Esta Política de Privacidade Global (“Política”) descreve como a LINGOPASS TECNOLOGIA LTDA, CNPJ 42.567.596/0001-56 (“Lingopass”), trata dados pessoais no Ecossistema Lingopass. Adota como base o padrão mais protetivo (GDPR) e contém adendos por jurisdição. Aplica-se a usuários, colaboradores de clientes, candidatos, bolsistas e visitantes, no Brasil, na América Latina, nas Américas e na Europa.
1.1. O Lingopass, controlador estabelecido no Brasil, observa a LGPD em todo o tratamento. Quando os serviços são ofertados a pessoas localizadas na União Europeia, aplica-se também o GDPR (art. 3(2)); no Reino Unido, o UK GDPR; e, nas Américas, as leis locais aplicáveis.
1.2. A maioria dos titulares são colaboradores de clientes corporativos. Quando o tratamento decorre de programa contratado pelo empregador, observam-se as bases legais correspondentes e as eventuais isenções aplicáveis a dados de emprego em algumas jurisdições.
2.1. Tratamos: (i) dados cadastrais (nome, e-mail, telefone, CPF quando aplicável); (ii) dados de uso, progresso e engajamento; (iii) resultados de avaliação e nivelamento; (iv) amostras de voz para avaliação de proficiência, sob o princípio “sem voiceprint”; (v) dados de pagamento (processados por provedor); (vi) dados de navegação e cookies; e (vii), no Empowering Talents, dados socioeconômicos e de diversidade informados voluntariamente.
2.2. A voz é tratada, por precaução, como dado pessoal sensível, com finalidade estrita de avaliação de proficiência, retenção mínima e descarte seguro; não gera identificador biométrico nem é usada para identificação.
3.1. Tratamos dados pessoais para as finalidades e bases legais abaixo, de forma combinada (em camadas) quando necessário:
3.2. Em contexto de recrutamento, o Lingopass não baseia a avaliação exclusivamente no consentimento do candidato, adotando base contratual/legítimo interesse do empregador com supervisão humana.
4.1. Compartilhamos dados com operadores/subprocessadores estritamente necessários (nuvem, avaliação de proficiência, aulas ao vivo, pagamentos, inteligência artificial), sob contrato e medidas de segurança. A relação atualizada consta da Central de Confiança. Não vendemos dados pessoais.
5.1. Dados produtivos são armazenados preferencialmente no Brasil. Transferências entre o Brasil e o Espaço Econômico Europeu dispensam mecanismo adicional, em razão da adequação mútua vigente desde 27 de janeiro de 2026. Para os demais países, adotamos cláusulas-padrão da ANPD (Res. 19/2024) e/ou da União Europeia, com salvaguardas complementares, e, quando aplicável, bases específicas de transferência da legislação local (por exemplo, transferência intragrupo).
6.1. Retemos dados pelo tempo necessário às finalidades e a obrigações legais. Períodos de referência: conta (durante a atividade e por até 3 anos após o encerramento), dados financeiros e de transação (até 7 anos), comunicações (até 2 anos), dados de aprendizagem (até 5 anos) e amostras de voz (retenção mínima compatível com a avaliação). Findos os prazos, os dados são eliminados de forma segura ou anonimizados.
7.1. O titular pode exercer os direitos de confirmação, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento, revogação de consentimento e oposição (LGPD art. 18), bem como os direitos correspondentes do GDPR (arts. 15 a 22), inclusive a revisão de decisões automatizadas.
7.2. Os pedidos são atendidos pelo canal [email protected] nos prazos legais.
8.1. Utilizamos IA no nivelamento e na recomendação. O titular tem direito de solicitar revisão e contestar decisões automatizadas que o afetem (LGPD art. 20 / GDPR art. 22), com supervisão humana significativa. O detalhamento consta da Política de Governança de IA.
9.1. Adotamos medidas técnicas e organizacionais descritas na Política de Segurança da Informação e na Central de Confiança (criptografia, controle de acesso, MFA, logging, gestão de vulnerabilidades). Em caso de incidente, comunicamos a Autoridade e os titulares nos prazos legais (ANPD: até 3 dias úteis; GDPR: 72 horas à autoridade).
