1. Introdução
A Coravitas é uma plataforma de diagnóstico de riscos psicossociais no trabalho que apoia consultores na aplicação da NR-1 e da ISO 45003. Privacidade e proteção de dados não são, para nós, apenas uma exigência legal — são pilares estruturais do produto.

Esta Política descreve, de forma transparente, quais dados coletamos, por que coletamos, como utilizamos, com quem compartilhamos, por quanto tempo armazenamos e quais são os seus direitos. Está em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).

Ela se aplica a todos que interagem com a Coravitas: visitantes do site, consultores que contratam a plataforma, empresas que recebem o diagnóstico e colaboradores avaliados pelo questionário psicossocial.

2. Quem somos

A Coravitas está inscrita no CNPJ 59.427.631/0001-34, com sede na Rua Afonso Pena, 171, Centro, São Luís — MA. Nosso site oficial é [www.coravitas.com.br] e o canal de contato é contato@coravitas.com.br.

Conforme o caso, a Coravitas atua como Controladora ou Operadora dos dados pessoais. Essa distinção está detalhada na seção 5.

3. Definições importantes

Adotamos as definições da LGPD. Em síntese: dado pessoal é qualquer informação relacionada a uma pessoa identificada ou identificável; dado sensível inclui, entre outros, informações sobre saúde; titular é a pessoa a quem os dados se referem; controlador é quem decide sobre o tratamento; operador é quem realiza o tratamento em nome do controlador; tratamento é qualquer operação com dados pessoais (coleta, uso, armazenamento, compartilhamento, eliminação); anonimização é o processo pelo qual um dado perde a possibilidade de associação a um indivíduo; e encarregado (DPO) é a pessoa indicada como canal de comunicação com titulares e com a ANPD.

4. Privacidade por Design e Anonimato Garantido

A arquitetura da Coravitas foi desenhada sob o princípio de Privacy by Design. O questionário psicossocial respondido por colaboradores é anônimo por construção.

Na prática, o colaborador acessa o questionário por link ou QR code da empresa avaliada, sem cadastro nominal e sem coleta de identificadores diretos como nome, CPF ou e-mail. As respostas são agregadas por setor, equipe ou unidade organizacional, nunca individualizadas. Critérios técnicos de k-anonimato impedem que setores ou equipes com número muito pequeno de respondentes tenham resultados exibidos de forma que permita inferir quem respondeu o quê.

Nem o consultor, nem a empresa contratante, nem a Coravitas têm acesso a respostas individuais identificáveis. Essa decisão é deliberada: a confiança do colaborador é condição do dado válido, e o anonimato real é proteção jurídica para o consultor e para a empresa avaliada.

5. Quem é o Controlador em cada relação

Por operar em modelo B2B2B, a Coravitas assume papéis distintos conforme a relação.

Somos Controladores dos dados pessoais de visitantes do nosso site (cookies, dados de navegação, formulários de contato) e de consultores que se cadastram, contratam ou demonstram interesse na plataforma (dados cadastrais, contratuais, de pagamento e de uso).

Somos Operadores quando tratamos dados em nome do consultor contratante, que é o Controlador. Isso ocorre em relação aos dados das empresas avaliadas cadastradas pelo consultor e às respostas anônimas e agregadas dos colaboradores participantes do diagnóstico. Nessa hipótese, o tratamento ocorre conforme as instruções do consultor, sob contrato de operação de dados, e dentro dos limites desta Política e da LGPD.

6. Quais dados tratamos

De visitantes do site, coletamos endereço IP, identificador de dispositivo, navegador, sistema operacional, páginas acessadas, tempo de navegação e origem do tráfego, além das informações que você nos fornece em formulários de contato, e-book ou pedidos de demonstração — geralmente nome, e-mail, telefone, empresa e cargo.

De consultores, coletamos dados cadastrais (nome, CPF ou CNPJ, e-mail, telefone, profissão, registro profissional como CRP, certificações SST ou OAB, endereço), dados contratuais e financeiros (faturamento, comprovantes, histórico de compras de créditos, notas fiscais) e dados de uso da plataforma (logs de acesso, ações realizadas, empresas cadastradas, créditos utilizados, métricas de uso).

De empresas avaliadas, coletamos razão social, CNPJ, porte, setor de atuação, contato responsável e a estrutura organizacional informada pelo consultor para fins do diagnóstico (setores, equipes, unidades).

De colaboradores avaliados, coletamos as respostas ao questionário COPSOQ, sempre de forma anônima e vinculadas apenas ao setor, equipe ou unidade definida pelo consultor. Eventuais dados sociodemográficos opcionais (faixa etária, tempo de empresa, gênero, função) só são coletados quando estritamente necessários para a análise e sempre em granularidade que impeça reidentificação.

