Política de Privacidade da SetNexa

Última atualização: 05/06/2026

1. Quem somos

A SetNexa é uma plataforma tecnológica de apoio à coleta, organização e análise de insumos relacionados a fatores de risco psicossociais no trabalho, voltada ao apoio operacional de empresas de SST, consultores de NR-1, profissionais de SESMT e demais parceiros especializados.

A plataforma não substitui a atuação da empresa empregadora, de seus profissionais responsáveis, de consultores habilitados ou de responsáveis técnicos pela gestão de riscos ocupacionais, GRO, PGR, AEP, NR-1, NR-17 ou obrigações correlatas.

Para fins desta Política:

Prestadora SetNexa: GISLENE APARECIDA GERMANO, inscrita no CNPJ sob nº 35.058.170/0001-01, com sede em Rua Angelo Raimondi, 32, Casa 2, Vila Cavaton, CEP: 02962170 - São Paulo/SP, responsável pela assessoria em informática, suporte, parametrização e apoio operacional ao uso da plataforma por Parceiros autorizados.
Titular/Licenciante da Plataforma: Beetoven Oliveira Santos, responsável pela titularidade ou licenciamento do código-fonte, arquitetura, marca, lógica de funcionamento e evolução tecnológica da plataforma, conforme contrato próprio.
Parceiros autorizados: empresas de SST, consultorias de NR-1, profissionais de SESMT, consultorias de gestão ocupacional, RH, saúde e segurança do trabalho ou outros terceiros especializados que contratam a Prestadora SetNexa para operar a plataforma em benefício de seus próprios clientes.
Clientes Finais: empresas atendidas pelos Parceiros autorizados, normalmente empregadoras e controladoras dos dados de seus colaboradores.

Esta Política descreve como dados pessoais são tratados no uso da SetNexa, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD), e esclarece responsabilidades na cadeia Cliente Final → Parceiro autorizado → Prestadora SetNexa → suboperadores técnicos.

2. A quem esta Política se aplica

Esta Política se aplica aos seguintes grupos:

Grupo	Quem é	O que pode ser tratado
Parceiros autorizados	Empresas e profissionais especializados que operam a SetNexa para seus clientes	Dados cadastrais, usuários, acessos, suporte, faturamento e registros de uso
Clientes Finais	Empresas atendidas pelos Parceiros autorizados	Dados cadastrais da organização, setores, unidades e informações necessárias à aplicação
Colaboradores respondentes	Pessoas convidadas pelo Cliente Final ou Parceiro autorizado a responder questionários	E-mail ou identificadores mínimos para convite; respostas tratadas sob anonimato por design
Visitantes do site	Pessoas que acessam páginas públicas da SetNexa	Dados de navegação, cookies necessários e eventuais dados enviados por formulário de contato

A SetNexa não se destina ao uso por consumidores finais nem à coleta de dados de crianças e adolescentes.

3. Papéis no tratamento de dados pessoais

A LGPD distingue o controlador (quem toma decisões sobre o tratamento) do operador (quem trata dados em nome do controlador). Em cadeias com terceiros, também pode haver suboperadores.

3.1. Modelo principal: operação por Parceiros autorizados

Quando a SetNexa é utilizada por Parceiro autorizado para atender um Cliente Final, os papéis são, em regra:

Parte	Papel provável	Responsabilidade principal
Cliente Final	Controlador	Decide a finalidade da avaliação, quem será convidado, quais setores serão analisados e como os resultados serão usados na sua gestão de riscos
Parceiro autorizado	Operador ou controlador independente, conforme o caso concreto	Opera a plataforma para o Cliente Final, orienta o uso, aplica metodologia própria e mantém relação direta com o Cliente Final
Prestadora SetNexa	Suboperadora ou operadora técnica	Fornece apoio operacional, suporte, parametrização e infraestrutura de uso da plataforma, nos limites contratados
Titular/Licenciante da Plataforma	Operador técnico ou suboperador, conforme contrato	Mantém ou licencia a tecnologia, código, arquitetura e mecanismos técnicos da plataforma
Suboperadores técnicos	Suboperadores	Infraestrutura, e-mail, cobrança, IA e demais serviços essenciais

Os papéis podem variar conforme o contrato firmado entre as partes e o nível de autonomia do Parceiro autorizado na definição de finalidade, metodologia, relatório e uso dos dados.

