Política de Privacidade do Candidate.IA

1. Título e escopo

Esta Política de Privacidade se aplica à operação do Candidate.IA no Brasil e está estruturada com base na Lei Geral de Proteção de Dados Pessoais (LGPD).

Ela se aplica ao site público, ao aplicativo, às funcionalidades do Candidate.IA e aos canais de privacidade, conforme aplicável ao uso realizado por candidatos, profissionais, empresas clientes, recrutadores, consultorias, headhunters e demais organizações.

Outras jurisdições poderão ter documentos, anexos ou versões próprias no futuro, de acordo com a legislação local, o estágio de mercado e os produtos disponíveis em cada região.

Versão 1.0 — vigente a partir de 17 de maio de 2026.

2. Quem somos

O Candidate.IA é uma plataforma SaaS B2B2C de jornada inteligente do candidato. O produto pode ser usado diretamente por candidatos e profissionais e também por empresas, recrutadores, consultorias, headhunters e outras organizações.

Candidate.IA é uma marca operada por Alcance Ia LTDA, inscrita no CNPJ sob nº 52.642.129/0001-05.

A depender do contexto, o Candidate.IA pode atuar como controlador de dados pessoais ou como operador. Em alguns fluxos, definimos finalidades próprias de tratamento, como criação e gestão de conta, autenticação, segurança, billing, suporte, registros técnicos, cookies próprios e defesa de direitos.

Em fluxos B2B, a organização cliente pode atuar como controladora dos dados do processo seletivo ou profissional conduzido por ela. Nesses casos, o Candidate.IA pode tratar dados conforme instruções dessa organização, sem prejuízo de finalidades próprias e proporcionais relacionadas à operação segura da plataforma, conta, billing, logs e suporte.

3. Quais dados podemos tratar

A. Dados de conta e identificação: nome, e-mail, credenciais em formato protegido ou hash, sessões, preferências e dados de acesso.

B. Dados profissionais: cargo ou headline, experiência, formação, habilidades, idiomas, senioridade, localização profissional e preferências profissionais.

C. Currículos, documentos e anexos: arquivos enviados, metadados, texto extraído, resumos e informações derivadas do processamento desses materiais.

D. Entrevistas, testes e assessments: respostas, áudio ou transcrição quando aplicável, feedbacks, resultados, scores e relatórios.

E. IA, recomendações e análises: análise 360, match com vaga, recomendações, relatórios, metadados técnicos de uso de IA, hashes, tokens, custos e logs minimizados, quando aplicável.

F. Dados de empresas e usuários B2B: organização, membros, papéis, permissões, convites e usuários administrativos.

G. Billing e pagamentos: plano, créditos, ordens, status de pagamento, IDs externos de pagamento e dados de conciliação, quando aplicável. Em regra, dados completos de cartão são tratados por provedores indicados no fluxo de contratação, conforme seus próprios termos.

H. Dados técnicos, segurança e logs: IP ou IP minimizado/hasheado, user-agent, eventos de autenticação, logs de auditoria, eventos de segurança, erros e métricas técnicas minimizadas.

I. Cookies e analytics: cookies necessários, cookies de segurança, preferências e Microsoft Clarity ou outras ferramentas de analytics somente quando consentidas, conforme aplicável.

J. Pedidos de privacidade e incidentes: solicitações de titulares, consentimentos, exportações, exclusão ou anonimização, registros de incidentes e evidências operacionais minimizadas.

4. Dados sensíveis e dados de menores

O Candidate.IA não tem como finalidade principal coletar dados pessoais sensíveis. Ainda assim, dados sensíveis podem aparecer incidentalmente em currículos, documentos, entrevistas, transcrições, respostas ou campos livres preenchidos pelo próprio usuário ou por uma organização cliente.

Recomendamos que usuários não enviem dados sensíveis desnecessários, como informações sobre saúde, religião, opinião política, origem racial ou étnica, filiação sindical, vida sexual, biometria ou dados de crianças e adolescentes, salvo quando houver necessidade, base legal adequada e orientação específica.

Quando dados sensíveis aparecerem de forma incidental, podemos aplicar medidas de minimização, restrição, revisão, exclusão, anonimização ou outras providências adequadas, conforme o contexto, a legislação aplicável, o contrato e a viabilidade técnica.

O serviço é voltado principalmente a adultos e profissionais. Podemos aplicar mecanismos de verificação, revisão ou restrição de uso quando houver indicação de menoridade. Regras específicas para adolescentes poderão depender de política própria, contrato, contexto de uso e legislação aplicável.

5. Como usamos os dados

Podemos usar dados pessoais para criar e manter contas, autenticar usuários, prestar funcionalidades do SaaS, processar currículos e documentos, gerar perfil profissional, realizar entrevistas, testes e assessments, gerar relatórios e recomendações e apoiar a preparação profissional.

