← Documentos Legais

Política de Privacidade — mibi

Versão: 1.1  |  Vigência: 06/05/2026

Esta política descreve como a mibi trata dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

1. Quem somos

A mibi é a detentora e responsável por todos os sites com domínio https://mibi.app.br/, atuando como controladora ao tratar seus dados pessoais.

Ao acessar nossos sites, solicitar contato conosco, baixar materiais e conteúdo disponível no site, será solicitado seu aceite a esta Política de Privacidade, o que indica que você está ciente e concorda com a obtenção e o tratamento dos seus dados pela mibi para tais finalidades.

Controlador: Lucas Karsten / mibi — São Paulo/SP — contato@mibi.app.br
Encarregado (DPO): Lucas Karsten — contato@mibi.app.br

Operador (dados de colaboradores dos clientes): Na relação com os colaboradores das empresas clientes, a mibi atua como operador — processa dados em nome e sob instrução das empresas (controladoras).

2. Dados que coletamos

2.1 Dados da empresa e administradores (conta)

DadoFinalidadeBase legal
Nome, email, cargoIdentificação e acessoExecução de contrato (art. 7, V)
Dados de pagamentoCobrança (processado por Stripe)Execução de contrato (art. 7, V)
Logs de acesso, IPSegurança e auditoriaLegítimo interesse (art. 7, IX)
Preferências de usoPersonalizaçãoLegítimo interesse (art. 7, IX)

2.2 Dados de colaboradores (inseridos pela empresa cliente)

DadoFinalidade
Nome, email, cargoCadastro e controle de acesso
Histórico de RHAlimentar agentes de IA e relatórios
Dados de recrutamentoGestão de candidatos e processos seletivos
Feedbacks e avaliaçõesAprendizado contínuo dos agentes

Dados de RH podem incluir categorias sensíveis (LGPD Art. 11). O cliente é responsável por garantir a base legal adequada antes de inserir esses dados.

3. Como usamos os dados

Utilizamos os dados para:

  • Autenticação e controle de acesso por empresa (multi-tenancy)
  • Execução dos agentes de IA para respostas e análises
  • Melhoria contínua dos modelos com base em feedbacks anônimos
  • Suporte técnico
  • Cumprimento de obrigações legais
  • Envio de comunicações essenciais

A mibi NÃO usa dados de colaboradores para: publicidade ou marketing; venda a terceiros; treinamento de modelos de IA sem anonimização prévia; qualquer finalidade que não seja prestação do serviço contratado.

4. Decisões automatizadas (LGPD Art. 20)

A mibi utiliza inteligência artificial para gerar análises de candidatos, respostas de RH e recomendações. Esses processos são ferramentas de apoio e não tomam decisões finais de forma autônoma. Titulares têm o direito de: ser informados sobre o uso de IA; solicitar revisão humana; obter explicação sobre critérios utilizados.

5. Compartilhamento de dados

5.1. Transferência internacional

Para a adequada prestação dos serviços oferecidos pela mibi, especialmente aqueles que envolvem funcionalidades baseadas em inteligência artificial para apoio a processos de recrutamento e seleção, os dados pessoais coletados poderão ser transferidos e tratados fora do território nacional, mais especificamente para os Estados Unidos, caso os nossos fornecedores de serviço de armazenamento em nuvem e outras ferramentas essenciais para a prestação de nossos serviços tenham suas bases de dados localizadas nesses países.

Essas transferências são realizadas de forma digital e durarão enquanto houver uma finalidade e um fundamento legal que justifique a sua realização.

Nossas relações com essas empresas são regidas por contratos que incluem obrigações de proteção de dados e segurança da informação adequadas à natureza do tratamento de dados pessoais que realizamos e compatíveis com as exigências da legislação brasileira, incluindo, quando aplicável, as cláusulas-padrão estipuladas pela ANPD. Além disso, a mibi avalia as práticas de segurança, privacidade e confidencialidade de seus parceiros e fornecedores antes de estabelecer qualquer parceria e realiza avaliações de Impacto das Transferências Internacionais para aferição e monitoramento de eventuais riscos.

Observamos todas as diretrizes estabelecidas pela legislação vigente e adotamos as melhores práticas de segurança e privacidade para garantir a integridade, a confidencialidade, a disponibilidade e a privacidade dos seus dados pessoais em todo o procedimento, incluindo medidas técnicas e organizacionais como criptografia, controles de acesso rigorosos e monitoramento de vulnerabilidades.

A transferência internacional de dados pessoais é realizada em conformidade com o artigo 33 da Lei nº 13.709/2018 (LGPD).