3.2. Dados cadastrais de Parceiros, usuários e contatos comerciais

A Prestadora SetNexa atua como controladora dos dados cadastrais, contratuais, fiscais, de suporte e de acesso relacionados aos seus Parceiros autorizados, representantes, usuários internos e contatos comerciais, pois define as finalidades e meios desse tratamento.

3.3. Dados de colaboradores dos Clientes Finais

Quando o Parceiro autorizado ou o Cliente Final cadastra ou importa endereços de e-mail, setores, unidades ou outros dados mínimos de colaboradores para realização de uma aplicação:

o Cliente Final é, em regra, o controlador desses dados;
o Parceiro autorizado deve possuir contrato, autorização e instruções válidas do Cliente Final;
a Prestadora SetNexa trata os dados apenas para viabilizar a aplicação, o envio de convites, o suporte operacional, a segurança e a geração de resultados agregados;
a SetNexa não compra, aluga, coleta de terceiros, enriquece nem raspa listas de e-mail.

O Parceiro autorizado declara e garante que os dados inseridos na plataforma têm origem lícita e que o Cliente Final possui base legal adequada para o tratamento.

4. Dados tratados, finalidades e bases legais

Categoria de dado	Exemplos	Finalidade	Base legal provável
Dados de Parceiros autorizados	Nome, e-mail, cargo, empresa, CNPJ, telefone, contrato, usuários	Cadastro, autenticação, suporte, faturamento, gestão da parceria	Execução de contrato; obrigação legal; legítimo interesse
Dados de Clientes Finais	Razão social, CNPJ, setor, unidades, áreas, setores internos	Configuração da aplicação e organização dos resultados	Execução de contrato; legítimo interesse; instrução do controlador
Dados mínimos de colaboradores	E-mail, setor, unidade, vínculo organizacional mínimo	Envio de convites, controle de participação e organização agregada dos resultados	Tratamento sob instrução do Cliente Final/Parceiro; base legal definida pelo controlador
Respostas aos questionários	Respostas sobre fatores de risco psicossociais relacionados ao trabalho	Cálculo de scores, relatórios agregados e insumos de apoio à gestão de riscos	Sob instrução do controlador até a anonimização; após anonimização, fora do escopo de dado pessoal quando não houver reidentificação por meios razoáveis
Logs e segurança	IP, data/hora, eventos de autenticação, registros de auditoria	Segurança, prevenção de fraude, auditoria, investigação de abuso	Legítimo interesse; cumprimento de obrigação legal/regulatória
Dados de pagamento	Dados de cobrança, status de pagamento, documentos fiscais	Cobrança de aplicações, suporte e serviços contratados	Execução de contrato; obrigação legal/fiscal
Dados de visitantes	Cookies necessários, páginas acessadas, formulário de contato	Funcionamento do site, segurança, atendimento	Legítimo interesse; consentimento quando aplicável

A base legal dos dados de colaboradores deve ser definida e documentada pelo Cliente Final, com apoio do Parceiro autorizado quando aplicável.

5. Anonimato por design e limites técnicos

A SetNexa foi desenhada para proteger a confidencialidade dos respondentes e reduzir riscos de reidentificação.

São adotadas, entre outras, as seguintes salvaguardas:

respostas não são exibidas individualmente aos Parceiros, Clientes Finais ou usuários gestores;
os resultados são apresentados de forma agregada;
há exigência de mínimo de 5 respondentes por grupo para exibição de resultados;
no envio por e-mail, o mapeamento entre e-mail e token de resposta é destruído após o disparo ou no prazo técnico necessário ao envio, conforme a configuração operacional vigente;
respostas e dados de identificação são segregados tecnicamente sempre que possível;
é proibida qualquer tentativa de reidentificação, dedução abusiva, cruzamento indevido ou manipulação de grupos para identificar respondentes.

Após a destruição do vínculo técnico entre e-mail e token, as respostas são tratadas como dados anonimizados, desde que não seja possível a reidentificação por meios razoáveis, observadas as salvaguardas técnicas e organizacionais adotadas.

6. Envio de e-mails e origem das listas

O disparo de e-mails transacionais, como convites a questionários, notificações operacionais e comunicações de conta, pode ser realizado por meio do provedor Mailgun (Sinch/Mailgun Technologies, Inc.), que atua como suboperador técnico.

6.1. Origem das listas

Todos os endereços de e-mail processados para envio de convites são fornecidos pelo Cliente Final ou pelo Parceiro autorizado, em nome do Cliente Final. A SetNexa não utiliza listas adquiridas, alugadas, coletadas de terceiros, enriquecidas por terceiros ou obtidas por raspagem (scraping).

