RGPD e central de confiança de dados

Última atualização: 14 de julho de 2026

BETA PROGRAM NOTICE This document applies to the Kompunik Beta Program, a free, invitation-only research pilot operated by Joss Gillet (Founder of Kompunik). This is an experimental prototype with no service guarantee.

Central de Confiança de Dados e RGPD

Data de vigência: 1º de janeiro de 2026

Última atualização: 1º de janeiro de 2026

Esta Ficha de Confiança e Dados é um complemento em linguagem simples à nossa Política de Privacidade e à nossa Visão Geral de Segurança. Ela resume, em um só lugar, como a Kompunik cumpre o Regulamento Geral sobre a Proteção de Dados da UE (RGPD): as bases legais em que nos apoiamos, os dados que tratamos, os subprocessadores que utilizamos, por quanto tempo mantemos seus dados e como você pode exercer seus direitos.

Se algo aqui entrar em conflito com a Política de Privacidade, prevalece a Política de Privacidade como o documento juridicamente vinculante.


1. Controlador de Dados

Joss Gillet (Founder of Kompunik) Avignon, France

A Joss Gillet (Founder of Kompunik) é o controlador de dados dos dados pessoais tratados por meio da plataforma de aprendizagem Kompunik. Determinamos as finalidades e os meios do tratamento de seus dados pessoais e somos responsáveis por protegê-los em conformidade com o RGPD. (Usuários no Brasil também estão protegidos pela LGPD — Lei Geral de Proteção de Dados, Lei nº 13.709/2018.)

Para organizações (empresas, universidades) que inscrevem seus membros, a Kompunik atua como operador de dados em nome da organização quanto aos dados de aprendizagem gerados dentro de seu espaço, e como controlador dos dados de conta e faturamento.


2. Bases Legais para o Tratamento

Cada categoria de dados pessoais que tratamos está fundamentada em uma das seguintes bases legais do RGPD (Artigo 6):

Atividade de tratamento Base legal
Criação e manutenção de sua conta Execução de um contrato (Art. 6(1)(b))
Entrega de cursos, acompanhamento de progresso, emissão de certificados Execução de um contrato (Art. 6(1)(b))
Processamento de pagamentos e emissão de faturas Execução de um contrato + obrigação legal (Art. 6(1)(b), (c))
Conservação de registros financeiros Obrigação legal nos termos da lei francesa (Art. 6(1)(c))
Envio de e-mails de serviço e segurança (verificação, MFA, recibos) Execução de um contrato (Art. 6(1)(b))
Análises de produto calculadas a partir da sua própria atividade Legítimo interesse (Art. 6(1)(f))
Recursos opcionais de comunidade, perfil público e comparação entre pares Consentimento (Art. 6(1)(a))
Insights assistidos por IA (Pulse do gestor, traduções) Legítimo interesse, com opção de exclusão (Art. 6(1)(f))
E-mails de marketing, quando aplicável Consentimento (Art. 6(1)(a))

Você pode retirar o consentimento a qualquer momento quando o consentimento for a base, sem afetar o tratamento que já tenha ocorrido.


3. Dados Pessoais que Tratamos

  • Identidade e conta: nome, endereço de e-mail, senha com hash, idioma preferido, função e vínculo com a organização.
  • Autenticação: registros de data e hora de login, configurações de MFA e identificadores de SSO do Google Workspace ou Microsoft Entra ID (se utilizados).
  • Dados de aprendizagem: progresso nos cursos, respostas de questionários e autoavaliações, resultados de diagnóstico, táticas, playlists e certificados.
  • Dados de comunidade (opcionais): publicações, comentários, reações e detalhes de perfil público que você opta por compartilhar.
  • Dados de pagamento: nome de faturamento, registros de transações e status da assinatura. Nunca recebemos nem armazenamos números completos de cartão ou CVVs — esses vão diretamente para a Stripe.
  • Dados técnicos: identificador de sessão anônimo, informações genéricas de dispositivo/navegador e análises de página de origem própria utilizadas para melhorar o produto.

Nós não vendemos dados pessoais, não utilizamos cookies de publicidade de terceiros e não executamos rastreadores de terceiros, como o Google Analytics.


4. Seus Direitos sob o RGPD

Sob o RGPD, você tem o direito de:

  • Acesso — obter uma cópia dos dados pessoais que mantemos sobre você.
  • Retificação — corrigir dados imprecisos ou incompletos.
  • Eliminação ("direito ao esquecimento") — solicitar a exclusão de sua conta e de seus dados.
  • Limitação — pedir que restrinjamos o tratamento em determinadas circunstâncias.
  • Portabilidade — receber seus dados em um formato estruturado e legível por máquina.
  • Oposição — opor-se ao tratamento baseado em legítimo interesse.
  • Retirada do consentimento — para qualquer tratamento baseado em consentimento.

Como exercê-los:

  • Autoatendimento: nas configurações da sua conta, você pode exportar seus dados pessoais a qualquer momento e excluir sua conta diretamente.
  • Por e-mail: escreva para compliance@kompunik.org. Respondemos a todas as solicitações no prazo de 30 dias, conforme exigido pelo RGPD.

Você também tem o direito de apresentar uma reclamação à autoridade de controle local. Na France, esta é a CNIL (Commission Nationale de l'Informatique et des Libertés — cnil.fr).


