Combinados claros entre a gente.

Esses dois documentos definem o que você pode esperar do XRESET, o que coletamos, com quem compartilhamos, e os seus direitos. Escrevemos em português claro — sem juridiquês desnecessário — mas com referências precisas aos artigos da LGPD.

Atualizado em 15 de mai. de 2026 · v1.1.0

Como tratamos sua informação

Resumo da política de privacidade

  • Criptografia AES-256 em repouso + TLS 1.3 em trânsito. Senha como hash bcrypt — ninguém vê em texto.
  • Você é dono(a) dos seus dados. Acesso, exportação, correção, exclusão, oposição — resposta em 15 dias corridos via privacidade@sapians.com.br.
  • Sub-processadores nominais em /sub-processadores: Supabase (DB Brasil), Vercel + Resend (EUA · cláusulas-padrão Arts. 33-36 LGPD).
  • Dados sensíveis (LGPD Art. 9º · saúde mental) com consentimento específico no aceite da Política (cadastro). Nunca usados pra treinar IA. Nunca cruzados sem novo consentimento.
1

Quem é o controlador

SAPIANS · CNPJ 66.441.196/0001-68, sediada em São Paulo/SP, é a controladora dos seus dados nos termos do LGPD Art. 5º, VI.

Encarregado (DPO): William Bendinelli · privacidade@sapians.com.br. O canal do DPO é o ponto oficial pra exercer seus direitos LGPD, fazer reclamações ou pedir esclarecimentos sobre tratamento de dados.

2

Quais dados coletamos

Identidade: nome completo, email (login + comunicação), senha (armazenada como hash bcrypt cost 12 — ninguém vê em texto, nem nós).

Perfil profissional (Onboarding): faixa etária, gênero, função, setor, escolaridade, tempo de função, mudança recente de escopo, dor crônica (opcional · sensível).

Respostas do instrumento: 61 itens psicométricos (escalas Likert), scores derivados (Vitalidade, Conexão, Liberdade), arquétipo identificado (rótulo narrativo · não diagnóstico).

Dados sensíveis (LGPD Art. 9º · §5): sintomas auto-reportados relacionados a saúde mental (escalas ASQ · Ask Suicide-Screening Questions, e PHQ-2 · Patient Health Questionnaire). Tratamento exclusivo pra fins do próprio instrumento — nunca cruzamos com outros bancos sem consentimento explícito separado. O consentimento específico é dado no cadastro, ao aceitar esta Política — ação afirmativa separada do aceite dos Termos, e referente a esta seção, que descreve de forma destacada e específica os dados sensíveis (saúde mental — ASQ e PHQ-2) e a finalidade. Esse consentimento é revogável a qualquer momento, sem prejuízo do tratamento legítimo realizado anteriormente.

Log de evento agudo (handoff de crise): se o instrumento detectar padrões compatíveis com risco à vida (vide Termos §6), registramos UUID anônimo da sessão + timestamp + indicação de qual gate foi disparado. Esse registro técnico NÃO contém suas respostas individuais nem identificação direta, e é usado exclusivamente pra calibração do instrumento e revisão por ponto-focal de saúde mental em até 24h.

Telemetria: eventos do funil (passos completados, tempo entre etapas · agregado), IP de origem (rate-limit + audit de consentimento), user agent (audit log).

3

Por que tratamos esses dados

  • Execução do contrato (LGPD Art. 7º, V): pra te entregar o relatório que você comprou.
  • Consentimento específico (Art. 7º, I e Art. 11, I): pra dados sensíveis (saúde mental). Dado no cadastro, ao aceitar esta Política (ação afirmativa e separada); a Seção 2 acima descreve esses dados de forma destacada e específica.
  • Legítimo interesse (Art. 7º, IX): pra calibrar o instrumento (Cronbach alfa, validade, fairness) usando dados agregados/anonimizados. Você pode se opor a esse uso sem prejuízo do contrato (vide Seção 7).
  • Cumprimento de obrigação legal (Art. 7º, II): audit log de consentimentos (defesa ANPD).
4

Com quem compartilhamos

Nenhum dado pessoal é vendido. Nunca. Compartilhamentos operacionais limitados aos sub-processadores listados em /sub-processadores.

Transferência internacional de dados (LGPD Arts. 33 a 36): os seguintes sub-processadores podem realizar tratamento de dados pessoais fora do Brasil:

  • Vercel Inc. (Estados Unidos) · logs operacionais (IP, user-agent), arquivos estáticos. Hipótese legal: cláusulas-padrão contratuais (Art. 33, II, "d") + DPA Vercel.
  • Resend (Estados Unidos) · email de cadastro, código 2FA. Hipótese legal: cláusulas-padrão contratuais + DPA Resend.
  • Stripe (Estados Unidos / Irlanda · quando ativado) · dados de pagamento (não de saúde). Hipótese legal: cláusulas-padrão + certificação SOC2/PCI-DSS.

Salvaguardas aplicadas: criptografia em trânsito (TLS 1.3), criptografia em repouso (AES-256), contratos de processamento de dados (DPA) com cada sub-processador, segregação por finalidade, ausência de cruzamento entre domínios.

Você pode solicitar cópia das cláusulas-padrão e dos DPAs vigentes via privacidade@sapians.com.br. Lista de sub-processadores é mantida em /sub-processadores e atualizada com 30 dias de antecedência em caso de inclusão de novo prestador.

5

Decisões automatizadas (LGPD Art. 20)

O arquétipo identificado em seu relatório, bem como os scores de Vitalidade, Conexão e Liberdade, são derivados automaticamente do seu padrão de respostas por algoritmo determinístico (sem uso de IA generativa ou aprendizado de máquina nesta versão).

