Política de Privacidade e Proteção de Dados Pessoais
Em conformidade com a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990).
- Quem somos e papéis no tratamento
- Definições
- Dados pessoais que coletamos
- Finalidades e bases legais
- Compartilhamento com terceiros (operadores e suboperadores)
- Transferência internacional de dados
- Tempo de retenção
- Medidas de segurança
- Cookies e tecnologias semelhantes
- Direitos do titular
- Exclusão de dados e rescisão contratual
- Incidentes e comunicação à ANPD
- Encarregado pelo Tratamento (DPO)
- Alterações desta Política
- Foro e legislação aplicável
1. Quem somos e papéis no tratamento
A presente Política de Privacidade descreve como a A. M Engenharia e Segurança do Trabalho LTDA - EPP, pessoa jurídica de direito privado inscrita no CNPJ sob o nº 43.487.379/0001-19, sediada em Barueri/SP, doravante denominada "AM Engenharia", coleta, utiliza, armazena, compartilha e protege dados pessoais por meio da plataforma Am Smart (o "Sistema"), disponibilizada sob o domínio portal.amengenhariaseg.com.br.
Nos termos do art. 5º, VI e VII, da LGPD, a AM Engenharia atua, conforme a natureza do tratamento, ora como controladora (quando define as finalidades do tratamento — p. ex., dados cadastrais de contratantes e usuários da plataforma), ora como operadora (quando trata dados pessoais de colaboradores das empresas contratantes por conta e ordem destas, no estrito cumprimento do contrato de prestação de serviços).
A empresa contratante usuária do Sistema (o "Cliente") é considerada controladora dos dados pessoais de seus próprios colaboradores, prepostos e terceiros que venham a ser inseridos na plataforma.
2. Definições
- Titular: pessoa natural a quem se referem os dados pessoais.
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I, LGPD).
- Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou à vida sexual, dado genético ou biométrico (art. 5º, II, LGPD).
- Tratamento: toda operação realizada com dados pessoais (art. 5º, X, LGPD).
- ANPD: Autoridade Nacional de Proteção de Dados.
3. Dados pessoais que coletamos
A coleta de dados pessoais ocorre exclusivamente na medida do necessário para a execução do contrato, prestação dos serviços contratados e cumprimento de obrigações legais e regulatórias da AM Engenharia (em especial, das Normas Regulamentadoras do Ministério do Trabalho e do eSocial — Decreto nº 8.373/2014).
| Categoria | Dados tratados | Origem |
|---|---|---|
| Cadastrais — Empresa contratante | Razão social, CNPJ, inscrição estadual, CNAE, grau de risco (NR-4), atividade, endereço, telefone, e-mail, quadro societário e logotipo. | Fornecidos pelo Cliente e/ou enriquecidos via consulta pública à Receita Federal (ReceitaWS) e ViaCEP. |
| Cadastrais — Usuários do portal (receptores) | Nome, sobrenome, e-mail, senha (armazenada com hash bcrypt custo 12), vínculo com o Cliente, perfil de acesso. | Cadastrados pela AM Engenharia ou pelo administrador do Cliente. |
| Cadastrais — Colaboradores do Cliente | Nome completo, CPF, RG, PIS/PASEP, data de nascimento, sexo, estado civil, nome da mãe, endereço residencial, matrícula, cargo, setor, data de admissão, tipo de contrato, salário, situação do vínculo e contatos (telefone/celular/WhatsApp/e-mail). | Inseridos pelo Cliente, na condição de empregador e controlador. |
| Imagem e biometria facial | Foto cadastral do colaborador e foto capturada no ato de entrega de EPI, com posterior comparação biométrica. | Capturadas pelo colaborador/preposto no momento do uso. Tratamento realizado por suboperador (AWS Rekognition — operação CompareFaces), sem armazenamento de templates faciais por terceiros — apenas o score de similaridade é persistido. |
