Política de Privacidade
Versão vigente desde 16 de maio de 2026. Aplica-se à plataforma web em app.arecruta.com.br e à extensão ARecruta Browser Helper (Chrome Web Store).
1. Quem somos
A plataforma ARecruta e a extensão ARecruta Browser Helper são operadas por P Inova Soluções LTDA, empresa brasileira sediada em São Paulo. Para tratar dúvidas, pedidos de acesso, retificação ou exclusão de dados pessoais, fale com nosso Encarregado de Tratamento de Dados (DPO): dpo@arecruta.com.br.
2. O que esta política cobre
Esta é a Política de Privacidade completa da extensão e da plataforma. A extensão é um módulo único que atende três fluxos de trabalho do recrutador:
- Publicação de vagas no Indeed — preenchimento automatizado do formulário de criação de anúncios em
employers.indeed.com. - Compartilhamento de vagas no LinkedIn (Broadcast) — postagem da vaga na página corporativa do cliente em
linkedin.com. - Active Sourcing / Executive Search — identificação de profissionais relevantes a partir de perfis públicos do LinkedIn. O detalhamento desse módulo específico está em Transparência em Active Sourcing, que continua válido como anexo desta política.
3. Permissões da extensão e por quê
O manifest da extensão declara as seguintes permissões. Cada uma existe para um propósito específico e não é usada além disso:
- storage — guarda configurações locais (URL da API, IDs de sessão) e o histórico de tentativas de publicação. Tudo fica no perfil do Chrome do recrutador, não é sincronizado com terceiros.
- alarms — agenda verificações periódicas (preflight a cada 5 minutos) para saber se há novas vagas a publicar ou status a atualizar. Não coleta dados.
- notifications — exibe notificações locais do Chrome quando uma vaga é publicada com sucesso ou requer intervenção do recrutador. Não envia dados a servidores.
- sidePanel — abre o painel lateral da extensão para mostrar o status das execuções em andamento.
- tabs — abre e fecha abas internas do Chrome durante a execução dos fluxos (ex.: abrir o formulário de vaga no Indeed). Não lê histórico de navegação.
- scripting — injeta scripts apenas nos domínios listados em host permissions para automação dos formulários.
- host permissions restritas a
linkedin.com,employers.indeed.com,secure.indeed.comeapp.arecruta.com.br. Nenhum outro domínio é acessado.
4. Que dados a extensão envia para servidores ARecruta
4.1. Publicação no Indeed
- Conteúdo do formulário da vaga (título, descrição, salário, tipo de contrato, local) — sempre originado de uma vaga já cadastrada pelo recrutador na plataforma ARecruta.
- Snapshot do DOM da página do Indeed (apenas labels, IDs de campo e estrutura) quando a automação falha, para diagnóstico e ajuste automático de seletores. Não captura screenshots, conteúdo de candidatos nem dados de outras vagas.
- ID e URL pública da vaga publicada para acompanhamento de status.
4.2. Broadcast LinkedIn
- URN (identificador público) do post publicado na página corporativa do cliente.
- Confirmação de sucesso/falha do compartilhamento.
4.3. Active Sourcing
Dados públicos de perfis (nome, cargo, empresa, localização aproximada, URL pública). Detalhes em /transparencia/sourcing. Não coletamos imagens de rosto, mensagens privadas, conexões, posts privados ou qualquer informação restrita.
4.4. Sessão e configurações do recrutador
- Token de sessão da plataforma ARecruta (para autenticar chamadas à nossa API).
- ID da empresa contratante e identificação do recrutador logado.
- Não coletamos cookies de sessão do LinkedIn ou Indeed — a extensão usa apenas a sessão já autenticada pelo navegador do recrutador.
5. Onde os dados ficam armazenados
- Banco de dados: PostgreSQL gerenciado pela Supabase em
sa-east-1(São Paulo, AWS). Acesso restrito por Row Level Security aocompany_iddo recrutador autenticado. - Runtime e logs de aplicação: Vercel (us-east-1), retenção de 30 dias.
- Arquivos (currículos, anexos): Supabase Storage no mesmo projeto e região, com políticas de acesso por empresa.
Não compartilhamos dados pessoais com terceiros além dos provedores listados acima e dos destinos públicos por design da operação (Indeed e LinkedIn).
6. Base legal sob a LGPD
- Dados do recrutador (sessão, configurações, identificadores): execução de contrato com a empresa contratante (art. 7º, V da Lei 13.709/2018).
- Dados de candidatos cadastrados diretamente na plataforma: consentimento obtido no momento do cadastro (art. 7º, I).
- Dados de profissionais coletados via Active Sourcing: legítimo interesse do recrutador-cliente (art. 7º, IX), com avaliação LIA documentada e canal de oposição (opt-out) sempre disponível.
7. Retenção
- Vagas e publicações: mantidas enquanto a empresa contratante estiver ativa, para histórico e analytics da própria empresa.
- Perfis de Active Sourcing sem resposta: anonimizados após 12 meses.
- Logs de aplicação: 30 dias.
- Snapshots de DOM coletados em falhas da automação: 90 dias, usados apenas para auto-cura dos seletores.
8. Seus direitos como titular dos dados
- Confirmação da existência e acesso aos dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
- Portabilidade dos dados a outro fornecedor.
- Eliminação dos dados tratados com consentimento.
- Oposição ao tratamento em caso de descumprimento da LGPD.
- Revogação do consentimento e exercício de qualquer direito acima escrevendo para o DPO: dpo@arecruta.com.br. Respondemos em até 15 dias corridos.
9. Segurança
- Transporte TLS 1.3 em todas as comunicações.
- Isolamento por empresa via Row Level Security do PostgreSQL — nenhuma empresa enxerga dados de outra.
- Controle de acesso por papel (RBAC) na plataforma.
- Auditoria interna de acessos administrativos e revisão periódica de permissões.
10. Cookies e fingerprinting
A extensão não insere cookies próprios em sites de terceiros, não realiza fingerprinting de navegador e não acessa o histórico de navegação do recrutador. O único armazenamento local é via chrome.storage.local, restrito ao perfil do Chrome do próprio recrutador.
11. Atualizações desta política
Esta política pode ser revisada para refletir mudanças regulatórias, novos módulos ou ajustes operacionais. A data no topo desta página indica a versão vigente. Mudanças materiais são comunicadas aos recrutadores ativos por e-mail e via aviso dentro da plataforma.
Integração com Google (Google Calendar)
Se você conectar sua conta Google em Configurações → Calendário, o ARecruta acessa sua Conta Google exclusivamente para o agendamento de entrevistas, mediante o seu consentimento no fluxo OAuth do Google. Solicitamos os escopos de disponibilidade (free/busy) e de eventos de calendário para mostrar conflitos de horário e para criar, atualizar e cancelar os eventos das entrevistas. Não lemos o conteúdo, o título ou os participantes dos seus outros compromissos — apenas se um intervalo está ocupado ou livre. Armazenamos somente os tokens de acesso (criptografados em repouso) e o identificador do evento que criamos; não copiamos a sua agenda, e não a compartilhamos nem vendemos. Você pode desconectar a qualquer momento em Configurações → Calendário ou em myaccount.google.com/permissions.
O uso e a transferência, pelo ARecruta, de informações recebidas das APIs do Google obedecem à Google API Services User Data Policy, incluindo os requisitos de Uso Limitado (Limited Use).