Conforme Art. 20 LGPD, você tem direito a:

  • Solicitar revisão humana do arquétipo atribuído — contato privacidade@sapians.com.br;
  • Receber, em linguagem clara, descrição dos critérios usados (publicada em /metodologia ou via solicitação ao DPO);
  • Discordar do rótulo recebido sem que isso afete sua relação contratual com a SAPIANS.

Esclarecemos que o arquétipo é descrição narrativa, não classificação diagnóstica nem julgamento sobre sua pessoa.

6

Por quanto tempo guardamos

  • Sessão ativa: enquanto sua conta existir + 12 meses após última atividade.
  • Após exclusão: soft-delete por 30 dias (recuperação) · depois hard-delete + purga de embeddings/logs.
  • Audit log de consentimentos: 5 anos (exigência regulatória ANPD).
  • Log de evento agudo (handoff de crise): 90 dias (revisão por ponto-focal) · depois purga.
  • Agregados anonimizados (Cronbach, fairness): indefinido · não permitem reidentificação.
7

Seus direitos (LGPD Art. 18)

Você pode pedir, a qualquer momento:

  • Acesso (Art. 18, II) — ver todos os seus dados.
  • Correção (Art. 18, III) — alterar dados imprecisos.
  • Exclusão (Art. 18, VI) — apagar sua conta (soft-delete imediato).
  • Portabilidade (Art. 18, V) — exportar tudo em JSON.
  • Revogação de consentimento (Art. 18, IX) — pra dados sensíveis ou marketing.
  • Oposição (Art. 18, §2º) — discordar do tratamento por legítimo interesse (calibração agregada do instrumento). Você pode optar por que seus dados não sejam usados nem mesmo de forma anonimizada para essa finalidade.
  • Informação (Art. 18, VII) sobre uso e compartilhamentos (relatório RIPD · vide Seção 13).

Solicite via privacidade@sapians.com.br. Respondemos em até 15 dias corridos da data de recebimento, conforme Art. 19, §3º LGPD. Caso a solicitação demande análise técnica complexa, comunicaremos a extensão do prazo com justificativa antes do vencimento.

8

Segurança e incidentes

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256).
  • Senha como hash bcrypt (cost 12) — irreversível.
  • 2FA obrigatório no signup E em todo login (política SAPIANS).
  • RLS (Row Level Security) no banco — cada usuário só vê seus dados.
  • Audit log de eventos sensíveis (mudança de email, exclusão de conta).

Incidentes de segurança: em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD em até 72h (LGPD Art. 48) e os titulares afetados em prazo razoável, com descrição da natureza do incidente, dados afetados, medidas adotadas e recomendações para mitigação.

9

Cookies e tracking

Usamos apenas cookies essenciais (sessão de login · CSRF protection). Sem trackers de terceiros, sem pixels de marketing. Se um dia formos adicionar analytics, será com consentimento explícito separado.

10

Crianças e adolescentes

XRESET é exclusivo pra maiores de 18 anos. Não coletamos dados de menores conscientemente. Se identificarmos cadastro indevido, deletamos imediatamente.

Canal de denúncia pra responsáveis: se você é pai/mãe/responsável e identificou cadastro de menor, denuncie via privacidade@sapians.com.br com assunto "Denúncia cadastro menor". Tratamento prioritário em até 48h.

11

Compartilhamento com profissional autorizado

Você pode gerar link de compartilhamento ("share code") do seu relatório para enviar a profissional de sua escolha (psicólogo, psiquiatra, coach, etc.). Esclarecemos:

  • SAPIANS não verifica credencial profissional do destinatário (não checamos se o psicólogo tem CRP ativo, por exemplo).
  • Você é responsável por compartilhar apenas com profissional habilitado e de sua confiança.
  • O link permanece ativo por 30 dias e pode ser revogado a qualquer momento na sua conta.
  • Mantemos registro do evento de compartilhamento (timestamp e UUID do destinatário, sem identificação pessoal direta) por 5 anos para auditoria.
  • Após acesso, o profissional destinatário torna-se controlador independente dos dados que tiver visualizado, sob suas próprias obrigações legais.
12

Uso em treinamento de IA

Seus dados pessoais e respostas ao instrumento NÃO são utilizados para treinar modelos de inteligência artificial generativa, nem internos nem de terceiros.

Caso essa política mude no futuro, você será notificado(a) e seu consentimento específico será requerido antes de qualquer uso para essa finalidade.

13

Relatório de Impacto à Proteção de Dados (RIPD)

Conforme LGPD Art. 38 e Resolução CD/ANPD nº 4/2023, mantemos Relatório de Impacto à Proteção de Dados (RIPD/DPIA) para o tratamento de dados sensíveis em escala (saúde mental). O RIPD descreve:

  • Tipos de dados tratados e suas finalidades
  • Metodologia e salvaguardas adotadas
  • Análise dos riscos às liberdades civis e medidas mitigatórias
  • Mecanismos pra exercício dos direitos do titular

Cópia do RIPD disponível mediante solicitação justificada via privacidade@sapians.com.br (versão sumária pública; versão integral mediante NDA).

14

Encarregado (DPO) e contato

Conforme LGPD Art. 41, nossa pessoa Encarregada de Proteção de Dados (DPO) é William Bendinelli. Contato direto: privacidade@sapians.com.br.

Insatisfeito? Fale primeiro com o DPO. Se não resolver em 15 dias corridos, você pode procurar a Autoridade Nacional de Proteção de Dados (ANPD).

Histórico de versões desta política em /legal/historico.