Privacy (PT)

Última atualização: 2 de julho de 2025

Boas-vindas

Boas-vindas à Thrive Global Holdings, Inc. ("Thrive Global", "Thrive", "nós", "nos" ou "nosso"). A Thrive oferece soluções para a mudança de comportamento baseadas em evidências científicas, projetadas para melhorar o bem-estar mental, emocional e físico. Nosso site ("Site"), aplicativo móvel ("Aplicativo") e integrações com plataformas de terceiros (como Slack ou Microsoft Teams) permitem que os usuários ("você", "seu" ou "Usuários") acessem ferramentas, recursos e conteúdo personalizados, tais como Micropassos, avaliações, experiências educacionais e recursos de suporte comportamental, que ajudam a criar hábitos sustentáveis e melhorar o bem-estar geral. Coletivamente, os serviços que fornecemos através do Site, do Aplicativo e as experiências digitais relacionadas são chamados de "Serviço(s)".

Para prestar e melhorar esses Serviços, podemos coletar e processar vários tipos de informações, incluindo informações de identificação pessoal (IIP), dados de engajamento (como você interage com conteúdos e recursos), insights comportamentais, informações relacionadas à saúde e outras categorias de dados confidenciais, conforme definido pela legislação aplicável. Fazemos isso em conformidade com as devidas bases legais e obtemos seu consentimento quando necessário.

A Thrive está comprometida em proteger sua privacidade e lidar com seus dados de forma responsável. Seguimos os princípios de privacidade e segurança deliberadamente e por padrão, e implementamos as devidas salvaguardas técnicas e organizacionais. Nossas práticas de dados são projetadas para cumprir com os regulamentos de privacidade aplicáveis, incluindo HIPAA, GDPR, CCPA/CPRA e outras legislações regionais que possam ser aplicáveis dependendo da sua localização e da natureza da sua interação com nossos Serviços.

Acesso rápido: exerça seus direitos de privacidade em https://preferences.thriveglobal.com/privacy ou confira as Informações de contato abaixo.

Objetivo desta Política de Privacidade

A presente Política de Privacidade explica quais dados pessoais coletamos por meio dos nossos Serviços, como usamos e compartilhamos esses dados e as suas escolhas em relação às nossas práticas de dados. Esta Política de Privacidade é parte integrante do nosso Contrato de Termos e Condições, disponível em https://www.thriveglobal.com/terms.

Os Usuários nas diferentes regiões podem estar sujeitos a diferentes normas de proteção de dados e ao Contrato de Proteção de Dados (CPD) do empregador com a Thrive Global. Este documento inclui seções dedicadas aos consumidores do Espaço Econômico Europeu (EEE), Reino Unido (UK), Suíça e Califórnia e seus direitos de privacidade.

Alterações na Política de Privacidade

Podemos atualizar esta Política de Privacidade conforme os Serviços evoluem. Alterações materiais recebem notificação por e-mail 30 dias antes de entrarem em vigor. Pequenas atualizações são publicadas com novas datas de "Última atualização". O uso contínuo indica aceitação.

Ordenamento sobre conformidade legal

Mantemos a conformidade com a legislação de privacidade aplicável, incluindo GDPR, CCPA/CPRA, leis estaduais de privacidade e outros requisitos jurisdicionais. Nosso programa de conformidade inclui revisões legais regulares, avaliações de controle e atualizações de práticas de privacidade conforme a evolução das leis. Trabalhamos com consultores jurídicos para garantir que nossas práticas atendam às normas regulatórias vigentes.

Governança de privacidade

Nosso programa de privacidade inclui a nomeação de diretores de privacidade responsáveis pela conformidade com a privacidade, treinamento e resposta a incidentes. Realizamos treinamentos sobre privacidade regularmente com nossos colaboradores e mantemos medidas de responsabilização para garantir a conformidade contínua com as obrigações de privacidade e a proteção de suas informações pessoais.

Princípio de proteção de dados

Coletamos, usamos e processamos informações pessoais apenas para fins legítimos que estejam alinhados com nossas operações comerciais e obrigações legais. Especificamos claramente, durante ou antes da coleta, a sua finalidade, limitamos a coleta aos dados necessários e empregamos princípios de minimização de dados. Revisamos regularmente nossas práticas de dados para eliminar processamento desnecessário e implementar medidas técnicas e organizacionais para proteger sua privacidade.

