VALORALAB
    [ privacidade ]

    Política de Privacidade.

    Como a ValoraLab trata dados pessoais sob LGPD. Cobre leads, prospects, parceiros e colaboradores de empresas-cliente cujos dados processamos em entregáveis contratados.

    Versão 1.1.0 Experimental. Última atualização: 6 de junho de 2026.

    Sobre esta política

    Esta página explica como a ValoraLab trata dados pessoais. Cobre tanto pessoas que entram em contato direto com a empresa (leads, prospects, parceiros) quanto colaboradores e ex-colaboradores de empresas-cliente cujos dados a ValoraLab processa em entregáveis contratados.

    Cada afirmação faz referência ao artigo da LGPD (Lei 13.709/2018) que a sustenta, ou ao documento interno auditável correspondente. Em caso de dúvida sobre qualquer ponto, o canal único é dpo@valoralab.com.br.

    1.Quem é a ValoraLab

    A ValoraLab é o nome fantasia da Centro Paulista de Gestão de Carreira Ltda - ME, a pessoa jurídica por trás de valoralab.com.br. Atua como CHRO as a Service AI-native: presta consultoria estratégica e operacional em pessoas e cultura para empresas mid-market e Enterprise no Brasil, com apoio extensivo de IA na produção de análises e entregáveis.

    • Razão social: Centro Paulista de Gestão de Carreira Ltda - ME
    • Nome fantasia: ValoraLab
    • CNPJ: 19.451.378/0001-30
    • Sede: São Paulo/SP
    • Site: valoralab.com.br
    • Contato comercial: gabriel@valoralab.com.br

    2.Encarregado de Tratamento de Dados (DPO)

    A LGPD Art. 41 obriga toda controladora a designar um Encarregado de Tratamento de Dados Pessoais (Data Protection Officer / DPO). É a pessoa responsável por receber reclamações de titulares, comunicar-se com a Autoridade Nacional de Proteção de Dados (ANPD) e orientar a operação interna sobre práticas de proteção.

    • Encarregado: Gabriel Santa Rosa
    • Função na empresa: fundador e operador principal
    • Canal único: dpo@valoralab.com.br
    • Prazo de resposta: até 15 dias corridos (LGPD Art. 19 §1)

    A acumulação atual entre o papel de Encarregado e a função de fundador é coerente com o porte da empresa. A ValoraLab declara um gatilho objetivo de desacumulação no documento interno VLB-GOV-013-DPO §3: quando qualquer uma das três dimensões (volume de clientes, exposição a contratos Enterprise ou tratamento sensível em escala, dispersão geográfica) for atingida, o papel de DPO será separado e esta política será atualizada.

    3.Quais dados pessoais tratamos

    A ValoraLab trata três grupos distintos de dados pessoais. Os controles aplicados a cada grupo são diferentes, porque a relação jurídica também é diferente.

    3.1 Dados de pessoas que entram em contato direto

    São os dados que você nos fornece quando preenche o formulário de contato no site, envia e-mail ou aceita uma reunião comercial. Tipicamente incluem nome, e-mail profissional, empresa, cargo e o conteúdo da mensagem que você nos envia. A ValoraLab é a Controladora desses dados.

    3.2 Dados de colaboradores de empresas-cliente

    Em projetos contratados, a ValoraLab processa dados de pessoas que trabalham (ou trabalharam) na empresa-cliente para gerar análises de cultura, recomendações de remuneração, diagnósticos de clima e similares. Tipicamente incluem nome, cargo, área, tempo de casa, avaliações de desempenho, dados demográficos e, em projetos específicos, dados de saúde ocupacional ou de diversidade.

    Nesses casos, a empresa-cliente é a Controladora e a ValoraLab é a Operadora. A finalidade do tratamento, a base legal e os limites são definidos pelo contrato firmado entre as partes.

    3.3 Dados sensíveis (LGPD Art. 11)

    A ValoraLab trata dados sensíveis (saúde ocupacional NR-7, diversidade e inclusão como raça, gênero e orientação sexual) apenas em projetos que pedem expressamente esse escopo, e sempre sob controles específicos: anonimização obrigatória nos outputs, agregação por subgrupo de no mínimo 10 pessoas, nunca relatório individual nominal. Esses controles vivem em um documento interno (Protocolo de Segurança de Dados de Cliente, GOV-04) auditável por cliente em due diligence.

    3.4 Dados do formulário de Estudos (Insights)

    Para desbloquear a profundidade de um Estudo na área Insights (relatório interativo, diagnóstico de prontidão e PDF), você preenche um formulário. Nesse fluxo, a ValoraLab é a Controladora dos dados, tratados sob o seu consentimento.