10.1. Os serviços destinam-se a maiores de 18 anos, ressalvadas as hipóteses disciplinadas na Política de Proteção de Crianças e Adolescentes, com consentimento parental verificável quando cabível e regras por jurisdição (UE: 16, redutível a 13; EUA: 13, sob a COPPA).
11.1. Utilizamos cookies conforme a Política de Cookies, com consentimento granular e opção de rejeitar com a mesma facilidade de aceitar.
12.1. Encarregada de Proteção de Dados (DPO): Alexandrine Brami — [email protected]. Antes de ofertar serviços a titulares na União Europeia e no Reino Unido, o Lingopass nomeará representante nessas jurisdições (art. 27 do GDPR e do UK GDPR).
13.1. Esta Política pode ser atualizada; alterações relevantes serão comunicadas e as versões anteriores ficarão arquivadas, com data de vigência.
Encarregada identificada; cláusulas-padrão da ANPD para transferências a países sem adequação; comunicação de incidente à ANPD e ao titular em até 3 (três) dias úteis (Res. CD/ANPD nº 15/2024); canal de atendimento ao titular.
Aplicação por extraterritorialidade (art. 3(2)) quando há oferta a pessoas na UE/UK; representante (art. 27) antes da oferta; consentimento explícito para dados sensíveis; DPIA para tratamento de larga escala (art. 35); direitos arts. 15–22, incluindo revisão de decisão automatizada (art. 22); transferências UE↔Brasil sem mecanismo adicional, por força da adequação mútua de 27/01/2026.
Não há lei federal geral; aplicam-se leis estaduais de privacidade (em vigor em cerca de 20 estados em 2026) e normas setoriais. Pontos relevantes para o Lingopass:
• Dados de emprego/B2B: diversas leis estaduais isentam dados de colaboradores e de contexto B2B — como a maioria dos titulares são colaboradores de clientes corporativos, parte dessas leis pode não incidir.
• COPPA: tratamento de menores de 13 anos exige consentimento parental verificável (conexão com a Política de Proteção de Crianças e Adolescentes).
• FERPA: quando o cliente for instituição de ensino, registros educacionais observam regras próprias; o Lingopass atua como “school official” sob controle da instituição.
• Opt-out / sinais universais: respeito a mecanismos de opt-out (incluindo Global Privacy Control) para cookies e marketing, conforme a lei estadual aplicável.
Lei federal: PIPEDA (o projeto Bill C-27/CPPA não foi aprovado), que não proíbe transferência internacional, mantendo o exportador responsável (accountability).
Quebec — Lei 25: regras mais estritas, no estilo GDPR — consentimento para dado sensível, avaliação de impacto (PIA) antes de projetos de tecnologia que tratem dados pessoais, aviso quando há decisão automatizada e direitos de exclusão e portabilidade. Para titulares no Quebec, observar essas exigências (alinhadas ao nosso RIPD e à cláusula de IA).
Aviso de privacidade conforme a nova lei (identificação de dados tratados, dados sensíveis e finalidades que exigem ou não consentimento). Transferências nacionais e internacionais sem consentimento apenas nas hipóteses do art. 36, incluindo transferência entre empresas do mesmo grupo com políticas comuns — base útil para a estrutura de clientes multinacionais. Autoridade competente atual após a extinção do INAI.
Novo regime no estilo GDPR, com vigência plena em 1º/12/2026 (notificação de brechas, direitos reforçados, sanções elevadas). Preparar a conformidade antes da vigência.
Argentina (Lei 25.326, com reforma em tramitação) e Uruguai possuem decisão de adequação da União Europeia, o que facilita transferências de/para a Europa. Colômbia (Lei 1581/2012), Peru (Lei 29733), Equador (LOPDP) e Paraguai (lei aprovada em 2025): observância das leis locais, coberta pela presente Política e pelo DPA. Nenhuma dessas jurisdições exige residência local de dados no padrão brasileiro.
Nota: para titulares nos Estados Unidos e no Canadá, recomenda-se validação por advogado local quando houver tratamento de menores (COPPA), uso por instituições de ensino (FERPA) ou titulares no Quebec (Lei 25).
