NexIA Lab

Documento legal

Política deprivacidade e dados.

NexIA Lab Ltda., CNPJ 60.347.878/0001-20 · Calçada das Margaridas, 163, sala 02, Barueri/SP, CEP 06.453-038. Em conformidade com a LGPD (Lei 13.709/2018).

A presente Política tem por finalidade demonstrar o compromisso da NexIA Lab Ltda. ("NexIA Lab") com a privacidade e a proteção dos dados pessoais de seus usuários, clientes e colaboradores. Esta Política estabelece as regras aplicáveis ao tratamento de dados no âmbito da plataforma NexIA Care, solução SaaS de gestão de saúde psicossocial ocupacional e conformidade com a NR-01 (Portaria MTE 1.419/2024 e Portaria MTE 765/2025).

1. Definições

Apresentamos abaixo os principais conceitos que orientam esta Política.

Privacidade é a proteção das informações relativas à vida pessoal e profissional do indivíduo. O tema está previsto na Constituição Federal, no Marco Civil da Internet e na Lei 13.709/2018 (LGPD).

Dado pessoal é qualquer informação que permita identificar uma pessoa física, como nome, CPF, e-mail e cargo.

Dado pessoal sensível é um dado pessoal que reflete aspectos mais íntimos e requer proteção reforçada, como dados de saúde, histórico de adoecimento ocupacional, informações sobre saúde mental e dados gerados pela aplicação dos instrumentos psicossociais no âmbito da plataforma NexIA Care.

Titular de dados é a pessoa a quem os dados se referem: o colaborador que responde ao questionário psicossocial, o gestor de RH que acessa os relatórios, ou o representante legal da empresa cliente.

Tratamento de dados é qualquer operação realizada com os dados, incluindo coleta, armazenamento, processamento por inteligência artificial, geração de relatório e eliminação.

Anonimização é o procedimento técnico pelo qual os dados deixam de estar vinculados a uma pessoa identificável. Na plataforma NexIA Care, os resultados individuais dos questionários são sempre anonimizados antes de compor relatórios gerenciais.

Consentimento é a manifestação livre, informada e inequívoca do titular de dados sobre a aceitação do tratamento de seus dados para uma finalidade determinada.

Base legal são os critérios da LGPD que autorizam o tratamento de dados mesmo sem consentimento expresso, como cumprimento de obrigação legal (NR-01) e legítimo interesse.

Controlador é a entidade que decide como e para que os dados são tratados. No contexto da NexIA Care, o controlador é a empresa cliente que contrata a plataforma.

Operador é a entidade que trata os dados em nome do controlador. A NexIA Lab atua como operadora dos dados dos colaboradores das empresas clientes.

Encarregado de proteção de dados (DPO) é a pessoa indicada pela NexIA Lab para atuar como canal de comunicação entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 41 da LGPD.

2. Quais dados são tratados

No âmbito da plataforma NexIA Care, a NexIA Lab trata as seguintes categorias de dados.

Dados fornecidos diretamente pelo titular ou pela empresa cliente

  • Dados de cadastro da empresa: razão social, CNPJ, setor de atividade, porte e dados do responsável designado pela empresa para administrar a plataforma.
  • Dados de acesso de usuários administradores: nome, e-mail corporativo, cargo e senha (armazenada em formato criptografado).
  • Dados dos colaboradores para envio do questionário: nome (opcional), e-mail ou número de WhatsApp, setor e GHE (Grupo Homogêneo de Exposição).

Dados sensíveis gerados pela aplicação dos instrumentos de pesquisa

  • Respostas ao questionário psicossocial, que constituem dados de saúde mental conforme o art. 5º, II da LGPD.
  • Scores por dimensão (Demandas, Organização, Liderança, Bem-Estar, entre outras), gerados automaticamente pelo motor de análise da plataforma.

3. Finalidade e base legal do tratamento dos dados

A NexIA Lab trata os dados coletados pela plataforma NexIA Care para finalidades específicas e legítimas, vinculadas às seguintes bases legais da LGPD.

