Política de Privacidade

A Aval respeita a privacidade dos seus usuários e está comprometida com o tratamento ético, transparente e seguro de dados pessoais, em plena conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018). Esta Política descreve como coletamos, utilizamos, compartilhamos, armazenamos e protegemos os dados pessoais tratados pela plataforma, bem como os direitos que a lei garante aos titulares desses dados.

O controlador dos dados pessoais tratados por esta plataforma é Aval Tecnologia Ltda., inscrita no CNPJ sob o nº [TODO(legal): inserir CNPJ real], com sede em [TODO(legal): inserir endereço completo].

O Encarregado pelo tratamento de dados pessoais (DPO), conforme exigido pelo Art. 41 da LGPD, pode ser contatado pelo e-mail dpo@aval.com.br [TODO(legal): confirmar endereço oficial do DPO].

Coletamos as seguintes categorias de dados pessoais:

• Identificação: nome completo, CPF, e-mail, telefone, data de nascimento.
• Profissional: currículo, histórico de cargos, feedbacks recebidos e emitidos, pontuação (Portable Score), entrevistas realizadas.
• Pagamento: histórico de depósitos em escrow e de transações de tokens (incluindo cursos resgatados), além de dados de pagamento eventualmente fornecidos.
• Navegação: cookies essenciais (sessão e autenticação), cookies de analytics mediante consentimento prévio, endereço IP, tipo de dispositivo e navegador.

Tratamos dados pessoais com fundamento nas seguintes bases legais:

• Consentimento (Art. 7º, I) — comunicações de marketing, cookies de analytics, gravação de chamadas de vídeo.
• Execução de contrato (Art. 7º, V) — operação do serviço central: matching, vagas, feedbacks, pagamentos.
• Legítimo interesse (Art. 7º, IX) — segurança, prevenção a fraude, integridade da plataforma.
• Obrigação legal (Art. 7º, II) — retenção fiscal, auditoria, cumprimento de ordens judiciais.

Os dados pessoais são tratados para: (i) viabilizar o matching entre candidatos e empresas; (ii) atribuir e processar Signal Tokens e seu resgate por cursos; (iii) processar depósitos em escrow; (iv) prevenir fraude e abuso; (v) cumprir obrigações legais, fiscais e regulatórias; (vi) melhorar continuamente o produto por meio de análise estatística agregada e anonimizada.

Compartilhamos dados pessoais estritamente com os operadores necessários à operação da plataforma:

• Stripe — processamento de depósitos em escrow.
• Asaas — provedor de pagamentos via Pix, atualmente inativo (utilizado apenas caso o saque em dinheiro seja reativado).
• Resend — envio de e-mails transacionais.
• Sentry — observabilidade e monitoramento de erros.
• Daily — chamadas de vídeo para entrevistas.
• Fly.io — infraestrutura de hospedagem da aplicação.

Aplicamos os seguintes prazos de retenção:

• Dados de perfil: enquanto a conta estiver ativa, acrescido de 1 (um) ano após o encerramento.
• Transações financeiras: 5 (cinco) anos, para fins de auditoria fiscal e regulatória.
• Cookies: até 12 (doze) meses, conforme categoria.

Parte dos dados pode transitar por provedores sediados nos Estados Unidos (Stripe, Sentry, Resend). Tais transferências são realizadas sob cláusulas contratuais padrão que asseguram nível de proteção compatível com o exigido pela LGPD, nos termos do Art. 33 e seguintes da referida lei.

O Art. 18 da LGPD garante ao titular dos dados os seguintes direitos:

• Confirmação da existência de tratamento.
• Acesso aos dados tratados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade dos dados a outro fornecedor, observados segredos comercial e industrial.
• Eliminação dos dados tratados com base no consentimento.
• Informação das entidades públicas e privadas com as quais os dados foram compartilhados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
• Revogação do consentimento e oposição ao tratamento em caso de descumprimento da LGPD.

Para exercer qualquer dos direitos acima, envie solicitação ao Encarregado pelo e-mail dpo@aval.com.br. O retorno será feito em até 15 (quinze) dias corridos, conforme previsto pela LGPD.

Utilizamos cookies essenciais para sessão de autenticação (sem os quais a plataforma não opera) e cookies de analytics ativados apenas mediante consentimento prévio do usuário. O usuário pode gerenciar as preferências de cookies a qualquer momento nas configurações do navegador.

Adotamos medidas técnicas e organizacionais proporcionais aos riscos do tratamento, incluindo: criptografia de dados em trânsito (TLS 1.2+); criptografia em repouso para dados sensíveis (esquema Fernet); autenticação em dois fatores (2FA) opcional; rate limiting em endpoints sensíveis; monitoramento de integridade e registro de auditoria nas ações administrativas.

Esta Política pode ser atualizada periodicamente. Alterações materiais serão comunicadas por e-mail e por aviso nas telas autenticadas da plataforma com antecedência mínima de 15 (quinze) dias corridos em relação à entrada em vigor.

Dúvidas, solicitações e reclamações relativas a esta Política devem ser encaminhadas ao Encarregado (DPO) pelo e-mail dpo@aval.com.br [TODO(legal): confirmar endereço oficial do DPO]. Consulte também os Termos de Uso.