6.2. Uso aceitável e antispam

É proibido utilizar a SetNexa para:

envio de spam, mensagens não solicitadas ou comunicações sem base legal;
envio a listas compradas, alugadas, raspadas ou de origem ilícita;
conteúdo enganoso, fraudulento, discriminatório, difamatório, ilegal ou que viole direitos de terceiros;
burlar mecanismos de descadastro, supressão, rejeição ou reclamação.

A SetNexa poderá suspender envios, bloquear aplicações, limitar volumes ou cancelar acessos diante de indícios de abuso, alto índice de rejeições, reclamações de spam, uso indevido ou risco à reputação de entrega.

6.3. Descadastro, supressão e reputação

Quando aplicável, os e-mails enviados respeitam mecanismos de descadastro ou supressão. Eventos técnicos de rejeição, reclamação e descadastro podem ser monitorados para preservar a segurança, a reputação de envio e a conformidade operacional.

7. Compartilhamento e suboperadores

A SetNexa não vende dados pessoais. Dados podem ser compartilhados apenas com prestadores essenciais à operação, sob contrato e conforme a finalidade do serviço.

Suboperador	Finalidade	Observação
Supabase	Banco de dados, autenticação e infraestrutura	Armazenamento e operação técnica da plataforma
Mailgun (Sinch)	Envio de e-mails transacionais	Convites, notificações e eventos de entrega
Asaas	Cobrança e pagamentos	Dados de faturamento de Parceiros ou contratantes
Anthropic ou outro provedor de IA	Apoio na geração, organização ou redação de relatórios	Preferencialmente com dados anonimizados, agregados ou minimizados
Prestadores de hospedagem, segurança, observabilidade e suporte	Segurança, manutenção, logs, disponibilidade	Apenas conforme necessidade operacional

Eventuais transferências internacionais de dados observarão as hipóteses e salvaguardas previstas na LGPD, incluindo cláusulas contratuais, garantias adequadas ou outro mecanismo aplicável.

8. Uso de inteligência artificial

A SetNexa pode utilizar recursos de inteligência artificial para apoiar a geração de relatórios, resumos, classificações, linguagem executiva, recomendações operacionais e organização de achados.

Sempre que tecnicamente possível, os dados enviados a provedores de IA serão minimizados, agregados ou anonimizados. A SetNexa não deve enviar dados diretamente identificáveis de colaboradores a provedores de IA quando isso não for necessário para a finalidade contratada.

A IA não substitui avaliação humana, responsabilidade técnica, análise jurídica, avaliação médica, psicológica, ergonômica, trabalhista ou de segurança do trabalho. O Parceiro autorizado e o Cliente Final devem revisar, validar e contextualizar qualquer saída gerada com apoio de IA antes de usá-la em processos internos, relatórios ou documentação de GRO/PGR/AEP.

9. Armazenamento, segurança e retenção

Adotamos controles técnicos e organizacionais compatíveis com o porte e risco da operação, incluindo:

criptografia em trânsito;
controle de acesso por perfil;
segregação lógica por cliente/parceiro;
registros de auditoria para ações sensíveis;
mecanismos de autenticação e controle de sessão;
restrição de acesso a dados conforme necessidade operacional;
segregação entre dados identificadores e respostas, sempre que aplicável.

Os dados serão mantidos pelo período necessário às finalidades descritas, ao cumprimento de obrigações legais, fiscais, contratuais, regulatórias e à preservação de direitos.

Como regra operacional:

dados de faturamento podem ser mantidos pelo prazo exigido pela legislação fiscal;
logs de segurança podem ser mantidos pelo prazo necessário à prevenção de fraude, auditoria e defesa de direitos;
dados de aplicações encerradas serão eliminados ou anonimizados conforme contrato, instrução do controlador e prazos operacionais aplicáveis;
respostas anonimizadas podem ser mantidas para fins estatísticos, melhoria da plataforma e histórico agregado, desde que não permitam reidentificação por meios razoáveis.

10. Direitos dos titulares

Nos termos da LGPD, o titular pode solicitar confirmação da existência de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, revisão quando aplicável e revogação do consentimento quando esta for a base legal utilizada.

Solicitações de colaboradores respondentes relacionadas a dados sob controle da empresa empregadora devem ser direcionadas preferencialmente ao Cliente Final, que é, em regra, o controlador. A SetNexa apoiará o Parceiro autorizado e o Cliente Final no atendimento, quando tecnicamente possível e nos limites contratuais.