FinalidadeBase legal (LGPD)
Executar o contrato de prestação de serviços SaaS firmado com a empresa cliente, incluindo a aplicação dos questionários, a geração de scores, dashboards e relatórios técnicos.Execução de contrato (art. 7º, V) e, para dados sensíveis, cumprimento de obrigação legal (art. 11, II, "a")
Cumprir obrigações legais decorrentes da NR-01 (Portaria MTE 1.419/2024 e Portaria MTE 765/2025), que exige a identificação, avaliação e documentação de riscos psicossociais no Programa de Gerenciamento de Riscos (PGR).Cumprimento de obrigação legal ou regulatória (art. 7º, II e art. 11, II, "a")
Gerar o Inventário de Riscos Psicossociais e o Plano de Ação 5W2H por meio de inteligência artificial, como ferramenta auxiliar ao processo decisório, compondo os documentos técnicos exigidos pela legislação trabalhista. Todos os documentos gerados por IA são sujeitos a revisão humana e assinatura pela empresa contratante antes de produzirem efeitos.Cumprimento de obrigação legal (art. 7º, II) e execução de contrato (art. 7º, V)
Manter o histórico comparativo de ciclos de avaliação pelo prazo legal de 20 anos, conforme determina a NR-01, sobre dados anonimizados.Cumprimento de obrigação legal (art. 7º, II)
Garantir a segurança da plataforma, prevenir fraudes e conduzir auditorias internas.Legítimo interesse (art. 7º, IX)
Aperfeiçoar continuamente os modelos de inteligência artificial embarcados na plataforma, sempre sobre dados anonimizados e agregados.Legítimo interesse (art. 7º, IX), com registro de avaliação de impacto quando aplicável
Cumprir obrigações legais perante autoridades regulatórias, inclusive a Agência Nacional de Proteção de Dados (ANPD).Cumprimento de obrigação legal (art. 7º, II)

4. Como compartilhamos os dados

A NexIA Lab não vende, não transfere e não concede acesso a dados pessoais a terceiros, exceto nas seguintes situações, sempre de forma transparente:

  • Subcontratados e parceiros tecnológicos essenciais à operação da plataforma, incluindo provedores de infraestrutura em nuvem, banco de dados, serviço de e-mail transacional e comunicação via aplicativo de mensagens. Todos os subprocessadores são selecionados mediante critérios de segurança e privacidade, e estão contratualmente obrigados a observar a LGPD.
  • Autoridades e órgãos governamentais, quando exigido por lei, decisão judicial ou autuação fiscal do Ministério do Trabalho e Emprego.
  • A própria empresa cliente contratante, que acessa os relatórios gerenciais e os documentos gerados pela plataforma na qualidade de controladora dos dados de seus colaboradores.
  • Auditores externos contratados pela empresa cliente, quando autorizados pela empresa no painel de administração da plataforma.
  • Sucessores em reorganização societária. Em caso de fusão, aquisição ou reorganização societária da NexIA Lab, os dados poderão ser transferidos ao sucessor, que assumirá as obrigações desta Política.

Garantia fundamental: Em nenhuma hipótese os dados individuais dos colaboradores (respostas aos questionários) são compartilhados com a empresa cliente de forma identificada. Os relatórios entregues à empresa são sempre agregados por setor, GHE ou dimensão. Esta garantia está refletida nas cláusulas contratuais do contrato de prestação de serviços firmado entre a NexIA Lab e a empresa cliente.

5. Por quanto tempo os dados são armazenados

Categoria de dadosPrazo de retenção
Dados anonimizados do PGR e documentos de conformidade NR-01Mínimo de 20 anos, conforme exigência legal
Respostas individuais identificáveis ao questionário5 anos após o encerramento do contrato com a empresa cliente, sendo anonimizadas ao final desse prazo. Podem ser anonimizadas ou excluídas antes mediante solicitação justificada.
Dados de acesso e logs de auditoria5 anos
Dados de cadastro de usuários administradoresVigência do contrato mais 2 anos

Nota: Os dados que alimentam o histórico comparativo de 20 anos exigido pela NR-01 são armazenados exclusivamente em formato anonimizado e agregado. As respostas individuais identificáveis seguem o prazo de 5 anos.

Após o prazo aplicável, os dados são eliminados de forma segura ou anonimizados de maneira irreversível.

6. O que a NexIA Lab não faz com os dados

A NexIA Lab não vende dados pessoais de seus clientes ou usuários a terceiros. A plataforma NexIA Care não exibe publicidade e não utiliza dados para fins de marketing não relacionados ao contrato vigente.

A empresa cliente compromete-se contratualmente, nos termos do contrato de prestação de serviços, a não utilizar os resultados individuais dos colaboradores para fins disciplinares, de avaliação de desempenho ou de demissão.

7. Uso de cookies e tecnologias semelhantes

A plataforma NexIA Care utiliza exclusivamente cookies técnicos e funcionais, necessários ao correto funcionamento da interface web:

  • Cookies de sessão: mantêm o estado de autenticação do usuário durante o acesso.
  • Cookies de preferências: armazenam configurações de idioma e visualização de dashboard.

