A DEPPES SOLUÇÕES TECNOLÓGICAS LTDA, inscrita no CNPJ nº 50.630.412/0001-83, com sede na Rua da Paisagem, 220, Bairro Vila da Serra, Andar 1, Sala 11 S, Nova Lima/MG, CEP 34.006-059 ("Deppes"), valoriza a transparência e o respeito à privacidade. Esta Política de Privacidade descreve como tratamos dados pessoais no âmbito da plataforma disponibilizada nos domínios deppes.com e deppes.com.br ("Plataforma"), em conformidade com a Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD).
Recomendamos a leitura atenta deste documento, que integra e complementa os Termos de Uso e o Acordo de Tratamento de Dados (DPA). Dúvidas podem ser encaminhadas ao nosso Encarregado pelo e-mail dpo@deppes.com.br.
1. Definições
- Plataforma: o sistema Deppes de gestão de pessoas (colaboradores, cargos, salários, desempenho, metas, carreira, pesquisas, benchmark e analytics), no modelo SaaS.
- Contratante (Cliente): pessoa jurídica que contrata a Plataforma, alimenta-a com dados de seus colaboradores e responde legalmente por eles. Na LGPD, atua como Controladora dos dados de seus colaboradores.
- Usuário: pessoa física autorizada pela Contratante a operar a Plataforma (administradores, gestores, avaliadores, colaboradores respondentes).
- Colaborador: pessoa física cujos dados são tratados na Plataforma pela Contratante (empregado, prestador ou similar), Titular dos dados.
- Controlador, Operador, Titular, Tratamento e Anonimização: conforme definidos no art. 5º da LGPD.
- Encarregado (DPO): pessoa indicada pela Deppes como canal de comunicação entre a Deppes, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
2. Nossos papéis: Controladora e Operadora
A Deppes atua em dois papéis distintos, conforme o dado tratado:
- Como Operadora: em relação aos dados dos Colaboradores inseridos pela Contratante, a Deppes trata os dados em nome e sob as instruções da Contratante, que é a Controladora. A definição das finalidades e das bases legais desses dados cabe à Contratante.
- Como Controladora: em relação aos dados dos Usuários da conta (cadastro, autenticação, contato, cobrança) e aos dados de navegação de visitantes do site e da Plataforma, a Deppes atua como Controladora.
Em ambos os casos, observamos o princípio da minimização, tratando apenas os dados necessários às finalidades descritas.
3. Dados que tratamos
3.1 Dados dos Usuários da Plataforma (Deppes como Controladora)
Nome, e-mail, telefone, foto de perfil, CPF (quando usado como identificador de login), senha (armazenada de forma cifrada, hash), perfil de acesso e permissões, preferências, e registros de uso (ver 3.4).
3.2 Dados dos Colaboradores (Deppes como Operadora)
Inseridos pela Contratante, conforme o uso da Plataforma. Podem abranger:
| Categoria | Exemplos de dados |
|---|---|
| Identificação e cadastrais | Nome, matrícula, identificador externo, fotografia, e-mail corporativo, e-mail pessoal, telefones, data de nascimento, gênero, estado civil, escolaridade, nacionalidade, naturalidade, nome do pai, nome da mãe |
| Documentos | CPF, CNPJ (prestadores PJ), RG (e órgão/data de emissão), CNH, certificado de reservista, título de eleitor (zona e seção), PIS, CTPS (e série) |
| Dados bancários | Banco, agência, conta corrente, tipo e chave PIX |
| Endereço | CEP, logradouro, número, complemento, bairro, cidade, estado |
| Contratuais e profissionais | Cargo, vínculo empregatício, senioridade, nível, data de admissão, experiência anterior, gestor, jornada/turno, data e motivo de desligamento, salário e histórico salarial, remuneração variável, benefícios |
| Desenvolvimento e carreira | Cursos e formações, movimentações (promoções, reajustes, enquadramentos), plano de carreira e sucessão |
| Desempenho | Avaliações (90°/180°/360°), notas, matriz Nine Box, Planos de Desenvolvimento Individual (PDI), metas e resultados |
| Pesquisas | Respostas a pesquisas de clima, eNPS, entrevista de desligamento e pesquisas avulsas (ver 3.5) |
| Documentos anexados | Arquivos e documentos que a Contratante opte por anexar ao cadastro do colaborador |
| Campos personalizados | Campos adicionais criados pela própria Contratante, cujo conteúdo é definido por ela |
| Observações | Anotações registradas pela Contratante sobre o colaborador |
3.3 Dados pessoais sensíveis
Alguns dados acima podem ser classificados como sensíveis pela LGPD (art. 11), tratados exclusivamente sob a responsabilidade e a base legal definidas pela Contratante (Controladora):
- Declaração de raça/cor e identidade de gênero (quando preenchidos);
- Filiação sindical, inferível da associação a sindicato/convenção;
- Dados referentes à saúde, em especial os resultados da Pesquisa NR-1 (riscos psicossociais), tratados de forma anônima e agregada (ver 3.5 e Seção 12).
