Voltar

Privacidade

Política de privacidade e proteção de dados.

Como a MeFirst trata os dados pessoais dos colaboradores e das empresas contratantes, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

1. Quem trata os dados e contato

A MeFirst Tecnologia Ltda., inscrita no CNPJ sob o nº 57.884.502/0001-40, com sede em Belo Horizonte, Minas Gerais, Brasil, atua de duas formas, conforme o dado tratado:

  • Como operadora, quando trata dados de colaboradores em nome da empresa contratante. Nesse caso, a empresa contratante é a controladora e define as finalidades do tratamento.
  • Como controladora, quando trata dados de suas relações diretas, como cadastro de usuários, contas individuais (freemium), faturamento e contato comercial.

Para dúvidas, exercício de direitos previstos na LGPD (Lei 13.709/2018) ou contato com o Encarregado pelo Tratamento de Dados (DPO), envie e-mail para mefirst.corporation@gmail.com. Colaboradores também podem encaminhar solicitações diretamente à empresa contratante.

2. Quais dados são tratados

A plataforma trata os seguintes tipos de dados, sempre com base em finalidade específica e legítima:

  • Dados cadastrais do colaborador (nome, e-mail corporativo, cargo, área).
  • Respostas a Pulse Surveys e instrumentos comportamentais (DISC, IGSO).
  • Métricas operacionais agregadas (turnover, headcount, absenteísmo).
  • Dados financeiros do capital humano (folha consolidada, custo total por colaborador).
  • Dados de candidatos a processos seletivos (nome, e-mail, currículo, perfil comportamental), mediante consentimento.
  • Dados de identificação e autenticação (e-mail, senha cifrada).

3. Dados pessoais sensíveis

Tratamento de dados pessoais sensíveis (art. 11 da LGPD): ao integrar, a pedido e sob instrução da empresa-cliente (controladora), sistemas de RH, folha, benefícios e ponto, a MeFirst, na qualidade de operadora, pode tratar dados pessoais sensíveis de colaboradores, incluindo:

  • Dados de saúde (resultado de exames ocupacionais — apto/inapto —, afastamentos e respectivos códigos médicos), quando presentes nos sistemas integrados.
  • Dados biométricos (registros de ponto eletrônico), quando integrados.
  • Origem racial ou étnica (raça/cor) e filiação sindical, quando presentes nos sistemas de RH integrados.

As bases legais são o cumprimento de obrigação legal e regulatória trabalhista, previdenciária e de segurança e saúde do trabalho (art. 11, II, 'a') e, para dados de saúde, a tutela da saúde por profissionais e serviços de saúde (art. 11, II, 'f'). O acesso a conteúdo clínico é restrito; ao empregador é disponibilizado apenas o resultado estritamente necessário.

A MeFirst também realiza perfilamento comportamental (DISC, competências e valores) com base no consentimento específico e destacado do titular; essas análises apoiam decisões humanas e não as substituem (art. 20 da LGPD).

4. Finalidade e base legal

O tratamento é realizado nas seguintes hipóteses (art. 7º e 11 da LGPD):

  • Consentimento do titular (art. 7º, I), para pesquisas comportamentais, perfilamento DISC e candidatura em processos seletivos.
  • Execução de contrato com a empresa contratante (art. 7º, V).
  • Cumprimento de obrigação legal (art. 7º, II e art. 11, II, 'a'), como a geração do PGR de riscos psicossociais (NR-1, Portaria MTE 1.419/2024) e obrigações trabalhistas e previdenciárias.
  • Legítimo interesse (art. 7º, IX), para gerar análises agregadas e indicadores comparativos, sempre com mínimo necessário.

5. Anonimização e agregação

Relatórios entregues a gestores e dashboards executivos são sempre agregados. Resultados só são exibidos quando há respondentes suficientes para impedir a identificação individual:

  • Pesquisas personalizadas exigem no mínimo 3 respondentes para exibir qualquer resultado.
  • Indicadores por setor só são exibidos quando ao menos 50% dos colaboradores daquele setor responderam.

Abaixo desses limites, nenhum dado é exibido. Respostas individuais ficam restritas ao colaborador titular e à equipe técnica da MeFirst, sob controle de acesso e auditoria.

6. Compartilhamento de dados e sub-processadores

Não vendemos, alugamos ou cedemos dados a terceiros para fins comerciais. Compartilhamentos ocorrem apenas:

  • Com a empresa contratante, controladora dos dados dos colaboradores, conforme contrato.
  • Com os prestadores de serviço (sub-processadores) listados abaixo, que processam dados sob instrução e contrato com a MeFirst.
  • Por determinação judicial ou requisição de autoridade competente.
FornecedorPaís/RegiãoFinalidade
SupabaseBrasil (AWS sa-east-1 — São Paulo)Hospedagem de banco de dados e infraestrutura
OpenAIEUAEmbeddings, triagem e análises de IA
Anthropic (Claude)EUAExtração de documentos, cenários e geração de insights
Google (Workspace / Calendar)EUAIntegração de calendário e diretório corporativo, quando ativada pelo cliente (Google Workspace connector). Não é sub-processador de IA da MeFirst.
ApifyEUA / globalBusca de perfis profissionais públicos para recrutamento (sourcing)
StripeEUAProcessamento de pagamentos e faturamento
Brevo (Sendinblue)França / UEEnvio de e-mails transacionais
ClicksignBrasilAssinatura eletrônica de documentos
CajuBrasilDados de benefícios (quando integrado)
InngestEUAProcessamento assíncrono de tarefas em segundo plano
Sistemas integrados a pedido do clienteVariávelSistemas de RH, folha, benefícios e ponto (ex.: TOTVS, SAP, Senior, Gupy, Deel, entre outros), que atuam como fontes ou destinos de dados sob instrução da empresa-controladora.

