Privacidade & LGPD
Atualizado em 19 de maio de 2026 · Versão 2.0
Quem somos
Skillment é uma plataforma LXP (Learning Experience Platform) operada por SkilLab Tecnologia / The Labs Group, empresa brasileira sediada em São Paulo. Atuamos como operador (processor) de dados pessoais quando empresas contratam Skillment pra treinar seus colaboradores, e como controlador (controller) apenas dos dados administrativos estritamente necessários pra operar o serviço (faturamento, suporte, segurança).
Bases legais (LGPD Art. 7)
- Execução de contrato (Art. 7, V) — dados operacionais entre cliente B2B e Skillment.
- Legítimo interesse do controlador (Art. 7, IX) — quando o tenant cliente é o empregador e usa Skillment pra desenvolvimento profissional dos colaboradores.
- Consentimento (Art. 7, I) — pra notificações opcionais (WhatsApp, marketing) e cookies não-essenciais.
- Cumprimento de obrigação legal (Art. 7, II) — retenção de audit trail e certificados pelos prazos legais aplicáveis.
Dados que coletamos
| Categoria | Exemplos | Retenção |
|---|---|---|
| Identificação | nome, e-mail corporativo, avatar | Vigência do contrato |
| Profissional | área, turma, localidade, cargo | Vigência do contrato |
| Aprendizado | progresso, quizzes, certificados | 7 anos (legal) |
| Comportamento | eventos, XP, conquistas, ranking | 7 anos (audit) |
| Comunicação (opt-in) | WhatsApp, calendar | Até revogação |
| Operacional | sessões, logs de auth, audit trail | 90 dias / 7 anos |
Sub-processadores
Pra entregar o serviço, compartilhamos dados específicos com:
- Cloudflare Inc. (USA / global edge) — hospedagem, CDN, banco D1, R2 storage. Cobertura por SCCs (Standard Contractual Clauses).
- Resend Inc. (USA) — entrega transacional de e-mail (magic link, notificações).
- Google LLC (USA) — OAuth + Calendar sync (apenas pra learners que ativarem).
- Microsoft Corp. (USA) — OAuth + Outlook sync (apenas pra learners que ativarem).
- LinkedIn Corporation (USA) — SSO LinkedIn (apenas pra users que logarem com LinkedIn).
- Evolution API self-hosted (Brasil, infra própria) — WhatsApp opt-in.
DPA template com lista detalhada e finalidade de cada sub-processador disponível sob NDA pra clientes Growth/Enterprise — solicite via contato@skillment.app.
Transferência internacional
Dados podem ser processados em servidores fora do Brasil (principalmente USA via Cloudflare edge). Garantias:
- SCCs (Standard Contractual Clauses) firmadas com Cloudflare
- Criptografia at-rest e in-transit em todo o pipeline
- Pra clientes Enterprise que exijam residência exclusivamente brasileira, podemos pinning de região (em roadmap, ativa sob contrato)
Direitos do titular (LGPD Art. 18)
Você pode exercer a qualquer momento:
- Acesso e portabilidade: use o endpoint
GET /api/user/me/exportdentro da plataforma (logado) — retorna JSON portável com todos seus dados - Correção: edite seu perfil em
/perfil - Eliminação: use o endpoint
DELETE /api/user/me— soft-delete com anonimização imediata (mantém audit trail por obrigação legal) - Revogação de consentimento: em
/perfil/notificationse no banner de cookies - Informação sobre uso compartilhado: esta política + DPA template
Solicitações que exijam intervenção manual: privacy@skillment.app — resposta em até 15 dias úteis.
Cookies utilizados
| Nome | Tipo | Finalidade | Duração |
|---|---|---|---|
| skillment_session | Essencial | Sessão autenticada | 30 dias |
| skillment_tenant | Essencial | Marca selecionada | 30 dias |
| skillment_consent | Essencial | Preferências de cookie | 1 ano |
| skillment_demo_mode | Essencial | Indicador de modo demo | 1 dia |
Hoje só usamos cookies essenciais. Quando ativarmos analytics (Plausible self-hosted ou similar) e marketing pixels, ficarão gated atrás de opt-in granular no banner.
Encarregado (DPO) e contato
Encarregado: Ivan Prado
E-mail privacidade: privacy@skillment.app
E-mail geral: contato@skillment.app
Vulnerabilidades: security@skillment.app