Política de Privacidade

Mental Corp Pro — última atualização em 11 de maio de 2026

1. Identificação do Controlador

O Mental Corp Pro é um aplicativo de gestão de saúde mental e prevenção de riscos psicossociais no trabalho, em conformidade com a Norma Regulamentadora nº 1 (NR-1). É operado pela Synergis Consultoria Mindtech LTDA, pessoa jurídica de direito privado inscrita no CNPJ sob o nº 66.033.693/0001-27, com sede em Praia de Botafogo, 501, Bloco I, Sala 101, Botafogo, Rio de Janeiro/RJ, CEP 22250-911.

Encarregado pelo Tratamento de Dados Pessoais (DPO): Synergis Consultoria Mindtech LTDA, na qualidade de encarregado nomeado pelo próprio controlador nos termos do art. 41 da LGPD. Contato dedicado para assuntos de privacidade e exercício de direitos do titular: privacidade@synergisconsultoria.com.br. Contato geral da Synergis: contato@synergisconsultoria.com.br. Telefone: (21) 96737-6060.

O Mental Corp Pro é disponibilizado por contratação a empresas, e seus colaboradores são os titulares dos dados pessoais tratados nesta plataforma.

2. Dados Pessoais Tratados

Tratamos as seguintes categorias de dados pessoais para operar o serviço e cumprir as obrigações regulatórias aplicáveis:

IdentificaçãoNome, CPF, e-mail, telefone
Vínculo empregatícioEmpresa, departamento, cargo, data de admissão, status do vínculo
Respostas a avaliações psicossociaisRespostas individuais aos questionários COPSOQ II, HSE e instrumentos correlatos (dados de saúde mental — categoria sensível)
Indicadores de bem-estar e riscoPontuações por dimensão, classificações de risco, evolução ao longo do tempo (categoria sensível)
Interações com a HygeaConteúdo das conversas com o assistente virtual baseado em IA (categoria sensível)
Dados técnicosLogs de acesso, endereço IP, identificador e modelo do dispositivo, versão do aplicativo, eventos de segurança e auditoria

Não coletamos: dados biométricos, dados financeiros, geolocalização GPS, fotos, microfone, câmera, agenda de contatos do dispositivo.

3. Finalidades e Bases Legais

O tratamento de dados pessoais é realizado nas seguintes finalidades e bases:

  • Aplicação de avaliações de risco psicossocial e indicadores derivados — base legal: cumprimento de obrigação regulatória (LGPD Art. 7º, II e Art. 11, II, “a”, em conformidade com a NR-1) e consentimento explícito do titular (LGPD Art. 11, I) para dados sensíveis.
  • Autenticação, vínculo do colaborador com a empresa empregadora e operação do contrato — base legal: execução de contrato e procedimentos preliminares (LGPD Art. 7º, V).
  • Geração de indicadores agregados para gestores e RH das empresas contratantes, respeitado o limiar mínimo de anonimato — base legal: cumprimento de obrigação regulatória (NR-1) e legítimo interesse, sempre com garantia de anonimização técnica de identificação individual.
  • Suporte conversacional via Hygea (IA), conteúdos personalizados (Trilha) e recomendações — base legal: consentimento explícito do titular (LGPD Art. 11, I), revogável a qualquer momento.
  • Segurança da informação, prevenção de fraude e auditoria — base legal: legítimo interesse do controlador (LGPD Art. 7º, IX) e cumprimento de obrigação legal (LGPD Art. 7º, II).
  • Cumprimento de ordens judiciais e requisições de autoridade competente — base legal: cumprimento de obrigação legal (LGPD Art. 7º, II).

