Documento I · Conformidade

Política de Privacidade.

Como a OAK trata os dados pessoais de alunos B2C e B2B, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e melhores práticas de segurança.

Versão 1.0 · Vigência 22.05.2026

Seção I

Controlador e Encarregado

O tratamento de dados pessoais na plataforma OAK é realizado por Fleekers Marketing & Tecnologia Ltda., CNPJ XX.XXX.XXX/0001-XX, sediada em Porto Alegre/RS, na qualidade de controladora nos termos do art. 5º, VI, da Lei nº 13.709/2018 (LGPD).

O Encarregado pelo Tratamento de Dados (DPO) responde pelo endereço dpo@oak.fleekers.com.br — prazo de resposta de até 15 dias úteis para solicitações relativas a direitos do titular.

Seção II

Bases legais

Os dados pessoais são tratados sob as seguintes bases legais:

  • Consentimento (art. 7º, I) — coletado no aceite editorial dos termos no primeiro acesso e em comunicações de marketing opt-in.
  • Execução de contrato (art. 7º, V) — entrega das aulas, exercícios, relatórios pedagógicos e cobrança da assinatura.
  • Cumprimento de obrigação legal (art. 7º, II) — registros fiscais, conservação mínima de logs, auditoria de segurança.
  • Legítimo interesse (art. 7º, IX) — prevenção a fraude, segurança da plataforma, melhoria do método via métricas agregadas e anônimas.
Seção III

Categorias de dados coletados

Coletamos as seguintes categorias de dados pessoais:

  • Cadastro: nome completo, e-mail profissional, senha (armazenada em hash bcrypt), cargo, empresa, setor.
  • Aprendizagem: resultados do nivelamento adaptativo, respostas aos exercícios dos Modos de prática, áreas de fragilidade, histórico de XP, streak, badges, CEFR.
  • Comportamento na plataforma: sessões abertas, tempo por exercício, padrões de uso (sem identificadores cross-site de terceiros).
  • Áudios opcionais de aulas: gravações de aulas 1:1 quando o aluno consente explicitamente — armazenadas criptografadas, acessíveis apenas pelo próprio aluno e seu professor.
  • IPs e logs de auditoria: endereço IP, data e hora de acesso, agente do navegador, registros de aceite editorial (versão + hash do termo).

Não coletamos dados sensíveis (art. 5º, II da LGPD) nem dados de menores de 18 anos. A plataforma é destinada exclusivamente a profissionais adultos.

Seção IV

Finalidades do tratamento

Os dados são tratados para:

  • Personalização pedagógica: ajustar o caminho de aprendizagem ao CEFR, indústria e prioridades de vocabulário de cada aluno.
  • Gestão do contrato: autenticação, agendamento de aulas 1:1, cobrança, comunicações operacionais.
  • Relatórios B2B: em contratos corporativos, indicadores agregados de adesão e progresso compartilhados com o RH contratante.
  • Melhoria do método: análise estatística agregada e anônima para refinar prompts, methodologies e curadoria de exercícios.
Seção V

Compartilhamento com terceiros (subprocessadores)

A OAK opera com os seguintes subprocessadores, todos sob contrato de confidencialidade e cláusulas de adequação à LGPD:

  • Anthropic PBC (Estados Unidos) — fornecedora do modelo de IA usado para gerar exercícios, feedback e narrativas pedagógicas. Transferência sob cláusulas-padrão (art. 33, II da LGPD). Conteúdo do aluno NÃO é usado para treinar modelos da Anthropic.
  • Resend (Estados Unidos) — entrega de e-mails transacionais (boas-vindas, recuperação de senha, lembretes de aulas, relatórios mensais).
  • Hostinger International (UE/EUA) — hospedagem VPS. Banco de dados em repouso criptografado; backup diário criptografado em armazenamento corporativo.

Em contratos B2B, indicadores agregados de aprendizado são compartilhados com o RH contratante. Conteúdo das respostas (textos livres, áudios) permanece confidencial entre aluno, professor e algoritmo OAK.

Seção VI

Retenção e exclusão

Política de retenção:

  • Durante o contrato: dados mantidos enquanto durar a relação contratual ativa.
  • Pós-contrato (5 anos): cadastro e registros fiscais conservados por 5 anos após o encerramento, conforme art. 173 do CTN. Dados pedagógicos detalhados são anonimizados em até 90 dias.
  • Logs de auditoria: 6 meses (Marco Civil da Internet, art. 15).
  • Exclusão a pedido do titular: conta desativada em até 7 dias úteis; eliminação física dos dados em 30 dias, ressalvadas obrigações legais de conservação.
Seção VII

Direitos do titular (art. 18 LGPD)

A qualquer momento, o titular pode requerer ao Encarregado:

  • I — confirmação da existência de tratamento;
  • II — acesso aos dados pessoais armazenados;
  • III — correção de dados incompletos, inexatos ou desatualizados;
  • IV — anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
  • V — portabilidade dos dados em formato estruturado;
  • VI — eliminação dos dados tratados com base em consentimento;
  • VII — informação sobre entidades públicas e privadas com as quais a OAK compartilhou dados;
  • VIII — revogação do consentimento;
  • IX — revisão de decisões automatizadas que afetem o titular.

As solicitações devem ser enviadas a dpo@oak.fleekers.com.br e serão respondidas em até 15 dias úteis.

Seção VIII

Segurança

Medidas técnicas e organizacionais aplicadas:

  • TLS 1.3 em todas as conexões.
  • Senhas armazenadas com bcrypt cost 12.
  • JWT com expiração e rotação periódica.
  • PostgreSQL com acesso restrito — nunca exposto à internet pública.
  • Trilha de auditoria (AuditLog) para operações sensíveis: login, mudança de senha, edição de Methodology, exportação de relatórios RH, aceite editorial.
  • Backup diário criptografado.
Seção IX

Cookies e tecnologias similares

A plataforma utiliza apenas cookies essenciais:

  • oak_at e oak_rt — autenticação de sessão (httpOnly, secure, SameSite=Lax).
  • oak_csrf — proteção contra CSRF (não é credencial; legível pelo navegador apenas para validação de origem).
  • oak_consent — registro do aceite do banner de cookies (12 meses).

A OAK não utiliza cookies de rastreamento publicitário de terceiros (Meta Pixel, Google Ads, etc) no MVP.

Seção X

Alterações desta política

Esta política pode ser revisada. Alterações materiais serão comunicadas por e-mail aos titulares cadastrados com antecedência mínima de 15 dias. Versão atual: 1.0 — vigência a partir de 22.05.2026.