saúde, conforme Art. 5°, II da LGPD. Seu tratamento requer consentimento específico e em destaque do titular (Art. 11, I), obtido de forma livre, informada e inequívoca.
2.3. Dados de Navegação
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Endereço IP | Segurança e prevenção de fraudes | Art. 7°, IX (legítimo interesse) |
| Cookies de sessão | Manutenção da sessão de uso | Art. 7°, IX (legítimo interesse) |
| User-Agent (navegador/dispositivo) | Compatibilidade e suporte técnico | Art. 7°, IX (legítimo interesse) |
| Preferência de tema (dark/light) | Personalização da interface | Art. 7°, IX (legítimo interesse) |
Para informações detalhadas sobre cookies, consulte nossa Política de Cookies.
2.4. Dados Coletados via Lista de Espera (fase atual)
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome, e-mail, empresa/especialidade | Cadastro na lista de espera | Art. 7°, I (consentimento) |
Esses dados são processados via FormSubmit.co, serviço de terceiro sediado nos Estados Unidos. Ao submeter o formulário, o titular consente com este processamento, incluindo a transferência internacional de dados (Art. 33, VIII da LGPD).
3. Finalidades do Tratamento
Tratamos seus dados pessoais exclusivamente para as seguintes finalidades, respeitando o Princípio da Finalidade (Art. 6°, I da LGPD):
- Prestação do serviço — operar a Plataforma, autenticar usuários, processar avaliações
- Mapeamento de riscos psicossociais — gerar indicadores agregados e anonimizados para a Empresa Contratante, em conformidade com a NR-1
- Comunicação — enviar convites para campanhas, lembretes, notificações operacionais
- Segurança — prevenir fraudes, acessos não autorizados e proteger a integridade da Plataforma
- Melhoria do serviço — análise de uso agregada para aprimorar a experiência do usuário
- Cumprimento de obrigações legais — atender exigências da LGPD, NR-1, Marco Civil da Internet e demais legislações aplicáveis
Não utilizamos seus dados para:
- Publicidade ou marketing de terceiros
- Venda ou comercialização de dados pessoais
- Perfilamento comportamental para fins comerciais
- Decisões automatizadas que afetem o titular sem revisão humana
4. Compartilhamento de Dados
4.1. Com a Empresa Contratante (seu empregador)
A Empresa Contratante tem acesso exclusivamente a dados agregados e anonimizados. Dados individuais NUNCA são compartilhados com o empregador.
Regras de anonimização:
- Indicadores só são exibidos quando há um mínimo de respondentes por grupo (para evitar identificação indireta)
- Resultados individuais de check-ins e avaliações são visíveis apenas para o próprio colaborador
- Relatórios PGR/NR-1 contêm apenas dados estatísticos (médias, distribuições, tendências)
4.2. Com Operadores e Subprocessadores
| Operador | Serviço | Dados Compartilhados | Localização |
|---|---|---|---|
| FormSubmit.co | Processamento de formulários (Lista de Espera) | Nome, e-mail, empresa | Estados Unidos |
| Zitadel | Provedor de identidade (SSO/OIDC) | E-mail, nome, roles | Auto-hospedado (Brasil) |
| A definir | Envio de e-mails transacionais | E-mail, nome | A definir |
Todos os operadores e subprocessadores são obrigados contratualmente a tratar os dados conforme a LGPD e exclusivamente para as finalidades determinadas pelo Sana.
4.3. Transferência Internacional
O FormSubmit.co opera nos Estados Unidos. A transferência internacional de dados pessoais coletados via formulário de Lista de Espera é realizada com base no consentimento específico do titular (Art. 33, VIII da LGPD), obtido no momento do envio do formulário.
Os dados transferidos se limitam a: nome, e-mail e empresa/especialidade.
4.4. Com Autoridades
O Sana poderá compartilhar dados pessoais com autoridades públicas ou judiciárias quando obrigado por lei, ordem judicial ou determinação da ANPD.