Princípio do direito de acesso

Estamos comprometidos em garantir que os indivíduos tenham o devido acesso às suas informações pessoais. Mediante solicitação, forneceremos acesso aos seus dados pessoais em tempo hábil, sujeito à verificação de identidade e aos requisitos legais aplicáveis. Podemos negar acesso em circunstâncias limitadas, como quando exigido por lei ou quando o acesso comprometer a privacidade de terceiros.

Avaliações de impacto à privacidade

Realizamos avaliações de impacto na privacidade para identificar e mitigar riscos às informações pessoais. Essas avaliações avaliam nossas atividades de processamento de dados, incluindo novos projetos, sistemas ou tecnologias, para garantir a conformidade com as leis de privacidade e os requisitos de segurança. Quando são identificados riscos, implementamos salvaguardas apropriadas para proteger seus dados e privacidade.

Detalhes da limitação de coleta

Limitamos a coleta de informações pessoais ao que é necessário para fins identificados. Coletamos apenas dados relevantes, pertinentes e diretamente relacionados às finalidades legítimas descritas nesta política. A coleta acontece por meios legais e transparentes, com os devidos aviso e consentimento, quando exigido pela legislação aplicável.

Base legal para o processamento

Processamos as informações pessoais com base nos seguintes fundamentos legais aplicáveis, conforme a legislação de privacidade:

Consentimento: com seu consentimento livre, informado e inequívoco para atividades de processamento, como comunicações de marketing ou coleta opcional de dados.
Execução do contrato: processamento necessário para executar nosso contrato de Serviços com você ou tomar medidas a seu pedido antes de celebrar um contrato.
Obrigação legal: processamento necessário para cumprir leis, regulamentos ou processos legais aplicáveis.
Interesses legítimos: processamento necessário para nossos interesses comerciais legítimos, como segurança, prevenção de fraudes e melhoria dos serviços, quando tais interesses não forem anulados pelos seus direitos de privacidade.

Informações que coletamos

Usuários do aplicativo

Informações da conta: nome, endereço de e-mail e outros detalhes de contato.
Informações do perfil: foto de perfil, biografia, informações do país e informações demográficas.
Informações de engajamento do aplicativo: suas respostas e interação com pesquisas de bem-estar, webinars e atividades de aprendizagem.
Informações sobre saúde e atividades: dados sobre o sono, movimento, frequência cardíaca e outros dados de bem-estar, incluindo indicadores físicos, comportamentais ou emocionais, somente se você optar por fornecê-los diretamente ou por meio de um dispositivo vestível conectado.
Comunicações: mensagens conosco ou dentro do aplicativo, incluindo solicitações de suporte e recursos sociais.
Nota sobre usuários menores de idade (13 a 15 anos): se os Serviços forem disponibilizados a dependentes ou familiares com idades entre 13 e 15 anos por meio de um programa patrocinado ou autorizado pelo empregador, a Thrive processará suas informações pessoais somente com o consentimento verificado dos pais ou responsáveis ou por meio do consentimento fornecido pela organização patrocinadora, em conformidade com a legislação de privacidade infantil aplicável. Esse tipo de acesso permanece sujeito à seção Privacidade Infantil desta Política de Privacidade.

Usuários do site

Dados pessoais que você fornece: informações inseridas durante o registro no site (e-mail/senha) ou enviadas eletronicamente por meio de formulários, solicitações de contato, registros de eventos ou assinaturas de e-mail, geralmente incluindo nome, dados para contato, informações da empresa e número de telefone.

Dados coletados automaticamente

Dados de log: endereço de IP, tipo e configurações do navegador, data/hora das solicitações e padrões de interação.
Cookies: informações de cookies e outras tecnologias (consulte a seção "Cookies").
Informações do dispositivo: tipo de dispositivo, sistema operacional, configurações, identificadores exclusivos e informações de rede.
Informações de uso: conteúdo visualizado, recursos usados, ações realizadas, interações do usuário e duração do uso.

Aviso de classificação regulatória

A plataforma Thrive foi projetada como uma solução de bem-estar geral que ajuda indivíduos a criar hábitos saudáveis e melhorar os resultados em diversas áreas da vida. Embora possamos processar informações relacionadas à saúde quando você optar por fornecê-las, nossos Serviços:

Não se destinam a diagnosticar, tratar, curar ou prevenir qualquer doença ou condição médica e não se destinam a diagnosticar, tratar ou substituir o conselho de um profissional médico especializado. Se você tiver dúvidas sobre sua saúde mental ou física, consulte um profissional de saúde qualificado.
Não constituem dispositivos médicos nos termos dos regulamentos da FDA.
Apresentam informações gerais sobre bem-estar e não recomendações clínicas de saúde.
Podem ser oferecidos por meio de programas de bem-estar do empregador, sujeitos aos regulamentos da EEOC.
Quando nossos Serviços são fornecidos por meio do programa de bem-estar do seu empregador, cumprimos todas as regulamentações aplicáveis, incluindo HIPAA (ao atuar como um Parceiro Comercial), ADA, GINA e as exigências do programa de bem-estar da EEOC.

