Esta Política descreve como o JobMode.app (“JobMode.app”, “nós”) coleta, usa, compartilha e protege os dados pessoais de quem usa nossa extensão, nosso site e nossa API (juntos, o “Serviço”). Lemos com atenção LGPD, GDPR e CCPA/CPRA para que esta política cumpra os três regimes ao mesmo tempo. Se algo aqui contrariar uma regra específica da sua jurisdição, prevalece a regra local.
Resumo de uma frase: usamos seus dados para gerar as candidaturas que você pede, cobrar pelo plano contratado e manter o Serviço seguro. Não vendemos seus dados. Não treinamos modelos com eles. Você pode pedir acesso, correção ou exclusão a qualquer momento.
1. Quem é o controlador
Controlador dos dados: JobMode.app (operado por Vivai Tour Tecnologia Ltda.).
Endereço: Endereço a definir — atualize antes de publicar.
Encarregado de Proteção de Dados (DPO) / Data Protection Officer: dpo@jobmode.app
Contato geral de privacidade: privacy@jobmode.app
Representante na UE (GDPR art. 27): a definir antes do lançamento comercial na UE/EEE. Até lá, usuários da UE podem nos contatar diretamente nos canais acima.
2. Dados pessoais que tratamos
Coletamos somente o necessário para entregar o Serviço. Os dados são organizados nas categorias abaixo.
2.1. Dados de cadastro e identificação
- E-mail (obrigatório — usamos para autenticação por magic link, comunicações operacionais e suporte).
- Nome (quando você o informa no perfil).
- País resolvido por geo-IP no cadastro (define moeda padrão e exigência de CPF).
- CPF — exigido apenas para usuários no Brasil, para emissão de nota fiscal e cumprimento de obrigações fiscais brasileiras. Tratamos CPF como dado sensível para fins de segurança (criptografia em repouso, acesso restrito).
2.2. Dados do perfil profissional
- Currículo em PDF que você envia, e o perfil estruturado extraído dele: histórico profissional, formação acadêmica, habilidades, projetos, certificações, idiomas, conquistas, links, telefone, localização, cargos desejados e tom de comunicação preferido.
2.3. Dados de uso do Serviço
- Vagas detectadas (texto/URL da página em que você ativou a extensão, campos estruturados extraídos: título, empresa, requisitos, etc.).
- Documentos gerados (currículos adaptados, cartas de apresentação, respostas de triagem).
- Perguntas e respostas de triagem e seus embeddings (vetores) usados para recomendar respostas de candidaturas anteriores.
- Mensagens do chat de carreira com a IA, citações de pesquisas web realizadas pelo coach.
- Contadores de uso (número de detecções no mês, documentos gerados), para impor limites de plano.
2.4. Dados de pagamento
- ID de cliente Stripe, plano contratado, status da assinatura, moeda, datas do ciclo. Os dados de cartão são tratados exclusivamente pela Stripe; não armazenamos PAN nem CVV.
2.5. Dados técnicos
- Endereço IP, user-agent, idioma do navegador, timestamps de acesso, identificador do magic link, logs de erro.
- Telemetria de execução das skills de IA (modelo usado, tokens consumidos, custo em micro-USD, latência, status, mensagem de erro) — usada para faturamento interno e detecção de abuso.
2.6. Dados que NÃO coletamos
- Não coletamos categorias sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou à vida sexual, dado genético ou biométrico) — exceto quando você voluntariamente as inclui no currículo. Se isso ocorrer, recomendamos editar o perfil estruturado para removê-las.
- Não coletamos dados de menores de 18 anos conscientemente.
3. Como coletamos os dados
- Diretamente de você: ao criar conta, enviar currículo, completar perfil ou usar o chat.
- Automaticamente: pela extensão, ao você autorizar a leitura da aba atual para detectar uma vaga; pelo site, via logs de servidor; pela telemetria do Serviço.
- De terceiros: Stripe (status de pagamento), seu provedor de e-mail (entrega do magic link), serviço de geo-IP (país aproximado).
