Política de Privacidade
Última atualização: 01 de março de 2026
1Introdução
A Spalla ASO valoriza a privacidade e a proteção dos dados pessoais de todos os seus usuários e das pessoas cujos dados são tratados por meio da nossa plataforma. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018 — LGPD) e demais normas aplicáveis.
Esta política aplica-se a:
- Profissionais de clínicas de saúde ocupacional que utilizam a plataforma Spalla ASO (usuários da plataforma);
- Trabalhadores cujos dados de exames ocupacionais são gerenciados pelas clínicas por meio da plataforma (titulares dos dados).
2Quem Somos
Spalla ASO — Controladora e Operadora de Dados
E-mail: spallaaso@gmail.com
Website: www.usespalla.com.br
Para os fins da LGPD:
- Spalla ASO como Operadora (Art. 5, VII): Processa dados pessoais de trabalhadores em nome das clínicas de saúde ocupacional que utilizam a plataforma.
- Clínicas de saúde ocupacional como Controladoras (Art. 5, VI): As clínicas determinam a finalidade e os meios de tratamento dos dados dos trabalhadores que cadastram na plataforma.
- Spalla ASO como Controladora: Em relação aos dados cadastrais dos profissionais das clínicas (usuários da plataforma), a Spalla ASO atua como controladora.
A figura do Encarregado de Dados (DPO) será designada e comunicada publicamente em momento oportuno, conforme regulamentação da ANPD.
3Dados Pessoais que Coletamos
a) Usuários da plataforma (profissionais das clínicas)
- Endereço de e-mail (autenticação e login)
- Função na clínica (administrador ou usuário)
b) Trabalhadores (cadastrados pelas clínicas)
- Nome completo
- Número de telefone celular (formato E.164)
- Tipo de exame ocupacional (admissional, periódico, demissional, mudança de função, retorno ao trabalho)
- Data de realização e data de vencimento do ASO
- Nome da empresa empregadora
- Status de engajamento com lembretes
c) Consentimento e preferências
- Data e hora do opt-in (consentimento para recebimento de mensagens)
- Data e hora do opt-out (revogação do consentimento)
d) Dados de comunicação
- Registro de lembretes enviados via WhatsApp (data de envio, status de entrega e leitura)
- Interações com botões de resposta rápida (confirmar, agendar, parar mensagens)
Dados que NÃO coletamos
Não coletamos dados de saúde clínicos, resultados de exames médicos, diagnósticos, CID, atestados médicos, dados biométricos, dados genéticos ou quaisquer dados pessoais sensíveis conforme definido no Art. 5, II da LGPD. A plataforma trata exclusivamente dados administrativos de controle de vencimento de ASOs.
4Como Utilizamos seus Dados
| Finalidade | Dados utilizados | Descrição |
|---|---|---|
| Envio de lembretes | Nome, telefone, vencimento, dias restantes | Mensagens automáticas via WhatsApp sobre exames próximos do vencimento |
| Gestão de exames | Todos os dados de trabalhadores | Controle administrativo de vencimentos e status de exames ASO |
| Autenticação | E-mail, função | Acesso seguro à plataforma pelos profissionais das clínicas |
| Relatórios de compliance | Nome, telefone (mascarado), tipo, datas, status | Relatórios compartilháveis com RH via link seguro temporário |
| Gestão de consentimento | Opt-in / opt-out | Respeitar as preferências de comunicação dos titulares |
5Bases Legais para o Tratamento
Execução de contrato (Art. 7, V)
Tratamento de dados cadastrais dos usuários da plataforma para prestação do serviço. Gestão dos exames ocupacionais cadastrados pelas clínicas.
Consentimento do titular (Art. 7, I)
Envio de lembretes via WhatsApp. O consentimento é registrado no momento da importação (opt-in) e pode ser revogado a qualquer momento pelo titular clicando em "Parar msgs" ou enviando: sair, stop, parar ou cancelar.
Cumprimento de obrigação legal (Art. 7, II)
Manutenção de registros de comunicações e consentimentos conforme LGPD e normas regulatórias.
Legítimo interesse (Art. 7, IX)
Geração de relatórios agregados de compliance com dados mascarados e estatísticas de efetividade do serviço.
