RGPD e central de confiança de dados
Última atualização: 14 de julho de 2026
BETA PROGRAM NOTICE This document applies to the Kompunik Beta Program, a free, invitation-only research pilot operated by Joss Gillet (Founder of Kompunik). This is an experimental prototype with no service guarantee.
Central de Confiança de Dados e RGPD
Data de vigência: 1º de janeiro de 2026
Última atualização: 1º de janeiro de 2026
Esta Ficha de Confiança e Dados é um complemento em linguagem simples à nossa Política de Privacidade e à nossa Visão Geral de Segurança. Ela resume, em um só lugar, como a Kompunik cumpre o Regulamento Geral sobre a Proteção de Dados da UE (RGPD): as bases legais em que nos apoiamos, os dados que tratamos, os subprocessadores que utilizamos, por quanto tempo mantemos seus dados e como você pode exercer seus direitos.
Se algo aqui entrar em conflito com a Política de Privacidade, prevalece a Política de Privacidade como o documento juridicamente vinculante.
1. Controlador de Dados
Joss Gillet (Founder of Kompunik) Avignon, France
- Contato para proteção de dados: compliance@kompunik.org
- Suporte geral: contact@kompunik.org
A Joss Gillet (Founder of Kompunik) é o controlador de dados dos dados pessoais tratados por meio da plataforma de aprendizagem Kompunik. Determinamos as finalidades e os meios do tratamento de seus dados pessoais e somos responsáveis por protegê-los em conformidade com o RGPD. (Usuários no Brasil também estão protegidos pela LGPD — Lei Geral de Proteção de Dados, Lei nº 13.709/2018.)
Para organizações (empresas, universidades) que inscrevem seus membros, a Kompunik atua como operador de dados em nome da organização quanto aos dados de aprendizagem gerados dentro de seu espaço, e como controlador dos dados de conta e faturamento.
2. Bases Legais para o Tratamento
Cada categoria de dados pessoais que tratamos está fundamentada em uma das seguintes bases legais do RGPD (Artigo 6):
| Atividade de tratamento | Base legal |
|---|---|
| Criação e manutenção de sua conta | Execução de um contrato (Art. 6(1)(b)) |
| Entrega de cursos, acompanhamento de progresso, emissão de certificados | Execução de um contrato (Art. 6(1)(b)) |
| Processamento de pagamentos e emissão de faturas | Execução de um contrato + obrigação legal (Art. 6(1)(b), (c)) |
| Conservação de registros financeiros | Obrigação legal nos termos da lei francesa (Art. 6(1)(c)) |
| Envio de e-mails de serviço e segurança (verificação, MFA, recibos) | Execução de um contrato (Art. 6(1)(b)) |
| Análises de produto calculadas a partir da sua própria atividade | Legítimo interesse (Art. 6(1)(f)) |
| Recursos opcionais de comunidade, perfil público e comparação entre pares | Consentimento (Art. 6(1)(a)) |
| Insights assistidos por IA (Pulse do gestor, traduções) | Legítimo interesse, com opção de exclusão (Art. 6(1)(f)) |
| E-mails de marketing, quando aplicável | Consentimento (Art. 6(1)(a)) |
Você pode retirar o consentimento a qualquer momento quando o consentimento for a base, sem afetar o tratamento que já tenha ocorrido.
3. Dados Pessoais que Tratamos
- Identidade e conta: nome, endereço de e-mail, senha com hash, idioma preferido, função e vínculo com a organização.
- Autenticação: registros de data e hora de login, configurações de MFA e identificadores de SSO do Google Workspace ou Microsoft Entra ID (se utilizados).
- Dados de aprendizagem: progresso nos cursos, respostas de questionários e autoavaliações, resultados de diagnóstico, táticas, playlists e certificados.
- Dados de comunidade (opcionais): publicações, comentários, reações e detalhes de perfil público que você opta por compartilhar.
