1. Escopo, controlador e finalidade deste documento
Esta Política de Privacidade descreve como o Movys pode coletar, utilizar, armazenar, compartilhar, proteger, reter e eliminar dados pessoais no contexto da plataforma, de seus formulários, de áreas autenticadas, de jornadas corporativas, de conexões com profissionais e de recursos digitais relacionados à saúde do movimento, à prevenção, ao suporte ocupacional e à continuidade de cuidado.
Para os fins deste documento, o controlador responsável pela operação do produto é a Cosmo Softworks Desenvolvimento de Softwares LTDA, inscrita no CNPJ 23.171.476/0001-90, sediada em R. Fernando Costa, 452 - andar 3 - Centro, Itanhandu - MG, 37464-000. Sempre que esta política mencionar Movys, nós, nos ou nosso, a referência será à estrutura responsável por essa operação.
Esta política deve ser lida em conjunto com os Termos de Uso, com eventuais comunicações contratuais, fluxos de consentimento, avisos contextuais, rotinas corporativas legitimamente habilitadas e demais documentos que disciplinem o relacionamento com a plataforma.
O objetivo deste documento é dar transparência jurídica e operacional ao tratamento de dados pessoais, inclusive quando o serviço envolver dados de saúde, dados ocupacionais, dados comportamentais, dados técnicos, dados de autenticação e informações sensíveis compatíveis com a natureza da solução.
Esta revisão também aprofunda o papel dos sistemas de autenticação do Movys, incluindo login por e-mail e senha e opções de autenticação social efetivamente habilitadas na experiência de acesso, para esclarecer como esses fluxos participam da identificação do usuário, da proteção da conta e da continuidade segura da sessão.
2. Contexto regulatório e aplicação desta política
O Movys foi concebido com foco no Brasil, em português do Brasil e sob referência normativa nacional. O tratamento de dados pessoais realizado no contexto da plataforma deve observar, em especial, a Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), o Código Civil (Lei nº 10.406/2002) e, quando aplicável, o Código de Defesa do Consumidor (Lei nº 8.078/1990).
Em cenários corporativos, ocupacionais ou preventivos, o tratamento também pode precisar dialogar com deveres contratuais, rotinas internas de governança, obrigações de segurança da informação, requisitos de sigilo profissional e limites de visualização compatíveis com a finalidade legítima do ambiente.
- Esta política se aplica à landing page, aos formulários, à autenticação, às áreas privadas e às integrações efetivamente habilitadas.
- Ela não substitui políticas específicas de terceiros acessados por link ou integração fora do controle operacional do Movys.
- O eventual uso de infraestrutura global não altera o enquadramento jurídico principal desta política no contexto brasileiro.
3. Categorias de dados pessoais tratados
O Movys adota o princípio da necessidade e procura tratar apenas os dados adequados, pertinentes e proporcionais às finalidades informadas. A natureza exata do tratamento depende do perfil do usuário, do módulo efetivamente habilitado, da jornada contratada e do contexto em que a plataforma estiver sendo utilizada.
Dependendo da funcionalidade utilizada, algumas dessas informações podem configurar dados pessoais sensíveis nos termos da LGPD, especialmente quando relacionadas à saúde, à condição funcional, à rotina de cuidado ou a marcadores que revelem aspecto sensível da vida do titular.
Nos fluxos de autenticação social, o conjunto de dados de autenticação pode incluir ainda nome exibido pelo provedor de identidade, e-mail autorizado para login, identificador técnico da conta externa, eventos de confirmação de acesso, estado do redirecionamento e sinais mínimos usados para prevenir fraude, duplicidade de conta ou vinculação indevida.
4. Como os dados são coletados
Os dados tratados pelo Movys podem ser obtidos por diferentes meios, sempre dentro de uma base legal adequada e de uma finalidade compatível com a experiência oferecida.
- Fornecimento direto: quando o titular preenche formulários, cria conta, responde jornadas, interage com profissionais ou informa dados de contexto.
- Coleta automática: quando a própria operação técnica da plataforma registra acessos, sessões, navegação, estabilidade e eventos de segurança.
- Ambiente corporativo: quando uma empresa contratante habilita usuários, programas, permissões ou contextos de uso legítimos.
- Integrações autorizadas: quando o titular ou o contratante habilita fluxos com provedores, serviços, aplicativos ou ecossistemas externos compatíveis com a solução.
O Movys não deve tratar dados pessoais fora do escopo compatível com a finalidade declarada, e eventuais ampliações relevantes de tratamento devem ser acompanhadas de atualização documental, aviso contextual ou novo fluxo de transparência adequado ao caso.