A Deppes não utiliza dados sensíveis para publicidade e não os compartilha para finalidades distintas da prestação do serviço.
3.4 Dados coletados automaticamente
Ao utilizar a Plataforma, coletamos registros de acesso e uso: endereço IP, data e hora, características do dispositivo e do navegador, telas e ações realizadas (trilha de auditoria: usuário, dado alterado, IP e data/hora) e cookies (Seção 10).
3.5 Dados de pesquisas e anonimato
As pesquisas de Clima, NR-1, eNPS e Desligamento podem conter opiniões e respostas de texto livre. Quando a pesquisa é anônima, a Plataforma não vincula a resposta ao respondente e aplica regras estruturais de proteção (ver Seção 12). A Pesquisa NR-1 possui anonimato estrutural: nem administradores nem a Deppes conseguem associar respostas a pessoas.
4. Como coletamos os dados
- Diretamente da Contratante e dos Usuários: no contrato de prestação de serviço, em formulários e no uso da Plataforma;
- Por inserção dos dados dos Colaboradores: via API, importação de planilha ou digitação manual pelos Usuários da Contratante;
- Por integração com sistemas de terceiros: importação a partir de sistemas de folha e ERPs contratados pela Contratante (ver Seção 8);
- Por entrevista assistida (chatbot): na descrição de cargo, o colaborador pode responder a um roteiro guiado, cujas respostas são usadas para compor a descrição;
- Automaticamente: registros de acesso, cookies e dados de dispositivo (item 3.4);
- Enriquecimento de endereço: a partir do CEP, consultamos serviço público de endereços (ViaCEP) para preencher logradouro, bairro, cidade e estado.
5. Finalidades e bases legais
O tratamento observa as bases legais da LGPD. Como Operadora, a Deppes trata os dados dos Colaboradores conforme as finalidades e bases legais definidas pela Contratante (Controladora). De forma geral:
| Finalidade | Base legal (LGPD) |
|---|---|
| Prestar o serviço contratado e permitir o uso da Plataforma | Execução de contrato (art. 7º, V) |
| Autenticar Usuários e garantir a segurança do acesso | Execução de contrato e legítimo interesse (art. 7º, V e IX) |
| Gerir cargos, salários, desempenho, metas, carreira e pesquisas | Execução de contrato pela Contratante; obrigação legal/regulatória quando aplicável (art. 7º, V e II) |
| Cumprir obrigações trabalhistas, previdenciárias e fiscais (ex.: subsídio ao eSocial) | Cumprimento de obrigação legal ou regulatória (art. 7º, II) |
| Realizar a Pesquisa NR-1 (riscos psicossociais) | Cumprimento de obrigação legal/regulatória pela Controladora, com tratamento de dado sensível de forma anônima (art. 7º, II e art. 11, II, "a") |
| Tratar dados sensíveis (raça/cor, identidade de gênero) | Base legal e/ou consentimento definidos pela Controladora (art. 11) |
| Manter registros de acesso e trilha de auditoria | Cumprimento de obrigação legal (Marco Civil da Internet) e legítimo interesse (art. 7º, II e IX) |
| Melhorar a Plataforma e produzir estatísticas e estudos de mercado com dados agregados e anonimizados | Legítimo interesse (art. 7º, IX); dados anonimizados não são dados pessoais |
| Exercer direitos em processos judiciais, administrativos ou arbitrais | Exercício regular de direitos (art. 7º, VI) |
6. Uso de Inteligência Artificial
Alguns recursos utilizam inteligência artificial, por exemplo: compilação de descrição de cargo, geração de questionários de avaliação, geração de PDI, sugestão de KPIs (metas), análise de pesquisas de clima e de comentários do eNPS, e segmentação/benchmark salarial.
- Esses recursos processam, conforme a funcionalidade, conteúdo organizacional e textual gerado na Plataforma (descrições de cargo, respostas abertas de pesquisas, indicadores e faixas salariais de recortes), em regra de forma agregada. Não são enviados a provedores de IA os documentos de identificação dos colaboradores (CPF, RG, dados bancários) para essas finalidades.