- Dados de pagamento: nome de faturamento, registros de transações e status da assinatura. Nunca recebemos nem armazenamos números completos de cartão ou CVVs — esses vão diretamente para a Stripe.
- Dados técnicos: identificador de sessão anônimo, informações genéricas de dispositivo/navegador e análises de página de origem própria utilizadas para melhorar o produto.
Nós não vendemos dados pessoais, não utilizamos cookies de publicidade de terceiros e não executamos rastreadores de terceiros, como o Google Analytics.
4. Seus Direitos sob o RGPD
Sob o RGPD, você tem o direito de:
- Acesso — obter uma cópia dos dados pessoais que mantemos sobre você.
- Retificação — corrigir dados imprecisos ou incompletos.
- Eliminação ("direito ao esquecimento") — solicitar a exclusão de sua conta e de seus dados.
- Limitação — pedir que restrinjamos o tratamento em determinadas circunstâncias.
- Portabilidade — receber seus dados em um formato estruturado e legível por máquina.
- Oposição — opor-se ao tratamento baseado em legítimo interesse.
- Retirada do consentimento — para qualquer tratamento baseado em consentimento.
Como exercê-los:
- Autoatendimento: nas configurações da sua conta, você pode exportar seus dados pessoais a qualquer momento e excluir sua conta diretamente.
- Por e-mail: escreva para compliance@kompunik.org. Respondemos a todas as solicitações no prazo de 30 dias, conforme exigido pelo RGPD.
Você também tem o direito de apresentar uma reclamação à autoridade de controle local. Na France, esta é a CNIL (Commission Nationale de l'Informatique et des Libertés — cnil.fr).
5. Retenção de Dados
| Categoria de dados | Período de retenção |
|---|---|
| Dados de conta e de aprendizagem | Durante toda a vida da sua conta |
| Dados de conta excluída | Eliminados no prazo de 30 dias após a solicitação de exclusão |
| Registros financeiros e de faturamento | 7 anos (obrigação legal nos termos da lei francesa) |
| Resultados de diagnóstico | 90 dias (expiração automática) |
| Histórico de insights gerados por IA | 90 dias (expiração automática) |
| Análises anônimas de página | Agregadas; sem identificadores pessoais de longo prazo |
| Registros de auditoria | Conservados por segurança e conformidade, depois rotacionados |
Quando um período de retenção termina, os dados são excluídos ou anonimizados de forma irreversível.
6. Subprocessadores
Contamos com um pequeno número de subprocessadores cuidadosamente selecionados para operar a plataforma. Cada um está vinculado por um Acordo de Tratamento de Dados (DPA) e por salvaguardas adequadas. Os dados são hospedados na UE (Frankfurt, Alemanha) sempre que o fornecedor oferece hospedagem regional.
| Subprocessador | Finalidade | Localização dos dados |
|---|---|---|
| MongoDB Atlas | Banco de dados principal (contas, dados de aprendizagem) | UE — Frankfurt |
| DigitalOcean Spaces | Mídia, certificados e armazenamento de arquivos | Região da UE, criptografado em repouso |
| Vercel | Hospedagem e entrega da aplicação | Região de função da UE (Frankfurt) |
| Upstash Redis | Limitação de taxa | UE — Frankfurt |
| Stripe | Processamento de pagamentos (PCI-DSS Nível 1) | UE/EUA com CCP |
| Resend | Entrega de e-mails transacionais | UE/EUA com CCP |
| Google & Microsoft | Login SSO opcional (OAuth) | UE/EUA com CCP |
| OpenAI | Insights de gestão assistidos por IA (opção de exclusão disponível) | EUA com CCP |
| DeepL | Tradução de conteúdo | UE (Alemanha) |
| Sentry | Monitoramento de erros | UE/EUA com CCP |
Mantemos uma lista atualizada de subprocessadores. Se adicionarmos ou substituirmos um subprocessador que afete materialmente o tratamento de seus dados, atualizaremos esta página.
