Política de Privacidade.

O tratamento de dados pessoais na plataforma OAK é realizado por Fleekers Marketing & Tecnologia Ltda., CNPJ XX.XXX.XXX/0001-XX, sediada em Porto Alegre/RS, na qualidade de controladora nos termos do art. 5º, VI, da Lei nº 13.709/2018 (LGPD).

Dúvidas, solicitações ou exercício de direitos podem ser encaminhados ao Encarregado pelo Tratamento de Dados (DPO) pelo e-mail dpo@oak.fleekers.com.br.

Coletamos as seguintes categorias de dados pessoais:

• Cadastro: nome completo, e-mail profissional, senha (armazenada em hash bcrypt), cargo, empresa, setor de atuação.
• Pedagógicos: resultados do nivelamento adaptativo, respostas a exercícios dos 17 Modos, áreas de fragilidade identificadas, histórico de XP, streak e badges.
• Uso e auditoria: endereço IP, data e hora de acesso, agente do navegador, eventos de navegação não-identificada (vide seção VIII — Cookies).
• Comunicação: mensagens enviadas ao agente IA OAK, anotações no caderno editorial e correspondência com a equipe de suporte.

Não coletamos dados sensíveis (origem racial, convicção religiosa, saúde, vida sexual) nem dados de menores de 18 anos. A plataforma é destinada exclusivamente a profissionais adultos.

Os dados são tratados com as seguintes finalidades e bases legais:

• Execução do contrato (art. 7º, V): autenticação, entrega das aulas, exercícios e relatórios contratados.
• Cumprimento de obrigação legal (art. 7º, II): registros fiscais, auditoria de segurança, conservação de logs mínimos.
• Consentimento (art. 7º, I): comunicações de marketing, eventuais pesquisas pedagógicas, uso de imagem em depoimentos.
• Legítimo interesse (art. 7º, IX): prevenção a fraude, segurança da plataforma, melhoria do produto via métricas agregadas e anônimas.

A OAK opera com os seguintes subprocessadores, sob contrato de confidencialidade e adequação à LGPD:

• Anthropic PBC (Estados Unidos) — fornecedor do modelo de linguagem Claude usado para gerar exercícios e feedback. Tratamento sob standard contractual clauses; dados transferidos sob art. 33, II da LGPD (cláusulas-padrão). Conteúdo do aluno NÃO é usado para treinar modelos da Anthropic.
• Hostinger International (UE/EUA) — provedor de infraestrutura (VPS). Dados em repouso criptografados; backup diário armazenado em Google Drive corporativo.
• Resend (Estados Unidos) — entrega de e-mails transacionais (boas-vindas, recuperação de senha, notificações de aulas).

Em contratos B2B, dados agregados de aprendizado podem ser compartilhados com o departamento de RH da empresa contratante (vide seção V) mediante consentimento explícito ou cláusula contratual específica.

Em planos OAK for Teams, o gestor de RH designado pela empresa contratante tem acesso a:

• Indicadores agregados: taxa de adesão, progresso CEFR médio, exercícios concluídos no período.
• Indicadores individuais (drill-down): CEFR atual, volume de exercícios, taxa de acerto, presença em aulas 1:1. Conteúdo das respostas (textos livres, gravações de áudio) permanece confidencial entre aluno, professor e algoritmo OAK.

O aluno B2B é informado desse compartilhamento no momento do cadastro e pode solicitar opt-out individual escrevendo ao DPO — observado o disposto no contrato corporativo.

Nos termos do art. 18 da LGPD, o titular pode, a qualquer momento, requerer:

• confirmação da existência de tratamento;
• acesso aos dados pessoais armazenados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
• portabilidade dos dados em formato estruturado;
• eliminação dos dados tratados com base em consentimento;
• informação sobre entidades públicas e privadas com as quais a OAK compartilhou dados;
• revogação do consentimento.

As solicitações devem ser enviadas a dpo@oak.fleekers.com.br e serão respondidas em até 15 dias úteis.

Política de retenção:

• Cadastro ativo: mantido enquanto durar a relação contratual.
• Cancelamento ou churn: dados pedagógicos anonimizados em até 90 dias; cadastro mantido por 5 anos para fins fiscais (CTN art. 173) e depois eliminado.
• Logs de auditoria: retidos por 6 meses (Marco Civil da Internet art. 15).
• Exclusão a pedido: conta desativada em até 7 dias úteis após solicitação; eliminação física dos dados em 30 dias, ressalvadas obrigações legais de conservação.

A plataforma utiliza apenas cookies essenciais:

• oak_session — autenticação do aluno (httpOnly, secure, SameSite=Lax).
• oak_consent — registro do aceite do banner de cookies (duração 12 meses).

A OAK não utiliza cookies de rastreamento publicitário de terceiros (Meta Pixel, Google Ads, etc) no MVP. Eventos de produto são coletados em primeira parte de forma agregada, sem identificadores persistentes cross-site.

Medidas técnicas e organizacionais aplicadas:

• TLS 1.3 em todas as conexões (certbot/Let's Encrypt).
• Senhas armazenadas com bcrypt cost 12.
• JWT com expiração e rotação periódica.
• PostgreSQL com acesso restrito a 127.0.0.1 — nunca exposto à internet pública.
• Conteúdo proprietário do método renderizado server-side com auth-gate.
• Backup diário criptografado.
• Trilha de auditoria (AuditLog) para operações sensíveis: login, mudança de senha, edição de Methodology, exportação de relatórios RH.

Esta política pode ser revisada a qualquer momento. Alterações materiais serão comunicadas por e-mail aos titulares cadastrados com antecedência mínima de 15 dias. Versão atual: 1.0 — vigência a partir de 21.05.2026.