Pular para o conteúdo
Staffio
Voltar para a página inicial
Documento legal

Política de Privacidade

Versão 1.0.0Vigente desde 05/05/2026·Idioma: pt-BR

Esta Política descreve como o GPO Soluções em Informática LTDA (CNPJ 09.677.101/0001-76), operador da plataforma Staffio, trata dados pessoais dos titulares em conformidade com a Lei nº 13.709/2018 (LGPD) e a Lei nº 12.965/2014 (Marco Civil da Internet).

Definições

  • Titular — pessoa natural a quem se referem os dados pessoais (LGPD Art. 5º V).
  • Controlador — o cliente da plataforma; empresa contratante que define a finalidade e os meios do tratamento dos dados de seus colaboradores.
  • Operador — o GPO Soluções em Informática LTDA, que realiza o tratamento em nome do controlador, conforme suas instruções e nos limites técnicos da plataforma.
  • Encarregado (DPO) — o responsável legal pela comunicação entre titular, ANPD e operador. Contato: contato@gposolucoes.com.br.
  • Sub-operador — terceiros contratados pelo operador para apoiar a prestação do serviço, sob acordo de proteção de dados próprio.

Bases legais e finalidades

Tratamos dados pessoais com fundamento nas seguintes bases legais previstas pela LGPD:

  • Execução de contrato (LGPD Art. 7º V) — dados de colaboradores tratados para finalidades de Departamento Pessoal: folha de pagamento, controle de ponto, férias, admissão, rescisão, benefícios e reembolsos.
  • Cumprimento de obrigação legal (LGPD Art. 7º II) — transmissões obrigatórias para o eSocial, EFD-Reinf, FGTS Digital e demais obrigações fiscais e trabalhistas previstas na CLT, na legislação previdenciária e na legislação tributária.
  • Consentimento (LGPD Art. 7º I) — coleta de dados de leads em formulários públicos, candidatos em processos de admissão e respostas a questionários psicossociais (NR-1).
  • Legítimo interesse (LGPD Art. 7º IX) — segurança da informação, prevenção a fraudes e melhorias operacionais da plataforma, sempre observando o teste de proporcionalidade.
  • Proteção da vida e da saúde (LGPD Art. 11 II "f") — dados de saúde no contexto de NR-1 e medicina ocupacional.

Dados coletados

Coletamos exclusivamente os dados necessários para a finalidade declarada (princípio da minimização — LGPD Art. 6º III):

Dados de identificação

Nome completo, CPF, RG, data de nascimento, gênero, raça/cor (autodeclaração), nacionalidade, estado civil, escolaridade.

Dados de contato

E-mail, telefone, endereço residencial.

Dados profissionais

Cargo, função, salário, jornada, histórico de admissão, vínculos sindicais, dependentes para fins fiscais e previdenciários.

Dados de saúde

Atestados médicos, ASOs (admissional, periódico, demissional, retorno) e respostas a questionários psicossociais da NR-1, tratados sob bases reforçadas (LGPD Art. 11). Os questionários psicossociais são, por padrão, anonimizados — login não atende, garantindo a confidencialidade exigida pelo Manual GRO.

Dados biométricos

Reconhecimento facial — coletado somente quando o módulo correspondente é ativado pelo controlador, mediante consentimento explícito e específico do titular.

Dados de utilização

Endereço IP, identificadores de dispositivo, geolocalização (apenas para registro de ponto, quando habilitado), data e hora de cada acesso, registros de auditoria de mudança em dados sensíveis.

Tempo de retenção

O tempo de retenção é definido pela base legal aplicável a cada categoria de dados. Após o término do período legal de guarda, os dados são eliminados ou anonimizados (LGPD Art. 16):

  • Registros previdenciários — 10 anos (Lei 8.213/91 + IN RFB 971/2009).
  • Registros trabalhistas e fiscais — 5 anos (CF Art. 7º XXIX — prescrição quinquenal; CTN Art. 173).
  • FGTS — 30 anos (Lei 8.036/90 Art. 23 §5º).
  • Atestados, ASOs e prontuários ocupacionais — 20 anos após o desligamento (NR-7 e legislação correlata).
  • Tickets de suporte e dados de leads pré-conversão — 5 anos após o encerramento (CF Art. 7º XXIX).
  • Logs operacionais e de auditoria — 1 ano em janela operacional + arquivamento legal pelos prazos prescricionais aplicáveis.
  • Dados de saúde mental anonimizados (NR-1) — 5 anos com posterior eliminação programada.