Como usamos as informações

Princípio da limitação de uso

Limitamos rigorosamente o uso de informações pessoais para fins autorizados, conforme definido no momento da coleta. O uso de dados permanece alinhado com as justificativas de coleta originais e com os fundamentos legais. Não processamos informações pessoais para fins incompatíveis com aqueles para os quais foram originalmente coletadas sem obter o consentimento apropriado ou sem o estabelecimento de novos fundamentos legais.

Interesses comerciais legítimos

Melhoria do serviço:

Responder a consultas e atender a solicitações de serviço.
Personalizar os Serviços baseando-se nos padrões de uso e preferências.
Enviar informações administrativas sobre os Serviços, termos e alterações da política.
Fornecer, manter e melhorar o conteúdo e a funcionalidade.

Pesquisa e gestão de dados:

Realizar pesquisas e fornecer insights de uso agregados e anônimos.
Manter dados básicos para evitar processamento indesejado após solicitações de exclusão.

Segurança e conformidade legal:

Prevenir fraudes, atividades criminosas e uso indevido de serviços.
Garantir a segurança dos sistemas de TI e cumprir com as obrigações legais.
Responder a exigências legais e fazer cumprir nossos Termos e Condições.
Proteger nossas operações, direitos e segurança do usuário.

Sistemas de IA que implantamos

Utilizamos Inteligência Artificial (IA), incluindo tecnologias de ML para aprimorar nossos Serviços, classificados como:

Sistemas de IA com risco limitado (são aplicadas obrigações de transparência):

Sistemas de geração de conteúdo: a IA cria conteúdos e recomendações personalizadas sobre bem-estar.
Sistemas de recomendação: os algoritmos de ML sugerem micropassos e recursos.
Chatbots e assistentes virtuais: ferramentas de suporte com tecnologia de IA.

Sistemas de IA com risco mínimo:

Detecção de fraude: a IA identifica atividades suspeitas e ameaças à segurança.
Otimização do sistema: a ML melhora o desempenho do aplicativo e a experiência do usuário.
Processamento analítico: a IA gera insights de uso anônimo.

Conformidade com a Lei de Inteligência Artificial da UE

Medidas de transparência: divulgação clara por meio das devidas notificações quando houver Inteligência Artificial (IA) presente em sua experiência.
Supervisão humana: todos os sistemas de IA operam sob supervisão humana significativa, com pessoal qualificado monitorando o desempenho e os usuários podem solicitar intervenção humana.
Precisão e robustez: medidas apropriadas garantem a confiabilidade da IA, incluindo validação de desempenho, monitoramento de erros e vieses e melhoria contínua.
Gestão de riscos: procedimentos de avaliação e mitigação de riscos, incluindo avaliações de sistemas, documentação de capacidade e resposta a incidentes.

Governança de dados para treinamento em IA

Dados de treinamento: utilizamos os dados dos usuários de forma anônima e agregada, em conformidade com a privacidade e a segurança.
Modelos de terceiros: não usamos seus dados pessoais para treinar modelos de IA externos sem seu consentimento expresso.
Qualidade dos dados: implementamos medidas que garantem a precisão, representatividade e mitigação de vieses dos dados de treinamento.

Seus direitos e controles de IA

Direitos de informação: solicitar detalhes sobre os sistemas de IA que afetam você significativamente, entender a lógica de decisão automatizada, acessar as informações de dados de treinamento
Direitos de controle: desativar a personalização de IA, solicitar revisão humana, contestar o conteúdo gerado pela IA.

Marketing

Podemos entrar em contato com você sobre conteúdo, serviços ou produtos que acreditamos ser do seu interesse. Quando exigido por lei (como para usuários da UE), somente enviaremos informações de marketing com o seu consentimento.

Opções de exclusão: siga as instruções de cancelamento de assinatura em e-mails, atualize as configurações do usuário ou entre em contato conosco.

As comunicações relacionadas ao serviço, necessárias para a sua prestação, não são afetadas pelas preferências de exclusão de marketing.

Atualize suas informações

Fornecemos o acesso às informações pessoais mediante solicitação, sujeito à verificação de identidade e aos requisitos legais. Mantemos medidas razoáveis para precisão e qualidade dos dados. Se você acredita que alguma informação está incorreta, entre em contato conosco para que possamos corrigi-la.

