Jurídico · Plataforma

Política de Privacidade da Plataforma

Como a Deppes trata os dados pessoais na plataforma (o sistema contratado por empresas), em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018).

Última atualização: 17 de julho de 2026 · Versão 1.0

A DEPPES SOLUÇÕES TECNOLÓGICAS LTDA, inscrita no CNPJ nº 50.630.412/0001-83, com sede na Rua da Paisagem, 220, Bairro Vila da Serra, Andar 1, Sala 11 S, Nova Lima/MG, CEP 34.006-059 ("Deppes"), valoriza a transparência e o respeito à privacidade. Esta Política de Privacidade descreve como tratamos dados pessoais no âmbito da plataforma disponibilizada nos domínios deppes.com e deppes.com.br ("Plataforma"), em conformidade com a Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD).

Recomendamos a leitura atenta deste documento, que integra e complementa os Termos de Uso e o Acordo de Tratamento de Dados (DPA). Dúvidas podem ser encaminhadas ao nosso Encarregado pelo e-mail dpo@deppes.com.br.

1. Definições

  • Plataforma: o sistema Deppes de gestão de pessoas (colaboradores, cargos, salários, desempenho, metas, carreira, pesquisas, benchmark e analytics), no modelo SaaS.
  • Contratante (Cliente): pessoa jurídica que contrata a Plataforma, alimenta-a com dados de seus colaboradores e responde legalmente por eles. Na LGPD, atua como Controladora dos dados de seus colaboradores.
  • Usuário: pessoa física autorizada pela Contratante a operar a Plataforma (administradores, gestores, avaliadores, colaboradores respondentes).
  • Colaborador: pessoa física cujos dados são tratados na Plataforma pela Contratante (empregado, prestador ou similar), Titular dos dados.
  • Controlador, Operador, Titular, Tratamento e Anonimização: conforme definidos no art. 5º da LGPD.
  • Encarregado (DPO): pessoa indicada pela Deppes como canal de comunicação entre a Deppes, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).

2. Nossos papéis: Controladora e Operadora

A Deppes atua em dois papéis distintos, conforme o dado tratado:

  • Como Operadora: em relação aos dados dos Colaboradores inseridos pela Contratante, a Deppes trata os dados em nome e sob as instruções da Contratante, que é a Controladora. A definição das finalidades e das bases legais desses dados cabe à Contratante.
  • Como Controladora: em relação aos dados dos Usuários da conta (cadastro, autenticação, contato, cobrança) e aos dados de navegação de visitantes do site e da Plataforma, a Deppes atua como Controladora.

Em ambos os casos, observamos o princípio da minimização, tratando apenas os dados necessários às finalidades descritas.

3. Dados que tratamos

3.1 Dados dos Usuários da Plataforma (Deppes como Controladora)

Nome, e-mail, telefone, foto de perfil, CPF (quando usado como identificador de login), senha (armazenada de forma cifrada, hash), perfil de acesso e permissões, preferências, e registros de uso (ver 3.4).

3.2 Dados dos Colaboradores (Deppes como Operadora)

Inseridos pela Contratante, conforme o uso da Plataforma. Podem abranger:

CategoriaExemplos de dados
Identificação e cadastraisNome, matrícula, identificador externo, fotografia, e-mail corporativo, e-mail pessoal, telefones, data de nascimento, gênero, estado civil, escolaridade, nacionalidade, naturalidade, nome do pai, nome da mãe
DocumentosCPF, CNPJ (prestadores PJ), RG (e órgão/data de emissão), CNH, certificado de reservista, título de eleitor (zona e seção), PIS, CTPS (e série)
Dados bancáriosBanco, agência, conta corrente, tipo e chave PIX
EndereçoCEP, logradouro, número, complemento, bairro, cidade, estado
Contratuais e profissionaisCargo, vínculo empregatício, senioridade, nível, data de admissão, experiência anterior, gestor, jornada/turno, data e motivo de desligamento, salário e histórico salarial, remuneração variável, benefícios
Desenvolvimento e carreiraCursos e formações, movimentações (promoções, reajustes, enquadramentos), plano de carreira e sucessão
DesempenhoAvaliações (90°/180°/360°), notas, matriz Nine Box, Planos de Desenvolvimento Individual (PDI), metas e resultados
PesquisasRespostas a pesquisas de clima, eNPS, entrevista de desligamento e pesquisas avulsas (ver 3.5)
Documentos anexadosArquivos e documentos que a Contratante opte por anexar ao cadastro do colaborador
Campos personalizadosCampos adicionais criados pela própria Contratante, cujo conteúdo é definido por ela
ObservaçõesAnotações registradas pela Contratante sobre o colaborador

3.3 Dados pessoais sensíveis

Alguns dados acima podem ser classificados como sensíveis pela LGPD (art. 11), tratados exclusivamente sob a responsabilidade e a base legal definidas pela Contratante (Controladora):

  • Declaração de raça/cor e identidade de gênero (quando preenchidos);
  • Filiação sindical, inferível da associação a sindicato/convenção;
  • Dados referentes à saúde, em especial os resultados da Pesquisa NR-1 (riscos psicossociais), tratados de forma anônima e agregada (ver 3.5 e Seção 12).

