Conformidade LGPD

Como o RH Flex atende à Lei Geral de Proteção de Dados (Lei 13.709/2018)

Princípios que seguimos

Finalidade

Coletamos dados exclusivamente para registro e gestão de jornada de trabalho. Nenhum dado é usado para fins diferentes do contratado.

Segurança

Criptografia em trânsito (TLS) e em repouso. Senhas com hash bcrypt. Registros de ponto com hash SHA-256. Multi-tenancy com isolamento total.

Necessidade

Coletamos apenas os dados estritamente necessários: nome, CPF, e-mail, cargo, setor, jornada, registros de ponto com geolocalização e, quando aplicável, atestados médicos.

Prevenção

Trilha de auditoria completa, monitoramento de acessos e políticas de retenção definidas conforme a legislação trabalhista.

1. Papel do RH Flex no Tratamento de Dados

Na relação com nossos clientes, o RH Flex atua como Operador de Dados (processador), enquanto a empresa contratante (tenant) é o Controlador. Isso significa que:

  • O empregador (controlador) determina quais funcionários serão cadastrados e quais dados serão fornecidos
  • O RH Flex (operador) processa esses dados exclusivamente conforme as instruções do controlador e para as finalidades contratadas
  • Cada empresa é responsável por obter as bases legais apropriadas para o tratamento de dados dos seus funcionários (em regra, cumprimento de obrigação legal trabalhista — art. 7°, II da LGPD)

2. Bases Legais Utilizadas

DadoBase Legal
Nome, CPF, jornadaCumprimento de obrigação legal (CLT art. 74)
Registros de pontoCumprimento de obrigação legal (Portaria 671/2021)
Geolocalização (GPS)Legítimo interesse do empregador (controle de jornada)
E-mailExecução de contrato (acesso à plataforma)
Foto do perfilConsentimento (upload voluntário)
Atestados médicosCumprimento de obrigação legal (CLT art. 473, Lei 605/49) — dado sensível (art. 11, II, "b" da LGPD)
Cargo, setor, supervisorExecução de contrato / legítimo interesse (estrutura organizacional)
Device Token (notificações push)Consentimento (ativação voluntária de notificações)
Dados de pagamentoExecução de contrato (cobrança do serviço)

3. Dados Pessoais Sensíveis

O RH Flex coleta um tipo de dado sensível: atestados médicos (dados de saúde, conforme art. 5°, II da LGPD), enviados voluntariamente por funcionários para justificar ausências ou abonos. O tratamento desses dados é amparado pelo art. 11, II, "b" da LGPD — cumprimento de obrigação legal trabalhista (CLT art. 473 e Lei 605/49).

Medidas adicionais de proteção para atestados:

  • Armazenados com acesso restrito exclusivamente ao administrador do tenant
  • Transmitidos via HTTPS/TLS com criptografia em trânsito
  • Retidos pelo prazo legal trabalhista (5 anos) e eliminados após esse período
  • Formatos aceitos: PDF, JPG, JPEG, PNG (tamanho máximo de 5 MB)

Quanto à autenticação biométrica no app (Face ID / Touch ID), ela é processada localmente no dispositivo pelo sistema operacional. O RH Flex não tem acesso, não armazena e não transmite dados biométricos.

Demais dados pessoais coletados (nome, CPF, e-mail, jornada, geolocalização) não são dados sensíveis conforme a definição do art. 5°, II da LGPD.

4. Direitos dos Titulares

Conforme art. 18 da LGPD, todo titular de dados pessoais tem direito a:

  • Acesso: Funcionários podem visualizar todos os seus registros de ponto diretamente no app. Administradores podem exportar relatórios completos (PDF, CSV, AFD)
  • Confirmação: Qualquer titular pode solicitar confirmação de que tratamos seus dados
  • Correção: Dados cadastrais podem ser atualizados pelo administrador. Registros de ponto são imutáveis por exigência legal, mas podem ser cancelados e corrigidos com justificativa (trilha de auditoria)
  • Eliminação: Dados podem ser eliminados após o término da relação contratual, respeitado o prazo de retenção legal (5 anos para dados trabalhistas)
  • Portabilidade: Dados podem ser exportados em formatos abertos (CSV, AFD)
  • Informação: Informamos de forma transparente com quem compartilhamos dados (veja nossa Política de Privacidade)
  • Revogação de consentimento: Quando a base legal é consentimento (ex: foto do perfil), o titular pode revogar a qualquer momento

Como exercer seus direitos

Titulares de dados podem exercer seus direitos das seguintes formas:

  • Funcionários: Solicite ao RH/administrador da sua empresa, que tem acesso ao painel de gestão
  • Administradores: Utilize as ferramentas do painel web (exportação, edição de cadastro, exclusão)
  • Canal direto: Envie e-mail para privacidade@rhflex.com.br com sua solicitação

Responderemos a solicitações de titulares em até 15 dias úteis, conforme art. 18, §5° da LGPD.

5. Medidas de Segurança Técnicas

  • Comunicação exclusivamente via HTTPS/TLS 1.2+
  • Senhas armazenadas com hash bcrypt (salt automático)
  • Autenticação via JWT com expiração configurável
  • Isolamento multi-tenant via Global Query Filters no banco de dados
  • Registros de ponto imutáveis com hash SHA-256
  • Armazenamento seguro de credenciais no app mobile (Flutter Secure Storage → Keychain/Keystore nativo)
  • Logs de auditoria: trilha completa de todas as ações administrativas
  • Banco de dados PostgreSQL gerenciado (Neon) com backups automáticos

6. Transferência Internacional de Dados

Os dados são processados em servidores localizados nos EUA (Railway, Neon) com contratos de processamento de dados (DPA) adequados. A transferência é amparada pelo art. 33, II da LGPD (cláusulas contratuais padrão com garantias de proteção).

7. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco relevante aos titulares, comprometemo-nos a:

  • Comunicar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável, conforme art. 48 da LGPD
  • Notificar os controladores (empresas contratantes) afetados
  • Descrever a natureza dos dados afetados, riscos e medidas adotadas

8. Cookies e Rastreamento

Utilizamos apenas um cookie funcional (auth_token, httpOnly) para sessão autenticada no painel web. Não utilizamos cookies de rastreamento, analytics de terceiros ou tecnologias de tracking para fins publicitários.

9. Encarregado de Dados (DPO)

Para questões relacionadas à proteção de dados pessoais e LGPD, entre em contato com nosso Encarregado de Dados:

E-mail: privacidade@rhflex.com.br
Assunto: "LGPD — [sua solicitação]"

10. Atualizações

Esta política pode ser atualizada periodicamente. A versão vigente estará sempre disponível nesta página. Última atualização: 18 de abril de 2026.