Para exercer seus direitos de privacidade: acesse https://preferences.thriveglobal.com/privacy ou consulte as Informações de contato.

Resolução de reclamações

Levamos a sério as reclamações sobre nossas práticas de privacidade. Caso tenha alguma dúvida sobre como lidamos com suas informações pessoais, entre em contato conosco usando as informações na seção Informações de contato. Investigaremos imediatamente, confirmaremos o recebimento em até sete dias úteis e tentaremos resolver os problemas em até 30 dias. Você também pode ter o direito de registrar uma reclamação junto a uma autoridade supervisora.

Direitos de participação e reparação

Respeitamos seus direitos de participar de decisões sobre suas informações pessoais. Você pode solicitar acesso, correção ou exclusão dos seus dados, sujeito à legislação aplicável e à verificação de identidade. Responderemos às suas solicitações dentro de prazos razoáveis e forneceremos soluções ou explicações conforme exigido por lei. Você tem o direito de contestar nossas decisões de processamento e buscar reparação por meio dos canais apropriados.

Estrutura de privacidade de dados

Participamos voluntariamente e cumprimos o Acordo UE-EUA de privacidade de dados, da extensão do Reino Unido e do Acordo Suíça-EUA de privacidade de dados. Estamos sujeitos à supervisão da FTC e continuamos responsáveis pelo processamento de fornecedores/prestadores de serviços inconsistente com os princípios do DPF.

Resolução de disputas: entre em contato primeiro conosco para reclamações sobre DPF. Reclamações não resolvidas serão encaminhadas para a solução alternativa de disputas da JAMS, sem nenhum custo para você.

Dados de uso e programas da Thrive Global

Obtemos insights a partir do seu uso dos Serviços e podemos criar dados agregados/anonimizados para análises operacionais, relatórios financeiros, funções de auditoria e outros fins comerciais. Ao processar dados de programas de bem-estar do empregador, garantimos que todos os relatórios agregados mantenham padrões de desidentificação apropriados para evitar a reidentificação individual.

Para os Programas Thrive (webinars, eventos, concursos), a participação nos concede direitos de usar o conteúdo enviado para fins comerciais legítimos. A participação indica concordância com estes termos.

Compartilhamento e divulgação de informações

Compartilhamento legal para fins comerciais

Fornecedores e prestadores de serviços: compartilhamos dados com terceiros para hospedagem, comunicações por e-mail, suporte ao cliente e análises (por exemplo, Google Analytics, Google Cloud, Microsoft Azure). Todos os fornecedores cumprem padrões rigorosos de privacidade por meio de acordos escritos.

Transferências de negócios: os Dados Pessoais podem ser transferidos em incorporações, aquisições ou vendas de ativos.

Requisitos legais: podemos divulgar dados para cumprir obrigações legais, proteger direitos/propriedade ou garantir a segurança pública.

Compartilhamento de informações conforme sua orientação

Podemos compartilhar dados quando você autoriza o acesso de terceiros ou opta por compartilhar relatórios de engajamento com clientes empresariais. Você pode compartilhar informações voluntariamente com outros usuários por meio dos recursos da comunidade do aplicativo.

Regulamento Geral de Proteção de Dados (GDPR), GDPR do Reino Unido e Lei Suíça de Proteção de Dados

Escopo e transferências de dados

Esta seção se aplica a usuários no EEE, Reino Unido e Suíça. Quando você acessa nossos Serviços, os Dados Pessoais são transmitidos para nossos servidores nos EUA com salvaguardas apropriadas, incluindo Cláusulas Contratuais Padrão, certificações da Estrutura de Privacidade de Dados e medidas de segurança técnicas/organizacionais.

Funções do Controlador e Processador de Dados

Controlador de dados: quando você fornece dados pessoais por meio de nossa Plataforma, determinamos as finalidades do processamento e cumprimos a legislação aplicável, incluindo a realização de Avaliações de impacto à proteção de dados, quando necessário.

Processador de dados: ao processar dados para clientes empresariais, agimos de acordo com suas instruções nos termos das obrigações aplicáveis ao processador.

