La presente Política de Privacidad Global («Política») describe cómo LINGOPASS TECNOLOGIA LTDA, CNPJ 42.567.596/0001-56 («Lingopass»), trata los datos personales en el Ecosistema Lingopass. Se basa en la normativa más estricta (RGPD) e incluye anexos específicos para cada jurisdicción. Se aplica a usuarios, empleados de clientes, candidatos, becarios y visitantes en Brasil, Latinoamérica, las Américas y Europa.
1.1. Lingopass, responsable del tratamiento con sede en Brasil, cumple con la LGPD en todo el tratamiento de datos. Cuando los servicios se ofrecen a personas ubicadas en la Unión Europea, también se aplica el RGPD (art. 3, apartado 2); en el Reino Unido, el RGPD del Reino Unido; y, en América, la legislación local aplicable.
1.2. La mayoría de los titulares son empleados de clientes corporativos. Cuando el tratamiento se deriva de un programa contratado por el empleador, se respetan las bases legales correspondientes y las posibles exenciones aplicables a los datos laborales en algunas jurisdicciones.
2.1. Tratamos: (i) datos de registro (nombre, correo electrónico, teléfono, CPF cuando proceda); (ii) datos de uso, progreso y participación; (iii) resultados de evaluación y nivelación; (iv) muestras de voz para la evaluación de la competencia lingüística, bajo el principio de «sin huella vocal»; (v) datos de pago (procesados por el proveedor); (vi) datos de navegación y cookies; y (vii), en Empowering Talents, datos socioeconómicos y de diversidad facilitados de forma voluntaria.
2.2. La voz se trata, por precaución, como dato personal sensible, con la finalidad exclusiva de evaluar el nivel de competencia, con un periodo mínimo de conservación y una eliminación segura; no genera ningún identificador biométrico ni se utiliza para la identificación.
3.1. Tratamos los datos personales para los fines y con los fundamentos jurídicos que se indican a continuación, de forma combinada (por niveles) cuando sea necesario:
3.2. En el contexto de la selección de personal, Lingopass no basa su evaluación exclusivamente en el consentimiento del candidato, sino que se basa en una base contractual o en el interés legítimo del empleador, con supervisión humana.
4.1. Compartimos datos con operadores y subencargados del tratamiento que sean estrictamente necesarios (nube, evaluación de competencias, clases en directo, pagos, inteligencia artificial), bajo contrato y con medidas de seguridad. La lista actualizada figura en la Central de Confianza. No vendemos datos personales.
5.1. Los datos de producción se almacenan preferentemente en Brasil. Las transferencias entre Brasil y el Espacio Económico Europeo no requieren ningún mecanismo adicional, debido a la adecuación recíproca vigente desde el 27 de enero de 2026. Para el resto de países, adoptamos las cláusulas tipo de la ANPD (Res. 19/2024) y/o de la Unión Europea, con salvaguardias complementarias y, cuando proceda, las bases específicas de transferencia previstas en la legislación local (por ejemplo, la transferencia intragrupo).
6.1. Conservamos los datos durante el tiempo necesario para cumplir con los fines y las obligaciones legales. Plazos de referencia: cuenta (mientras la cuenta esté activa y hasta 3 años después de su cierre), datos financieros y de transacciones (hasta 7 años), comunicaciones (hasta 2 años), datos de aprendizaje (hasta 5 años) y muestras de voz (retención mínima compatible con la evaluación). Una vez transcurridos estos plazos, los datos se eliminan de forma segura o se anonimizan.
7.1. El titular de los datos puede ejercer los derechos de confirmación, acceso, rectificación, anonimización, portabilidad, supresión, información sobre la cesión de datos, revocación del consentimiento y oposición (art. 18 de la LGPD), así como los derechos correspondientes del RGPD (arts. 15 a 22), incluida la revisión de las decisiones automatizadas.
7.2. Las solicitudes se tramitan a través del canal [email protected] dentro de los plazos legales.
8.1. Utilizamos la IA para la clasificación y la recomendación. El titular tiene derecho a solicitar una revisión y a impugnar las decisiones automatizadas que le afecten (art. 20 de la LGPD / art. 22 del RGPD), con una supervisión humana significativa. Los detalles figuran en la Política de gobernanza de la IA.
9.1. Aplicamos las medidas técnicas y organizativas descritas en la Política de Seguridad de la Información y en la Central de Confianza (cifrado, control de acceso, autenticación multifactorial, registro de actividades, gestión de vulnerabilidades). En caso de incidente, lo notificamos a la autoridad competente y a los interesados en los plazos legales (ANPD: hasta 3 días laborables; RGPD: 72 horas a la autoridad).