Quando o usuário escolhe entrar por botões sociais, como Google, Facebook, Microsoft ou Apple, o Movys pode receber do provedor externo apenas os dados necessários para criar, localizar, validar, recuperar ou vincular a conta no ambiente autorizado, sempre a partir de uma ação expressa do próprio usuário ao iniciar o fluxo de login.
5. Finalidades do tratamento de dados
O tratamento de dados pelo Movys pode ocorrer para possibilitar o funcionamento da plataforma, organizar jornadas, personalizar a experiência, proteger contas, entregar funcionalidades e viabilizar a interação entre titulares, empresas, administradores e profissionais habilitados.
- criar, manter e proteger contas e sessões autenticadas;
- viabilizar jornadas de saúde do movimento, prevenção, acompanhamento e suporte digital;
- apresentar indicadores, rotinas, sugestões e conteúdos relacionados ao contexto de uso;
- cumprir contratos, programas corporativos, controles de acesso e rotinas operacionais legítimas;
- prevenir fraudes, incidentes, abuso de plataforma e uso incompatível com o serviço;
- medir desempenho técnico, estabilidade e evolução funcional do produto;
- atender solicitações, notificações, auditorias, deveres legais e exercício regular de direitos.
O Movys não deve utilizar dados pessoais para finalidades incompatíveis com a relação estabelecida com o titular nem para exploração indevida de dados clínicos, ocupacionais ou sensíveis fora do escopo legítimo do serviço.
Esse tratamento também pode ocorrer para viabilizar autenticação por terceiros efetivamente habilitados, associar o método de acesso escolhido pelo usuário à conta Movys, reduzir fricção no login, preservar a continuidade da sessão e manter rastreabilidade mínima para investigação de incidentes de segurança.
6. Bases legais utilizadas
O tratamento de dados pessoais pode se apoiar em diferentes bases legais previstas na LGPD, conforme a natureza da operação realizada, o perfil do usuário, o fluxo contratual e a finalidade perseguida.
- Execução de contrato e procedimentos preliminares: para cadastro, relacionamento comercial, prestação de serviço e rotinas contratuais.
- Consentimento: quando exigido pela legislação ou adotado como base específica para determinado tratamento.
- Legítimo interesse: quando houver finalidade legítima, avaliação de proporcionalidade e respeito aos direitos do titular.
- Cumprimento de obrigação legal ou regulatória: quando a retenção, auditoria ou prestação de informação for juridicamente exigida.
- Exercício regular de direitos: para defesa administrativa, judicial, arbitral ou preservação de evidências.
- Tutela da saúde: quando aplicável ao contexto da plataforma e à participação de profissionais ou serviços habilitados nos limites legais.
Sempre que houver tratamento de dados sensíveis, o enquadramento jurídico deverá observar cautela reforçada, limitação de acesso, necessidade concreta e compatibilidade com a natureza da funcionalidade ou do programa em operação.
Em autenticação social, o tratamento pode se apoiar, principalmente, na execução de procedimentos necessários ao acesso solicitado pelo usuário e no legítimo interesse voltado à segurança da conta, à prevenção a fraude e à integridade do fluxo de autenticação, sem prejuízo das bases jurídicas que disciplinem o tratamento realizado pelo próprio provedor em seu ambiente autônomo.
7. Compartilhamento de dados e atuação de operadores
O Movys não deve vender dados pessoais. O compartilhamento pode ocorrer apenas quando necessário para a prestação do serviço, para a execução de funcionalidades habilitadas, para a operação técnica da plataforma, para o cumprimento de deveres legais ou para o exercício regular de direitos.
- Prestadores de tecnologia: hospedagem, autenticação, banco de dados, monitoramento, comunicações e suporte técnico.
- Profissionais ou parceiros habilitados: quando a jornada do titular envolver orientação, acompanhamento, atendimento ou fluxo conectado permitido.
- Empresas contratantes: dentro do limite de acesso compatível com a finalidade do programa e, preferencialmente, com leitura agregada quando possível.
- Processadores financeiros: quando houver contratação paga, cobrança, conciliação ou prevenção a fraude.
- Autoridades competentes: nas hipóteses de obrigação legal, regulatória, judicial ou administrativa válida.
Sempre que houver compartilhamento, o desenho da solução deve priorizar segregação de contexto, rastreabilidade, confidencialidade, minimização e controles adequados de permissão, especialmente em ambientes com múltiplos perfis de acesso.
Em contextos corporativos e ocupacionais, relatórios e indicadores devem privilegiar leitura compatível com a finalidade do programa, vedado o uso discriminatório, invasivo ou alheio ao escopo legítimo da plataforma.