Seus direitos sob a GDPR

Direito de acesso: obter confirmação do processamento e receber cópias dos seus Dados Pessoais.
Direito de retificação: solicitar a correção de dados pessoais imprecisos ou incompletos.
Direito de exclusão: solicitar a exclusão dos seus dados quando forem aplicadas certas condições.
Direito de restringir o processamento: solicitar que limitemos a forma como usamos seus dados.
Direito à portabilidade de dados: receber dados em um formato estruturado e legível por máquina.
Direito de objeção: opor-se ao nosso processamento dos seus dados pessoais a qualquer momento.
Direito de retirar o consentimento: retirar o consentimento previamente dado a qualquer momento.
Direitos relativos à tomada de decisão automatizada: não estar sujeito a decisões baseadas unicamente em processamento automatizado.
Direito de apresentar reclamação: registrar uma reclamação junto à autoridade local de proteção de dados.

Procedimentos de solicitação de acesso

Fornecemos acesso apropriado às informações pessoais mediante solicitação, sujeito à verificação de identidade e aos requisitos legais aplicáveis. Para solicitar acesso, entre em contato conosco usando os dados em Informações de contato. Podemos negar acesso em circunstâncias limitadas, como quando exigido por lei ou quando o acesso comprometer a privacidade de terceiros. Responderemos dentro dos prazos aplicáveis e forneceremos explicações para quaisquer negações.

Procedimentos de direitos do titular dos dados

Processamento de solicitação: mantemos procedimentos padronizados para lidar com solicitações de direitos de privacidade, incluindo verificação de identidade, validação de solicitações, avaliação de exceções e coordenação de respostas entre as unidades de negócios.
Prazos de resposta: solicitações padrão recebem respostas em até 30 dias, com possíveis prorrogações de 60 dias para solicitações complexas. Nós o notificaremos sobre quaisquer atrasos e forneceremos justificativa.
Requisitos de verificação: a verificação de identidade pode incluir confirmação de e-mail, autenticação de conta ou documentação adicional para solicitações de alto risco para evitar acesso fraudulento.

Transferências internacionais de dados

Implementamos salvaguardas apropriadas, incluindo Cláusulas contratuais padrão, decisões de adequação e medidas suplementares, conforme exigido pelo Artigo 46 do GDPR. Para transferências para países sem decisões de adequação, conduzimos avaliações de impacto de transferência e implementamos medidas técnicas e organizacionais adicionais, incluindo criptografia aprimorada, controles de acesso e proteções contratuais para garantir proteção adequada.

Retenção de dados

Retemos Dados Pessoais apenas pelo tempo necessário para fins de coleta, conformidade legal ou resolução de disputas. Os dados são descartados com segurança por meio de exclusão ou anonimização padrão do setor. Os períodos de retenção são documentados e revisados anualmente.

Precisão e qualidade dos dados

Nós nos esforçamos para manter a precisão, integridade e relevância das informações pessoais que possuímos. Implementamos medidas razoáveis para garantir a qualidade dos dados, incluindo a atualização de registros quando são identificadas imprecisões. Se você acredita que suas informações pessoais estão imprecisas ou incompletas, entre em contato conosco para correções usando os dados na seção Informações de contato.

Limitações de uso

Usamos informações pessoais apenas para os propósitos especificados na coleta e propósitos compatíveis. Não usamos seus dados para fins não relacionados sem obter o devido consentimento ou estabelecer uma nova fundamentação legal. Nossas atividades de processamento são documentadas e revisadas regularmente para garantir o alinhamento contínuo com as finalidades declaradas.

Processamento de PHI e conformidade com HIPAA

Podemos processar Informações de Saúde Protegidas ("PHI") em conformidade com a HIPAA. As PHI incluem dados de saúde, como histórico médico, dados biométricos e informações de atividades relacionadas à saúde coletadas por meio de programas de bem-estar patrocinados pelo empregador ou quando você escolhe expressamente fornecer tais informações. O processamento é estritamente limitado ao suporte dos nossos Serviços sob salvaguardas apropriadas, e as PHI são compartilhadas apenas com partes autorizadas, nos termos dos Contratos de Parceiros Comerciais.

Prazos de retenção de dados

Registros PHI e ePHI: mínimo de 6 anos, conforme exigido pela HIPAA § 164.316(b)(2)(i), com aplicação dos requisitos específicos do estado regendo prazos mais longos.
Registros de auditoria de PHI: mínimo de 6 anos para todos os sistemas que contêm ou processam ePHI, incluindo registros de acesso, registros de modificação e registros de eventos de segurança.
Documentação HIPAA: 6 anos para toda a documentação de conformidade com HIPAA, incluindo políticas, procedimentos, avaliações de risco, registros de treinamento e relatórios de incidentes.