5. Retenção de Dados

Categoria de dados Período de retenção
Dados de conta e de aprendizagem Durante toda a vida da sua conta
Dados de conta excluída Eliminados no prazo de 30 dias após a solicitação de exclusão
Registros financeiros e de faturamento 7 anos (obrigação legal nos termos da lei francesa)
Resultados de diagnóstico 90 dias (expiração automática)
Histórico de insights gerados por IA 90 dias (expiração automática)
Análises anônimas de página Agregadas; sem identificadores pessoais de longo prazo
Registros de auditoria Conservados por segurança e conformidade, depois rotacionados

Quando um período de retenção termina, os dados são excluídos ou anonimizados de forma irreversível.


6. Subprocessadores

Contamos com um pequeno número de subprocessadores cuidadosamente selecionados para operar a plataforma. Cada um está vinculado por um Acordo de Tratamento de Dados (DPA) e por salvaguardas adequadas. Os dados são hospedados na UE (Frankfurt, Alemanha) sempre que o fornecedor oferece hospedagem regional.

Subprocessador Finalidade Localização dos dados
MongoDB Atlas Banco de dados principal (contas, dados de aprendizagem) UE — Frankfurt
DigitalOcean Spaces Mídia, certificados e armazenamento de arquivos Região da UE, criptografado em repouso
Vercel Hospedagem e entrega da aplicação Região de função da UE (Frankfurt)
Upstash Redis Limitação de taxa UE — Frankfurt
Stripe Processamento de pagamentos (PCI-DSS Nível 1) UE/EUA com CCP
Resend Entrega de e-mails transacionais UE/EUA com CCP
Google & Microsoft Login SSO opcional (OAuth) UE/EUA com CCP
OpenAI Insights de gestão assistidos por IA (opção de exclusão disponível) EUA com CCP
DeepL Tradução de conteúdo UE (Alemanha)
Sentry Monitoramento de erros UE/EUA com CCP

Mantemos uma lista atualizada de subprocessadores. Se adicionarmos ou substituirmos um subprocessador que afete materialmente o tratamento de seus dados, atualizaremos esta página.


7. Transferências Internacionais de Dados

Nossa infraestrutura foi projetada para manter os dados pessoais dentro da União Europeia sempre que possível. Quando um subprocessador trata dados fora da UE (por exemplo, nos Estados Unidos), a transferência é protegida por Cláusulas Contratuais Padrão (CCP) aprovadas pela Comissão Europeia, juntamente com salvaguardas técnicas complementares, como criptografia em trânsito e em repouso.


8. Medidas de Segurança (Resumo)

Uma descrição completa está disponível em nossa Visão Geral de Segurança. Em resumo:

  • Criptografia em toda parte: TLS 1.2+ em trânsito; AES-256 em repouso.
  • Controle de acesso: permissões baseadas em função, MFA e contas de serviço com privilégio mínimo.
  • URLs assinadas: a mídia é entregue por meio de links assinados com prazo limitado (expiração em 1 hora).
  • Privacidade por padrão: os perfis são privados, a menos que você opte por participar.
  • Isolamento de inquilinos: os dados de cada organização são rigorosamente segregados.
  • Aplicação reforçada: validação no lado do servidor, sanitização de conteúdo, consultas parametrizadas, CSP e limitação de taxa.

9. Notificação de Violação de Dados

No caso de uma violação de dados pessoais que possa resultar em risco para seus direitos e liberdades, notificaremos a autoridade de controle competente no prazo de 72 horas após tomarmos conhecimento dela e informaremos os usuários afetados sem atraso indevido, conforme exigido pelos Artigos 33 e 34 do RGPD. Nossa meta interna é iniciar a investigação e a correção no prazo de 48 horas após a detecção.


10. Cookies e Rastreamento

A Kompunik utiliza apenas os cookies e o armazenamento local estritamente necessários para executar o serviço (sessão de autenticação, segurança, preferência de idioma), além de análises de origem própria que preservam a privacidade. Não utilizamos cookies de publicidade nem rastreamento entre sites. Um banner de cookies é exibido aos novos visitantes, e os detalhes estão disponíveis em nossa Política de Privacidade.


11. Dados de Crianças

A Kompunik não é direcionada a crianças com menos de 16 anos. Não coletamos conscientemente dados pessoais de crianças. Se você acredita que uma criança nos forneceu dados pessoais, entre em contato com compliance@kompunik.org e nós os excluiremos.


12. Contato

Para qualquer dúvida sobre seus dados, esta Ficha de Confiança e Dados, ou para exercer seus direitos sob o RGPD:

Joss Gillet (Founder of Kompunik) Avignon, France


Esta Central de Confiança de Dados e RGPD entra em vigor em 1º de janeiro de 2026 e é fornecida para fins de transparência, ao lado de nossa Política de Privacidade juridicamente vinculante.


Beta-Specific Terms

Experimental Nature

This platform is an experimental prototype. Features may change, be removed, or malfunction without notice. No guarantee of availability, uptime, or performance is provided.

Data Handling

Data collected during the beta may be deleted at the end of the beta period. While we take reasonable care to protect your data, no guarantees are made regarding data persistence or backup.

Feedback Usage

Any feedback, suggestions, or ideas you provide during the beta may be used to improve the product without compensation or attribution.

No Financial Compensation

Participation in the beta is voluntary and unpaid. No financial compensation, credits, or refunds are applicable.

Limitation of Liability

Joss Gillet (Founder of Kompunik) shall not be liable for any direct, indirect, incidental, or consequential damages arising from your use of this beta platform. Use is entirely at your own risk.

Confidentiality (Optional)

You may encounter features or content that are not yet publicly available. While not legally binding, we kindly ask that you treat unreleased features with discretion.

No Commercial Relationship

This beta does not constitute a commercial service, contract, or subscription. No invoices will be issued, and no service-level agreements apply.