LGPD — Proteção de Dados
Esta página detalha como a plataforma na escala aplica a Lei Geral de Proteção de Dados (Lei 13.709/2018) no desenvolvimento do produto, no tratamento de dados sensíveis como biometria e localização, e no relacionamento com titulares e autoridades.
1. Marco Legal — Lei 13.709/2018
A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde setembro de 2020, estabelece as regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais no Brasil, impondo obrigações a empresas que tratam dados de pessoas físicas e assegurando direitos fundamentais de privacidade e autodeterminação informativa aos titulares. A na escala reconhece a LGPD como standard mínimo de conduta e adota seus princípios — finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização — como pilares do design da Plataforma e da operação interna.
2. Controlador e Operador — Papéis na Plataforma
A LGPD distingue dois papéis centrais: o controlador (quem decide sobre o tratamento) e o operador (quem trata dados em nome do controlador). Na relação estabelecida pela na escala: (a) A na escala é controladora dos dados de usuários que acessam o site institucional e dos usuários administradores que contratam a Plataforma (nome, e-mail, empresa, dados de faturamento e logs de uso do painel); (b) A empresa contratante é controladora dos dados dos colaboradores cadastrados na Plataforma para fins de controle de ponto (registros de jornada, biometria, localização GPS); (c) A na escala é operadora desses dados de colaboradores, processando-os exclusivamente por instrução da empresa contratante e para viabilizar as funcionalidades do serviço contratado. Essa distinção é contratualmente estabelecida e garante clareza sobre quem responde por quê perante os titulares e a ANPD.
3. Encarregado pelo Tratamento de Dados (DPO)
A na escala designou um encarregado pelo tratamento de dados pessoais (Data Protection Officer — DPO), responsável por: receber e responder às comunicações dos titulares e da ANPD; orientar os colaboradores da empresa sobre práticas de proteção de dados; e atuar como canal de comunicação entre a na escala, os titulares e a Autoridade Nacional de Proteção de Dados. O contato do DPO é: naescalaapp@gmail.com — assunto "DPO / LGPD". Solicitações serão respondidas em até 15 dias úteis.
4. Bases Legais Utilizadas
Todo tratamento de dados realizado pela na escala possui uma base legal específica prevista na LGPD. As bases adotadas são: (I) Consentimento (art. 7º, I e art. 11, I): utilizado para o tratamento de dados biométricos (template facial com liveness detection), que são dados sensíveis e exigem consentimento específico, livre, informado e inequívoco do colaborador antes da ativação do reconhecimento facial; o consentimento pode ser revogado a qualquer tempo; (II) Execução de contrato (art. 7º, V): para tratamento necessário à prestação do serviço contratado, como autenticação de usuários, geração de relatórios de jornada, faturamento e suporte; (III) Obrigação legal ou regulatória (art. 7º, II): para atendimento à Portaria MTP 671/2021 (registro eletrônico de ponto), obrigações trabalhistas, eSocial, legislação fiscal e ordens de autoridades competentes; (IV) Interesse legítimo (art. 7º, IX): para prevenção de fraudes, melhoria da segurança da Plataforma, comunicações relevantes ao relacionamento comercial e defesa de direitos em processos, garantindo que o interesse da na escala não sobrepõe de forma desproporcional os direitos dos titulares.
5. Dados Sensíveis — Biometria Facial
O reconhecimento facial com liveness detection (prova de vida) é classificado pela LGPD como dado pessoal sensível (art. 5º, II), pois se trata de dado biométrico que permite identificar unicamente uma pessoa natural. O tratamento desse dado observa protocolo reforçado: (a) Base legal exclusiva: consentimento específico do titular (art. 11, I), colhido pela empresa contratante antes da ativação da funcionalidade; (b) Minimização: o sistema gera um template matemático a partir da imagem facial para fins de comparação; a imagem bruta não é retida permanentemente; (c) Isolamento: templates biométricos são armazenados em ambiente segregado, com criptografia independente dos demais dados; (d) Finalidade única: o dado é usado exclusivamente para verificar a identidade do colaborador no momento do registro de ponto, sem qualquer uso secundário; (e) Exclusão garantida: o template é eliminado em até 30 dias após exclusão do colaborador da Plataforma ou após revogação do consentimento; (f) Sem compartilhamento: templates biométricos não são transferidos a terceiros para nenhuma finalidade.
