Blindy

Política de Privacidade

Última atualização: 03 de maio de 2026

Esta política descreve como a Blindy® trata dados pessoais de colaboradores e administradores na plataforma. Foi escrita em linguagem simples — palavras técnicas estão definidas onde aparecem.

1. Quem somos

A Blindy® é uma plataforma SaaS de gestão de riscos psicossociais conforme a Norma Regulamentadora nº 1 (NR-1, atualizada pela Portaria 1.419/2024). Atuamos como operadora dos dados pessoais de colaboradores (LGPD, Art. 5°, VII): sua empresa empregadora é a controladora, e nós tratamos os dados conforme as instruções dela e os limites desta Política.

2. Bases legais do tratamento (LGPD)

Tratamos seus dados com as seguintes bases legais:

  • Cumprimento de obrigação legal/regulatória (Art. 7°, II) — para questionários de avaliação de riscos psicossociais exigidos pela NR-1.
  • Execução de contrato (Art. 7°, V) — para gerenciar a assinatura, cobrança e operação do serviço.
  • Tutela da saúde em procedimento realizado por profissional/serviço de saúde (Art. 11°, II, "f") — para dados sensíveis de saúde mental ocupacional contidos nas respostas do questionário.
  • Exercício regular de direitos (Art. 7°, VI) — para o canal de denúncias e a defesa em eventuais processos.
  • Legítimo interesse (Art. 7°, IX) — para segurança, prevenção a fraudes e melhorias no serviço, sempre limitado às suas expectativas legítimas.

3. Quais dados coletamos

Dados cadastrais do colaborador: nome completo, CPF, cargo, departamento, telefone (WhatsApp/celular), CPF do líder direto (quando informado).

Dados sensíveis de saúde mental ocupacional (Art. 5°, II, LGPD): respostas ao questionário NR-1 (27 perguntas em 21 dimensões cobrindo MTE + ISO 45003), pontuações por dimensão, histórico de avaliações.

Dados de relatos no canal de denúncias: tipo da denúncia (assédio moral/sexual, discriminação, sobrecarga, outros), descrição livre do ocorrido, status do tratamento.

Dados da organização: razão social, CNPJ, setor, informações de contato.

Dados de uso e logs: registros de acesso, ações executadas (auditoria interna), confirmações de treinamento.

Pagamento: processado integralmente pelo Stripe. Não armazenamos dados de cartão.

4. Como funciona a confidencialidade — modelo real

A Blindy® adota o modelo confidencial não-anônimo. Em termos práticos:

  • Outros colaboradores nunca têm acesso às suas respostas ou denúncias.
  • Administradores e RH da sua empresa veem suas respostas individuais ao questionário, vinculadas ao seu nome — isso é necessário para que a empresa possa propor ações de mitigação personalizadas, como exigido pela NR-1.
  • Apenas o ouvidor designado da sua empresa (uma única pessoa nomeada nas configurações) tem acesso às denúncias e à identidade do denunciante. Outros administradores não veem denúncias.
  • Relatórios públicos da empresa (dossiê NR-1) são apresentados de forma agregada, sem identificação individual.

Importante: ao responder o questionário, você concorda que sua empresa veja seus resultados individuais para fins exclusivos de mitigação de risco psicossocial conforme NR-1. Esse consentimento é coletado antes de qualquer pergunta.

5. Decisões automatizadas e uso de IA

Usamos inteligência artificial (Claude, da Anthropic, via OpenRouter) para:

  • Sugerir planos de ação baseados nas dimensões em risco identificadas.
  • Recomendar colaboradores para treinamentos específicos.
  • Mapear colunas de planilhas de importação para os campos do sistema.

Conforme o Art. 20 da LGPD, você tem direito a solicitar revisão humana de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses. Na Blindy®, todas as sugestões da IA são revisadas por um administrador humano antes de qualquer ação: a IA propõe, o admin decide.