4. Compartilhamento de Dados

4.1. Empresa contratante (empregadora). A empresa que contratou a Synergis tem acesso a:

  • Dados agregados por departamento, equipe ou unidade — somente quando o número de respondentes atinge o limiar mínimo configurado pela empresa, com piso de 5 respondentes, para preservar o anonimato individual.
  • Status de participação individual (participou ou não do ciclo) — sem acesso às respostas individuais do colaborador.
  • Sinalização de eventos clínicos críticos (ideação suicida, autolesão, ameaça iminente) quando previsto contratualmente e respeitando o protocolo clínico, exclusivamente para fins de acolhimento e suporte ao colaborador.

4.2. Operadores (sub-processadores). Para operar o serviço, utilizamos operadores externos sujeitos a contratos de tratamento de dados (DPA) em conformidade com o art. 39 da LGPD, garantindo padrão de proteção equivalente ao desta política. As categorias de operadores incluem:

  • Infraestrutura em nuvem — hospedagem, banco de dados, armazenamento e processamento computacional, com servidores localizados em território brasileiro.
  • Inteligência artificial — provedor de modelos de linguagem para operação da Hygea, com infraestrutura sediada em país com nível adequado de proteção de dados pessoais e cláusulas contratuais específicas para tratamento de dados sensíveis.
  • Comunicação operacional — provedores de envio de e-mail e mensagens para convites, notificações e comunicações de serviço.

A lista nominal atualizada de operadores em uso, bem como cópia das cláusulas contratuais aplicáveis, pode ser solicitada ao encarregado mediante demonstração de legítimo interesse do titular ou da autoridade competente.

4.3. Não vendemos dados pessoais a terceiros. Não compartilhamos dados com anunciantes nem utilizamos os dados pessoais dos titulares para fins comerciais alheios ao objeto desta plataforma.

4.4. Em caso de obrigação legal ou ordem judicial, dados poderão ser fornecidos a autoridades competentes mediante requisição formal, no estrito limite da requisição.

5. Armazenamento, Segurança e Transferência Internacional

5.1. Localização. Os dados pessoais dos titulares são armazenados em servidores localizados em território brasileiro, hospedados em provedor de infraestrutura em nuvem com certificações internacionais de segurança da informação reconhecidas pelo mercado.

5.2. Transferência internacional. O processamento por modelos de inteligência artificial que operam a Hygea pode envolver transferência internacional de dados a operador sediado em país com nível adequado de proteção de dados pessoais, mediante cláusulas contratuais específicas que garantem nível de proteção compatível com a LGPD, conforme art. 33, inciso II, alínea “a”.

5.3. Medidas técnicas e administrativas. Adotamos medidas técnicas, administrativas e organizacionais alinhadas às melhores práticas do setor, incluindo:

  • Criptografia em trânsito de todas as comunicações entre cliente e servidor.
  • Criptografia em repouso do banco de dados e camada adicional de criptografia a nível de aplicação sobre os campos pessoais sensíveis (identificação, respostas a avaliações e interações com a Hygea).
  • Controle de acesso por papéis, com permissões granulares por função. O acesso a dados individuais é limitado ao próprio titular; profissionais clínicos e administradores acessam dados apenas na medida estritamente necessária para a função, sob trilha de auditoria.
  • Registro auditável de operações relevantes sobre dados pessoais, com retenção proporcional à exigência regulatória aplicável.
  • Cópias de segurança regulares, armazenadas criptografadas, com plano de recuperação testado periodicamente.
  • Avaliações periódicas de segurança, incluindo verificação de vulnerabilidades e revisão de privilégios de acesso.
  • Treinamento periódico em proteção de dados e sigilo profissional para colaboradores e prestadores com acesso a dados pessoais.

5.4. Sigilo clínico. O conteúdo individual das interações com a Hygea, as respostas individuais a avaliações e qualquer dado clínico identificável são tratados sob sigilo. Esses dados não são acessíveis à empresa empregadora em forma individual — somente indicadores agregados, dentro do limiar mínimo de anonimato configurado, são compartilhados, na linha de orientação do Conselho Federal de Psicologia (Resolução CFP nº 11/2018) e da Norma Regulamentadora nº 7 (NR-7) sobre programas de controle médico de saúde ocupacional.