    • Dados coletados: nome, e-mail corporativo, empresa, cargo, um qualificador (porte da empresa) e, caso você faça o diagnóstico, as respostas dele (estágio de orquestração e scores por dimensão).
    • Finalidades: entregar o material solicitado e fazer contato comercial sobre os serviços da ValoraLab.
    • Base legal: seu consentimento (LGPD Art. 7, I), coletado no próprio formulário e revogável a qualquer momento.
    • Operador: Google (Apps Script e Google Sheets). A transferência internacional está amparada nas cláusulas contratuais do Google Workspace (LGPD Art. 33, VII).
    • Retenção: enquanto houver interesse comercial ativo; descarte após 24 meses de inatividade ou mediante revogação do consentimento.
    • Seus direitos: todos os do Art. 18, inclusive a revogação do consentimento (Art. 18, IX), pelo canal único dpo@valoralab.com.br.

    4.Para que tratamos seus dados

    FinalidadeEm que situação se aplica
    Atender pedido de contato comercialVocê preenche um formulário, nos envia e-mail ou aceita uma reunião introdutória
    Conduzir um processo comercialSua empresa avalia uma proposta da ValoraLab; mantemos você no pipeline ativo até decisão
    Executar um contrato vigenteSua empresa contratou a ValoraLab e o entregável precisa de dados para ser produzido
    Comunicação operacional (e-mail, reunião)Em qualquer momento da jornada, é o canal por onde a relação acontece
    Backup e auditoriaCumprir obrigações fiscais e contábeis; permitir auditoria de cliente Enterprise em due diligence

    5.Em qual base legal nos apoiamos

    A LGPD Art. 7 lista 10 bases legais para tratamento de dado pessoal comum, e o Art. 11 lista 7 bases para dado sensível. A ValoraLab opera predominantemente sob:

    • Art. 7, V, procedimentos preliminares de contrato: quando você fornece dados em pedido de contato comercial; quando processamos dados de colaboradores em projeto contratado.
    • Art. 7, IX, legítimo interesse: comunicação operacional com leads e clientes; manutenção de pipeline comercial; preservação de logs de governança institucional.
    • Art. 7, II, cumprimento de obrigação legal: retenção de dados fiscais e contábeis; preservação de evidências exigidas por norma técnica (ABNT NBR ISO/IEC 27001:2022).
    • Art. 7, X, proteção do crédito: quando aplicável a operações de M&A ou due diligence.

    Para dado sensível:

    • Art. 11, II, "f", proteção da saúde: análise de dados de saúde ocupacional, sob autorização específica do cliente-controlador.
    • Art. 11, II, "g", estudos por órgão de pesquisa: interpretação extensiva para consultoria especializada em DEI, com autorização do cliente-controlador e anonimização obrigatória.

    A interpretação operacional dessas bases é registrada no Programa LGPD interno (VLB-GOV-013) e revista anualmente. Em disputa concreta, a base é defendida com fundamentação contextual.

    6.Com quem compartilhamos seus dados

    A ValoraLab usa um conjunto de fornecedores de tecnologia para operar: provedores de e-mail e armazenamento, ferramenta de IA, CRM, formulário de contato e similares. Esses fornecedores são subcontratados-Operadores: processam dados em trânsito ou em repouso para que a empresa possa entregar o serviço.

    Os fornecedores que tratam dado pessoal estão inventariados em uma matriz interna (Third-Party Risk Management, VLB-GOV-014) com avaliação de risco e Data Processing Agreement (DPA) por fornecedor quando aplicável. A título de exemplo: e-mail e armazenamento operam em Google Workspace; análises com IA usam Anthropic; formulário de contato no site usa Formspree; o site é hospedado em Vercel (construído com React, TypeScript e Vite).

    A ValoraLab não vende dados pessoais a terceiros, em hipótese nenhuma. Compartilhamento com terceiros ocorre apenas (a) com subcontratados-Operadores listados acima, sempre sob contrato de tratamento; (b) por exigência legal específica, como ordem judicial ou requisição de autoridade competente; (c) com seu consentimento explícito para uma finalidade declarada.

    Se quiser saber quais subcontratados específicos tratam seus dados em uma operação concreta, pode pedir ao DPO. É o direito previsto no Art. 18, VII.

