Miospace

Política de Privacidade e Proteção de Dados Pessoais

Esta política descreve como a Miospace coleta, trata, compartilha, retém e protege dados pessoais no âmbito do programa de saúde ocupacional Pulso NR-1, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD).

Versão 1.0 Vigência desde 20/04/2026 Última revisão 20/04/2026 Próxima revisão 20/10/2026

1. Quem é o Controlador

A Miospace ("nós", "Controlador") é responsável pelas decisões referentes ao tratamento dos dados pessoais coletados por meio do programa Pulso NR-1, do site pulsonr1.com.br, do PWA do colaborador e do dashboard de RH.

Identificação do Controlador

Razão socialMiospace

CNPJ43.310.000/0001-25

E-mail oficialcontato@miospace.com.br

Sitepulsonr1.com.br

2. Encarregado de Dados (DPO)

Em cumprimento ao Art. 41 da LGPD, a Miospace mantém canal de comunicação com o Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer):

Contato do Encarregado

E-maildpo@miospace.com.br

Prazo legal de resposta15 dias (Art. 19, LGPD)

AtendimentoPortuguês, gratuito, sem necessidade de justificativa

3. Dados pessoais tratados

A Miospace trata as seguintes categorias de dados, sempre observando os princípios da finalidade, adequação, necessidade e minimização (Art. 6º, LGPD):

3.1 Dados de identificação e cadastro do colaborador

Nome completo, CPF, e-mail corporativo, matrícula funcional
Cargo, função, unidade, centro de custo, data de admissão
Telefone (opcional, apenas para recuperação de acesso)

3.2 Dados de uso da plataforma

Logs de acesso, endereço IP, agente de usuário (User-Agent), timestamps
Eventos de check-in (data, hora, dispositivo)
Métricas de engajamento agregadas

3.3 Dados de cobrança (B2B)

Razão social, CNPJ, endereço de faturamento, e-mail financeiro do cliente empresa
Histórico de faturas e meio de pagamento (operado pelo Asaas)

Não coletamos dados pessoais de cônjuges, dependentes ou terceiros que não sejam parte da relação de trabalho do cliente.

4. Dados pessoais sensíveis

Atenção - Art. 11 da LGPD. O programa Pulso NR-1 trata dados sobre saúde mental e fatores psicossociais do trabalho, classificados como dados pessoais sensíveis. Esses dados recebem proteção reforçada e são tratados sob bases legais específicas do Art. 11.

4.1 O que coletamos

Respostas ao instrumento COPSOQ-BR III (Copenhagen Psychosocial Questionnaire, versão brasileira validada) - dimensões psicossociais do trabalho
Mapas de tensão muscular reportados pelo colaborador (autoavaliação)
Sinais de risco psicossocial agregados ao nível de unidade/setor

4.2 Como protegemos

K-anonimato ≥ 5: nenhum recorte de dado sensível é exibido ao RH se o grupo tiver menos de 5 respondentes - é matematicamente impossível identificar o colaborador
Dashboards do RH só exibem indicadores agregados - nunca respostas individuais nominais
Acesso individual restrito ao próprio colaborador (PWA pessoal) e, mediante consentimento explícito, a profissional de saúde habilitado (psicólogo CRP)
Criptografia em repouso (AES-256) e em trânsito (TLS 1.3)

5. Bases legais (Art. 7º e Art. 11)

O tratamento de dados pelo programa Pulso NR-1 ocorre sob as seguintes hipóteses legais:

Tratamento	Base legal	Fundamento
Cadastro e autenticação do colaborador	Execução de contrato	Art. 7º, V (LGPD)
Cumprimento da NR-1 (Inventário de Riscos Psicossociais e PGR)	Cumprimento de obrigação legal/regulatória pelo controlador (cliente empresa)	Art. 7º, II + Art. 11, II, "a" (LGPD)
Coleta de respostas COPSOQ-BR III (dado sensível de saúde)	Tutela da saúde + obrigação legal do empregador	Art. 11, II, "f" + Art. 11, II, "a" (LGPD)
Cobrança e faturamento do cliente B2B	Execução de contrato	Art. 7º, V (LGPD)
Logs de segurança, prevenção a fraude	Legítimo interesse do controlador	Art. 7º, IX + Art. 10 (LGPD)
Comunicações de marketing (newsletter, materiais)	Consentimento	Art. 7º, I (LGPD) - opt-in explícito e revogável