É importante registrar: as respostas do questionário, isoladamente ou em conjunto com metadados sociodemográficos, são tratadas como dados sensíveis (saúde) mesmo quando anonimizadas, e recebem o nível mais alto de proteção desta Política.

7. Por que tratamos seus dados e com que base legal

Em relação aos visitantes do site, tratamos dados para operar e melhorar o site, garantir segurança e prevenir fraudes (legítimo interesse, art. 7º, IX); responder a contatos comerciais e enviar materiais solicitados (consentimento e execução de procedimentos preliminares de contrato, art. 7º, I e V); e enviar comunicações de marketing (consentimento, art. 7º, I), sempre com opção de descadastro.

Em relação aos consultores, tratamos dados para operar a plataforma, faturar e prestar suporte (execução de contrato, art. 7º, V), cumprir obrigações fiscais e legais (art. 7º, II), aprimorar o produto e prevenir abuso (legítimo interesse, art. 7º, IX) e enviar comunicações de marketing (consentimento, art. 7º, I).

Em relação às empresas avaliadas e aos colaboradores, tratamos dados como Operadora, para aplicação do questionário COPSOQ, geração de relatórios de risco psicossocial e elaboração automatizada de planos de ação. As bases legais são o cumprimento de obrigação legal e regulatória (art. 7º, II e art. 11, II, "a"), em razão da NR-1 e da Portaria MTE nº 1.419/2024, e a tutela da saúde em procedimento conduzido por profissionais e serviços de saúde (art. 11, II, "f").

Os relatórios e planos de ação são produzidos com apoio de inteligência artificial. Conforme o art. 20 da LGPD, o titular tem direito a solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses.

8. Com quem compartilhamos dados

A Coravitas não vende dados pessoais. Compartilhamos dados apenas quando necessário para operar o serviço ou cumprir obrigações legais.

Trabalhamos com operadores subcontratados que viabilizam a plataforma: provedor de infraestrutura em nuvem [identificar], provedor de pagamentos [identificar], provedor de e-mail transacional e marketing [identificar], ferramentas de analytics e suporte [identificar] e a Anthropic, PBC (Estados Unidos), fornecedora do modelo de linguagem Claude Sonnet utilizado para análise de respostas, geração de relatórios e elaboração de planos de ação. Os dados enviados à Anthropic seguem políticas contratuais que vedam o uso desses dados para treinamento de modelos.

Todos os operadores estão submetidos a contratos formais de tratamento de dados que limitam o uso às finalidades definidas pela Coravitas e exigem padrões de segurança equivalentes aos nossos.

Quando você é encaminhado à Coravitas por meio de parceiros como Sólides ou 7tech, compartilhamos com eles apenas as informações estritamente necessárias para o reconhecimento da indicação e o cálculo de comissão — geralmente o identificador da conta e o status de conversão.

Compartilhamos dados com autoridades públicas quando legalmente obrigados, por ordem judicial ou por requisição de autoridade competente. Em caso de fusão, aquisição ou reestruturação societária, dados poderão ser transferidos ao sucessor, sempre com observância desta Política e da LGPD.

O que nunca compartilhamos: respostas individuais identificáveis de colaboradores (porque, por design, não as coletamos de forma identificável), dados de um consultor com outro consultor, e dados pessoais para fins de venda comercial a terceiros.

9. Transferência internacional de dados

Parte da nossa cadeia de fornecedores opera em servidores fora do Brasil, em particular o modelo de IA fornecido pela Anthropic, PBC, nos Estados Unidos, e, conforme o caso, o provedor de infraestrutura em nuvem.

Essas transferências são realizadas com base nas hipóteses do art. 33 da LGPD, especialmente execução de contrato do qual o titular seja parte, cláusulas contratuais específicas firmadas com os operadores estrangeiros e, quando aplicável, consentimento específico do titular. Adotamos salvaguardas como criptografia em trânsito e em repouso, minimização do dado transferido e cláusulas contratuais que vedam o uso dos dados para finalidades distintas das contratadas, incluindo a proibição de uso para treinamento de modelos de IA.

10. Por quanto tempo armazenamos seus dados

Mantemos dados cadastrais de consultores enquanto durar a relação contratual. Dados fiscais e financeiros são retidos pelo prazo legal aplicável, no mínimo cinco anos, conforme a legislação tributária. Logs de acesso à aplicação são mantidos por seis meses, conforme o art. 15 do Marco Civil da Internet. Respostas anônimas do questionário e relatórios são mantidos pelo prazo contratado pelo consultor, e após o encerramento seguem a política de retenção definida com o Controlador. Dados utilizados para marketing são mantidos até a revogação do consentimento.