10.1. Los servicios están destinados a mayores de 18 años, salvo en los casos regulados en la Política de Protección de Niños y Adolescentes, con consentimiento paterno verificable cuando proceda y según la normativa de cada jurisdicción (UE: 16 años, reducible a 13; EE. UU.: 13 años, en virtud de la COPPA).
11.1. Utilizamos cookies de acuerdo con la Política de cookies, con un consentimiento específico y la opción de rechazarlas con la misma facilidad con la que se aceptan.
12.1. Delegada de Protección de Datos (DPO): Alexandrine Brami — [email protected]. Antes de ofrecer servicios a los interesados en la Unión Europea y en el Reino Unido, Lingopass nombrará a un representante en dichas jurisdicciones (art. 27 del RGPD y del RGPD del Reino Unido).
13.1. Esta Política puede actualizarse; se comunicarán los cambios relevantes y las versiones anteriores quedarán archivadas, con su fecha de vigencia.
Responsable designado; cláusulas tipo de la ANPD para transferencias a países sin equivalencia; notificación de incidentes a la ANPD y al interesado en un plazo máximo de 3 (tres) días laborables (Res. CD/ANPD n.º 15/2024); canal de atención al interesado.
Aplicación por extraterritorialidad (art. 3, apartado 2) cuando existe una oferta dirigida a personas en la UE o el Reino Unido; representante (art. 27) antes de la oferta; consentimiento explícito para datos sensibles; Evaluación de impacto relativa a la protección de datos (DPIA) para el tratamiento a gran escala (art. 35); derechos recogidos en los arts. 15 a 22, incluida la revisión de las decisiones automatizadas (art. 22); transferencias UE↔Brasil sin mecanismos adicionales, en virtud de la adecuación recíproca del 27/01/2026.
No existe una ley federal general; se aplican las leyes estatales de protección de datos (vigentes en unos 20 estados en 2026) y las normas sectoriales. Aspectos relevantes para Lingopass:
• Datos laborales/B2B: diversas leyes estatales eximen los datos de los empleados y los relacionados con el ámbito B2B; dado que la mayoría de los titulares son empleados de clientes corporativos, es posible que parte de esas leyes no sean de aplicación.
• COPPA: el tratamiento de datos de menores de 13 años requiere el consentimiento parental verificable (en relación con la Política de Protección de Niños y Adolescentes).
• FERPA: cuando el cliente es un centro educativo, los expedientes académicos se rigen por normas propias; Lingopass actúa como «funcionario del centro» bajo la supervisión de dicho centro.
• Exclusión voluntaria / señales universales: respeto de los mecanismos de exclusión voluntaria (incluido el Control Global de Privacidad) para las cookies y el marketing, de conformidad con la legislación estatal aplicable.
Ley federal: PIPEDA (el proyecto de ley C-27/CPPA no fue aprobado), que no prohíbe las transferencias internacionales, pero mantiene la responsabilidad del exportador (accountability).
Quebec — Ley 25: normas más estrictas, al estilo del RGPD: consentimiento para los datos sensibles, evaluación de impacto (PIA) previa a los proyectos tecnológicos que traten datos personales, notificación cuando se produzca una decisión automatizada y derechos de supresión y portabilidad. Los titulares de datos en Quebec deben cumplir estos requisitos (en consonancia con nuestro RIPD y la cláusula sobre IA).
Aviso de privacidad conforme a la nueva ley (identificación de los datos tratados, datos sensibles y fines que requieren o no consentimiento). Las transferencias nacionales e internacionales sin consentimiento solo se permiten en los casos previstos en el artículo 36, incluida la transferencia entre empresas del mismo grupo con políticas comunes —una base útil para la estructura de clientes multinacionales—. Autoridad competente actual tras la extinción del INAI.
Nuevo régimen al estilo del RGPD, que entrará plenamente en vigor el 1 de diciembre de 2026 (notificación de violaciones de seguridad, derechos reforzados, sanciones elevadas). Prepararse para cumplir con la normativa antes de su entrada en vigor.
Argentina (Ley 25.326, con una reforma en trámite) y Uruguay cuentan con una decisión de adecuación a la normativa de la Unión Europea, lo que facilita las transferencias desde y hacia Europa. Colombia (Ley 1581/2012), Perú (Ley 29733), Ecuador (LOPDP) y Paraguay (ley aprobada en 2025): cumplimiento de la legislación local, amparado por la presente Política y por el DPA. Ninguna de estas jurisdicciones exige la residencia local de los datos según el modelo brasileño.
Nota: para los titulares en Estados Unidos y Canadá, se recomienda la validación por parte de un abogado local cuando se trate de menores (COPPA), del uso por parte de instituciones educativas (FERPA) o de titulares en Quebec (Ley 25).