6. Dados de Geolocalização (GPS e Geofence)
A captura de localização GPS é uma funcionalidade antifraude disponível nos planos Pro e Business. O dado de localização é tratado da seguinte forma: (a) Coleta pontual: a coordenada GPS é capturada apenas no momento exato do registro de ponto, não havendo monitoramento contínuo em segundo plano; (b) Finalidade declarada: verificar se o registro ocorre dentro do perímetro geográfico configurado pela empresa (geofence) e gerar auditoria do ponto; (c) Permissão do dispositivo: o aplicativo solicita permissão de localização ao colaborador, conforme exigências do sistema operacional; (d) Retenção vinculada ao plano: histórico de localização retido pelo mesmo prazo dos registros de ponto (180 dias no Pro, 365 dias no Business); (e) Acesso restrito: apenas gestores autorizados pela empresa contratante acessam os dados de localização dos colaboradores.
7. Direitos dos Titulares e Como Exercê-los
Nos termos do art. 18 da LGPD, o titular tem os seguintes direitos em relação aos seus dados pessoais tratados pela na escala: (I) Confirmação de tratamento: saber se seus dados são tratados; (II) Acesso aos dados: receber cópia dos dados mantidos; (III) Correção: solicitar atualização de dados incorretos ou incompletos; (IV) Anonimização ou eliminação de dados desnecessários; (V) Portabilidade: receber os dados em formato estruturado; (VI) Eliminação dos dados tratados com base em consentimento; (VII) Informação sobre compartilhamento com terceiros; (VIII) Revogação do consentimento, inclusive para dados biométricos; (IX) Oposição ao tratamento em caso de descumprimento da LGPD; (X) Revisão de decisões automatizadas. Para exercer esses direitos, o titular deve enviar e-mail para naescalaapp@gmail.com com assunto "Direitos LGPD", identificando-se com nome completo, CPF e e-mail cadastrado. Colaboradores de empresas clientes devem, preferencialmente, solicitar à empresa empregadora (controladora), que poderá acionar a na escala (operadora). O prazo de resposta é de até 15 dias corridos.
8. Prazos de Retenção dos Dados
A na escala aplica os seguintes critérios de retenção: (a) Registros de ponto dos colaboradores: 60 dias no Plano Free, 180 dias no Plano Pro e 365 dias no Plano Business, contados a partir de cada registro; após encerramento da conta, os dados ficam disponíveis para exportação por até 60 dias e são então eliminados; (b) Templates biométricos: mantidos enquanto o colaborador estiver ativo; eliminados em até 30 dias após exclusão do colaborador ou revogação de consentimento; (c) Dados de localização GPS: mesmos prazos dos registros de ponto do plano correspondente; (d) Dados de auditoria e logs de ponto com implicações trabalhistas: até 5 anos, para possibilitar defesa em reclamações trabalhistas; (e) Logs de acesso à Plataforma: mínimo de 6 meses conforme Marco Civil da Internet (Lei 12.965/2014); (f) Dados comerciais e de contrato: até 5 anos após encerramento do vínculo contratual; (g) Dados financeiros: conforme legislação fiscal e tributária, em geral 5 anos. A eliminação é realizada de forma segura, com destruição efetiva dos dados e dos backups correspondentes ao término do prazo aplicável.
9. Medidas de Segurança
A na escala implementa medidas de segurança técnicas e organizacionais proporcionais à sensibilidade dos dados tratados, incluindo: (a) Criptografia em trânsito via TLS 1.2 ou superior para toda comunicação entre aplicativo, painel e servidores; (b) Criptografia em repouso (AES-256) para dados armazenados, com camada adicional para dados biométricos; (c) Controle de acesso baseado em perfis (RBAC), garantindo que gestores acessem apenas dados das unidades sob sua responsabilidade; (d) Autenticação multifator (MFA) disponível para administradores; (e) Segregação de ambientes e segmentação de rede entre sistemas críticos; (f) Monitoramento contínuo de infraestrutura com alertas de anomalia; (g) Gestão de vulnerabilidades com testes de penetração periódicos; (h) Política de backup com testes regulares de restauração; (i) Processos internos de gestão de incidentes e plano de resposta a violação de dados. Em caso de incidente de segurança que resulte em risco ou dano relevante aos titulares, a na escala notificará a ANPD e os titulares afetados no prazo de até 72 horas após a ciência do evento, conforme art. 48 da LGPD.