    7.Transferência internacional

    Alguns subcontratados-Operadores processam dados em servidores fora do território brasileiro. O caso principal é a Anthropic, que opera o modelo Claude usado em parte das análises da ValoraLab, com servidores nos Estados Unidos. A base legal da transferência é Art. 33, VII (cláusulas-padrão contratuais) ou Art. 33, IX (consentimento específico do titular para finalidade determinada), conforme o caso. Essas garantias são detalhadas no DPA assinado com cada fornecedor.

    8.Por quanto tempo retemos seus dados

    A LGPD Art. 6, III pede minimização. Dados não são mantidos além do tempo necessário para a finalidade. A ValoraLab opera com a tabela de retenção abaixo (resumo da política interna VLB-GOV-013-RET):

    CategoriaPrazoApós o prazo
    Lead que nos contatou mas não converteu em contrato18 meses, com revisão anual da políticaExclusão de Gmail e HubSpot
    Lead do formulário de Estudos (consentimento)Enquanto houver interesse comercial ativoDescarte após 24 meses de inatividade ou na revogação do consentimento
    Prospect ativo no pipeline (sem conversão ainda)Durante relacionamento ativo + 24 meses pós-encerramentoExclusão de HubSpot com registro
    Dado de colaborador de cliente em projeto vigenteDurante o contrato + 12 mesesExclusão da pasta + lixeira esvaziada
    Dado sensível (Art. 11) tratado em projetoMínimo necessário; 30 dias pós-entregaExclusão imediata + registro de destruição enviado ao cliente
    Dado fiscal e contábil da empresa5 anos (Código Tributário Nacional, Art. 173)Conforme contador
    Pareceres internos de auditoria, decision logs e logs de fluxoPermanente, com base em legítimo interesse de governança documentadaSem descarte programado

    Em situações específicas (investigação ou processo em curso, obrigação legal específica do cliente, solicitação formal de preservação pelo titular), o prazo pode ser estendido com justificativa registrada. O titular pode, a qualquer momento, pedir confirmação de qual prazo se aplica aos seus dados.

    9.Quais são seus direitos

    A LGPD Art. 18 lista nove direitos. A ValoraLab atende todos:

    DireitoO que significa
    I, Confirmação de tratamentoVocê pode pedir confirmação de que tratamos (ou não) seus dados
    II, Acesso aos dadosVocê pode pedir um extrato dos seus dados que tratamos
    III, CorreçãoPode pedir correção de dado incompleto, inexato ou desatualizado
    IV, Anonimização, bloqueio ou eliminaçãoPode pedir anonimização, bloqueio ou eliminação de dado desnecessário, excessivo ou tratado em desconformidade
    V, PortabilidadePode pedir um pacote dos seus dados em formato estruturado para transferir a outro fornecedor
    VI, Eliminação dos dados tratados com consentimentoPode pedir eliminação de dados tratados com base em consentimento, exceto quando há outra base legal para retenção
    VII, Informação sobre compartilhamentosPode pedir a lista de empresas com as quais compartilhamos seus dados
    VIII, Informação sobre não fornecer consentimentoPode pedir esclarecimento sobre as consequências de não fornecer consentimento, quando este é a base aplicada
    IX, Revogação do consentimentoPode revogar consentimento previamente dado, com efeitos para frente

    10.Como exercer seus direitos

    Canal único: dpo@valoralab.com.br

    Como funciona o atendimento:

    1. Você envia o pedido por e-mail ao DPO. Pode estar em texto livre, só precisamos identificar você e qual direito você está exercendo.
    2. O DPO confirma o recebimento em até 48 horas úteis.
    3. Em casos onde a relação não é evidente (terceiro, ex-cliente, identidade ambígua), o DPO pode pedir documento de identidade ou prova de relação com o tratamento alegado.
    4. O DPO faz triagem do pedido, consulta os registros internos relevantes e executa a ação solicitada.
    5. A resposta substantiva chega em até 15 dias corridos da solicitação (LGPD Art. 19 §1). Em casos complexos, o DPO pode comunicar prorrogação justificada com prazo final em até 30 dias.

    Sem custo: o exercício dos seus direitos é gratuito.

    Recusa: em casos específicos previstos na LGPD (autenticação que falha, base legal distinta de consentimento que impede eliminação, solicitação manifestamente excessiva ou repetitiva, dado pertencente a terceiro sem legitimidade comprovada), a ValoraLab pode recusar o pedido. A recusa é sempre por escrito, com fundamentação no artigo aplicável da LGPD.

    Recurso à ANPD: se você não ficar satisfeito com a resposta da ValoraLab, pode reclamar diretamente à Autoridade Nacional de Proteção de Dados (LGPD Art. 18 §8). O procedimento de fiscalização da ANPD é regulamentado pela Resolução 1/2021. O canal é gov.br/anpd.