SubprocessadorServiçoPaís
VercelHospedagemEUA
NeonBanco de dadosEUA
AnthropicModelos de linguagemEUA
ResendEmails transacionaisEUA
StripeProcessamento de pagamentosEUA
ImprovMXForwarding de emails do domínioUE
Google LLCIntegração de calendário (Google Calendar API)EUA

6. Retenção de dados

A mibi armazena seus dados pessoais pelo tempo necessário para atingir as finalidades pelas quais foram coletados. No entanto, mantemos determinados dados pelos seguintes períodos:

Tipo de dadoPrazo de retenção
Dados de conta ativaDurante a vigência do contrato
Dados de colaboradoresDurante a vigência + 30 dias para exportação
Logs de segurança12 meses
Dados de faturamento5 anos (obrigação fiscal)
Tokens de acesso Google OAuthEnquanto integração ativa; revogados e excluídos ao desconectar

Caso deseje, você pode solicitar a exclusão dos seus dados a qualquer momento.

7. Segurança

Nos preocupamos muito com a privacidade e proteção de seus dados pessoais, por isso, adotamos medidas de segurança que protegem nossos sistemas e bases de dados com as melhores tecnologias disponíveis no mercado.

Dentre as medidas de segurança que adotamos, estão:

  • Isolamento por schema PostgreSQL por empresa — transmissão criptografada (TLS/HTTPS)
  • Acesso ao banco restrito por IP e autenticação
  • Monitoramento contínuo
  • Backups automáticos com retenção de 30 dias

No entanto, apesar de nossos esforços, considerando a natureza e arquitetura da internet, o que inclui elementos que não estão sob nosso controle, é impossível garantir que agentes mal-intencionados não conseguirão ter acesso ou fazer uso indevido de dados pessoais, pois se trata de um risco inerente à utilização de sistemas informatizados.

8. Direitos do titular

O titular dos dados possui o direito de acesso, correção, exclusão, portabilidade, revogação, revisão de decisões automatizadas, informação sobre compartilhamento de seus dados.

Para exercer esses direitos, entre em contato pelo canal abaixo. O prazo de resposta é de até 15 dias úteis, conforme previsto em lei.

Canal: privacidade@mibi.app.br | Prazo: até 15 dias úteis

Também é possível contatar a ANPD: www.gov.br/anpd

9. Google API Services

A mibi utiliza a Google Calendar API para permitir que recrutadores sincronizem entrevistas com seu Google Calendar pessoal ou corporativo. O uso de dados recebidos via APIs do Google obedece à Google API Services User Data Policy, incluindo os requisitos de uso limitado (Limited Use).

9.1 Dados acessados

  • Endereço de e-mail (escopo userinfo.email) — usado apenas para identificar qual conta Google foi conectada.
  • Eventos do Google Calendar (escopo calendar.events) — título, descrição, data/hora de início e fim, lista de participantes, local e link do Google Meet.
  • Disponibilidade (free/busy) — intervalos ocupados e livres, usados para sugerir horários de entrevista.

9.2 Uso dos dados

  • Sincronizar entrevistas de processos seletivos com o Google Calendar do recrutador.
  • Gerar links automáticos do Google Meet para entrevistas por vídeo.
  • Os dados são usados exclusivamente para a funcionalidade de calendário explicitamente habilitada pelo usuário.
  • Dados do Google NÃO são usados para treinar modelos de IA, para fins de publicidade, nem repassados a terceiros.

9.3 Compartilhamento

Dados obtidos via Google API não são compartilhados com terceiros. Eles transitam exclusivamente entre a conta Google do usuário e o banco de dados da mibi, acessados apenas pelo sistema interno de sincronização de calendário.

9.4 Armazenamento e proteção

  • Tokens de acesso e de atualização (refresh token) são armazenados criptografados com AES-256 no banco PostgreSQL da mibi.
  • A chave de criptografia é gerenciada via variável de ambiente.
  • Tokens nunca aparecem em logs ou rastreamentos.
  • Toda transmissão ocorre exclusivamente via TLS/HTTPS.

9.5 Retenção e exclusão

  • Tokens são retidos enquanto a integração com o Google Calendar estiver ativa.
  • Ao desconectar: a mibi chama o endpoint de revogação do Google (oauth2.googleapis.com/revoke) e exclui os tokens do banco imediatamente.
  • O usuário pode desconectar a qualquer momento em Configurações → Integrações → Calendário.
  • Ao encerrar a conta mibi, todos os tokens Google são revogados e excluídos no mesmo processo de desativação.

10. Atualizações

Esta Política de Privacidade pode passar por atualizações. Desse modo, recomendamos acessar periodicamente esta página para que tenha conhecimento sobre as modificações. Caso sejam feitas alterações relevantes/significantes que necessitem de novas autorizações da sua parte, publicaremos um novo aviso de privacidade.

10.1. Histórico de Versões

06/05/2026 — v1.1 — Expansão da seção Google API Services (exigência Google OAuth verification) (Atual)

27/03/2026 — v1.0 — Política de Privacidade — 1ª Versão

mibi — São Paulo, 2026  |  Ver todos os documentos legais |  contato@mibi.app.br