Retenção geral de dados:

Dados da conta: período ativo mais 90 dias após a exclusão por motivos de segurança.
Dados de monitoramento de bem-estar: até a rescisão do contrato mais 90 dias.
Preferências de marketing: até que você opte por não participar, além de qualquer período legalmente exigido.
Comunicações de suporte: 1 ano para ajudar a melhorar nossos serviços.
Registros de segurança (não PHI): 1 ano para proteção do sistema e resposta a incidentes.
Registros comerciais: 7 anos, conforme exigido pelas regulamentações financeiras e fiscais.

Procedimentos de retenção legal: poderemos precisar manter os dados por mais tempo se isso for necessário para processos judiciais, investigações ou questões regulatórias. Essas retenções legais têm prioridade sobre os prazos de exclusão padrão até que nossa equipe jurídica as libere.

Subprocessadores

A seguir está nossa lista completa de subprocessadores e processadores terceirizados, cada um vinculado a requisitos rígidos de privacidade e segurança por meio de acordos escritos. Esta lista é atualizada regularmente. Você pode entrar em nossa lista de e-mails para ser notificado sobre alterações.

Todos os serviços:

Coda*: Engajamento do usuário e gerenciamento de projetos - 888 Villa St, Floor 4, Mountain View, CA 94041
Datagrail: Automação de privacidade - 164 Townsend Street, Suite 12, São Francisco, CA 94107 EUA
Fivetran: Pipeline de ETL de dados - 405 14th St floor 11, Oakland, CA 94612 EUA
Plataforma Google Cloud: Armazenamento de dados - 1600 Amphitheatre Pkwy Mountain View, CA 94043 EUA
Google Workspace*: Criação de conteúdo - 1600 Amphitheatre Pkwy Mountain View, CA 94043 EUA
HubSpot: E-mail marketing - 25 First Street, 2nd Floor Cambridge, MA 02141
Looker: Análise de dados - 101 Church Street, 4th Floor, Santa Cruz, CA 95060 EUA
Microsoft Azure: Provedor de hospedagem em nuvem - One Microsoft Way, Redmond, WA 980527 EUA
Rethink Autism*: Provedor de cuidados a neurodivergentes - 49 West 27th Street, Nova York, NY 10001
Salesforce: Gestão de relacionamento com o cliente - The Landmark @ One Market, Suite 300 San Francisco, CA 94105 EUA
Segment: Análise de usuários - 100 California Street, Suite 700 San Francisco, CA 94111 EUA
Typeform*: Plataforma de pesquisa - Calle de Pallars 108 (Aticco), 08018 – Barcelona (Espanha)
Zapier*: Automação de fluxo de trabalho - 548 Market St. #62411, San Francisco, CA 94104
Zendesk: Software de suporte ao usuário - 450 Park Ave S, Nova York, NY 10016

Subprocessadores somente do site:

Webflow: Hospedagem de site de marketing - 398 11th Street, 2nd Floor, San Francisco, CA 94103

Subprocessadores somente de aplicativos:

Amazon Web Services*: SFTP - 410 Terry Avenue North, Seattle, WA 98109 EUA
Datadog: Plataforma de monitoramento de infraestrutura e segurança - 620 8th Avenue, Floor 45, New York, NY 10018
HumanAPI*: Integração de dispositivo vestível - 951 Mariners Island Blvd., Suite 300
Qualtrics: Plataforma de pesquisa - 333 W River Park Dr, Provo, UT 84604, EUA
Mailgun: E-mail transacional - 112 E Pecan Street, San Antonio, TX 78205 US

*Pode não ser aplicável a todos os usuários

Requisitos de privacidade para contratados e processadores

Todos os contratados e processadores cumprem padrões rigorosos por meio de contratos escritos que exigem a adesão ao GDPR, CCPA e HIPAA, medidas de segurança apropriadas, notificações de violação de 72 horas, auditorias regulares e devolução/destruição de dados após a rescisão.

Relatório de incidentes de privacidade

Mantemos mecanismos de relatórios transparentes para documentar e abordar incidentes, consultas e atividades de conformidade relacionados à privacidade. Revisamos regularmente nossas práticas de privacidade e as reportamos às partes interessadas relevantes, incluindo reguladores, conforme exigido por lei. No caso de uma violação de dados, notificaremos os indivíduos e as autoridades afetadas imediatamente, de acordo com as obrigações legais aplicáveis.

Divulgação de privacidade da Califórnia

Não rastrear e CCPA

Não respondemos a sinais de "Não rastrear". Não vendemos informações pessoais por uma contraprestação monetária, mas a definição ampla de "venda" da lei da Califórnia exige a divulgação do compartilhamento de dados de cookies com terceiros.

Direitos do consumidor da Califórnia

Direitos de informação: categorias e fontes de informações pessoais coletadas, finalidades de processamento, categorias de compartilhamento com terceiros e finalidades de divulgação comercial.