| Dados de saúde e segurança ocupacional | ASOs, exames ocupacionais (admissional, periódico, demissional, mudança de risco, retorno ao trabalho), PCMSO, PGR, GHE, agentes de risco, exposições ocupacionais (S-2240), CAT (S-2210), aptidão e restrições laborais. | Inseridos pelo Cliente, médico do trabalho responsável ou pela AM Engenharia. Dados sensíveis (art. 11 LGPD), tratados com base no cumprimento de obrigação legal. |
| Ponto eletrônico | Marcações de entrada, intervalo e saída, jornadas, abonos, banco de horas, fotos de validação biométrica e dispositivo/terminal utilizado. | Coletados pelos terminais e/ou aplicativo de ponto homologados pela AM Engenharia, em conformidade com a Portaria MTE nº 671/2021. |
| Documentos de inspeção e ativos industriais | Laudos, relatórios técnicos, ARTs, comprovantes, fotografias de equipamentos (vasos de pressão, caldeiras, máquinas, linhas de vida, ferramentas, tubulações, tanques, pontes rolantes, caminhões), datas de vencimento e classificações. | Carregados pela equipe técnica da AM Engenharia ou pelo Cliente. |
| Entregas de EPI | NSR (número sequencial imutável), tipo de entrega, IP do dispositivo, geolocalização (latitude/longitude/precisão), user-agent, hash de integridade SHA-512 do registro, comprovante em PDF assinado eletronicamente. | Coletados no ato da entrega via wizard, para fins de cumprimento da NR-6 do MTE. |
| Treinamentos (Am Engenharia EAD) | Matrículas, progresso em videoaulas, respostas a avaliações, certificados emitidos. | Inseridos pelo Cliente/colaborador na execução do curso. |
| Interações com o Assistente Virtual (IA) | Mensagens digitadas no chat e respostas geradas, contexto utilizado para a resposta. | Coletados pelo widget de chat. As mensagens são transmitidas ao modelo de linguagem (OpenAI) sem dados pessoais identificáveis adicionais. |
| Dados de navegação e técnicos | Endereço IP, tipo de navegador, sistema operacional, idioma, páginas acessadas, data e hora do acesso, identificador de sessão. | Coletados automaticamente pelos servidores e por cookies (ver seção 9). |
| Trilha de auditoria | Login, logout, criação/alteração/exclusão de registros, IP, identificação do usuário responsável. | Gerada automaticamente pelo Sistema, para fins de accountability (art. 6º, X, LGPD). |
Não coletamos deliberadamente dados de crianças e adolescentes; nem dados sensíveis estranhos à finalidade ocupacional (origem racial, convicção religiosa, opinião política, vida sexual etc.).
4. Finalidades e bases legais
Cada tratamento de dado pessoal realizado na plataforma encontra respaldo em uma das hipóteses autorizativas do art. 7º (dados gerais) ou do art. 11 (dados sensíveis) da LGPD, conforme tabela abaixo.
| Finalidade | Base legal |
|---|---|
| Execução do contrato de prestação de serviços firmado com o Cliente. | Art. 7º, V, LGPD — execução de contrato. |
| Cumprimento das obrigações de SST exigidas pelas Normas Regulamentadoras (NR-1, NR-4, NR-6, NR-7, NR-9, NR-11, NR-12, NR-13, NR-15, NR-16, NR-18, NR-35, dentre outras) e pela Portaria MTE nº 671/2021. | Art. 7º, II e art. 11, II, "a", LGPD — cumprimento de obrigação legal/regulatória. |
| Transmissão de eventos para o eSocial (S-2210, S-2220, S-2240, S-2230 e correlatos). | Art. 7º, II, LGPD — Decreto nº 8.373/2014. |
| Tutela da saúde do trabalhador em procedimento realizado por profissionais de saúde (médico do trabalho). | Art. 11, II, "f", LGPD. |
| Comprovação inequívoca da entrega de EPI (biometria facial e geolocalização). | Art. 7º, II e art. 11, II, "a", LGPD — NR-6 / item 6.6.1. |
| Auditoria, prevenção a fraudes e segurança da plataforma. | Art. 7º, IX, LGPD — legítimo interesse, sempre observados os direitos do titular. |
| Comunicações operacionais (vencimentos de documentos, alertas de pendências, suporte). | Art. 7º, V, LGPD — execução de contrato. |
