Política de Privacidade

1. Sobre este documento

Esta Política de Privacidade descreve como a Epic Hub Comércio e Serviços Ltda. ("EpicHub") trata dados pessoais de colaboradores, candidatos, clientes, fornecedores e visitantes em seus sistemas, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018, "LGPD").

2. Quais dados coletamos

• Cadastro de colaborador: nome completo, CPF, RG, data de nascimento, endereço, telefone, e-mail corporativo e pessoal, dados bancários (para folha), foto.
• Saúde ocupacional: exames ASO e formulários GRO/PGR (cifrados em repouso).
• Comunicação interna: mensagens privadas RH↔colaborador, mural, sugestões, solicitações (cifrados em repouso).
• Atendimento ao cliente: nome, e-mail, CPF, telefone e histórico de tickets (módulo Chatwoot/Ocorrências).
• Acesso/auditoria: data e IP de login, ações em registros críticos.

3. Bases legais para tratamento

• Execução de contrato (Art.7º, V) — folha, benefícios, comunicação interna.
• Cumprimento de obrigação legal/regulatória (Art.7º, II) — eSocial, NFe, fiscal, trabalhista.
• Legítimo interesse (Art.7º, IX) — segurança da informação, prevenção a fraude.
• Consentimento (Art.7º, I) — comunicações de marketing e cookies analíticos.

4. Finalidades

Os dados são utilizados para gestão de pessoal (folha, benefícios, escalas, saúde ocupacional), execução de pedidos e atendimento, emissão fiscal, comunicação institucional e cumprimento de obrigações legais. Não realizamos perfilamento automatizado que produza efeitos relevantes ao titular sem revisão humana.

5. Compartilhamento

Compartilhamos dados estritamente com:

• Órgãos públicos (Receita Federal, eSocial, SEFAZ) quando exigido por lei.
• Operadores contratados (Hostinger — hospedagem; Chatwoot — atendimento; SIGE/Bling — ERP). Todos sob contrato com cláusulas de proteção de dados.
• Autoridade Nacional de Proteção de Dados (ANPD) em caso de incidente ou requisição.

Não vendemos nem cedemos dados pessoais a terceiros para fins comerciais.

6. Retenção e descarte

• Mensagens privadas e mural: 180 dias após leitura ou expiração, depois arquivadas em forma cifrada por mais 4 anos quando exigido por compliance trabalhista, e descartadas em seguida.
• Folha, contratos e prontuário: conforme exigência legal (5 a 20 anos a depender do documento).
• Notas fiscais e financeiro: 5 anos (Receita Federal).
• Logs de auditoria: 12 meses.

7. Segurança e medidas técnicas

• Criptografia AES-256-GCM em campos sensíveis em repouso (ASO, mensagens, mural).
• Senhas com hash bcrypt/Argon2id; nunca armazenadas em claro.
• Sessões HTTPS-only, HttpOnly, SameSite, com timeout por inatividade.
• CSRF, rate-limiting em login, validação MIME em uploads.
• HSTS, headers X-Content-Type-Options, X-Frame-Options, Referrer-Policy.
• Logs auditáveis com IP e identidade para operações sensíveis (LGPD Art.37).

8. Seus direitos (LGPD Art.18)

Como titular você pode:

• Confirmar a existência de tratamento.
• Acessar seus dados (vide exportação).
• Solicitar correção de dados incompletos, inexatos ou desatualizados.
• Solicitar anonimização, bloqueio ou eliminação (formulário) — respeitadas obrigações legais que impeçam o descarte.
• Solicitar portabilidade em formato estruturado.
• Revogar consentimento, quando aplicável.

Atendemos requisições em até 15 dias úteis a partir do recebimento.

9. Cookies

Utilizamos cookies essenciais (sessão de login, CSRF), de preferência (idioma, tema) e analíticos. Os analíticos só são ativados após consentimento explícito no banner de cookies.

10. Incidentes de segurança

Em caso de incidente de segurança com risco aos titulares, comunicaremos a ANPD e os afetados em até 48 horas, conforme determinação da autoridade, com descrição dos dados envolvidos, medidas adotadas e canais de contato.

11. Contato do Encarregado (DPO)

Para exercer seus direitos ou esclarecer dúvidas, contate nosso Encarregado de Proteção de Dados:

• E-mail: dpo@epichub.com.br
• Resposta em até 15 dias úteis (LGPD Art.19, §1º).