A NexIA Care não utiliza cookies de rastreamento ou de publicidade. Os cookies descritos acima são estritamente necessários à execução do contrato e à prestação do serviço contratado, dispensando consentimento específico nos termos do art. 7º, V da LGPD.

8. Direitos dos titulares

A LGPD garante aos titulares de dados os seguintes direitos, exercíveis mediante solicitação ao Encarregado de Proteção de Dados (DPO) da NexIA Lab:

  • Confirmar se há tratamento de seus dados pessoais.
  • Acessar os dados que estão sendo tratados.
  • Corrigir dados incompletos, inexatos ou desatualizados.
  • Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade com a lei.
  • Solicitar a portabilidade de seus dados a outro fornecedor ou plataforma.
  • Eliminar dados tratados com base em consentimento, salvo obrigações legais de guarda.
  • Obter informações sobre com quem seus dados são compartilhados.
  • Revogar o consentimento a qualquer momento, sem prejuízo das atividades de tratamento realizadas até então.
  • Solicitar a revisão de decisões tomadas exclusivamente por processamento automatizado, incluindo scores gerados pela inteligência artificial da plataforma, conforme art. 20 da LGPD.

Como exercer seus direitos

O titular pode contatar o Encarregado de Proteção de Dados (DPO) da NexIA Lab:

As solicitações serão respondidas em até 15 dias corridos.

Os titulares também podem apresentar reclamações diretamente à Autoridade Nacional de Proteção de Dados (ANPD), conforme previsto na LGPD.

9. Como a NexIA Lab protege os dados

A NexIA Lab adota medidas técnicas e organizacionais compatíveis com os padrões de mercado para garantir a confidencialidade, integridade e disponibilidade dos dados:

  • Controle de acesso por perfil de usuário, com autenticação multifator disponível para administradores.
  • Criptografia de dados em trânsito (TLS 1.3) e em repouso (AES-256).
  • Política de senhas fortes com obrigatoriedade de renovação periódica e bloqueio após tentativas sem sucesso.
  • Monitoramento contínuo de acessos por meio de logs auditáveis.
  • Anonimização automática das respostas individuais dos questionários antes da geração de relatórios gerenciais.
  • Inventário atualizado de todos os dados armazenados, processados ou transmitidos.
  • Plano de resposta a incidentes de segurança, com notificação à ANPD e aos titulares afetados em até 72 horas, conforme exigência legal.

Em caso de identificação de vulnerabilidade ou incidente de segurança, o usuário pode acionar o DPO pelo e-mail info@nexialab.com.br.

10. Transferência internacional de dados

A NexIA Lab é empresa com sede e operação no Brasil. Parte do processamento de dados pode envolver infraestrutura de provedores de nuvem com servidores localizados fora do território nacional, para fins de armazenamento e processamento.

Nesses casos, a NexIA Lab garante que os subprocessadores contratados observam padrões de proteção equivalentes aos exigidos pela LGPD, por meio de:

  • Cláusulas contratuais específicas de proteção de dados, nos termos do art. 33, II, "b" da LGPD.
  • Verificação de que o país ou organismo internacional de destino proporciona grau de proteção de dados pessoais adequado ao previsto na legislação brasileira, quando aplicável (art. 33, I da LGPD).
  • Compromisso do operador estrangeiro, mediante cláusulas contratuais ou normas corporativas globais, de observar os princípios, os direitos dos titulares e o regime de proteção de dados previsto na LGPD.

11. Lei aplicável

Esta Política é regida, interpretada e executada de acordo com a Lei Federal nº 13.709/2018 (LGPD) e demais legislações aplicáveis da República Federativa do Brasil, sendo competente o foro da Comarca de São Paulo, Estado de São Paulo.

12. A quem esta Política se aplica

Esta Política aplica-se à NexIA Lab Soluções em Inteligência Artificial Ltda. e a todos os usuários da plataforma NexIA Care: empresas clientes (controladoras), usuários administradores (gestores de RH e áreas correlatas) e colaboradores que participam do processo de avaliação psicossocial (titulares de dados).

13. Alterações nesta Política

A NexIA Lab se reserva o direito de atualizar esta Política a qualquer momento, para refletir mudanças regulatórias, tecnológicas ou nos serviços oferecidos. Alterações relevantes serão comunicadas aos usuários administradores com antecedência mínima de 30 dias por e-mail e notificação na plataforma. A versão vigente sempre estará disponível no painel da NexIA Care e no site https://nexialab.com.br/privacidade.

NexIA Lab Ltda.
info@nexialab.com.br · nexialab.com.br