10. Transferência Internacional de Dados
A infraestrutura da na escala pode utilizar servidores e serviços de provedores em nuvem com operações globais, o que pode implicar transferência de dados a países estrangeiros. Nesses casos, a na escala garante que: (a) os provedores selecionados possuem políticas de proteção de dados equivalentes ou superiores às exigências da LGPD; (b) são adotadas cláusulas contratuais padrão, certificações internacionais (ex.: ISO 27001, SOC 2) ou outros mecanismos de salvaguarda previstos no art. 33 da LGPD; (c) dados biométricos e de localização são tratados com camadas adicionais de proteção contratual nas transferências internacionais. O titular pode solicitar informações sobre transferências internacionais de seus dados pelo canal do DPO: naescalaapp@gmail.com.
11. Privacidade desde a Concepção (Privacy by Design)
A na escala adota o princípio de privacy by design, integrando a proteção de dados desde o início do ciclo de desenvolvimento do produto. Isso se traduz em: (a) minimização de coleta: a Plataforma coleta apenas os dados estritamente necessários a cada funcionalidade; (b) granularidade de permissões: recursos sensíveis (biometria, GPS, Wi-Fi antifraude) são funcionalidades opcionais que precisam ser habilitadas pela empresa contratante, não sendo ativados por padrão; (c) separação de dados: dados biométricos são armazenados em ambiente segregado dos demais dados de jornada; (d) transparência para o colaborador: o aplicativo exibe claramente ao colaborador quais dados estão sendo capturados no momento do registro; (e) controles de auditoria: log completo de quem acessou ou alterou dados, com rastreabilidade completa.
12. Responsabilidade das Empresas Contratantes (Controladora)
As empresas que contratam a na escala e cadastram seus colaboradores atuam como controladoras dos dados pessoais desses trabalhadores. Isso implica que a empresa contratante é responsável por: (a) informar os colaboradores sobre os dados coletados, finalidades e formas de tratamento antes do início do uso da Plataforma; (b) obter e documentar o consentimento específico dos colaboradores para o uso de biometria facial e GPS; (c) assegurar que o uso das funcionalidades da Plataforma esteja em conformidade com os acordos coletivos de trabalho, laudos ocupacionais e a legislação trabalhista; (d) atender às solicitações de direitos LGPD encaminhadas diretamente pelos colaboradores; (e) notificar a na escala imediatamente em caso de violação de dados de colaboradores da qual tome ciência. A na escala, como operadora, apoiará a empresa contratante no cumprimento dessas obrigações, mas não pode assumir responsabilidades que são legalmente atribuídas ao controlador.
13. Canal de Reclamação — ANPD
Caso o titular de dados considere que seus direitos não foram atendidos adequadamente pela na escala, pode registrar reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável pela fiscalização do cumprimento da LGPD no Brasil. O site da ANPD é www.gov.br/anpd e dispõe de canal de atendimento ao cidadão para recebimento de denúncias e reclamações. A na escala se compromete a cooperar com investigações da ANPD e a implementar eventuais determinações emanadas da autoridade. Antes de acionar a ANPD, encorajamos o titular a contatar o DPO da na escala pelo e-mail naescalaapp@gmail.com, pois muitas questões podem ser resolvidas diretamente.
14. Atualizações desta Página
Esta página reflete os compromissos e práticas de proteção de dados da na escala na data indicada abaixo. Poderá ser atualizada para incorporar mudanças na legislação, na Plataforma ou nas práticas internas. Alterações relevantes serão comunicadas aos usuários cadastrados por e-mail com antecedência mínima de 15 dias. A versão vigente estará sempre disponível em www.naescala.com/lgpd.
Última atualização: 21 de março de 2026.