- O processamento ocorre por meio de provedores de IA de terceiros, que podem estar localizados no exterior (Seção 9).
- Os resultados de IA são apoio à decisão, podem conter imprecisões e exigem validação humana. Não constituem decisão automatizada com efeitos jurídicos sobre o titular (Seção 13).
- Por decisão de conformidade, a Pesquisa NR-1 não utiliza IA generativa.
7. Compartilhamento de dados
Podemos compartilhar dados pessoais:
- Com prestadores de serviço (subprocessadores) que viabilizam a operação da Plataforma (Seção 8), sujeitos a obrigações contratuais de segurança e confidencialidade e autorizados a tratar dados apenas conforme as instruções da Deppes;
- Para cumprimento de obrigação legal ou atendimento a ordem judicial ou requisição de autoridade competente;
- Para proteção dos direitos da Deppes em processos judiciais ou administrativos;
- Em caso de operações societárias (fusão, aquisição, reorganização), hipótese em que a transferência observará esta Política;
- De forma agregada e anonimizada, para fins estatísticos e de estudos de mercado.
A Deppes não vende dados pessoais.
8. Subprocessadores e infraestrutura
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Hostinger | Hospedagem do processamento primário e do banco de dados de produção | Brasil (São Paulo) |
| Amazon Web Services (AWS) | Backups (S3), armazenamento de documentos (object storage), imagens de container (ECR) e envio de e-mail (SES) | EUA (us-east-1) |
| Cloudflare | DNS, CDN e proteção de borda (DDoS/WAF) | Global |
| Google (Workspace / Drive) | E-mail corporativo e documentos internos da Deppes | Global |
| Google (Gemini) | Recursos de inteligência artificial | EUA |
| DeepSeek | Recursos de inteligência artificial (redundância) | China |
| Xiaomi (MiMo) | Recursos de inteligência artificial (redundância) | Singapura |
| ViaCEP | Consulta pública de endereço a partir do CEP | Brasil |
| Sistemas de folha/ERP da Contratante | Origem de dados importados por integração, quando contratada pela Contratante | Conforme o fornecedor |
9. Transferência internacional de dados
O banco de dados de produção, onde residem os dados pessoais tratados, está hospedado em território nacional (Brasil/São Paulo), sujeito integralmente à LGPD.
Há transferência internacional em situações específicas:
- Backups e armazenamento de documentos na AWS, região us-east-1 (EUA);
- Provedores de IA, que podem processar conteúdo nos EUA, China ou Singapura, conforme o recurso utilizado.
Essas transferências são amparadas nas salvaguardas previstas na LGPD (art. 33), em especial cláusulas contratuais padrão e acordos de tratamento de dados firmados com os provedores, que mantêm controles de segurança reconhecidos.
10. Cookies
Utilizamos cookies e tecnologias similares para autenticação, funcionamento da Plataforma, preferências e estatísticas de uso que nos ajudam a melhorar o serviço. Cookies de sessão são essenciais ao login. O Usuário pode gerenciar cookies nas configurações do navegador; a desativação de cookies essenciais pode comprometer o funcionamento da Plataforma.
11. Retenção e eliminação
- Dados dos Colaboradores (Operadora): mantidos enquanto vigente o contrato com a Contratante e pelo prazo necessário ao cumprimento de obrigações legais, contratuais e ao exercício regular de direitos. Encerrado o contrato, os dados são eliminados ou anonimizados em prazo razoável, ressalvadas as hipóteses de guarda obrigatória e as instruções da Contratante (Controladora).
- Registros de acesso e trilha de auditoria: retidos por 12 meses, com expurgo automatizado, com fundamento no Marco Civil da Internet (Lei nº 12.965/2014) e no princípio da limitação de armazenamento da LGPD.
- Backups: mantidos sob política de retenção GFS (Grandfather-Father-Son), por até 3 meses, para fins de recuperação.
A Plataforma utiliza, como padrão, exclusão lógica (arquivamento); a exclusão definitiva é realizada mediante solicitação formal do titular ou da Contratante, observados os prazos legais.