A Deppes não utiliza dados sensíveis para publicidade e não os compartilha para finalidades distintas da prestação do serviço.

3.4 Dados coletados automaticamente

Ao utilizar a Plataforma, coletamos registros de acesso e uso: endereço IP, data e hora, características do dispositivo e do navegador, telas e ações realizadas (trilha de auditoria: usuário, dado alterado, IP e data/hora) e cookies (Seção 10).

3.5 Dados de pesquisas e anonimato

As pesquisas de Clima, NR-1, eNPS e Desligamento podem conter opiniões e respostas de texto livre. Quando a pesquisa é anônima, a Plataforma não vincula a resposta ao respondente e aplica regras estruturais de proteção (ver Seção 12). A Pesquisa NR-1 possui anonimato estrutural: nem administradores nem a Deppes conseguem associar respostas a pessoas.

4. Como coletamos os dados

  • Diretamente da Contratante e dos Usuários: no contrato de prestação de serviço, em formulários e no uso da Plataforma;
  • Por inserção dos dados dos Colaboradores: via API, importação de planilha ou digitação manual pelos Usuários da Contratante;
  • Por integração com sistemas de terceiros: importação a partir de sistemas de folha e ERPs contratados pela Contratante (ver Seção 8);
  • Por entrevista assistida (chatbot): na descrição de cargo, o colaborador pode responder a um roteiro guiado, cujas respostas são usadas para compor a descrição;
  • Automaticamente: registros de acesso, cookies e dados de dispositivo (item 3.4);
  • Enriquecimento de endereço: a partir do CEP, consultamos serviço público de endereços (ViaCEP) para preencher logradouro, bairro, cidade e estado.

5. Finalidades e bases legais

O tratamento observa as bases legais da LGPD. Como Operadora, a Deppes trata os dados dos Colaboradores conforme as finalidades e bases legais definidas pela Contratante (Controladora). De forma geral:

FinalidadeBase legal (LGPD)
Prestar o serviço contratado e permitir o uso da PlataformaExecução de contrato (art. 7º, V)
Autenticar Usuários e garantir a segurança do acessoExecução de contrato e legítimo interesse (art. 7º, V e IX)
Gerir cargos, salários, desempenho, metas, carreira e pesquisasExecução de contrato pela Contratante; obrigação legal/regulatória quando aplicável (art. 7º, V e II)
Cumprir obrigações trabalhistas, previdenciárias e fiscais (ex.: subsídio ao eSocial)Cumprimento de obrigação legal ou regulatória (art. 7º, II)
Realizar a Pesquisa NR-1 (riscos psicossociais)Cumprimento de obrigação legal/regulatória pela Controladora, com tratamento de dado sensível de forma anônima (art. 7º, II e art. 11, II, "a")
Tratar dados sensíveis (raça/cor, identidade de gênero)Base legal e/ou consentimento definidos pela Controladora (art. 11)
Manter registros de acesso e trilha de auditoriaCumprimento de obrigação legal (Marco Civil da Internet) e legítimo interesse (art. 7º, II e IX)
Melhorar a Plataforma e produzir estatísticas e estudos de mercado com dados agregados e anonimizadosLegítimo interesse (art. 7º, IX); dados anonimizados não são dados pessoais
Exercer direitos em processos judiciais, administrativos ou arbitraisExercício regular de direitos (art. 7º, VI)

6. Uso de Inteligência Artificial

Alguns recursos utilizam inteligência artificial, por exemplo: compilação de descrição de cargo, geração de questionários de avaliação, geração de PDI, sugestão de KPIs (metas), análise de pesquisas de clima e de comentários do eNPS, e segmentação/benchmark salarial.