6. Finalidades específicas

Os dados são tratados exclusivamente para as seguintes finalidades:

Permitir o acesso do colaborador ao seu próprio painel pessoal (PWA)
Gerar o Inventário de Riscos Psicossociais e o Plano de Gerenciamento de Riscos (PGR) exigidos pela NR-1
Apoiar o cliente empresa no cumprimento da NR-17 (ergonomia organizacional)
Disponibilizar ao RH indicadores agregados anonimizados para tomada de decisão
Emitir laudos e relatórios assinados por profissional habilitado (CRP)
Cobrar e faturar o cliente empresa via Asaas
Coletar assinatura de contratos via Clicksign
Atender solicitações dos titulares (Art. 18, LGPD)
Cumprir obrigações legais e regulatórias e atender requisições de autoridades competentes

Não realizamos perfilamento publicitário, venda de dados, decisões automatizadas com efeito jurídico relevante, nem qualquer uso secundário sem nova base legal.

7. Compartilhamento com terceiros (operadores)

A Miospace compartilha dados estritamente com operadores contratados por meio de instrumento que prevê obrigações de confidencialidade, segurança e adequação à LGPD:

Operador	Finalidade	Local de processamento
Hostinger	Hospedagem do site institucional pulsonr1.com.br	Brasil/internacional
Supabase	Banco de dados, autenticação, funções de borda do PWA e do dashboard	Internacional (com salvaguardas)
Asaas	Processamento de cobrança recorrente (B2B)	Brasil
Clicksign	Coleta de assinatura eletrônica em contratos e termos de consentimento	Brasil
Profissional habilitado (CRP)	Análise técnica de relatórios psicossociais quando previsto em contrato com o cliente empresa	Brasil

Não há compartilhamento com finalidade publicitária, com data brokers ou com qualquer terceiro fora desta lista.

8. Transferência internacional de dados

Em razão da arquitetura técnica do Supabase, parte dos dados pode ser processada em servidores localizados fora do território nacional (Art. 33, LGPD). Quando isso ocorre, a Miospace adota as seguintes salvaguardas:

Contratação de operador que oferece grau de proteção adequado conforme parâmetros da ANPD
Cláusulas contratuais específicas de proteção de dados (DPA - Data Processing Agreement)
Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
Restrição de acesso por princípio de menor privilégio (RLS - Row Level Security)

O titular pode solicitar, a qualquer momento via dpo@miospace.com.br, a relação atualizada de jurisdições onde seus dados são processados.

9. Prazos de retenção

Mantemos os dados pessoais apenas pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os prazos legais aplicáveis:

Categoria	Prazo	Fundamento
Dados de cadastro do colaborador	Enquanto vigente o contrato com a empresa empregadora + 30 dias	Execução de contrato
Respostas COPSOQ-BR III e mapas de tensão	5 anos a partir da coleta	NR-1 (guarda do Inventário de Riscos)
Logs de acesso e auditoria	6 meses	Art. 15, Marco Civil da Internet (Lei 12.965/2014)
Faturas e dados fiscais	5 anos	Decadência fiscal (CTN, Art. 173)
Contratos assinados (Clicksign)	10 anos após o término	Prazo prescricional civil (CC, Art. 205)
Contas inativas (sem acesso por 24 meses)	Anonimização ou eliminação	Princípio da necessidade (Art. 6º, III)

Após o término do prazo, os dados são eliminados de forma segura ou anonimizados de forma irreversível, ressalvadas as hipóteses de guarda obrigatória previstas em lei.