4. Finalidades e bases legais
Cada tratamento exige uma base legal. A tabela abaixo lista as finalidades e a base correspondente sob LGPD (art. 7º/11) e GDPR (art. 6º/9º).
| Finalidade | Base LGPD | Base GDPR |
|---|---|---|
| Criar e autenticar sua conta; oferecer o Serviço contratado; cobrar planos. | Execução de contrato (art. 7º, V) | Execução de contrato (art. 6(1)(b)) |
| Emitir nota fiscal e cumprir obrigações fiscais (CPF). | Obrigação legal (art. 7º, II) | Obrigação legal (art. 6(1)(c)) |
| Gerar currículo adaptado, carta, respostas e coaching com IA a partir do seu perfil. | Execução de contrato (art. 7º, V) | Execução de contrato (art. 6(1)(b)) |
| Prevenir fraude, abuso e proteger a integridade do Serviço. | Legítimo interesse (art. 7º, IX) | Legítimo interesse (art. 6(1)(f)) |
| Telemetria agregada (cost dashboards, métricas internas). | Legítimo interesse (art. 7º, IX) | Legítimo interesse (art. 6(1)(f)) |
| Enviar comunicações de marketing (opcional). | Consentimento (art. 7º, I) | Consentimento (art. 6(1)(a)) |
| Cumprir ordem judicial ou exigência regulatória. | Obrigação legal (art. 7º, II) | Obrigação legal (art. 6(1)(c)) |
5. Tratamento por IA generativa
Para gerar currículos, cartas, respostas de triagem e respostas do chat de carreira, enviamos partes do seu perfil e da vaga detectada para a Anthropic, PBC (modelos Claude). Os termos com a Anthropic preveem:
- não treinamento dos modelos da Anthropic com dados enviados pela API (vigente para clientes API/Workbench);
- retenção curta pela Anthropic apenas para entrega da resposta e segurança (consulte os termos da Anthropic para o período vigente);
- processamento em data centers nos EUA.
Decisões automatizadas: a IA produz sugestões, mas nenhuma decisão com efeitos jurídicos ou impacto significativo sobre você é tomada de forma automatizada pelo Serviço — a contratação ou rejeição em processos seletivos é decidida pelos empregadores, não por nós. Por isso, a regra do art. 20 da LGPD e do art. 22 do GDPR não se aplica diretamente; ainda assim, você tem direito a entender a lógica geral do Serviço (descrita aqui e no nosso código de fact-check).
6. Com quem compartilhamos os dados (operadores / sub-processadores)
Compartilhamos dados pessoais apenas com fornecedores estritamente necessários ao Serviço. Cada um atua como operador (LGPD) / processor (GDPR), sob contrato com cláusulas adequadas.
| Sub-processador | Finalidade | Local |
|---|---|---|
| Anthropic, PBC | Modelos de IA (Claude) — geração de texto | EUA |
| Amazon Web Services (AWS) | Hospedagem, Postgres, DynamoDB, armazenamento de arquivos | EUA / regiões selecionadas |
| Stripe, Inc. | Processamento de pagamentos e gestão de assinaturas | EUA + UE (segundo o domicílio do usuário) |
| Provedor de e-mail transacional | Entrega de magic link e notificações de conta | EUA |
| Provedor de geo-IP | Resolução de país no cadastro | Global |
A lista atualizada de sub-processadores está no Adendo de Tratamento de Dados (DPA). Mudanças materiais são comunicadas com pelo menos 30 dias de antecedência para clientes empresariais.
Não vendemos dados pessoais. Não compartilhamos dados pessoais com terceiros para fins publicitários. Para fins da CCPA/CPRA, declaramos: nos últimos 12 meses, a JobMode.app não vendeu nem compartilhou (para publicidade cross-context behavioral) dados pessoais.
7. Transferências internacionais
Operamos primariamente nos EUA. Se você está no Brasil ou na UE/EEE, seus dados podem ser transferidos para os EUA. Isso é feito com salvaguardas adequadas:
- UE/EEE → EUA: Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia (Decisão 2021/914) com cada sub-processador e, quando disponível, certificação EU–US Data Privacy Framework.
- Brasil → EUA: contratos com cláusulas específicas conforme art. 33, II/IX da LGPD e Resolução CD/ANPD nº 19/2024 (transferência internacional).
- Você pode solicitar uma cópia das salvaguardas em dpo@jobmode.app.