5. Retenção de Dados
| Categoria | Período de Retenção | Justificativa |
|---|---|---|
| Dados de conta | Enquanto a conta estiver ativa + 6 meses após exclusão | Obrigação contratual |
| Respostas a avaliações | Enquanto a conta estiver ativa + período definido pela Empresa Contratante | Conformidade NR-1 / PGR |
| Check-ins de bem-estar | Enquanto a conta estiver ativa | Histórico pessoal do colaborador |
| Logs de acesso | 6 meses | Art. 15 do Marco Civil da Internet (Lei 12.965/2014) |
| Registros de consentimento | 5 anos após o último consentimento | Comprovação de conformidade LGPD |
Após o período de retenção, os dados são eliminados de forma segura ou anonimizados irreversivelmente.
6. Segurança
Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais (Art. 46 LGPD), incluindo:
- Criptografia em trânsito — HTTPS/TLS em todas as comunicações
- Isolamento por tenant — dados de cada empresa são logicamente separados
- Autenticação segura — SSO com OIDC/PKCE, sem armazenamento direto de senhas
- Controle de acesso — permissões baseadas em papéis (RBAC)
- Soft deletes — dados removidos são marcados, não eliminados imediatamente, permitindo auditoria
- Monitoramento — logs de acesso e detecção de anomalias
- Backups criptografados — recuperação em caso de incidentes
Apesar dos esforços, nenhuma transmissão de dados pela internet pode ser garantida como 100% segura. Em caso de incidente de segurança que possa acarretar risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados conforme Art. 48 da LGPD.
7. Direitos do Titular (Art. 18 LGPD)
Você tem os seguintes direitos em relação aos seus dados pessoais:
| Direito | Descrição |
|---|---|
| Confirmação | Saber se tratamos seus dados |
| Acesso | Obter cópia dos dados que possuímos sobre você |
| Correção | Solicitar a atualização de dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | Solicitar o tratamento de dados desnecessários, excessivos ou em desconformidade |
| Portabilidade | Receber seus dados em formato estruturado para transmissão a outro fornecedor |
| Eliminação | Solicitar a exclusão dos dados tratados com base em consentimento |
| Informação sobre compartilhamento | Saber com quem compartilhamos seus dados |
| Revogação do consentimento | Revogar consentimento a qualquer momento, sem custos |
| Oposição | Opor-se ao tratamento quando baseado em legítimo interesse |
Como Exercer seus Direitos
- E-mail: contato@sana.tec.br
- Prazo de resposta: até 15 (quinze) dias úteis, conforme Art. 18, §5° da LGPD
- Verificação de identidade: podemos solicitar informações adicionais para confirmar sua identidade antes de processar a solicitação
Caso não fique satisfeito com nossa resposta, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):
- Site: www.gov.br/anpd
- E-mail: encarregado@anpd.gov.br
8. Menores de Idade (Art. 14 LGPD)
8.1. A Plataforma não é direcionada a menores de 18 anos.
8.2. Caso a Empresa Contratante necessite cadastrar colaboradores menores de 18 anos (aprendizes, estagiários), o tratamento de dados será realizado exclusivamente com consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, conforme Art. 14, §1° da LGPD.
8.3. Dados de menores serão tratados em seu melhor interesse, coletando apenas o estritamente necessário para a finalidade (Princípio da Necessidade — Art. 6°, III).
9. Alterações nesta Política
9.1. Esta Política poderá ser atualizada a qualquer momento para refletir mudanças em nossas práticas ou na legislação aplicável.
9.2. Em caso de alterações substanciais, notificaremos os titulares por meio da Plataforma ou por e-mail, com antecedência razoável.
9.3. A data da última atualização será sempre exibida no topo deste documento.
9.4. Mantemos um registro das versões anteriores desta Política, disponível mediante solicitação ao DPO.
10. Legislação Aplicável
Esta Política é regida por:
- Lei 13.709/2018 (Lei Geral de Proteção de Dados — LGPD)
- Lei 12.965/2014 (Marco Civil da Internet)
- Decreto 8.771/2016 (regulamentação do Marco Civil)
- Regulamentos e orientações da ANPD (Autoridade Nacional de Proteção de Dados)
SANA AI TECNOLOGIA LTDA
Av. dos Vinhedos, nº 21, Andar 03 - Sala 303A, Bairro Jardim Sul, Uberlândia/MG, CEP 38.411-848
CNPJ: 66.089.493/0001-96
DPO: SANA AI TECNOLOGIA LTDA — contato@sana.tec.br