Direitos de controle: optar por não participar da "venda" de dados, solicitar exclusão (sujeito a exceções) e não discriminação no exercício de direitos.

Como exercer direitos: acesse https://preferences.thriveglobal.com/privacy ou consulte as Informações de contato.

Privacidade das crianças

Os Serviços da Thrive são destinados ao uso por indivíduos com 16 anos de idade ou mais por meio de programas patrocinados pelo empregador. Não coletamos intencionalmente informações pessoais de crianças menores de 16 anos sem o consentimento apropriado de um dos pais, responsável ou funcionário autorizado da organização participante. Se tomarmos conhecimento de que informações pessoais foram coletadas de uma criança sem o consentimento necessário, excluiremos essas informações imediatamente e tomaremos medidas para impedir futuras coletas. Para usuários menores de 18 anos, o acesso aos Serviços pode exigir a permissão dos pais ou responsáveis, de acordo com as leis aplicáveis, como COPPA (Lei de Proteção à Privacidade Online de Crianças), CCPA/CPRA e GDPR. A Thrive não comercializa seus Serviços diretamente para crianças e não permite o autocadastro de menores. Se você acredita que podemos ter coletado informações de uma criança em violação a esta seção, entre em contato conosco imediatamente pelo e-mail privacy@thriveglobal.com.

Programa de conformidade com HIPAA

Conformidade regulatória HIPAA

Conformidade com as regras de privacidade: mantemos a conformidade com os requisitos da Regra de Privacidade HIPAA, incluindo direitos individuais, padrões mínimos necessários, aviso de práticas de privacidade e salvaguardas administrativas, físicas e técnicas.
Conformidade com as regras de segurança: implementamos especificações de implementação obrigatórias e endereçáveis de acordo com a Regra de Segurança HIPAA, com decisões documentadas sobre especificações endereçáveis com base em avaliações de risco e capacidades organizacionais.
Aplicação e penalidades: reconhecemos a autoridade de execução da HIPAA do Departamento de Saúde e Serviços Humanos, Escritório de Direitos Civis, e mantemos programas de conformidade para evitar violações que possam resultar em penalidades monetárias civis ou processos criminais.
Conformidade com a legislação estadual: cumprimos as leis estaduais aplicáveis de privacidade e segurança que podem fornecer proteções adicionais para informações de saúde além dos requisitos da HIPAA.

Diretores de privacidade e segurança

Diretor de privacidade: responsável por desenvolver, implementar e manter políticas e procedimentos de privacidade, conduzir treinamentos de privacidade, investigar reclamações e garantir a conformidade com os requisitos da Regra de Privacidade HIPAA.

Diretor de segurança: responsável por desenvolver, implementar e manter políticas e procedimentos de segurança, realizar treinamentos de segurança, gerenciar controles de acesso e garantir a conformidade com os requisitos da Regra de Segurança HIPAA.

Gestão de Parceiros Comerciais

Contratos de Parceiros Comerciais: todos os fornecedores, contratados e subprocessadores que lidam com PHI em nosso nome devem celebrar o Contrato de Parceiro Comercial, que inclui:

Usos e divulgações permitidos de PHI
Salvaguardas para evitar o uso ou divulgação não autorizados
Exigência de notificação de violação
Devolução ou destruição de PHI após a rescisão do contrato
Monitoramento de conformidade e direitos de auditoria

Supervisão do subcontratado: os parceiros comerciais devem obter nossa aprovação antes de contratar subcontratados e garantir a devida assinatura do Contrato de Parceiros Comerciais com todos os subcontratados que lidam com PHI.

Avaliação de risco e monitoramento de conformidade HIPAA

Avaliações anuais de risco: realizamos avaliações de risco anualmente para identificar vulnerabilidades, avaliar as salvaguardas atuais e determinar medidas de segurança adicionais necessárias para a proteção de ePHI.

Treinamento de colaboradores: todos os colaboradores recebem treinamento de privacidade e segurança HIPAA no momento da contratação e anualmente. Além disso, o pessoal com responsabilidades de acesso a PHI recebe treinamento específico conforme sua função.

Monitoramento de conformidade: mantemos monitoramento contínuo de conformidade por meio de:

Revisões regulares de logs de auditoria e monitoramento de acesso
Revisões trimestrais de controle de acesso e validação de privilégios
Revisões e atualizações anuais de políticas e procedimentos
Rastreamento de incidentes e gestão de ações corretivas

Padrão mínimo necessário: limitamos o uso, a divulgação e as solicitações de PHI ao mínimo necessário para atingir a finalidade pretendida, exceto para divulgações ao indivíduo ou quando especificamente autorizado.