12. Segurança da informação
A Deppes adota medidas técnicas e administrativas para proteger os dados, alinhadas à sua Política de Segurança da Informação e aos padrões do Decreto nº 8.771/2016, incluindo:
- Controle de acesso individual (por e-mail ou CPF), sem contas compartilhadas, e controle de acesso baseado em perfis e permissões (ACL) gerido pela Contratante, sob o princípio do menor privilégio;
- Autenticação multifator (MFA) por código de uso único (OTP) via SMS e e-mail, e limitação de tentativas de acesso (bloqueio após tentativas malsucedidas);
- Isolamento lógico multi-tenant: cada Contratante acessa exclusivamente os seus próprios dados, por segregação automática por identificador de cliente aplicada em todas as operações;
- Criptografia em trânsito (TLS, WebSocket seguro e VPN para acesso administrativo) e proteção de dados sensíveis em repouso (senhas com hash; credenciais de integração cifradas; backups criptografados);
- Segregação de redes, firewall com exposição mínima e proteção de borda contra ataques (DDoS/WAF);
- Trilha de auditoria imutável (usuário, dado, IP e data/hora), sem função de exclusão pelos usuários;
- Backups automatizados com restauração testada, monitoramento contínuo e alertas;
- Gestão de mudanças com revisão e aprovação formal e reversão automática (rollback).
Nas pesquisas anônimas, a proteção é reforçada por regra de sistema: mínimo de respondentes por recorte (k-anonimato, 3 no Clima, 5 na NR-1), mascaramento de recortes com poucos respondentes, bloqueio de leitura individual e imutabilidade do sinalizador de anonimato durante a coleta.
Nenhum sistema é totalmente imune a riscos; a Deppes empreende esforços contínuos para mitigar ameaças e responder a incidentes (Seção 15).
13. Direitos do titular
Nos termos do art. 18 da LGPD, o titular pode solicitar:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- Portabilidade dos dados, resguardados o sigilo comercial e a confidencialidade das pesquisas;
- Eliminação dos dados tratados com consentimento, salvo hipóteses de guarda legal;
- Informação sobre o compartilhamento e sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento, quando esta for a base legal aplicável.
Como exercer: por meio do e-mail dpo@deppes.com.br.
Importante: quando a Deppes atua como Operadora, as solicitações relativas a dados de Colaboradores devem, em regra, ser dirigidas à Contratante (Controladora). Caso o titular contate a Deppes, encaminharemos ou apoiaremos o atendimento junto à respectiva Controladora. Não há, atualmente, portal automatizado de autoatendimento: as solicitações são tratadas pelos canais indicados.
14. Decisões automatizadas
A Plataforma oferece recursos analíticos e de IA (por exemplo, indicadores de "risco de saída" e análises de pesquisas). Esses recursos são ferramentas de apoio à gestão, expressamente identificados como tal, e não substituem a análise humana. A Deppes não toma decisões unicamente automatizadas que produzam efeitos jurídicos ou afetem significativamente os titulares; tais decisões cabem à Contratante, com validação humana.
15. Gerenciamento de incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Encarregado (DPO) é acionado para avaliação e classificação, adotando-se as medidas de contenção e correção cabíveis e, quando aplicável, a comunicação à ANPD e aos titulares afetados, nos termos da LGPD. Quando a Deppes atua como Operadora, a Contratante (Controladora) é comunicada para as providências que lhe competem.
16. Dados de crianças e adolescentes
A Plataforma e os canais da Deppes não se destinam a menores de 18 anos e não coletamos intencionalmente seus dados. Identificado o tratamento indevido de dados de menores, procederemos à sua eliminação com a brevidade possível.
17. Encarregado (DPO) e Autoridade Nacional (ANPD)
Encarregado de Proteção de Dados (DPO): Mateus Eustáquio Vieira de Carvalho, dpo@deppes.com.br.
O titular pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD). Recomenda-se, antes, encaminhar a solicitação ao Controlador (a Contratante) ou à Deppes, para tentativa de solução direta.
18. Alterações desta Política
A Deppes poderá atualizar esta Política a qualquer tempo, disponibilizando a versão vigente na própria Plataforma, na seção Termos e Privacidade, com a respectiva data. Alterações relevantes serão comunicadas por meios razoáveis. Esta Política é revisada, no mínimo, anualmente.
19. Legislação aplicável e foro
Esta Política é regida pela legislação brasileira e interpretada em português. Fica eleito o foro da Comarca de Nova Lima/MG para dirimir controvérsias, salvo competência diversa prevista em lei.
20. Canais de atendimento
DEPPES SOLUÇÕES TECNOLÓGICAS LTDA, CNPJ 50.630.412/0001-83.
Rua da Paisagem, 220, Vila da Serra, Andar 1, Sala 11 S, Nova Lima/MG, CEP 34.006-059.
- Encarregado (DPO) e direitos do titular: dpo@deppes.com.br
- Contato geral: contato@deppes.com.br
- Site: deppes.com.br