/ Conformidade LGPD

LGPD não é checkbox. É como o produto foi desenhado.

A Lei 13.709/2018 chegou em 2020. A gente já tinha hash, isolamento de tenant e logs imutáveis antes disso — não por sorte, por pauta. Este documento mostra como cada princípio da LGPD vira código no RH Flex.

Atualizado em 18 abr 2026versão 2.7Em conformidade · Portaria 671 · LGPD
01

Nosso compromisso

O RH Flex foi desenhado, desde o primeiro commit, em conformidade com a Lei 13.709/2018 — a Lei Geral de Proteção de Dados Pessoais (LGPD). Não tratamos LGPD como checklist de auditoria; tratamos como engenharia.

Esta página explica, em linguagem direta, como aplicamos os princípios da LGPD na prática, quem é controlador e quem é operador na sua relação com a Plataforma, quais direitos você tem como titular e como exercê-los.

Documentos relacionados

Esta página é o panorama. Os detalhes operacionais estão na Política de Privacidade. Os Termos definem direitos e deveres contratuais. Sempre que houver conflito entre documentos, prevalece o mais específico.

02

Princípios aplicados (LGPD art. 6º)

Os dez princípios da LGPD orientam todas as decisões de produto e infraestrutura. Para cada um, registramos como ele se manifesta no produto:

Finalidade

  • Dados coletados exclusivamente para registro de jornada, gestão de tarefas e geração de relatórios trabalhistas.
  • Nenhum dado é reutilizado para marketing, perfilamento publicitário ou venda a terceiros.

Adequação e necessidade

  • Coletamos o mínimo necessário: nome, CPF, e-mail, cargo, setor, jornada e dados de registro de ponto.
  • Foto do funcionário é opcional. CPF não é exibido em telas operacionais — apenas em relatórios trabalhistas.

Livre acesso e qualidade

  • Funcionário visualiza suas batidas, banco de horas e espelho a qualquer momento pelo app.
  • Correções podem ser solicitadas direto pelo app, com aprovação do gestor e trilha de auditoria.

Transparência e prevenção

  • Cada notificação push, cada e-mail, cada compartilhamento com terceiro é declarado.
  • Logs imutáveis registram quem acessou o quê, quando e de onde — ficam disponíveis para o controlador.

Segurança e não-discriminação

  • TLS 1.3 em trânsito, AES-256 em repouso, hash bcrypt em senhas, SHA-256 em cada batida.
  • Decisões trabalhistas automatizadas exigem revisão humana — a Plataforma não dispara processo de advertência ou demissão sozinha.

Responsabilização e prestação de contas

  • Encarregado (DPO) nomeado e disponível em dpo@rhflex.com.br.
  • Política de incidentes ativa: notificação à ANPD e aos titulares em até 48h de qualquer evento que represente risco relevante.
03

Controlador e operador — quem é quem

A LGPD distingue dois papéis principais: o controlador, que decide sobre o tratamento; e o operador, que executa o tratamento por conta do controlador. Na relação com o RH Flex, normalmente:

A empresa contratante (você) é o CONTROLADOR

  • Define quais funcionários serão cadastrados e com quais dados.
  • Decide as jornadas, geofences, regras de banco de horas e fluxos de aprovação.
  • É responsável pela base legal do tratamento perante seus colaboradores (relação trabalhista).
  • Atende a requisições de titulares em primeira instância.

O RH Flex é o OPERADOR

  • Executa o tratamento conforme instruções do controlador.
  • Aplica medidas técnicas e organizacionais de segurança.
  • Mantém registros das operações de tratamento (art. 37).
  • Comunica incidentes ao controlador imediatamente.

Importante para o gestor

Como controlador, sua empresa precisa formalizar a base legal do tratamento dos dados dos funcionários — em regra, execução de contrato de trabalho e obrigação legal (CLT, Portaria 671). Recomendamos inserir cláusula expressa no contrato de trabalho.

04

Direitos do titular (LGPD art. 18)

Você, titular dos dados, tem nove direitos garantidos. Pode exercer qualquer um a qualquer tempo, sem custo:

  • Confirmação de existência de tratamento.
  • Acesso aos dados pessoais que tratamos.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
  • Portabilidade dos dados a outro fornecedor de serviço.
  • Eliminação dos dados tratados com base no consentimento.
  • Informação das entidades públicas e privadas com as quais compartilhamos seus dados.
  • Informação sobre a possibilidade de não consentir e suas consequências.
  • Revogação do consentimento — quando essa for a base legal aplicável.
05

Como exercer seus direitos

Para qualquer solicitação envolvendo seus dados pessoais, o canal direto é o nosso DPO. Use o e-mail dpo@rhflex.com.br informando:

  • Seu nome completo e CPF.
  • Empresa em que você trabalha (tenant).
  • Qual direito você quer exercer.
  • Detalhes específicos, se aplicável (ex.: período de dados que deseja portar).

Prazos de resposta

Confirmação de recebimento em 24h. Resposta substantiva em até 15 dias corridos (LGPD art. 19). Solicitações complexas podem demandar prazo maior, sempre com justificativa formal.

06

Dados sensíveis — atestados médicos

Atestados médicos enviados pelo funcionário são dados pessoais sensíveis (LGPD art. 5º II). Aplicamos proteções extras:

  • Armazenamento em bucket isolado com criptografia individual por arquivo.
  • Acesso restrito ao próprio funcionário e aos administradores autorizados do tenant.
  • Nunca compartilhados com outros tenants, parceiros ou prestadores.
  • Retenção mínima conforme prazo trabalhista aplicável.
  • Logs de acesso preservados — quem visualizou cada atestado fica registrado.
07

Transferência internacional

A infraestrutura primária do RH Flex roda em servidores Railway (US East, Virginia, EUA). O tratamento envolve transferência internacional para os EUA, realizada com base em cláusulas contratuais padrão de proteção de dados, conforme LGPD art. 33, VI.

Há exposição adicional ao Stripe (gateway de pagamento) e ao Firebase Cloud Messaging (push) — ambos operadores com cláusulas-padrão de proteção de dados internacional. Apenas o estritamente necessário transita por esses serviços.

08

Incidentes de segurança

Se um incidente envolver dados pessoais e representar risco relevante, comunicaremos à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em até 48 horas após a confirmação, conforme entendimento atual da ANPD para o art. 48 da LGPD.

A comunicação incluirá: natureza dos dados afetados, titulares envolvidos, medidas técnicas e organizacionais adotadas, riscos relacionados e medidas para reverter/mitigar os efeitos.

09

Encarregado (DPO)

Nosso Encarregado de Proteção de Dados é o ponto de contato entre o RH Flex, os titulares e a ANPD, conforme art. 41 da LGPD.

Contato direto com o DPO

E-mail: dpo@rhflex.com.br · Resposta em até 5 dias úteis. Para denúncia urgente de incidente: incidente@rhflex.com.br.

10

Autoridade Nacional (ANPD)

Se você não obtiver resposta satisfatória do RH Flex ou do controlador (empresa onde trabalha), tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados.

ANPD — Setor de Indústrias Gráficas, Quadra 4, Bloco A, Brasília/DF · gov.br/anpd

/ Contato

Exercer direito LGPD ou reportar incidente

Lemos cada e-mail. Resposta em até 2 dias úteis. Sem formulário robotizado, sem ticket sem dono.

dpo@rhflex.com.br