Direitos individuais nos termos da HIPAA: você tem o direito de:

Acessar e obter cópias de suas informações de saúde protegidas (PHI).
Solicitar alterações em PHI imprecisos ou incompletos.
Solicitar restrições ao uso ou divulgação de PHI.
Solicitar comunicações confidenciais.
Receber uma prestação de contas das divulgações de PHI.
Registrar reclamações sobre o manuseio de PHI.

Salvaguardas de segurança HIPAA

Salvaguardas administrativas:

Diretor de segurança HIPAA designado, responsável pela segurança ePHI
Procedimentos de treinamento de colaboradores e gestão de acesso
Gestão do acesso à informação com base nos princípios mínimos necessários
Procedimentos de incidentes de segurança e planejamento de contingência
Avaliações regulares de segurança e avaliações de risco

Salvaguardas físicas:

Controles de acesso às instalações que restringem o acesso físico aos sistemas ePHI
Controles de dispositivos e mídia para criação, recebimento e manutenção de ePHI
Procedimentos de descarte seguro para dispositivos e mídias contendo ePHI

Salvaguardas técnicas:

Identificação única do usuário e procedimentos de logoff automático
Criptografia de ePHI em repouso (AES-256) e em trânsito (TLS 1.2+)
Controles de auditoria que rastreiam acesso e modificações de ePHI
Controles de integridade que impedem alterações não autorizadas de ePHI
Segurança de transmissão para comunicações envolvendo ePHI

Segurança

Revisamos e atualizamos regularmente nossas práticas de segurança para atender às ameaças em evolução e às expectativas regulatórias. Embora tomemos medidas rigorosas para proteger suas informações, nenhuma transmissão pela Internet ou e-mail é totalmente segura. Tenha cuidado ao compartilhar informações confidenciais por e-mail ou por canais de comunicação abertos. A Thrive não pode garantir as ações de outros usuários com os quais você decidir compartilhar informações e não é responsável por qualquer violação das configurações de privacidade ou recursos de segurança nos Serviços. Para obter informações adicionais sobre a abordagem de segurança e certificação da Thrive, consulte https://thriveglobal.com/security

Cookies

Usamos cookies e outras tecnologias para operar os Serviços, melhorar a experiência do usuário e coletar dados de uso.

Tipos de cookies

Cookies necessários (sempre ativos):

HubSpot: preferências de privacidade (__hs_do_not_track, __hs_cookie_cat_pref)
Cloudflare: proteção de segurança (_cfuvid)

Cookies de funcionalidade (opcional):

Spotify: preferências musicais (sp_landing, sp_t)

Cookies analíticos (opcional):

HubSpot: rastreamento de uso (hubspotutk, __hstc, __hssrc, __hssc)
Thrive Global: rastreamento de engajamento (ajs_anonymous_id)
Google Analytics: análise de tráfego (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
Rippling: monitoramento de desempenho (__cf_bm)
YouTube: análise de vídeo (YSC)
Sistema WordPress: teste de funcionalidade (wordpress_test_cookie)

Cookies de publicidade (opcional):

YouTube: personalização de anúncios (VISITOR_INFO1_LIVE)

Suas escolhas

A maioria dos navegadores permite o controle de cookies por meio de configurações. Limitar cookies pode afetar a funcionalidade do site. O controle de rastreamento de dispositivos móveis pode ser limitado.

Links para outros sites

Os Serviços podem conter links para Sites de Terceiros não controlados por nós. O compartilhamento de informações de sites de terceiros é regido pelas políticas de privacidade deles, não pelas nossas. Não endossamos os sites vinculados.

Informações de contato

Equipe de Privacidade

E-mail: privacy@thriveglobal.com
Portal de privacidade: https://preferences.thriveglobal.com/privacy
Telefone: 1-888-700-8474

Diretor de proteção de dados

E-mail: dpo@thriveglobal.com

Equipe de segurança

E-mail: security@thriveglobal.com

Endereço para correspondência

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012

Telefone: 1-888-700-8474

Residentes da UE/Reino Unido/Suíça (DataRep)

Formulário online: www.dpr.eu.com/thriveglobal
E-mail: thriveglobal@datarep.com
Irlanda: DataRep, Phoenix House, Monahan Road, Cork, T12 H1XY, República da Irlanda
Islândia: DataRep, Laugavegur 13, 101 Reykjavik, Islândia

Política de Privacidade da Thrive