6. Compartilhamento com terceiros

Compartilhamos dados estritamente necessários com os seguintes operadores subcontratados:

  • Stripe (EUA) — processamento de pagamentos.
  • Meta WhatsApp Business API (EUA) — envio de notificações via WhatsApp.
  • SMSDev (Brasil) — envio de SMS quando o WhatsApp não está disponível.
  • OpenRouter / Anthropic (EUA) — análise por inteligência artificial (sem treinamento de modelos com seus dados).
  • Railway (EUA) — hospedagem do banco de dados, aplicação e armazenamento de arquivos.

Transferência internacional: alguns desses operadores estão fora do Brasil. Garantimos que cada um possui cláusulas contratuais e/ou certificações compatíveis com a LGPD.

Nunca vendemos seus dados e não os usamos para marketing direto a você ou terceiros.

7. Segurança da informação

Adotamos medidas técnicas e organizacionais incluindo:

  • Criptografia em trânsito (TLS 1.2+) em todas as comunicações.
  • Controle de acesso por papel (ADMIN, EMPLOYEE, PARTNER).
  • Acesso ao canal de denúncias restrito ao único ouvidor designado.
  • Logs de auditoria imutáveis de todas as ações executadas por administradores.
  • Senhas armazenadas com hash bcrypt.
  • Backup automático diário do banco de dados.

Apesar dessas medidas, nenhuma plataforma online é 100% segura. Em caso de incidente de segurança que afete dados pessoais, comunicaremos a ANPD e os titulares afetados conforme exigido pelo Art. 48 da LGPD.

8. Retenção de dados

  • Respostas a questionários e dossiês NR-1: mantidos por 20 anos após a coleta, conforme prazo prescricional trabalhista e exigência de prova de conformidade NR-1.
  • Denúncias: mantidas por 5 anos após a conclusão, ou pelo tempo necessário em caso de processo judicial em curso.
  • Dados cadastrais de colaboradores inativados: mantidos por 5 anos após o desligamento.
  • Dados após cancelamento da assinatura: a empresa tem 90 dias para exportar; após esse prazo, dados de uso são excluídos. Dados sujeitos a obrigação legal de retenção (NR-1) permanecem pelo prazo regulatório.

9. Seus direitos como titular de dados

Conforme o Art. 18 da LGPD, você pode, a qualquer momento, solicitar:

  • Confirmação de que tratamos seus dados.
  • Acesso aos seus dados pessoais.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
  • Portabilidade dos seus dados a outro fornecedor.
  • Eliminação dos dados tratados com base em consentimento.
  • Informação sobre com quem compartilhamos seus dados.
  • Revogação do consentimento.
  • Revisão humana de decisões automatizadas (Art. 20).

Para exercer qualquer direito, envie e-mail para privacidade@blindy.com.br. Responderemos em até 15 dias.

Atenção: alguns dados são mantidos por obrigação legal (NR-1) mesmo após pedido de exclusão, conforme Art. 16 da LGPD.

10. Cookies e dados de navegação

Usamos apenas cookies essenciais ao funcionamento da plataforma:

  • Sessão de autenticação (Auth.js): mantém você logado.
  • CSRF token: protege contra falsificação de requisições.

Não usamos cookies de marketing, rastreamento publicitário ou terceiros analytics no portal autenticado.

11. Encarregado pelo Tratamento de Dados (DPO)

Conforme exigido pelo Art. 41 da LGPD, designamos como Encarregado:

  • Nome: Matheus Tonelotto
  • E-mail: dpo@blindy.com.br

12. Alterações nesta política

Podemos atualizar esta política para refletir mudanças no serviço ou na legislação. Mudanças relevantes serão comunicadas por e-mail e/ou notificação na plataforma com pelo menos 15 dias de antecedência.

13. Contato

Para qualquer dúvida ou solicitação relacionada a esta política:

privacidade@blindy.com.br

Você também pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.