Política de Privacidade

Última atualização: 18 de abril de 2026

1. Introdução

O RH Flex ("nós", "nosso") leva a privacidade dos seus dados muito a sério. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos e protegemos as informações pessoais dos nossos usuários — tanto administradores (gestores/RH) quanto funcionários que registram ponto pelo aplicativo.

Esta política se aplica a todos os produtos e serviços do RH Flex, incluindo o painel web administrativo, o aplicativo mobile e a API.

2. Dados que Coletamos

2.1 Dados fornecidos pelo administrador

  • Dados da empresa: nome da empresa (tenant), CNPJ, logo (opcional)
  • Dados do administrador: nome completo, e-mail, senha (armazenada com hash bcrypt)
  • Dados dos funcionários: nome completo, CPF, e-mail, cargo, setor/departamento, supervisor, foto (opcional), jornada de trabalho, flag de trabalho remoto

2.2 Dados fornecidos pelo funcionário

  • Atestados médicos: arquivos (PDF, JPG, JPEG, PNG) enviados pelo funcionário para justificar ausências ou solicitar abonos — dado sensível de saúde (art. 5°, II da LGPD)
  • Motivo e observações: texto livre em solicitações de abono, inclusão de batida ou envio de atestado

2.3 Dados coletados automaticamente

  • Geolocalização: coordenadas GPS (latitude/longitude) no momento do registro de ponto, utilizadas para validação de geofence
  • Endereço IP: registrado no momento do ponto para fins de auditoria
  • Identificador do dispositivo: ID do aparelho para rastreabilidade
  • Timestamps: horário do registro no dispositivo (clientTs) e no servidor (serverTs)
  • Hash criptográfico: SHA-256 gerado para cada registro, garantindo integridade conforme Portaria 671
  • Device Token (FCM): identificador para envio de notificações push (lembretes de ponto, intervalo, etc.)

3. Como Usamos os Dados

Utilizamos os dados coletados para:

  • Registrar e gerenciar a jornada de trabalho dos funcionários
  • Calcular banco de horas, horas extras e deficit
  • Gerar relatórios (espelho de ponto, AFD, exportações CSV)
  • Validar registros por geolocalização (geofence)
  • Garantir conformidade com a Portaria 671/2021, CLT e eSocial
  • Emitir comprovantes digitais de registro de ponto
  • Enviar notificações push sobre jornada (lembrete de ponto, intervalo, etc.)
  • Processar solicitações de inclusão de batida, edição de registros, abono e atestados
  • Gerenciar aprovação e rejeição de solicitações (individual ou em lote)
  • Organizar hierarquia funcional (setores, supervisores, gestores)
  • Processar pagamentos e gerenciar planos de assinatura
  • Manter trilha de auditoria para fiscalização trabalhista

4. Isolamento de Dados (Multi-tenancy)

O RH Flex opera em arquitetura multi-tenant. Cada empresa (tenant) possui seus dados completamente isolados. Isto significa que:

  • Nenhum administrador pode acessar dados de outra empresa
  • Os funcionários só visualizam seus próprios registros dentro do tenant ao qual pertencem
  • Filtros de segurança (Global Query Filters) são aplicados em todas as operações do banco de dados
  • O tenant é identificado pelo token JWT do usuário, sem possibilidade de alteração pelo cliente

5. Compartilhamento de Dados

Não vendemos, alugamos ou compartilhamos dados pessoais com terceiros para fins comerciais. Os dados podem ser compartilhados apenas:

  • Com processador de pagamentos: dados mínimos necessários para o Stripe processar cobranças (não compartilhamos CPF ou dados de ponto)
  • Por obrigação legal: quando exigido por ordem judicial, fiscalização do MTE ou determinação de autoridade competente
  • Com prestadores de infraestrutura: servidores em nuvem (Railway, Neon) que hospedam os dados com contratos de processamento adequados

6. Armazenamento e Segurança

  • Os dados são armazenados em banco de dados PostgreSQL hospedado na Neon (infraestrutura cloud)
  • Toda comunicação é feita via HTTPS/TLS
  • Senhas são armazenadas com hash bcrypt (nunca em texto puro)
  • Tokens de autenticação são JWT com expiração configurável
  • Credenciais sensíveis no app mobile são armazenadas via Flutter Secure Storage (Keychain/Keystore)
  • Registros de ponto são imutáveis após criação, com hash SHA-256 para verificação de integridade

7. Retenção de Dados

  • Dados de ponto: mantidos durante toda a vigência do contrato e por 5 anos após o encerramento, conforme exigências trabalhistas da CLT
  • Dados de auditoria: mantidos por 5 anos conforme obrigação legal
  • Dados da conta: mantidos por 90 dias após cancelamento para possível reativação; após esse prazo, excluídos permanentemente
  • Dados de pagamento: gerenciados pelo Stripe conforme sua própria política de retenção
  • Atestados médicos: mantidos pelo mesmo prazo dos dados de ponto (5 anos), conforme exigência trabalhista; arquivos eliminados junto com os demais dados do tenant após o encerramento

8. Direitos dos Titulares

Conforme a LGPD (Lei 13.709/2018), você tem direito a:

  • Confirmar a existência de tratamento dos seus dados
  • Acessar seus dados pessoais
  • Corrigir dados incompletos, inexatos ou desatualizados
  • Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários
  • Obter informações sobre entidades com as quais compartilhamos dados
  • Revogar consentimento (quando aplicável)
  • Solicitar portabilidade dos dados

Para exercer esses direitos, consulte nossa Política LGPD ou entre em contato via privacidade@rhflex.com.br.

9. Cookies

O painel web do RH Flex utiliza um cookie httpOnly (auth_token) para manter a sessão do usuário autenticado. Não utilizamos cookies de rastreamento, cookies de terceiros ou tecnologias de tracking para fins publicitários.

10. Menores de Idade

O RH Flex não é destinado a menores de 18 anos como administradores de conta. Funcionários menores de idade (aprendizes) podem ter registros de ponto gerenciados por seus empregadores conforme legislação trabalhista aplicável.

11. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente. Notificaremos os usuários ativos por e-mail ou aviso na Plataforma com antecedência mínima de 15 dias. A data de última atualização será sempre indicada no topo deste documento.

12. Contato

Para questões sobre privacidade e proteção de dados: privacidade@rhflex.com.br

Para exercer direitos previstos na LGPD, consulte: Política de Conformidade LGPD