/ Política de Privacidade

Seus dados, suas regras — em linguagem humana.

Tudo que coletamos, por quê, onde guardamos, com quem compartilhamos (curto: quase ninguém) e como você exerce seus direitos sob a LGPD. Sem jargão jurídico decorativo.

Atualizado em 18 abr 2026versão 3.1Em conformidade · Portaria 671 · LGPD
01

Quem somos e o que esta política cobre

O RH Flex é um sistema de controle de ponto digital e gestão de tarefas operado pela RH Flex Sistemas Ltda. (CNPJ 00.000.000/0001-00). Esta política descreve, em linguagem direta, como tratamos dados pessoais nos nossos produtos — painel web, aplicativo mobile e API.

Tratamos dados de dois tipos de usuários: administradores (RH, gestores, líderes de setor) e funcionários que registram ponto pelo aplicativo. A relação entre RH Flex e empresa contratante é a de operador (RH Flex) e controlador (empresa), conforme art. 5º da LGPD.

02

Dados que coletamos

Coletamos apenas o que é necessário para operar a Plataforma e atender obrigações trabalhistas. Tudo é categorizado por origem:

Fornecidos pelo administrador

  • Dados da empresa: razão social, CNPJ, endereço, logo (opcional).
  • Dados do administrador: nome, e-mail, senha (hash bcrypt — não armazenamos a senha em claro).
  • Dados dos funcionários: nome, CPF, e-mail, cargo, setor, supervisor, foto opcional, jornada de trabalho.

Fornecidos pelo funcionário

  • Atestados médicos em PDF, JPG, JPEG ou PNG — dado sensível de saúde nos termos do art. 5º II da LGPD.
  • Texto livre em solicitações: motivo, observação, descrição da ocorrência.

Coletados automaticamente

  • Geolocalização (latitude/longitude) no momento da batida, usada para validar geofence.
  • Endereço IP e identificador do device — auditoria e rastreabilidade.
  • Timestamps: hora do device (clientTs) e do servidor (serverTs).
  • Hash SHA-256 de cada registro — exigência da Portaria 671 para integridade.
  • Device token (FCM/APNs) para envio de notificações push.

Dado sensível

Atestados médicos são dados de saúde. São armazenados criptografados, com acesso restrito ao administrador do tenant e ao próprio funcionário. Nunca compartilhados com outros tenants ou parceiros.

03

Como usamos os dados

Tratamos dados pessoais para as seguintes finalidades:

  • Registrar e gerenciar a jornada de trabalho — base legal: execução de contrato e obrigação legal (CLT).
  • Calcular banco de horas, horas extras, deficit e DSR.
  • Gerar relatórios e espelhos de ponto (PDF, CSV, AFD) — obrigação legal Portaria 671.
  • Validar registros por geolocalização (geofence) — interesse legítimo de fiscalização da jornada.
  • Enviar notificações push de jornada, intervalo e tarefas.
  • Garantir segurança e prevenir fraudes — interesse legítimo.
  • Cumprir obrigações fiscais e responder a requisições de autoridade competente.
04

Compartilhamento com terceiros

Não vendemos dados. Não compartilhamos dados pessoais com terceiros para marketing. Compartilhamento ocorre exclusivamente com:

  • Provedores de infraestrutura: Railway (servidores, US East — Virginia, EUA), Cloudflare (CDN/proteção), Firebase Cloud Messaging (push) — sob contrato com cláusulas de proteção de dados.
  • Processadores de pagamento: Stripe — apenas dados necessários à cobrança da assinatura. Dados de cartão jamais transitam por nossos servidores.
  • Autoridades competentes: mediante ordem judicial, requisição do Ministério do Trabalho ou da Receita Federal.
  • Contadores e auditores autorizados pelo tenant (controlador), via exportações controladas no painel.
05

Armazenamento e segurança

Dados ficam em servidores Railway (US East, Virginia, EUA). A transferência internacional atende à LGPD por meio de cláusulas contratuais padrão (art. 33, VI). Aplicamos múltiplas camadas de proteção:

  • Criptografia em repouso (AES-256) e em trânsito (TLS 1.3).
  • Senhas com bcrypt (cost factor 12) — impossível recuperar a senha original.
  • Multi-tenancy com isolamento total: row-level security e tenant_id em toda query.
  • Backups diários criptografados com retenção de 30 dias.
  • Monitoramento 24/7, logs de auditoria e detecção de anomalias.

Onde os dados ficam

Servidores Railway em US East (Virginia, EUA). Transferência internacional baseada em cláusulas contratuais padrão, conforme LGPD art. 33. Planejamos migrar para região brasileira assim que disponível na plataforma.

06

Seus direitos (LGPD art. 18)

Como titular dos dados, você tem direitos garantidos pela LGPD. Pode exercer qualquer um deles a qualquer momento:

  • Confirmação de tratamento e acesso aos dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
  • Portabilidade dos dados para outro fornecedor.
  • Eliminação dos dados tratados com base no consentimento.
  • Informação sobre entidades com as quais compartilhamos dados.
  • Revogação do consentimento (quando aplicável).
  • Revisão de decisões automatizadas que afetem seus interesses.
07

Retenção de dados

Mantemos dados pelo tempo necessário para as finalidades descritas ou para cumprir obrigações legais. Os principais prazos:

  • Registros de ponto, espelhos e atestados: 5 anos após o desligamento do funcionário — exigência trabalhista (art. 7º, XXIX da CF).
  • Dados cadastrais (funcionários, jornadas, setores): durante a vigência do contrato + 90 dias para recuperação.
  • Logs de auditoria: 2 anos.
  • Dados em conta encerrada: deletados após 90 dias, exceto os de retenção legal obrigatória.
08

Cookies e tecnologias similares

Usamos cookies essenciais para autenticação e funcionamento do painel (sessão, preferências de UI). Não usamos cookies de marketing nem trackers de terceiros para perfilamento.

Não utilizamos cookies analíticos ou de rastreamento de terceiros no momento.

09

Menores de idade

A Plataforma não é destinada a menores de 14 anos. Funcionários entre 14 e 18 anos (aprendizes, menores aprendizes) podem ter conta criada pelo administrador da empresa, observadas as restrições legais aplicáveis ao trabalho do menor. O controlador (empresa) é responsável por assegurar essas condições.

10

Alterações nesta política

Esta política pode ser atualizada para refletir mudanças no produto, na legislação ou em práticas de segurança. Notificamos por e-mail e aviso no painel com 15 dias de antecedência sobre mudanças substanciais. O histórico de versões fica disponível mediante solicitação.

11

Encarregado de Proteção de Dados (DPO)

Nosso DPO/Encarregado é responsável por receber comunicações dos titulares e da ANPD, orientar o time sobre boas práticas e executar demais atribuições do art. 41 da LGPD.

Encarregada nomeada: Mariana Soares Albuquerque.

Contato direto com o DPO

Mariana Soares Albuquerque — dpo@rhflex.com.br. Para exercer qualquer direito LGPD, esclarecer dúvidas de privacidade ou reportar incidente. Resposta em até 5 dias úteis.

/ Contato

Exercer direitos LGPD ou reportar incidente

Lemos cada e-mail. Resposta em até 2 dias úteis. Sem formulário robotizado, sem ticket sem dono.

dpo@rhflex.com.br