| Cookies analíticos para medição de uso da plataforma (Google Analytics). | Art. 7º, I, LGPD — consentimento livre, informado e inequívoco. |
5. Compartilhamento com terceiros (operadores e suboperadores)
A AM Engenharia não comercializa dados pessoais. O compartilhamento com terceiros ocorre estritamente para viabilizar a prestação dos serviços, mediante contrato com cláusulas específicas de proteção de dados, conforme disposto a seguir:
| Operador / Suboperador | Função no tratamento |
|---|---|
| Hostinger International Ltd. | Hospedagem da aplicação, banco de dados e armazenamento dos arquivos do Sistema. |
| Amazon Web Services, Inc. — AWS Rekognition | Comparação biométrica facial pontual (operação CompareFaces, região us-east-1). Imagens não são retidas pela AWS — apenas o resultado de similaridade. |
| OpenAI, L.L.C. | Geração de respostas do Assistente Virtual e resumo automatizado de documentos via API. Conforme política da OpenAI para clientes de API, os dados não são utilizados para treinamento de modelos. |
| Sendinblue SAS (Brevo) | Entrega transacional de e-mails (alertas, redefinição de senha, notificações de vencimento). |
| Google Ireland Limited — Google Analytics 4 | Mensuração analítica do uso da plataforma. Carrega apenas se o titular consentir. |
| BrasilAPI, ViaCEP e ReceitaWS | Consulta a bases públicas de CBO, CEP e cadastro empresarial — não há envio de dados pessoais identificáveis a esses serviços. |
| LG Lugar de Gente / parceiros de RH | Integração opcional para importação de colaboradores e cargos, quando contratada pelo Cliente. |
| Autoridades públicas (Receita Federal, Ministério do Trabalho, ANPD, Poder Judiciário) | Atendimento a obrigações legais, requisições judiciais ou administrativas. |
6. Transferência internacional de dados
Os serviços de AWS, OpenAI, Google e Brevo podem implicar transferência de dados pessoais para fora do território nacional. Tais transferências observam o disposto nos arts. 33 a 36 da LGPD e ocorrem para países que oferecem grau de proteção adequado ou mediante cláusulas-padrão contratuais aprovadas pelos respectivos órgãos de controle.
7. Tempo de retenção
Os dados pessoais são retidos pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os prazos legais de guarda obrigatória, dentre eles:
- Trabalhistas/previdenciários: até 5 anos após o término do vínculo (CF, art. 7º, XXIX).
- Documentos de SST e PPP: até 20 anos após o desligamento do trabalhador (NR-7 / IN INSS 128/2022).
- Eventos eSocial e logs de envio: conforme leiaute oficial, regra geral de 5 anos.
- Comprovantes de entrega de EPI (NR-6): mínimo 5 anos.
- Registros de acesso a aplicação (Marco Civil, art. 15): 6 meses.
- Trilha de auditoria interna: 5 anos, para fins de accountability.
Após o decurso do prazo de retenção ou no atendimento de pedido válido de exclusão (ver seção 11), os dados são eliminados de forma segura, ressalvadas as hipóteses do art. 16 da LGPD.
8. Medidas de segurança
A AM Engenharia adota controles técnicos e organizacionais compatíveis com o estado da arte e proporcionais aos riscos, incluindo:
- Conexões cifradas em trânsito (TLS 1.2+) em todas as comunicações com o Sistema.
- Senhas armazenadas com hash bcrypt (custo 12); CSRF token em todos os formulários; cabeçalhos HTTP de segurança (X-Frame-Options, X-Content-Type-Options, Referrer-Policy).
- Uso de prepared statements reais em todas as consultas ao banco de dados, impedindo SQL injection.
- IDs ofuscados em URLs para mitigar IDOR.
- Controle de acesso por perfil (admin, analista, inspetor, cliente) e segmentação rigorosa por tenant (id_cliente).
- Backups periódicos, monitoramento de logs e trilha de auditoria.
- Política de senhas, expiração de sessão por inatividade e regeneração de identificador de sessão a cada autenticação.
- Rate limiting em endpoints sensíveis (login, alteração de senha).