8. Retenção
| Categoria | Prazo |
|---|---|
| Conta e perfil estruturado | Enquanto a conta estiver ativa |
| Vagas detectadas, documentos gerados, respostas de triagem | Enquanto a conta estiver ativa, ou até você apagar |
| Mensagens de chat de carreira | Enquanto a conta estiver ativa, ou até você apagar a sessão |
| Magic links | Expiram em até 15 minutos; ficam em log por 30 dias |
| Telemetria de execução de IA (cru) | 90 dias; depois agregada/anonimizada |
| Registros fiscais (notas, CPF associado) | 5 anos após a emissão (CTN, art. 173) |
| Logs de acesso a sistemas de internet (Marco Civil, art. 15) | 6 meses |
| Conta excluída — dados de identificação | Anonimização imediata; backup técnico expira em 35 dias |
9. Seus direitos
9.1. Direitos sob LGPD (art. 18) — usuários no Brasil
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- portabilidade dos dados a outro fornecedor (em formato estruturado de uso comum);
- eliminação de dados tratados com base no consentimento;
- informação sobre com quem compartilhamos seus dados;
- informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
- revogação do consentimento.
9.2. Direitos sob GDPR — usuários na UE/EEE/Reino Unido
- acesso (art. 15) e cópia dos dados;
- retificação (art. 16);
- apagamento — “direito ao esquecimento” (art. 17);
- limitação do tratamento (art. 18);
- portabilidade (art. 20);
- oposição a tratamentos baseados em legítimo interesse (art. 21);
- retirada do consentimento a qualquer momento (art. 7º(3));
- reclamação perante a autoridade de controle do seu país (lista em edpb.europa.eu).
9.3. Direitos sob CCPA/CPRA — residentes da Califórnia
- direito de saber (right to know) — categorias e fontes;
- direito de acesso e portabilidade;
- direito de exclusão (right to delete);
- direito de correção;
- direito de optar por não vender ou compartilhar (right to opt-out) — não vendemos nem compartilhamos, mas garantimos o direito mesmo assim;
- direito de limitar o uso de informações pessoais sensíveis;
- direito de não sofrer discriminação por exercer estes direitos.
Residentes de outros estados dos EUA com leis aplicáveis (Virgínia — VCDPA; Colorado — CPA; Connecticut — CTDPA; Utah — UCPA; Texas — TDPSA; etc.) têm direitos equivalentes de acesso, correção, exclusão, portabilidade e opt-out, que honramos pelos mesmos canais.
9.4. Como exercer
Envie um e-mail para privacy@jobmode.app a partir do e-mail cadastrado, ou use as ferramentas self-service em /account (download, edição e exclusão). Respondemos no prazo de até 15 dias (LGPD/CCPA) ou 30 dias (GDPR), prorrogáveis nos termos da lei. Para verificar sua identidade, podemos solicitar confirmação por e-mail ou ID adicional.
Você também pode autorizar um agente para exercer seus direitos em seu nome — exigiremos prova de autorização.
10. Segurança
- Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256) para PII, incluindo CPF.
- Autenticação por magic link de uso único; sem armazenamento de senha.
- Acesso a dados restrito por princípio do menor privilégio e revisões periódicas.
- Logs de acesso e auditoria preservados.
- Notificação de incidentes à autoridade competente em prazo razoável (ANPD — 2 dias úteis; supervisória GDPR — 72 horas) e a você, quando houver risco relevante.
11. Cookies e tecnologias semelhantes
Detalhes na Política de Cookies. Em resumo, usamos apenas cookies estritamente necessários (login, preferências). Usuários da UE/EEE recebem banner de consentimento para qualquer cookie não-essencial.
12. Crianças
O Serviço não é destinado a menores de 18 anos. Se identificarmos cadastro de menor sem base legal, excluiremos os dados. Se você é responsável e suspeita que seu filho criou conta, contate-nos em privacy@jobmode.app.
13. Alterações desta Política
Podemos atualizar esta Política. A versão (no topo) e a data de última atualização indicam o vigor. Mudanças materiais são notificadas por e-mail e exigem novo aceite no próximo login.
14. Contato
DPO / Encarregado: dpo@jobmode.app
Privacidade em geral: privacy@jobmode.app
Reclamação à ANPD (Brasil): www.gov.br/anpd
Lista de autoridades de controle da UE: edpb.europa.eu