6. Prazos de Retenção

Respostas a avaliações e indicadores derivados5 anos após o desligamento do colaborador (exigência da NR-1 e CLT — registros de saúde ocupacional)
Interações com a Hygea (uso ordinário)6 meses, salvo se vinculadas a eventos clínicos críticos, hipótese em que aplicamos a retenção de 5 anos abaixo
Eventos clínicos críticos e protocolos de acolhimento5 anos após o desligamento, para mitigação de risco e auditoria clínica
Trilha de auditoria10 anos, em razão de exigência de prova em obrigações regulatórias e judiciais
Dados de identificaçãoEnquanto durar o vínculo do titular com a empresa contratante, somado a 5 anos pós-desligamento (NR-1)

Findos os prazos, os dados são anonimizados de modo irreversível ou eliminados. Dados anonimizados podem ser mantidos para fins estatísticos agregados.

7. Direitos do Titular (LGPD Art. 18)

Você pode, a qualquer momento, exercer os seguintes direitos relativos aos seus dados pessoais:

  • Confirmar a existência de tratamento de seus dados.
  • Acessar seus dados, com cópia em formato eletrônico.
  • Corrigir dados incompletos, inexatos ou desatualizados.
  • Solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Solicitar a portabilidade dos seus dados a outro fornecedor de serviço, em formato estruturado, observados os segredos comerciais e industriais.
  • Eliminar os dados tratados com base no seu consentimento, ressalvadas as hipóteses de conservação obrigatória previstas na LGPD e na NR-1.
  • Obter informação sobre as entidades com as quais compartilhamos seus dados.
  • Revogar o consentimento, a qualquer momento, mediante manifestação expressa do titular.
  • Peticionar à Autoridade Nacional de Proteção de Dados (ANPD) contra o controlador.

Para exercer qualquer dos direitos acima, envie sua solicitação ao DPO pelo e-mail privacidade@synergisconsultoria.com.br. Prazo de resposta: até 15 dias úteis.

Limitação importante: dados retidos por obrigação regulatória (especialmente NR-1) não podem ser eliminados antes do prazo legal, ainda que solicitado pelo titular. Nesses casos, os dados são bloqueados para acesso operacional até o vencimento da retenção.

8. Consentimento

No primeiro acesso ao Mental Corp Pro, o titular é apresentado a um termo de consentimento explícito específico para o tratamento de dados pessoais sensíveis (saúde mental) e para o uso da Hygea. O consentimento é registrado de forma auditável (data, hora, versão do termo, identificador do titular) e pode ser revogado a qualquer momento mediante solicitação ao DPO.

A revogação do consentimento não afeta a licitude do tratamento realizado anteriormente, nem dispensa retenções obrigatórias por força de NR-1 ou outras normas aplicáveis.

9. Menores de Idade

O Mental Corp Pro destina-se exclusivamente a colaboradores maiores de 18 anos. Não coletamos intencionalmente dados de menores. As empresas contratantes são responsáveis por garantir que os usuários cadastrados sejam maiores de idade. Caso identifiquemos coleta inadvertida de dados de menores, os dados serão eliminados imediatamente.

10. Cookies e Tecnologias Similares

O aplicativo móvel do Mental Corp Pro não utiliza cookies. As credenciais de autenticação são guardadas no armazenamento seguro nativo do sistema operacional do dispositivo. A versão web utiliza apenas cookies estritamente necessários para autenticação e operação da sessão, com flags de segurança recomendadas pelas melhores práticas (acesso restrito ao servidor, transmissão apenas por canal criptografado e restrição de origem cruzada). Não utilizamos cookies publicitários, analíticos de terceiros ou de rastreamento entre sites.