Também podemos tratar dados para apoiar processos conduzidos por organizações clientes, administrar organizações e permissões, processar pagamentos e créditos, prestar suporte, proteger a plataforma, prevenir abuso e fraude, cumprir obrigações legais ou contratuais, atender direitos dos titulares, registrar incidentes, defender direitos e melhorar o produto de forma segura e proporcional.

Quando houver analytics não essencial, como Microsoft Clarity ou ferramenta equivalente, o uso dependerá de consentimento ou de outro mecanismo válido conforme a legislação aplicável e a configuração apresentada ao usuário.

6. Bases legais

Dependendo do contexto, podemos tratar dados pessoais com base na execução de contrato ou de procedimentos preliminares, cumprimento de obrigação legal ou regulatória, exercício regular de direitos, legítimo interesse quando aplicável e respeitados os direitos do titular, consentimento, especialmente para analytics não essenciais e determinadas preferências, ou outras hipóteses previstas na LGPD conforme o caso.

Dados sensíveis, quando existirem, serão tratados apenas conforme hipóteses legais aplicáveis e com medidas adicionais proporcionais ao risco e ao contexto.

Em contexto B2B, a organização cliente pode ser responsável por definir a base legal do processo conduzido por ela, incluindo convites, avaliações, entrevistas, testes, relatórios e decisões relacionadas a candidatos ou profissionais.

7. Quando atuamos como controlador ou operador

O Candidate.IA pode atuar como controlador quando o usuário cria conta diretamente, quando tratamos dados para segurança, billing, autenticação, suporte da plataforma, cookies ou analytics próprios, gestão de conta, incidentes próprios, cumprimento de obrigações e defesa de direitos.

O Candidate.IA pode atuar como operador quando uma empresa cliente usa a plataforma para conduzir processo com candidatos ou profissionais, e tratamos dados conforme instruções dessa organização cliente, por exemplo ao processar entrevistas, testes, documentos, relatórios ou análises no contexto desse cliente.

Em pedidos de titulares envolvendo contexto B2B, talvez seja necessário envolver a organização cliente controladora. Isso pode afetar prazo, escopo, forma de resposta e a possibilidade de atender integralmente ao pedido diretamente pelo Candidate.IA.

8. IA, análises, scores e decisões automatizadas

O Candidate.IA usa recursos de IA e automação para apoiar análise profissional, preparação, relatórios, match com vagas, recomendações, entrevistas simuladas e organização de informações relevantes à jornada do candidato.

Essas funcionalidades devem ser entendidas como apoio informacional. A IA não deve ser tratada como avaliação humana final nem como substituta de análise profissional, jurídica, recrutadora ou decisória quando resultados forem usados em decisões relevantes sobre pessoas.

Em contextos B2B, a organização cliente é responsável pelo uso dos resultados em suas decisões e pela definição de critérios, bases legais, avisos e revisões adequadas ao processo conduzido por ela.

Podemos fornecer explicações gerais sobre tipos de dados usados e critérios gerais de funcionamento, conforme aplicável. Não fornecemos prompts internos, chain-of-thought, segredos comerciais, dados de terceiros ou informações que comprometam segurança, prevenção a abuso ou direitos de outras pessoas.

O titular pode solicitar explicação ou revisão pelo portal do app ou pelo canal de privacidade. Recomendamos revisão humana quando resultados, relatórios, scores ou recomendações forem usados em decisões relevantes sobre pessoas.

9. Compartilhamento de dados

Podemos compartilhar dados pessoais com provedores de infraestrutura, banco de dados, storage, IA, transcrição, embeddings, pagamentos, hospedagem, analytics consentido, segurança, suporte ou e-mail transacional, quando aplicável e na medida necessária para operar a plataforma.

Também podemos compartilhar dados com organizações clientes quando o usuário participa de contexto B2B, por exemplo em processos conduzidos por empresas, recrutadores, consultorias, headhunters ou organizações que usam o Candidate.IA.

Podemos compartilhar informações com autoridades, parceiros ou terceiros quando necessário para cumprir obrigação legal ou regulatória, atender ordem válida, proteger segurança, investigar abuso, responder incidente, exercer direitos ou proteger direitos de usuários, clientes, fornecedores e da própria plataforma.

10. Subprocessadores e fornecedores

Usamos fornecedores como Supabase, Google Cloud, Vercel, OpenAI, Microsoft Clarity, Mercado Pago, PayPal e outros que possam ser necessários para infraestrutura, operação, segurança, pagamentos, analytics consentido, suporte e melhoria do produto.

A lista pública de subprocessadores fica em /pt/subprocessadores e pode ser atualizada conforme a arquitetura, os fornecedores, os contratos e as funcionalidades evoluírem.