Nos fluxos de login social, pode haver intercâmbio limitado de dados e sinais técnicos entre o Movys e o provedor de identidade selecionado para confirmar a autenticidade da entrada, concluir redirecionamentos, emitir ou renovar a sessão e associar a conta interna ao método de acesso autorizado. Esse intercâmbio não significa que o Movys passe a controlar a conta do usuário no provedor externo nem autoriza recebimento irrestrito de dados alheios à finalidade de autenticação.
8. Retenção, armazenamento e descarte
Os dados pessoais tratados pelo Movys podem ser mantidos pelo tempo necessário para o cumprimento das finalidades descritas nesta política, para a prestação do serviço, para a continuidade útil da jornada, para a segurança da conta, para a auditoria operacional e para o atendimento de exigências legais ou defesa de direitos.
- Dados de conta: pelo período de manutenção da relação ativa ou enquanto necessários à operação contratada.
- Dados de autenticação e segurança: pelo prazo compatível com prevenção de incidentes, investigações e rastreabilidade.
- Dados de saúde, movimento e jornada: conforme a utilidade da funcionalidade, a base legal aplicável e o contexto da relação.
- Dados corporativos e ocupacionais: enquanto vigorar a finalidade do programa, o contrato ou a necessidade legítima de governança.
- Backups e redundâncias técnicas: conforme rotinas normais de proteção, recuperação e sobreposição da infraestrutura.
Encerrada a finalidade, os dados poderão ser eliminados, anonimizados, bloqueados ou mantidos apenas quando houver base legal para conservação, inclusive para cumprimento de obrigação legal, exercício regular de direitos ou preservação mínima de segurança e integridade da operação.
Tokens de sessão, identificadores temporários do redirecionamento de login, registros de tentativa de acesso e confirmações relacionadas à autenticação social devem ser mantidos apenas pelo tempo necessário à continuidade segura do acesso, à apuração de incidentes, à prevenção a fraude e ao atendimento de obrigações legais ou defensivas aplicáveis.
9. Segurança da informação e gestão de acesso
O Movys busca adotar medidas técnicas e organizacionais compatíveis com o nível de risco dos dados tratados, com atenção especial a credenciais de acesso, dados de saúde, dados ocupacionais, dados sensíveis, eventos de segurança e segregação de perfis.
- controles de autenticação, sessão, redefinição de senha e proteção de credenciais;
- perfis de acesso segmentados por função, necessidade operacional e contexto de uso;
- monitoramento, registro de eventos críticos, auditoria e resposta a incidentes relevantes;
- medidas de proteção em trânsito e, quando aplicável, em repouso;
- rotinas de atualização, correção de vulnerabilidades e revisão de dependências técnicas.
Nenhuma medida de segurança elimina integralmente todos os riscos inerentes a sistemas conectados. O titular também deve proteger seus dispositivos, manter a confidencialidade de credenciais e comunicar suspeitas de uso indevido ou acesso não autorizado.
Em caso de incidente relevante, o controlador deverá adotar medidas de contenção, análise de impacto, registro interno e comunicação proporcional aos titulares e à ANPD, quando exigido pela legislação aplicável.
Quando houver autenticação social, o Movys poderá utilizar verificadores adicionais de integridade, estado temporário do redirecionamento, identificação de sessão, prevenção a reutilização indevida do fluxo e controles equivalentes para reduzir risco de sequestro de sessão, fraude de login ou vinculação indevida de conta.
10. Direitos do titular e solicitações relacionadas à LGPD
Nos termos da LGPD, o titular pode solicitar informações e providências relativas ao tratamento de seus dados pessoais, observadas as limitações legais, a necessidade de verificação de identidade e o contexto concreto da operação realizada pelo Movys.
- confirmação da existência de tratamento;
- acesso aos dados pessoais tratados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação quando cabível;
- informação sobre compartilhamento e uso;
- portabilidade, quando juridicamente e tecnicamente aplicável;
- revogação do consentimento, quando essa for a base legal específica;
- informação sobre consequências da negativa de consentimento, quando pertinente.
Solicitações de privacidade devem ser encaminhadas pelos canais oficiais indicados pela plataforma para temas de LGPD e direitos do titular. O pedido deve identificar o solicitante, descrever a demanda com clareza e, quando necessário, permitir verificação razoável de identidade para proteção do próprio titular.
Quando a solicitação envolver autenticação social, o Movys poderá esclarecer ao titular quais medidas podem ser atendidas diretamente na conta da plataforma e quais dependem de gestão autônoma perante o provedor externo, como troca de senha, revogação de permissões, revisão de dispositivos confiáveis ou encerramento da conta mantida fora do ecossistema Movys.