11. Hygea — Inteligência Artificial e Decisões Automatizadas

A Hygea é um assistente conversacional baseado em modelos de inteligência artificial. Limitações e garantias importantes:

  • A Hygea não substitui atendimento profissional por psicólogo, psiquiatra ou outro profissional de saúde mental.
  • As respostas da Hygea são geradas por modelo estatístico e podem apresentar imprecisões. Não devem ser interpretadas como diagnóstico, prescrição, tratamento ou conduta clínica.
  • Em todas as interações da Hygea, exibimos referência ao Centro de Valorização da Vida (CVV): 188 (ligação gratuita 24h) e cvv.org.br/chat.
  • A Hygea não toma decisões automatizadas com efeitos jurídicos ou relevantes sobre o titular nos termos do art. 20 da LGPD. Eventuais triagens, classificações ou indicações geradas pelo sistema têm caráter meramente informativo e de apoio, não substituindo análise humana.
  • Sinais clínicos críticos identificados durante a interação (ideação suicida, autolesão ou ameaça iminente à integridade do titular ou de terceiros) acionam protocolo específico de acolhimento e podem ser comunicados ao RH, à área clínica responsável ou à empresa contratante, exclusivamente para fins de acolhimento e suporte ao colaborador, conforme previsto contratualmente.
  • Direito a revisão humana: nos termos do art. 20 da LGPD, o titular pode solicitar a revisão humana de qualquer indicação automatizada relativa a si por meio do canal de privacidade do encarregado.
  • Não utilizamos dados de saúde mental dos titulares para treinar modelos de inteligência artificial.

12. Anonimização para Fins Estatísticos

Mediante solicitação de eliminação ou ao final do prazo de retenção, dados podem ser irreversivelmente anonimizados em vez de eliminados, hipótese em que deixam de ser considerados dados pessoais nos termos da LGPD (Art. 12). Dados anonimizados podem ser mantidos exclusivamente para fins estatísticos agregados, pesquisa epidemiológica em saúde ocupacional e melhoria do serviço, sem identificação individual.

13. Não Discriminação e Sigilo Trabalhista

A participação no Mental Corp Pro, os resultados das avaliações e o conteúdo das interações com a Hygea não podem ser utilizados pela empresa empregadora como base para decisões de admissão, demissão, promoção, redução salarial, alteração de atribuições ou qualquer outra medida de natureza disciplinar ou discriminatória contra o titular.

Caso o titular identifique uso indevido dos seus dados pela empresa empregadora em violação a este princípio, deve reportar imediatamente ao encarregado para apuração e adoção das medidas cabíveis, incluindo comunicação à ANPD e às autoridades trabalhistas competentes, sem prejuízo das ações próprias do titular.

14. Incidentes de Segurança

Adotamos procedimentos formais de detecção, resposta, contenção e comunicação de incidentes de segurança envolvendo dados pessoais. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares:

  • Comunicaremos a ANPD em prazo razoável a contar da ciência do incidente, em conformidade com a Resolução CD/ANPD nº 15/2024 e demais regulamentações aplicáveis.
  • Comunicaremos os titulares afetados sempre que o incidente puder acarretar risco ou dano relevante, descrevendo a natureza dos dados, os riscos envolvidos, as medidas adotadas para mitigar os efeitos e as recomendações de proteção ao titular.
  • Manteremos registro interno de todos os incidentes, ainda que não comunicáveis, para fins de auditoria.

15. Atualizações desta Política

Esta Política de Privacidade pode ser atualizada periodicamente para refletir alterações nas práticas de tratamento de dados ou na legislação aplicável. Alterações materiais serão comunicadas com pelo menos 30 dias de antecedência por meio do aplicativo e por e-mail, quando aplicável. A data da última atualização consta no topo desta página.

16. Contato e Foro

Dúvidas, solicitações relacionadas aos direitos do titular ou comunicações referentes a esta política devem ser direcionadas ao DPO:

Esta política é regida pela legislação brasileira. Fica eleito o foro da Comarca da Capital do Estado do Rio de Janeiro para dirimir quaisquer questões decorrentes desta Política de Privacidade, com renúncia a qualquer outro, por mais privilegiado que seja.