  • Esses recursos processam, conforme a funcionalidade, conteúdo organizacional e textual gerado na Plataforma (descrições de cargo, respostas abertas de pesquisas, indicadores e faixas salariais de recortes), em regra de forma agregada. Não são enviados a provedores de IA os documentos de identificação dos colaboradores (CPF, RG, dados bancários) para essas finalidades.
  • O processamento ocorre por meio de provedores de IA de terceiros, que podem estar localizados no exterior (Seção 9).
  • Os resultados de IA são apoio à decisão, podem conter imprecisões e exigem validação humana. Não constituem decisão automatizada com efeitos jurídicos sobre o titular (Seção 13).
  • Por decisão de conformidade, a Pesquisa NR-1 não utiliza IA generativa.

7. Compartilhamento de dados

Podemos compartilhar dados pessoais:

  • Com prestadores de serviço (subprocessadores) que viabilizam a operação da Plataforma (Seção 8), sujeitos a obrigações contratuais de segurança e confidencialidade e autorizados a tratar dados apenas conforme as instruções da Deppes;
  • Para cumprimento de obrigação legal ou atendimento a ordem judicial ou requisição de autoridade competente;
  • Para proteção dos direitos da Deppes em processos judiciais ou administrativos;
  • Em caso de operações societárias (fusão, aquisição, reorganização), hipótese em que a transferência observará esta Política;
  • De forma agregada e anonimizada, para fins estatísticos e de estudos de mercado.

A Deppes não vende dados pessoais.

8. Subprocessadores e infraestrutura

SubprocessadorFinalidadeLocalização
HostingerHospedagem do processamento primário e do banco de dados de produçãoBrasil (São Paulo)
Amazon Web Services (AWS)Backups (S3), armazenamento de documentos (object storage), imagens de container (ECR) e envio de e-mail (SES)EUA (us-east-1)
CloudflareDNS, CDN e proteção de borda (DDoS/WAF)Global
Google (Workspace / Drive)E-mail corporativo e documentos internos da DeppesGlobal
Google (Gemini)Recursos de inteligência artificialEUA
DeepSeekRecursos de inteligência artificial (redundância)China
Xiaomi (MiMo)Recursos de inteligência artificial (redundância)Singapura
ViaCEPConsulta pública de endereço a partir do CEPBrasil
Sistemas de folha/ERP da ContratanteOrigem de dados importados por integração, quando contratada pela ContratanteConforme o fornecedor

9. Transferência internacional de dados

O banco de dados de produção, onde residem os dados pessoais tratados, está hospedado em território nacional (Brasil/São Paulo), sujeito integralmente à LGPD.

Há transferência internacional em situações específicas:

  • Backups e armazenamento de documentos na AWS, região us-east-1 (EUA);
  • Provedores de IA, que podem processar conteúdo nos EUA, China ou Singapura, conforme o recurso utilizado.

Essas transferências são amparadas nas salvaguardas previstas na LGPD (art. 33), em especial cláusulas contratuais padrão e acordos de tratamento de dados firmados com os provedores, que mantêm controles de segurança reconhecidos.

10. Cookies

Utilizamos cookies e tecnologias similares para autenticação, funcionamento da Plataforma, preferências e estatísticas de uso que nos ajudam a melhorar o serviço. Cookies de sessão são essenciais ao login. O Usuário pode gerenciar cookies nas configurações do navegador; a desativação de cookies essenciais pode comprometer o funcionamento da Plataforma.

11. Retenção e eliminação

  • Dados dos Colaboradores (Operadora): mantidos enquanto vigente o contrato com a Contratante e pelo prazo necessário ao cumprimento de obrigações legais, contratuais e ao exercício regular de direitos. Encerrado o contrato, os dados são eliminados ou anonimizados em prazo razoável, ressalvadas as hipóteses de guarda obrigatória e as instruções da Contratante (Controladora).
  • Registros de acesso e trilha de auditoria: retidos por 12 meses, com expurgo automatizado, com fundamento no Marco Civil da Internet (Lei nº 12.965/2014) e no princípio da limitação de armazenamento da LGPD.
  • Backups: mantidos sob política de retenção GFS (Grandfather-Father-Son), por até 3 meses, para fins de recuperação.

A Plataforma utiliza, como padrão, exclusão lógica (arquivamento); a exclusão definitiva é realizada mediante solicitação formal do titular ou da Contratante, observados os prazos legais.