Alguns fornecedores podem atuar como subprocessadores, suboperadores, terceiros independentes ou controladores independentes, conforme o serviço prestado, o contexto de tratamento e os termos aplicáveis.

11. Transferência internacional

Podem ocorrer transferências internacionais de dados pessoais, conforme fornecedores, regiões de processamento, integrações, suporte, segurança, funcionalidades utilizadas e localização das equipes ou sistemas envolvidos.

Alguns fornecedores podem estar localizados fora do Brasil ou processar dados em outros países. Quando houver transferência internacional, buscaremos adotar mecanismos e salvaguardas aplicáveis conforme a LGPD, a regulamentação da ANPD e os contratos pertinentes, nos termos da legislação aplicável.

12. Cookies e analytics

Podemos usar cookies necessários para funcionamento do site e do app, cookies de segurança e sessão, mecanismos de CSRF, preferências e tecnologias similares essenciais à operação.

Analytics opcional, incluindo Microsoft Clarity quando utilizado, deve ocorrer apenas mediante consentimento ou configuração válida apresentada ao usuário, conforme aplicável. O usuário pode aceitar, rejeitar ou personalizar preferências e pode revogar consentimento posteriormente pelos mecanismos disponíveis.

Mais informações estão disponíveis em /pt/cookies.

13. Retenção dos dados

Mantemos dados pessoais pelo tempo necessário às finalidades descritas nesta política, considerando obrigações legais, contratuais, fiscais, segurança, auditoria, prevenção a fraude, exercício regular de direitos, resolução de disputas e solicitações do titular.

Exportações e arquivos temporários podem expirar após prazo técnico. Dados de billing, conciliação, comprovantes e registros fiscais podem ser retidos por prazos próprios. Logs de segurança e auditoria podem ser retidos pelo período necessário para proteção da plataforma e investigação de eventos.

Pedidos de exclusão ou anonimização podem ter limitações legais, contratuais ou técnicas. Backups seguem ciclos técnicos próprios e a exclusão pode não ser imediata em cópias de segurança, embora medidas de expiração, sobrescrita ou isolamento possam ser adotadas conforme aplicável.

14. Segurança

Adotamos controles técnicos e organizacionais proporcionais ao contexto, como segregação multi-tenant, controle de acesso, storage privado, HTTPS, proteção de credenciais, redaction de logs, webhooks, traces e fluxos de IA, auditoria, registros de incidentes, expiração de exportações e processos de erasure com dry-run e aprovação quando aplicável.

Nenhum sistema é absolutamente seguro. Trabalhamos para reduzir riscos e responder a eventos de segurança de forma proporcional, técnica e juridicamente adequada.

Mais informações estão disponíveis em /pt/seguranca.

15. Direitos dos titulares

Nos termos da LGPD, titulares podem solicitar confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, revogação de consentimento, oposição e explicação ou revisão de decisões automatizadas, quando aplicável.

Usuários logados podem usar o portal de privacidade disponível no app. Usuários não logados ou terceiros podem usar o canal em /pt/privacidade/contato.

Podemos solicitar verificação de identidade antes de responder. Em contexto B2B, talvez seja necessário envolver a organização cliente controladora. Também podemos limitar respostas para proteger dados de terceiros, segredo comercial, segurança, direitos de outros titulares, prevenção a abuso ou obrigações legais.

16. Incidentes

Temos controles técnicos para registrar, avaliar e responder incidentes de segurança e privacidade. A análise pode considerar natureza do evento, dados envolvidos, impacto, medidas de contenção, evidências disponíveis e papel do Candidate.IA no tratamento.

Quando um incidente puder envolver dados de organização cliente, poderemos acionar essa organização. Comunicação à ANPD ou a titulares dependerá da avaliação do controlador competente, do DPO ou jurídico, dos riscos envolvidos e dos requisitos legais aplicáveis.

17. Links úteis

Termos: /pt/termos. Cookies: /pt/cookies. Subprocessadores: /pt/subprocessadores. Canal de privacidade: /pt/privacidade/contato. LGPD: /pt/lgpd. Segurança: /pt/seguranca. DPA: /pt/dpa.

18. Atualizações desta política

Podemos atualizar esta Política de Privacidade para refletir mudanças legais, técnicas, comerciais, de produto, de fornecedores ou de processos internos.

Mudanças relevantes podem exigir aviso, destaque adicional ou reaceite, conforme aplicável. A versão, a data de vigência e a última revisão serão indicadas nesta página ou em registros próprios.

19. Contato

Pedidos, dúvidas ou solicitações relacionados a privacidade devem ser enviados pelo formulário do Canal de Privacidade em /pt/privacidade/contato.

Quando necessário, o Candidate.IA poderá indicar outro canal oficial para atendimento de privacidade.