9. Cookies e tecnologias semelhantes
Cookies são pequenos arquivos de texto armazenados pelo navegador. O Am Smart utiliza duas categorias:
| Categoria | Finalidade | Base legal | Pode ser desativado? |
|---|---|---|---|
| Necessários | Manter a sessão autenticada (am_smart_session), proteção contra CSRF, idioma e preferências básicas. Sem eles, o Sistema não funciona. |
Execução de contrato (art. 7º, V) / Legítimo interesse (art. 7º, IX). | Não — essenciais à prestação do serviço. |
| Analíticos — Google Analytics 4 | Mensurar volume e fluxo de acesso, páginas visitadas, dispositivos utilizados, performance da aplicação. Os dados são tratados de forma agregada com anonimização do IP. | Consentimento (art. 7º, I). | Sim — ativado apenas mediante consentimento expresso, podendo ser revogado a qualquer momento pelo banner de cookies ou em "Dados Empresariais → Privacidade & LGPD". |
10. Direitos do titular (art. 18 LGPD)
O titular tem direito de, mediante requisição:
- Confirmar a existência de tratamento de seus dados;
- Acessar seus dados;
- Corrigir dados incompletos, inexatos ou desatualizados;
- Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Solicitar a portabilidade dos dados a outro fornecedor;
- Solicitar a eliminação dos dados tratados com base no consentimento;
- Obter informação sobre as entidades públicas e privadas com as quais a AM Engenharia compartilha seus dados;
- Obter informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogar consentimento anteriormente concedido.
Os pedidos devem ser formalizados pelo e-mail dpo@amengenhariaseg.com.br e serão atendidos no prazo de até 15 (quinze) dias, conforme art. 19, § 1º, II, LGPD.
11. Exclusão de dados e rescisão contratual
O titular ou o Cliente poderá solicitar, a qualquer tempo, a exclusão integral dos dados tratados pela plataforma. Para a pessoa jurídica contratante, essa solicitação está disponível na área autenticada, em "Dados Empresariais → Privacidade & LGPD → Solicitar exclusão definitiva".
Importante: a solicitação de exclusão definitiva por parte do Cliente implica, necessariamente, a rescisão do contrato de prestação de serviços com a AM Engenharia, uma vez que a plataforma deixa de ter meios para executar suas obrigações. A solicitação não é executada de forma automática — passa pelo crivo do Encarregado e da área jurídica e comercial da AM Engenharia, que avaliará pendências contratuais, obrigações legais de retenção (em especial, documentos de SST cuja guarda é exigida por lei) e providenciará o encerramento formal antes da eliminação física dos dados.
Mesmo após a exclusão, poderão ser preservadas, em ambiente controlado e segregado, informações cuja guarda seja obrigatória por força do art. 16 da LGPD (cumprimento de obrigação legal/regulatória, estudo por órgão de pesquisa, transferência a terceiros desde que respeitados os requisitos legais ou uso exclusivo do controlador).
12. Incidentes de segurança e comunicação à ANPD
Na hipótese de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a AM Engenharia comunicará o fato à ANPD e aos titulares afetados em prazo razoável, conforme art. 48 da LGPD e Resolução CD/ANPD nº 15/2024.
13. Encarregado pelo Tratamento de Dados Pessoais (DPO)
O Encarregado é o canal oficial de comunicação entre a AM Engenharia, os titulares e a ANPD (art. 41 LGPD):
- E-mail: dpo@amengenhariaseg.com.br
- Telefone: (71) 99999-9999
- Endereço para correspondência: Avenida ACM, nº 0000, sala 000, Salvador/BA — CEP 40000-000
14. Alterações desta Política
Esta Política poderá ser atualizada periodicamente para refletir evoluções legislativas, jurisprudenciais ou da própria plataforma. A versão vigente e o histórico ficam disponíveis nesta página, com indicação clara da data de vigência. Alterações materiais serão comunicadas aos usuários por e-mail e/ou aviso destacado no portal, sendo cabível, nesses casos, novo consentimento quanto a cookies analíticos.
15. Foro e legislação aplicável
Esta Política é regida pelas leis da República Federativa do Brasil. Fica eleito o foro da Comarca de Salvador, Estado da Bahia, para dirimir quaisquer controvérsias decorrentes deste documento, renunciando-se a qualquer outro, por mais privilegiado que seja, ressalvada a competência dos Juizados Especiais quando aplicável e o direito do consumidor de ajuizar a ação em seu domicílio (art. 101, I, CDC).
Salvador/BA, 20 de maio de 2026. — Versão 1.0.