Direitos do titular

A LGPD assegura ao titular os direitos abaixo, exercitáveis a qualquer tempo mediante requisição ao Encarregado (Art. 18):

  • Confirmação da existência de tratamento.
  • Acesso aos dados pessoais.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
  • Portabilidade dos dados a outro fornecedor.
  • Eliminação dos dados pessoais tratados com consentimento.
  • Informação sobre as entidades públicas e privadas com as quais houve compartilhamento.
  • Revogação do consentimento, sem prejuízo das hipóteses de tratamento por outras bases legais.
  • Oposição a tratamentos realizados com fundamento em uma das hipóteses de dispensa de consentimento.

Para exercer qualquer direito, contate o Encarregado em contato@gposolucoes.com.br. A resposta será enviada em até 15 dias úteis a partir do recebimento do pedido (LGPD Art. 19).

Compartilhamento e sub-operadores

O compartilhamento de dados pessoais ocorre estritamente dentro do necessário para a operação do serviço e cumprimento das obrigações legais. Os sub-operadores que processam dados em nosso nome operam sob acordo de proteção de dados firmado, com cláusulas específicas sobre confidencialidade, segurança e cumprimento da LGPD:

  • Provedor de infraestrutura e armazenamento em nuvem — hospedagem da aplicação e dos arquivos do controlador.
  • Plataforma de cobrança — geração de faturas e notas fiscais eletrônicas.
  • Provedor de proteção contra ataques (WAF/CDN) — mitigação de ataques na borda da rede.
  • Plataforma de monitoramento de erros — captura de exceções para diagnóstico, com PII redactada.
  • Provedor de envio transacional de e-mails — comunicação contratual com titulares e clientes.
  • Órgãos públicos — apenas em cumprimento de obrigação legal (eSocial, EFD-Reinf, FGTS Digital, autoridades fiscalizadoras).

A lista detalhada com a razão social de cada sub-operador é mantida pelo Encarregado e disponibilizada mediante solicitação formal.

Segurança da informação

Adotamos medidas técnicas e organizacionais robustas para proteger os dados pessoais contra acesso não autorizado, perda, alteração ou destruição:

  • Criptografia em trânsito (TLS 1.3) e em repouso.
  • Autenticação multifator (MFA) e políticas rigorosas de senha.
  • Proteção contra ataques de força bruta e limites por usuário e endpoint.
  • Registros de auditoria completos para mudanças em dados sensíveis.
  • Certificação digital ICP-Brasil A1 para transmissões fiscais (eSocial e EFD-Reinf).
  • Defesa em camadas, com WAF, separação de papéis no banco de dados e isolamento de tenants.
  • Testes de invasão (pentest) externos com periodicidade definida e plano de remediação formal.
  • Programa contínuo de gestão de vulnerabilidades e atualização de dependências.
  • Backups com retenção e teste regular de restauração (RPO/RTO definidos contratualmente).

Comunicação de incidentes

Em caso de incidente de segurança envolvendo dados pessoais que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em até 72 horas a partir do conhecimento do incidente, na forma da LGPD Art. 48 e dos atos normativos da ANPD.

Mantemos um plano formal de resposta a incidentes com classificação de severidade, equipe de tratamento, comunicação às partes afetadas, contenção, erradicação, recuperação e revisão pós-incidente.

Cookies e tecnologias similares

Utilizamos cookies e tecnologias similares apenas para finalidades específicas e legítimas, classificados em três grupos:

  • Estritamente necessários — sessão, autenticação e segurança. Não dependem de consentimento.
  • Funcionais — preferências de tema (claro/escuro) e idioma.
  • Analíticos — métricas agregadas de uso, ativados somente após consentimento explícito por meio de banner próprio com duas opções claras (aceitar ou rejeitar), sem padrões enganosos (dark patterns).

Cookies de terceiros (provedores de analítica) só são carregados após o consentimento, e o titular pode revogá-lo a qualquer momento por meio das preferências de privacidade.

Atualização desta política

Esta Política poderá ser atualizada periodicamente para refletir mudanças regulatórias, operacionais ou de melhoria. Toda alteração com bump de versão (minor ou major) exige novo aceite no próximo acesso à plataforma. Alterações de redação (patch) são comunicadas com pelo menos 30 dias de antecedência pelo e-mail cadastrado.

As versões anteriores ficam arquivadas e podem ser consultadas mediante solicitação ao Encarregado.

Esta Política está sujeita à legislação brasileira. Eventuais conflitos serão dirimidos no foro de Comarca de Canela/RS, com renúncia expressa a qualquer outro.

Operador

GPO Soluções em Informática LTDA

CNPJ 09.677.101/0001-76

Encarregado de Proteção de Dados

contato@gposolucoes.com.br

Resposta em até 15 dias úteis para solicitações relativas a dados pessoais.

Começar grátis