Findos os prazos legais e contratuais, os dados são eliminados ou anonimizados de forma segura, salvo nas hipóteses do art. 16 da LGPD.

11. Como protegemos seus dados

Adotamos medidas técnicas, administrativas e organizacionais para proteger os dados pessoais que tratamos.

Tecnicamente, utilizamos criptografia em trânsito (TLS/SSL em todas as comunicações) e em repouso (banco de dados criptografado), banco de dados em MySQL/PostgreSQL em nuvem com camadas de isolamento e backup automatizado, controle de acesso baseado em perfis com princípio do menor privilégio, autenticação reforçada, registros de auditoria das ações sensíveis na plataforma e o anonimato por design no questionário psicossocial, com k-anonimato em granularidades pequenas.

Administrativamente, mantemos termos de confidencialidade com colaboradores e fornecedores, contratos de operação de dados com todos os subcontratados e políticas internas de segurança da informação, revisadas periodicamente.

Organizacionalmente, oferecemos treinamento periódico das equipes em LGPD e segurança da informação e mantemos um plano de resposta a incidentes, com comunicação à ANPD e aos titulares afetados nos prazos da lei, em caso de incidente relevante.

Apesar de todos os esforços, nenhuma plataforma é 100% imune a riscos. Se você identificar uma vulnerabilidade, por favor entre em contato com o Encarregado (seção 14).

12. Cookies e tecnologias semelhantes

Nosso site utiliza cookies e tecnologias semelhantes para garantir o funcionamento básico, lembrar preferências do visitante, medir desempenho e uso, e personalizar comunicações de marketing quando você consente.

Você pode gerenciar suas preferências a qualquer momento pelo banner de consentimento ou pelas configurações do seu navegador. A desativação de cookies essenciais pode comprometer o funcionamento do site. O detalhamento por categoria de cookie estará disponível no banner de consentimento quando o site entrar em produção.

13. Seus direitos como titular

A LGPD, no art. 18, garante uma série de direitos ao titular dos dados. Você pode confirmar a existência de tratamento dos seus dados, acessá-los, corrigi-los quando estiverem incompletos, inexatos ou desatualizados, solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei, pedir a portabilidade a outro fornecedor, eliminar dados tratados com base em consentimento (exceto nas hipóteses do art. 16), obter informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados, ser informado sobre a possibilidade de não fornecer consentimento e suas consequências, revogar o consentimento a qualquer momento, solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado e apresentar petição à ANPD (gov.br/anpd).

Quando a Coravitas atua como Operadora — em relação a dados de empresas avaliadas e colaboradores — o titular deve, em primeiro lugar, dirigir-se ao Controlador, ou seja, ao consultor responsável pelo diagnóstico. A Coravitas dará todo o suporte ao Controlador para o atendimento da solicitação.

14. Encarregado pelo Tratamento de Dados (DPO)

O Encarregado da Coravitas é Carolina Iplinsky e pode ser contatada pelo e-mail contato@coravitas.com.br ou pelo endereço Rua Afonso Pena, 171, Centro, São Luís — MA.

Para exercer seus direitos, esclarecer dúvidas sobre esta Política ou reportar incidentes, entre em contato pelo canal acima. Responderemos no prazo legal de até 15 dias a partir do recebimento da solicitação, conforme o art. 19 da LGPD. Em algumas situações, poderemos solicitar informações adicionais para confirmar sua identidade antes de atender ao pedido, como medida de segurança.

15. Atualizações desta Política

Esta Política poderá ser atualizada periodicamente para refletir mudanças regulatórias, evoluções da plataforma ou aprimoramentos das nossas práticas de proteção de dados. A versão vigente estará sempre disponível em [www.coravitas.com.br/privacidade], com indicação da data da última atualização. Em caso de mudanças relevantes, comunicaremos os titulares pelos canais cadastrados.

16. Legislação aplicável e foro

Esta Política é regida pelas leis brasileiras, em especial pela Lei nº 13.709/2018 (LGPD), pela Lei nº 12.965/2014 (Marco Civil da Internet) e pelo Código de Defesa do Consumidor, quando aplicável.

Fica eleito o foro da Comarca de São Luís — MA para dirimir quaisquer questões decorrentes desta Política, sem prejuízo das disposições legais que protejam o titular dos dados.