12. Segurança da informação

A Deppes adota medidas técnicas e administrativas para proteger os dados, alinhadas à sua Política de Segurança da Informação e aos padrões do Decreto nº 8.771/2016, incluindo:

  • Controle de acesso individual (por e-mail ou CPF), sem contas compartilhadas, e controle de acesso baseado em perfis e permissões (ACL) gerido pela Contratante, sob o princípio do menor privilégio;
  • Autenticação multifator (MFA) por código de uso único (OTP) via SMS e e-mail, e limitação de tentativas de acesso (bloqueio após tentativas malsucedidas);
  • Isolamento lógico multi-tenant: cada Contratante acessa exclusivamente os seus próprios dados, por segregação automática por identificador de cliente aplicada em todas as operações;
  • Criptografia em trânsito (TLS, WebSocket seguro e VPN para acesso administrativo) e proteção de dados sensíveis em repouso (senhas com hash; credenciais de integração cifradas; backups criptografados);
  • Segregação de redes, firewall com exposição mínima e proteção de borda contra ataques (DDoS/WAF);
  • Trilha de auditoria imutável (usuário, dado, IP e data/hora), sem função de exclusão pelos usuários;
  • Backups automatizados com restauração testada, monitoramento contínuo e alertas;
  • Gestão de mudanças com revisão e aprovação formal e reversão automática (rollback).

Nas pesquisas anônimas, a proteção é reforçada por regra de sistema: mínimo de respondentes por recorte (k-anonimato, 3 no Clima, 5 na NR-1), mascaramento de recortes com poucos respondentes, bloqueio de leitura individual e imutabilidade do sinalizador de anonimato durante a coleta.

Nenhum sistema é totalmente imune a riscos; a Deppes empreende esforços contínuos para mitigar ameaças e responder a incidentes (Seção 15).

13. Direitos do titular

Nos termos do art. 18 da LGPD, o titular pode solicitar:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
  • Portabilidade dos dados, resguardados o sigilo comercial e a confidencialidade das pesquisas;
  • Eliminação dos dados tratados com consentimento, salvo hipóteses de guarda legal;
  • Informação sobre o compartilhamento e sobre a possibilidade de não fornecer consentimento e suas consequências;
  • Revogação do consentimento, quando esta for a base legal aplicável.

Como exercer: por meio do e-mail dpo@deppes.com.br.

Importante: quando a Deppes atua como Operadora, as solicitações relativas a dados de Colaboradores devem, em regra, ser dirigidas à Contratante (Controladora). Caso o titular contate a Deppes, encaminharemos ou apoiaremos o atendimento junto à respectiva Controladora. Não há, atualmente, portal automatizado de autoatendimento: as solicitações são tratadas pelos canais indicados.

14. Decisões automatizadas

A Plataforma oferece recursos analíticos e de IA (por exemplo, indicadores de "risco de saída" e análises de pesquisas). Esses recursos são ferramentas de apoio à gestão, expressamente identificados como tal, e não substituem a análise humana. A Deppes não toma decisões unicamente automatizadas que produzam efeitos jurídicos ou afetem significativamente os titulares; tais decisões cabem à Contratante, com validação humana.

15. Gerenciamento de incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Encarregado (DPO) é acionado para avaliação e classificação, adotando-se as medidas de contenção e correção cabíveis e, quando aplicável, a comunicação à ANPD e aos titulares afetados, nos termos da LGPD. Quando a Deppes atua como Operadora, a Contratante (Controladora) é comunicada para as providências que lhe competem.

16. Dados de crianças e adolescentes

A Plataforma e os canais da Deppes não se destinam a menores de 18 anos e não coletamos intencionalmente seus dados. Identificado o tratamento indevido de dados de menores, procederemos à sua eliminação com a brevidade possível.

17. Encarregado (DPO) e Autoridade Nacional (ANPD)

Encarregado de Proteção de Dados (DPO): Mateus Eustáquio Vieira de Carvalho, dpo@deppes.com.br.

O titular pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD). Recomenda-se, antes, encaminhar a solicitação ao Controlador (a Contratante) ou à Deppes, para tentativa de solução direta.

18. Alterações desta Política

A Deppes poderá atualizar esta Política a qualquer tempo, disponibilizando a versão vigente na própria Plataforma, na seção Termos e Privacidade, com a respectiva data. Alterações relevantes serão comunicadas por meios razoáveis. Esta Política é revisada, no mínimo, anualmente.

19. Legislação aplicável e foro

Esta Política é regida pela legislação brasileira e interpretada em português. Fica eleito o foro da Comarca de Nova Lima/MG para dirimir controvérsias, salvo competência diversa prevista em lei.

20. Canais de atendimento

DEPPES SOLUÇÕES TECNOLÓGICAS LTDA, CNPJ 50.630.412/0001-83.
Rua da Paisagem, 220, Vila da Serra, Andar 1, Sala 11 S, Nova Lima/MG, CEP 34.006-059.