7. Transferências Internacionais de Dados
Nossa infraestrutura foi projetada para manter os dados pessoais dentro da União Europeia sempre que possível. Quando um subprocessador trata dados fora da UE (por exemplo, nos Estados Unidos), a transferência é protegida por Cláusulas Contratuais Padrão (CCP) aprovadas pela Comissão Europeia, juntamente com salvaguardas técnicas complementares, como criptografia em trânsito e em repouso.
8. Medidas de Segurança (Resumo)
Uma descrição completa está disponível em nossa Visão Geral de Segurança. Em resumo:
- Criptografia em toda parte: TLS 1.2+ em trânsito; AES-256 em repouso.
- Controle de acesso: permissões baseadas em função, MFA e contas de serviço com privilégio mínimo.
- URLs assinadas: a mídia é entregue por meio de links assinados com prazo limitado (expiração em 1 hora).
- Privacidade por padrão: os perfis são privados, a menos que você opte por participar.
- Isolamento de inquilinos: os dados de cada organização são rigorosamente segregados.
- Aplicação reforçada: validação no lado do servidor, sanitização de conteúdo, consultas parametrizadas, CSP e limitação de taxa.
9. Notificação de Violação de Dados
No caso de uma violação de dados pessoais que possa resultar em risco para seus direitos e liberdades, notificaremos a autoridade de controle competente no prazo de 72 horas após tomarmos conhecimento dela e informaremos os usuários afetados sem atraso indevido, conforme exigido pelos Artigos 33 e 34 do RGPD. Nossa meta interna é iniciar a investigação e a correção no prazo de 48 horas após a detecção.
10. Cookies e Rastreamento
A Kompunik utiliza apenas os cookies e o armazenamento local estritamente necessários para executar o serviço (sessão de autenticação, segurança, preferência de idioma), além de análises de origem própria que preservam a privacidade. Não utilizamos cookies de publicidade nem rastreamento entre sites. Um banner de cookies é exibido aos novos visitantes, e os detalhes estão disponíveis em nossa Política de Privacidade.
11. Dados de Crianças
A Kompunik não é direcionada a crianças com menos de 16 anos. Não coletamos conscientemente dados pessoais de crianças. Se você acredita que uma criança nos forneceu dados pessoais, entre em contato com compliance@kompunik.org e nós os excluiremos.
12. Contato
Para qualquer dúvida sobre seus dados, esta Ficha de Confiança e Dados, ou para exercer seus direitos sob o RGPD:
Joss Gillet (Founder of Kompunik) Avignon, France
- Proteção de dados e privacidade: compliance@kompunik.org
- Suporte geral: contact@kompunik.org
Esta Central de Confiança de Dados e RGPD entra em vigor em 1º de janeiro de 2026 e é fornecida para fins de transparência, ao lado de nossa Política de Privacidade juridicamente vinculante.
Beta-Specific Terms
Experimental Nature
This platform is an experimental prototype. Features may change, be removed, or malfunction without notice. No guarantee of availability, uptime, or performance is provided.
Data Handling
Data collected during the beta may be deleted at the end of the beta period. While we take reasonable care to protect your data, no guarantees are made regarding data persistence or backup.
Feedback Usage
Any feedback, suggestions, or ideas you provide during the beta may be used to improve the product without compensation or attribution.
No Financial Compensation
Participation in the beta is voluntary and unpaid. No financial compensation, credits, or refunds are applicable.
Limitation of Liability
Joss Gillet (Founder of Kompunik) shall not be liable for any direct, indirect, incidental, or consequential damages arising from your use of this beta platform. Use is entirely at your own risk.
Confidentiality (Optional)
You may encounter features or content that are not yet publicly available. While not legally binding, we kindly ask that you treat unreleased features with discretion.
No Commercial Relationship
This beta does not constitute a commercial service, contract, or subscription. No invoices will be issued, and no service-level agreements apply.