    11.Como protegemos seus dados

    A ValoraLab opera com um Plano Diretor de Segurança da Informação (PDSI) interno (VLB-GOV-012) que define controles técnicos e organizacionais. Em resumo:

    • Acesso restrito: dados de cliente vivem em pastas dedicadas no Google Workspace, com acesso limitado ao operador autorizado.
    • Cofre criptografado: dados sensíveis (Art. 11) são adicionalmente protegidos em cofre Cryptomator antes do upload na nuvem.
    • Minimização em IA: dados de classificação alta nunca são inseridos integralmente em ferramentas de IA, apenas o subconjunto necessário para a finalidade.
    • Monitoramento contínuo: o agente de monitoramento interno (Sentinel) varre prazos de retenção, detecta drift e dispara remediação.
    • Auditoria: todas as decisões de tratamento são auditáveis por cliente em due diligence (protocolo Themis).

    A ValoraLab não promete impossibilidade de incidente. Promete protocolo definido para detectar, conter e comunicar. Em caso de incidente envolvendo dado pessoal, a comunicação ao titular afetado e à ANPD seguirá o procedimento da Resolução ANPD 2/2022.

    12.Cookies e tecnologias similares

    O site valoralab.com.br opera como aplicação single-page (SPA) hospedada em Vercel. Não usa cookies funcionais persistentes próprios. Não usa cookies de marketing ou rastreadores de publicidade comportamental. Não usa Google Ads, Facebook Pixel, HubSpot tracking, Hotjar, Clarity, Mixpanel ou qualquer outro perfilador comportamental de terceiros.

    A única categoria de cookies depositada é analítica, restrita ao Google Analytics 4 (GA4), e sujeita a opt-in explícito via banner em primeira visita.

    Cookies analíticos (opt-in obrigatório)

    NomeOrigemFinalidadeDuração
    _gaGoogle Analytics 4Distinguir usuários únicos para métrica agregada de visitas2 anos
    _ga_9Z2982CT8BGoogle Analytics 4 (container ValoraLab)Estado de sessão e persistência por container2 anos

    Fluxo de consentimento

    O GA4 é carregado em modo Google Consent Mode v2 com analytics_storage: 'denied' por padrão. Nenhum dado é coletado nem cookie depositado até consentimento explícito do titular.

    Em primeira visita, um banner é apresentado com duas opções: Aceitar (libera cookies analíticos) ou Apenas necessários (mantém analytics bloqueado). A decisão é registrada via localStorage do navegador na chave valoralab-cookie-consent e pode ser revista a qualquer momento clicando em "Gerenciar cookies" no rodapé.

    Configuração de privacidade adicional: anonymize_ip: true habilitado no GA4, removendo o último octeto do IP antes de qualquer processamento. Recursos de Google Signals, remarketing e audiences não são utilizados.

    Base legal: LGPD Art. 7, I (consentimento explícito do titular).

    13.Crianças e adolescentes

    A ValoraLab presta serviços B2B para empresas. Não coleta intencionalmente dados de crianças (menores de 12 anos) ou adolescentes (12 a 18 anos) por meio do site. Se identificarmos coleta inadvertida, os dados são excluídos e a coleta é interrompida.

    14.Atualizações desta política

    Esta política é revisada anualmente em maio. Revisões extraordinárias podem ocorrer por mudança regulatória, incidente, novo cliente Enterprise, novo fornecedor crítico ou primeira solicitação real de exercício de direito do titular.

    Mudanças materiais (alteração de finalidade, base legal, prazo de retenção, lista de subcontratados) são comunicadas com pelo menos 30 dias de antecedência via banner no site e, para titulares com canal direto conosco, via e-mail. Mudanças não materiais (correções, esclarecimentos) são publicadas com nota no rodapé da página. Eventuais sanções decorrentes de descumprimento são reguladas pela Resolução ANPD 4/2024.

    A versão atual e o histórico ficam disponíveis nesta mesma URL.

    15.Contato

    Para qualquer questão relativa a tratamento dos seus dados, exercício de direitos ou esta política:

    DPO da ValoraLab: dpo@valoralab.com.br

    Para reclamação a autoridade independente:

    ANPD: gov.br/anpd

    Política de Privacidade da Centro Paulista de Gestão de Carreira Ltda - ME (nome fantasia ValoraLab). Versão 1.1.0 Experimental, vigente a partir da publicação no site.