10. Segurança técnica e organizacional

Em cumprimento ao Art. 46 da LGPD, a Miospace adota medidas técnicas e administrativas aptas a proteger os dados pessoais:

10.1 Medidas técnicas

Criptografia em repouso (AES-256) e em trânsito (TLS 1.3)
Row Level Security (RLS) no banco de dados - isolamento por tenant e por usuário
Autenticação com Custom Access Token Hook validando claims antes de cada requisição
Detecção automática de anomalias de acesso (auditoria contínua)
Backup criptografado com testes periódicos de restauração
K-anonimato ≥ 5 em todos os agregados expostos ao RH

10.2 Medidas organizacionais

Política interna de classificação e tratamento de dados
Termo de confidencialidade obrigatório para colaboradores e operadores
Princípio do menor privilégio no acesso administrativo
Treinamento periódico em LGPD e segurança da informação
Plano de resposta a incidentes (PRI) testado anualmente em tabletop

11. Direitos do titular (Art. 18, LGPD)

O titular dos dados pode, a qualquer momento e gratuitamente, exercer os seguintes direitos:

Confirmação da existência de tratamento
Acesso aos dados
Correção de dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
Portabilidade dos dados a outro fornecedor
Eliminação dos dados tratados com base em consentimento
Informação sobre as entidades públicas ou privadas com as quais a Miospace compartilhou dados
Informação sobre a possibilidade de não fornecer consentimento e as consequências dessa recusa
Revogação do consentimento a qualquer momento
Oposição a tratamento realizado com fundamento em hipótese dispensada de consentimento, em caso de descumprimento da LGPD
Revisão de decisões automatizadas que afetem seus interesses (Art. 20)

Para exercer qualquer desses direitos, basta enviar mensagem para o canal indicado na seção 12. A resposta será fornecida no prazo de até 15 dias (Art. 19, LGPD).

12. Canal de atendimento ao titular

Como exercer seus direitos

E-mail principaldpo@miospace.com.br

Assunto sugerido"Solicitação Art. 18 LGPD"

Prazo de respostaAté 15 dias corridos

CustoGratuito

Para validação da identidade do titular, podemos solicitar informações adicionais antes de processar a requisição. Caso o titular não esteja satisfeito com a resposta, pode dirigir-se à Autoridade Nacional de Proteção de Dados (ANPD) via gov.br/anpd.

13. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Miospace observará a Resolução CD/ANPD nº 15/2024 e o Art. 48 da LGPD:

Comunicação à ANPD em prazo razoável a partir do conhecimento do incidente, conforme regulamento
Comunicação ao titular afetado contendo: descrição do incidente, dados envolvidos, riscos, medidas adotadas e recomendações
Registro interno do incidente, ações de contenção, investigação de causa-raiz e plano de remediação
Revisão das medidas técnicas e organizacionais após cada incidente

Suspeita de incidente: dpo@miospace.com.br com assunto "Suspeita de Incidente de Segurança".

14. Crianças e adolescentes

O programa Pulso NR-1 destina-se exclusivamente a colaboradores maiores de 18 anos em vínculo de trabalho com cliente empresa. Não coletamos intencionalmente dados de crianças (até 12 anos) ou adolescentes (12 a 18 anos).

Caso seja identificada coleta inadvertida de dados de menor, os dados serão eliminados imediatamente. Solicitações nesse sentido devem ser encaminhadas ao DPO.

15. Atualizações desta política

Esta política pode ser atualizada para refletir mudanças legais, regulatórias, técnicas ou de processos da Miospace. A versão vigente está sempre disponível em pulsonr1.com.br/lgpd, com indicação clara da data de vigência e da última revisão.

Alterações materiais serão comunicadas ativamente aos titulares e ao cliente empresa, com antecedência mínima de 30 dias quando impactarem direitos ou bases legais.

Histórico de versões

Versão	Data	Alterações
1.0	20/04/2026	Publicação inicial.