11. Cookies, identificadores e tecnologias correlatas
O Movys pode utilizar cookies, armazenamento local, identificadores de sessão e mecanismos similares para autenticação, segurança, estabilidade, preferências de interface, continuidade de uso e métricas técnicas compatíveis com a operação do serviço.
- Cookies essenciais: necessários para login, sessão autenticada, proteção de conta e funcionamento técnico do ambiente.
- Cookies funcionais: voltados à lembrança de preferências, contexto de navegação e ajustes úteis de experiência.
- Cookies analíticos ou diagnósticos: utilizados para melhoria do produto, observados os requisitos legais e as configurações efetivamente habilitadas.
A desativação de recursos essenciais pode comprometer partes relevantes da experiência, da segurança ou da capacidade de uso da plataforma.
Para uma disciplina específica sobre categorias, finalidades, controles e leitura operacional desses recursos, consulte a Política de Cookies e a Declaração de Cookies.
Em fluxos de login social, esses recursos podem ser utilizados também para registrar o estado temporário da tentativa de autenticação, confirmar o retorno seguro do provedor escolhido, manter a continuidade da sessão após o redirecionamento e evitar reprocessamento indevido da mesma tentativa de acesso.
12. Dados de menores e uso em contexto sensível
Salvo fluxo específico juridicamente estruturado, o Movys deve ser considerado voltado a pessoas com capacidade compatível para contratar e utilizar a plataforma. Caso haja tratamento de dados de crianças ou adolescentes em contexto permitido, esse tratamento deverá observar requisitos reforçados da LGPD e o melhor interesse do menor.
Como a plataforma pode lidar com informações relacionadas à saúde do movimento, contexto ocupacional, limitação funcional ou acompanhamento digital, o tratamento deve observar cautela adicional, limitação de finalidade e necessidade concreta, evitando exposição indevida, uso discriminatório ou compartilhamento incompatível com o serviço.
13. Transferência internacional de dados
Dependendo da arquitetura tecnológica adotada, alguns dados podem ser processados, armazenados ou trafegados por provedores com operação fora do Brasil. Nesses casos, a transferência internacional deverá observar a LGPD, medidas de segurança compatíveis e salvaguardas contratuais proporcionais à natureza dos dados envolvidos.
O uso de infraestrutura global, serviços de autenticação, monitoramento, analytics, nuvem ou componentes de IA não afasta o dever de garantir tratamento compatível com os direitos dos titulares e com o enquadramento jurídico principal da operação no Brasil.
Isso inclui provedores de identidade e serviços de autenticação social que, por sua própria arquitetura, possam operar processamento, armazenamento, prevenção a fraude e verificação de credenciais fora do Brasil para concluir o acesso solicitado pelo usuário.
14. Atualizações desta política
Esta Política de Privacidade poderá ser atualizada em razão da evolução do produto, de alterações regulatórias, de novas integrações, de amadurecimento operacional, de ajustes em fluxos de segurança, de mudanças arquiteturais ou de aperfeiçoamento da própria redação jurídica e institucional da plataforma.
Sempre prevalecerá a versão publicada nesta página, identificada pela data de atualização informada no cabeçalho. Quando houver mudança material com potencial impacto relevante sobre direitos, expectativas de uso ou forma de tratamento, o Movys deverá adotar comunicação razoável e proporcional ao relacionamento estabelecido com o titular.
15. Contato e empresa responsável
Questões relacionadas a esta Política de Privacidade, ao exercício de direitos do titular, a solicitações formais, a dúvidas sobre tratamento de dados ou a comunicações institucionais devem ser direcionadas aos canais oficiais divulgados pelo Movys em sua landing page, em suas áreas autenticadas ou em comunicações institucionais vigentes.
- Contato geral: canal institucional divulgado pela plataforma para atendimento comercial, suporte e relacionamento.
- Privacidade e direitos do titular: canal específico indicado pelo Movys para solicitações relacionadas à LGPD.
- Demandas corporativas e profissionais: canais operacionais e comerciais comunicados ao contratante ou ao profissional conforme o contexto de uso.
- Empresa responsável: Cosmo Softworks Desenvolvimento de Softwares LTDA - CNPJ 23.171.476/0001-90 - R. Fernando Costa, 452 - andar 3 - Centro, Itanhandu - MG, 37464-000.
Quando necessário, o Movys poderá complementar esta política com avisos contextuais, registros específicos de programa, fluxos contratuais e orientações operacionais alinhadas à natureza do tratamento realizado em cada módulo ou jornada.