7. Transferência internacional de dados

O banco de dados principal é hospedado no Brasil (Supabase, AWS sa-east-1 — São Paulo). Parte do tratamento dos dados ocorre fora do Brasil: os provedores de inteligência artificial e serviços auxiliares (OpenAI, Anthropic, Apify, Stripe, Inngest) processam dados em servidores localizados nos Estados Unidos. Brevo (França/UE) processa dados na União Europeia.

Essas transferências internacionais são amparadas em cláusulas contratuais padrão (Standard Contractual Clauses — SCCs) e demais salvaguardas previstas nos arts. 33 e 35 da LGPD, conforme contratos firmados com cada fornecedor.

8. Decisões automatizadas e uso de IA

A plataforma utiliza inteligência artificial e modelos estatísticos para gerar indicadores (como risco de turnover e burnout preditivo), perfis comportamentais (DISC), planos de ação e recomendações de recrutamento.

Essas análises apoiam decisões humanas e não as substituem. Nos termos do art. 20 da LGPD, o titular pode solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, bem como informações sobre os critérios utilizados, pelo e-mail mefirst.corporation@gmail.com.

9. Segurança e armazenamento

A MeFirst adota medidas técnicas e organizacionais para proteger os dados contra acesso não autorizado, perda ou destruição, incluindo:

  • Criptografia em trânsito (TLS 1.2+).
  • Criptografia em repouso na camada de infraestrutura AWS (AES-256 via EBS — padrão da região sa-east-1).
  • Banco de dados e infraestrutura hospedados no Brasil (AWS sa-east-1, São Paulo), via Supabase.
  • Controle de acesso interno por princípio de menor privilégio, com log auditável.
  • Segredos de integração cifrados com chave de aplicação (AES-256-GCM).

Backups são realizados via WAL (Write-Ahead Logging) contínuo pela infraestrutura Supabase, com retenção mínima de 7 dias.

10. Cookies

Utilizamos cookies essenciais (sessão e preferência de idioma) com base no legítimo interesse, necessários ao funcionamento da plataforma.

Cookies não essenciais (ex.: analíticos e de desempenho) são ativados somente mediante o seu consentimento expresso, gerenciável a qualquer momento por meio do banner de cookies exibido no primeiro acesso à plataforma.

Você pode revogar o consentimento de cookies não essenciais clicando em "Gerenciar cookies" no rodapé ou no banner de preferências.

11. Retenção e exclusão

Dados são retidos pelo prazo do contrato corporativo. Após o encerramento, o cliente tem 60 dias para exportar os dados; em seguida, são excluídos definitivamente do ambiente produtivo (backups são purgados no ciclo subsequente).

Dados de candidatos são retidos por até 2 anos após o encerramento do processo seletivo, para fins de defesa em eventual reclamação trabalhista, conforme prazo prescricional aplicável, ou pelo período menor acordado com a empresa contratante.

Dados anonimizados podem ser mantidos para fins estatísticos sem possibilidade de reidentificação.

12. Menores de idade

A plataforma destina-se a maiores de 18 anos. Eventuais dados de aprendizes ou menores de idade, tratados a pedido da empresa contratante na qualidade de empregadora, observam as bases legais trabalhistas aplicáveis e o princípio da proteção do melhor interesse do menor (art. 14 da LGPD). A MeFirst não coleta dados de menores de forma direta ou por iniciativa própria.

13. Notificação de incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados nos prazos e na forma da Resolução CD/ANPD nº 15/2024 (em regra, 3 dias úteis), informando a natureza dos dados, as medidas adotadas e os riscos envolvidos.

14. Direitos do titular

O titular dos dados (colaborador ou candidato) pode, a qualquer momento, solicitar (art. 18 LGPD):

  • Confirmação da existência de tratamento.
  • Acesso aos dados tratados.
  • Correção de dados incompletos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários.
  • Portabilidade a outro fornecedor.
  • Revogação de consentimento, quando aplicável.
  • Revisão de decisões tomadas unicamente com base em tratamento automatizado (art. 20).

Solicitações podem ser feitas para mefirst.corporation@gmail.com e são respondidas em até 15 dias.

16. Alterações desta política

Esta política pode ser atualizada periodicamente para refletir mudanças regulatórias ou de produto. A versão vigente está sempre disponível em /privacidade, com a data da última revisão. Em caso de alterações relevantes, notificaremos os usuários por e-mail ou aviso na plataforma.

Histórico de versões

  • 28 de junho de 2026 — DPO nomeado (João Vítor Barrel), sede confirmada em Belo Horizonte/MG, SCCs formalizadas, pendências de validação resolvidas, seção de menores finalizada. Versão 2026-06-28.
  • 25 de junho de 2026 — Revisão completa: adição de dados sensíveis, sub-processadores completos, seções de cookies, menores e notificação de incidente; DPO atualizado; correção de afirmações factuais. Versão 2026-06-25.
  • 30 de maio de 2026 — Primeira versão publicada. Versão 2026-05-30.

Última revisão: 28 de junho de 2026.

Dúvidas sobre privacidade?

Fale com o nosso DPO em mefirst.corporation@gmail.com. Respondemos em até 15 dias.

MeFirst | Inteligência Estratégica para sua Organização