Pela natureza anônima das respostas, após a destruição do vínculo técnico entre e-mail e token, pode não ser tecnicamente possível localizar, exibir, corrigir ou excluir uma resposta individual. Esse limite decorre da proteção de anonimato e não representa recusa arbitrária de direito.

11. Aviso de privacidade aos respondentes

Antes de responder ao questionário, o colaborador respondente deve receber aviso claro sobre:

quem é o Cliente Final controlador;
quem é o Parceiro autorizado que conduz a aplicação;
que a SetNexa atua como ferramenta tecnológica e/ou suboperadora;
a finalidade da coleta;
o caráter agregado e anônimo dos resultados;
o mínimo de respondentes para exibição;
os canais para exercício de direitos.

Em relações de trabalho, o tratamento de dados não deve depender exclusivamente de consentimento quando houver assimetria entre empregador e empregado. A base legal deve ser definida pelo controlador, e o aviso ao respondente deve funcionar como instrumento de transparência, ciência e informação.

12. Cookies

Utilizamos cookies e tecnologias semelhantes para:

funcionamento essencial da plataforma e autenticação;
segurança e prevenção de fraude;
medição de desempenho e melhoria do site, quando aplicável;
preferências do usuário.

Cookies estritamente necessários não podem ser desativados sem comprometer o funcionamento da plataforma. Cookies não essenciais serão tratados conforme mecanismo de preferência ou consentimento, quando aplicável.

13. Incidentes de segurança

Caso ocorra incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a SetNexa adotará medidas de apuração, contenção e mitigação, e cooperará com Parceiros autorizados e Clientes Finais para cumprimento das obrigações legais aplicáveis.

Quando a SetNexa atuar como operadora ou suboperadora, comunicará o incidente ao agente controlador ou operador contratante em prazo razoável e com as informações disponíveis, para viabilizar eventual comunicação à ANPD e aos titulares, quando exigida pela LGPD.

14. Dados de menores de idade

A SetNexa é destinada a uso corporativo e não é direcionada a menores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes. Caso o Cliente Final ou Parceiro autorizado inclua dados de menor de idade, deverá possuir base legal adequada e instruções específicas. Na ausência de base legal ou necessidade, os dados serão eliminados ou bloqueados.

15. Agente de tratamento de pequeno porte e canal de atendimento

Quando aplicável ao seu enquadramento, a Prestadora SetNexa poderá adotar regras diferenciadas previstas para agentes de tratamento de pequeno porte. Isso não elimina o dever de observar os princípios da LGPD, proteger dados pessoais, manter segurança adequada, atender titulares e cooperar com controladores e operadores.

Para exercer direitos, esclarecer dúvidas ou comunicar questões relacionadas a dados pessoais:

E-mail: privacidade@setnexa.com.br

Este canal deve estar ativo, monitorado e apto a encaminhar solicitações ao Parceiro autorizado ou Cliente Final quando a SetNexa não for a controladora do dado solicitado.

16. Alterações desta Política

Esta Política pode ser atualizada para refletir mudanças legais, regulatórias, contratuais, societárias, tecnológicas ou operacionais. A versão vigente estará disponível nesta página. Alterações relevantes serão comunicadas pelos canais adequados, quando aplicável.

Anexo — English summary for email deliverability reviewers

This English summary is provided for email service providers and deliverability reviewers. The binding version is the Portuguese text above.

SetNexa is a Brazilian B2B technology platform used by authorized occupational health and safety partners, NR-1 consultants and SESMT-related professionals to support occupational psychosocial risk assessment workflows.

Source of email addresses: all recipient email addresses are provided by the final business customer or by an authorized partner acting on behalf of that customer. SetNexa does not buy, rent, scrape or source third-party mailing lists.
Nature of emails: transactional and operational emails only, including anonymous questionnaire invitations and account notifications.
Data protection roles: in partner-mediated use, the final business customer is generally the controller, the authorized partner acts as processor or independent controller depending on the case, and SetNexa acts as processor/subprocessor for platform operation.
Anonymity by design: survey responses are displayed only in aggregated form, with a minimum respondent threshold and safeguards against reidentification.
Subprocessors: infrastructure, email, payment and AI providers may be used under contractual and security safeguards.

For privacy matters, contact privacidade@setnexa.com.br.

Esta Política integra e deve ser lida em conjunto com os Termos de Uso da SetNexa.