Política de Privacidade

1. Quem somos e como falar conosco

NORMA01 — CNPJ 66.558.337/0001-27 — operadora da plataforma de SST descrita nos Termos de Uso. Canal geral para privacidade e exercício de direitos: contato@norma01.com.br. Quando você é colaborador de uma empresa cliente, a organização empregadora permanece controladora dos seus dados laborais; encaminhamos solicitações que devam ser atendidas pelo RH/SESMT/DPO da empresa.

2. Escopo

Esta Política de Privacidade descreve como tratamos dados pessoais no site público, cadastro, aplicativo autenticado, APIs, webhooks, formulários DRPS/denúncia/fiscalização por token, e-mails transacionais e integrações listadas abaixo. Não cobre sites de terceiros acessados por links externos (salas de vídeo, WhatsApp, governo).

3. Categorias de dados tratados

• Identificação e contato: nome, e-mail, telefone, CPF (quando necessário), CNPJ, endereço da organização;
• Dados de conta: senha (armazenada com hash), perfil, permissões, logs de aceite de termos e consentimentos;
• Dados laborais: cargo, setor, matrícula, admissão, salário (quando informado pelo RH), filial, jornada;
• Dados de SST: riscos, EPIs, inspeções, treinamentos, DDS, ordens de serviço, documentos assinados;
• Dados de saúde ocupacional e sensíveis: ASO, exames, afastamentos, teleconsulta, plantão psicológico, respostas DRPS com consentimento, CAT;
• Dados financeiros de cobrança: processados preferencialmente pelo Mercado Pago (a NORMA01 não armazena número completo de cartão);
• Dados técnicos: IP, user-agent, cookies de sessão e consentimento, registros de auditoria, métricas de uso;
• Conteúdo enviado voluntariamente: denúncias, anexos, respostas a questionários, gravações ou transcrições quando a funcionalidade estiver ativa.

4. Finalidades e bases legais (LGPD art. 7º e 11º)

• Execução de contrato / pré-contrato: cadastro da organização, provisionamento da conta, suporte, faturamento.
• Cumprimento de obrigação legal ou regulatória: registros de SST, eSocial SST, comunicações exigidas por NR e legislação trabalhista, guarda de evidências.
• Legítimo interesse: segurança da plataforma, prevenção a fraude (ex.: Cloudflare Turnstile), melhoria do produto, logs de auditoria — com balanceamento e minimização.
• Consentimento: quando exigido para dados sensíveis de saúde em DRPS identificado, telemedicina (aceite pré-sala), plantão psicológico, cookies não essenciais ou comunicações opcionais. O consentimento pode ser revogado nos fluxos indicados, sem afetar tratamentos anteriores lícitos.
• Tutela da saúde / procedimento por profissionais: atendimentos ocupacionais realizados por profissionais habilitados vinculados à organização.

5. Tratamento por módulo (transparência)

• PGR / perigos / riscos: dados de exposição e medidas vinculados ao ambiente de trabalho;
• DRPS psicossocial: respostas agregadas e anônimas por padrão; identificação só com consentimento explícito para dados de saúde;
• Absenteísmo e CAT: histórico clínico-ocupacional necessário à gestão de riscos e obrigações legais;
• Treinamentos e DDS: registro de participação e certificação;
• Telemedicina: dados da consulta, aceite LGPD antes de exibir link de vídeo; gravações dependem da política da organização e da ferramenta de terceiros;
• Plantão psicológico: encaminhamento à central, consumo de créditos, registro agregado para relatório gestor (sem exposição indevida ao RH, conforme desenho do módulo);
• Denúncias: canal sigiloso; dados podem ser pseudonimizados; retenção para apuração e NR-01;
• IA assistiva: prompts e documentos podem ser enviados a provedores de modelo de linguagem configurados na infraestrutura, com redação de PII quando aplicável;
• Marketplace: dados profissionais para contratação entre organização e prestador;
• Fiscalização por token: exposição controlada de documentos que a organização autorizar.

6. Compartilhamento e operadores

Podemos compartilhar dados com:

• Organização contratante e usuários por ela autorizados (RH, SESMT, médico, etc.);
• Provedores de infraestrutura e hospedagem do serviço;
• Mercado Pago — pagamentos;
• Cloudflare — proteção anti-bot (Turnstile) no cadastro e formulários públicos;
• Provedores de e-mail transacional;
• Provedores de IA (ex.: OpenAI ou equivalente configurado) — apenas para funcionalidades solicitadas;
• Autoridades públicas, mediante ordem legal ou obrigação regulatória.

Exigimos contratos ou cláusulas de tratamento compatíveis com a LGPD quando o subprocessador processa dados em nosso nome. Transferências internacionais, se ocorrerem por provedores sediados no exterior, observarão mecanismos previstos nos arts. 33 a 36 da LGPD.

7. Direitos do titular

Nos termos da LGPD, você pode solicitar: confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação de dados desnecessários, portabilidade, informação sobre compartilhamentos, revogação de consentimento e revisão de decisões automatizadas, quando aplicável.

1. Colaboradores: em primeiro lugar, contate o RH ou encarregado de dados da sua empresa;
2. Representantes da organização: use o e-mail de privacidade acima ou suporte da conta;
3. Responderemos em prazo razoável, podendo solicitar comprovação de identidade.

8. Crianças e adolescentes

A plataforma destina-se ao ambiente de trabalho e não é voltada a menores de 18 anos, salvo programas específicos de aprendizagem formalmente cadastrados pela organização com base legal adequada.

9. Segurança

Adotamos medidas como controle de acesso por perfil, senhas com hash, HTTPS, registros de auditoria, segregação por organização (multi-tenant), backups e monitoramento. Nenhum sistema é 100% invulnerável; em caso de incidente relevante, notificaremos a ANPD e titulares conforme arts. 48 e 50 da LGPD e orientaremos a organização controladora.

10. Retenção e eliminação

Mantemos dados pelo tempo necessário às finalidades, prazos prescricionais trabalhistas e previdenciários, exigências de SST (prontuário médico, CAT, eSocial) e obrigações contratuais. Após encerramento da conta, podemos reter cópias agregadas ou anonimizadas e registros exigidos por lei. A organização pode solicitar exportação antes do encerramento, dentro dos limites técnicos do produto.

11. Cookies e tecnologias similares

• Cookies essenciais de sessão e autenticação;
• Cookies de consentimento LGPD (portal do colaborador, DRPS);
• Cookies de segurança (Turnstile);
• Notificações push web, quando o usuário optar por ativar.

Você pode gerenciar cookies no navegador; desabilitar essenciais pode impedir o login.

12. Alterações desta política

Publicaremos nova versão com data de vigência. Mudanças relevantes podem exigir novo aceite no cadastro ou no portal. A versão aceita no seu cadastro fica registrada em nossos logs.

13. Legislação e ANPD

Esta política interpreta-se pela LGPD (Lei 13.709/2018) e regulamentações da ANPD. Texto integral da lei: planalto.gov.br. Para reclamações não solucionadas, o titular pode peticionar a ANPD.