6Compartilhamento com Terceiros
A Spalla ASO não vende, aluga ou comercializa dados pessoais. O compartilhamento ocorre apenas com os sub-processadores abaixo, necessários para a operação do serviço:
| Terceiro | Finalidade | Localização |
|---|---|---|
| Meta / WhatsApp | Envio de lembretes via WhatsApp Cloud API | EUA (servidores globais) |
| Supabase (AWS) | Hospedagem do banco de dados (Postgres 17) | São Paulo, Brasil (sa-east-1) |
| Vercel | Hospedagem do frontend | Global (CDN) / EUA |
| Cloudflare | CAPTCHA (Turnstile) | Global |
Relatórios de compliance podem ser compartilhados via link temporário (7–90 dias) com empresas-clientes. Números de telefone exibidos nesses relatórios são mascarados (apenas os últimos 4 dígitos são visíveis).
7Transferência Internacional de Dados
Alguns de nossos sub-processadores operam fora do Brasil — Meta/WhatsApp e Vercel nos EUA. Essas transferências ocorrem em conformidade com os Arts. 33–36 da LGPD. A base de dados principal permanece em São Paulo (AWS sa-east-1). A Spalla ASO verifica que os destinatários adotam padrões compatíveis de proteção de dados pessoais.
8Retenção e Exclusão de Dados
| Categoria | Período | Fundamento |
|---|---|---|
| Dados de trabalhadores | Enquanto cadastro ativo ou até exclusão solicitada | Art. 16 LGPD |
| Registros de lembretes | 2 anos após o envio | Auditoria e comprovação (Marco Civil da Internet) |
| Consentimentos (opt-in / opt-out) | 5 anos após último registro | Prazo prescricional (CC Art. 206, §5) |
| Usuários da plataforma | Conta ativa + 6 meses | Execução de contrato |
| Tokens de relatório compartilhado | 7 a 90 dias (configurável) | Acesso temporário por design |
9Seus Direitos como Titular (Arts. 17–22)
Nos termos da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:
Confirmação e acesso
Saber se tratamos seus dados e acessar uma cópia deles.
Correção
Solicitar a correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação
De dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade
Receber seus dados em formato estruturado para transferência a outro fornecedor.
Eliminação dos dados por consentimento
Solicitar a exclusão dos dados tratados com base no seu consentimento.
Informação sobre compartilhamento
Saber com quais entidades públicas e privadas compartilhamos seus dados.
Informação sobre recusa de consentimento
Ser informado sobre as consequências de não fornecer consentimento.
Revogação do consentimento
Retirar seu consentimento a qualquer momento, sem prejuízo do tratamento já realizado.
Opt-out via WhatsApp
Você pode revogar o consentimento para recebimento de lembretes a qualquer momento clicando no botão “Parar msgs” ou enviando uma das palavras: sair, stop, parar, cancelar. O processamento é automático e imediato.
Para exercer seus direitos, entre em contato pelo e-mail spallaaso@gmail.com. Respondemos em até 15 dias úteis. Você também pode peticionar à ANPD.
10Segurança dos Dados
Adotamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, perda, alteração ou divulgação indevida, em conformidade com o Art. 46 da LGPD:
- ✓Isolamento multi-tenant via Row Level Security (RLS) — cada clínica acessa apenas seus próprios dados
- ✓Controle de acesso baseado em papéis (RBAC) — permissões distintas para administradores e usuários comuns
- ✓Comunicação criptografada via HTTPS/TLS em trânsito e AES-256 em repouso
- ✓Autenticação com senha mínima de 8 caracteres + CAPTCHA (Cloudflare Turnstile)
- ✓Validação HMAC-SHA256 de todos os webhooks recebidos do WhatsApp/Meta
- ✓Mascaramento de PII em relatórios compartilhados — apenas os últimos 4 dígitos do telefone são exibidos
- ✓Tokens criptográficos temporários para compartilhamento de relatórios de compliance
11Cookies e Tecnologias Similares
Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma:
- Cookies de sessão (Supabase Auth): Necessários para manter você autenticado durante o uso da plataforma.
- Cloudflare Turnstile: Token temporário para verificação de usuário humano (CAPTCHA), sem rastreamento ou perfilamento.
Não utilizamos cookies de rastreamento, analytics ou publicidade. Não é necessário banner de consentimento de cookies.
12Alterações e Contato
Esta Política de Privacidade pode ser atualizada periodicamente. Em caso de alterações relevantes, notificaremos os usuários cadastrados por e-mail. A data de última atualização sempre constará no topo desta página.
Entre em contato
Para dúvidas, solicitações ou para exercer seus direitos como titular de dados:
Você também pode registrar reclamações perante a Autoridade Nacional de Proteção de Dados (ANPD).
© 2026 Spalla ASO. Todos os direitos reservados.
LGPD — Lei n. 13.709/2018