"Não somos vigilância. Somos plataforma." — princípio fundador.
Este documento codifica os princípios não-negociáveis que o Ómò Obé segue ao integrar com WhatsApp, Instagram, Facebook, Telegram, LinkedIn, X, TikTok, YouTube, Discord e qualquer outra rede que vier a se somar à pavimentação. Toda nova integração precisa passar por estes princípios antes de subir pra produção.
1. Princípio do consentimento informado
Cada cliente do Ómò Obé conecta a própria conta da rede social pelo método oficial dela — sempre OAuth, nunca pedimos senha em campo nosso. A própria rede mostra na tela quais escopos estão sendo concedidos. O cliente pode revogar a qualquer momento na rede ou no Ómò Obé.
2. Princípio do mínimo necessário
Pedimos só os escopos OAuth estritamente necessários para a função que estamos declarando. Se precisarmos só ler mensagens, não pedimos permissão de publicar. Se a função muda, o cliente reaprova com os novos escopos — não esticamos permissões antigas.
3. Dados que NUNCA serão coletados
São intocáveis, mesmo que algum escopo OAuth tecnicamente permita:
- Senhas — das redes, do banco, de e-mail, de qualquer serviço.
- Dados bancários sensíveis (número de cartão, CVV, senha de banco, PIN, chaves Pix completas) — exceto quando o próprio cliente preenche um campo declarado de cobrança, com finalidade clara.
- Conversas privadas de terceiros que não consentiram. Se o nosso cliente delegar atendimento de uma conta de WhatsApp ao Obé, processamos as conversas DESSA conta com os clientes dele — mas nunca uma conversa que ele teve com um amigo, parente ou outro contexto pessoal não delegado.
- Conversas que o cliente tem com outros chats de IA fora do Ómò Obé.
- Localização precisa em segundo plano.
- Dados sensíveis no sentido LGPD (raça, religião, saúde, opinião política, orientação sexual) — só se o cliente explicitamente preencher e declarar a finalidade legítima.
4. Dados que PODEM ser coletados (com base legal LGPD)
- Métricas agregadas e individuais da própria conta do cliente (alcance, engajamento, conversões).
- Mensagens recebidas pela conta do cliente quando ele explicitamente delegar atendimento ao Ómò Obé — processadas para gerar resposta e cair no CRM dele.
- Lista de contatos da rede vinculada quando o escopo OAuth permite E o cliente autoriza expressamente — armazenada no CRM dele.
- Dados do próprio cliente preenchidos voluntariamente (nome, e-mail, telefone, empresa, segmento) — usados para personalizar a experiência e contato comercial.
- Telemetria de uso do Ómò Obé (páginas visitadas, funções usadas, duração de sessão) — armazenada de forma agregada para melhorar o produto. Em logs persistentes, anonimizada.
5. Modelo "Mercado Livre / Uber"
A inspiração de produto: plataformas que conectam e atendem com eficiência usando os dados de negócio que coletam — sem que isso signifique vigilar a vida pessoal do usuário final.
O Ómò Obé é o intermediário neutro entre nossos clientes (empresas e profissionais) e as redes sociais onde os clientes deles vivem. Nosso valor é eficiência de atendimento, não acumulação de dados sensíveis.
6. Segregação por organização (multi-tenant futuro)
Quando o módulo multi-tenant estiver ativo, dados de uma empresa nunca cruzam com dados de outra. Cada organização vê apenas o que é dela. O super-admin do Ómò Obé (o dono) vê métricas agregadas do "exército" — contagem de clientes, volume de atendimento, KPIs — mas não acessa o conteúdo de mensagens individuais sem ordem judicial ou solicitação formal do próprio cliente.
7. Direito ao esquecimento e portabilidade
Em qualquer momento o cliente pode:
- Desconectar a integração no painel
/app/configuracoes/integracoes— revogamos o token e descartamos os dados associados em até 30 dias. - Exportar todos os dados que temos sobre a conta dele em formato legível.
- Apagar a conta inteira em
/app/configuracoes— cascade no Prisma garante remoção de integrações, mensagens armazenadas, contatos importados e configurações.
8. Como guardamos os tokens
Tokens OAuth são armazenados no campo Integration.config (JSONB)
sempre criptografados em repouso (Sprint de ativação real fará
a parte de cripto). Em logs, apenas o provider aparece — nunca
o token.
Se um token vazar (lateralmente, por dump de DB, etc.):
- Revogar imediatamente na rede.
- Forçar reautenticação do cliente.
- Notificar o cliente da ocorrência.
- Comunicar à ANPD em até 48 horas se houver risco a dados pessoais (art. 48 LGPD).
9. Sobre auditabilidade
Toda integração ativa registra:
- Quando foi conectada e por qual usuário.
- Quando foi desconectada e por qual motivo.
- Volume de eventos processados (sem o conteúdo).
- Erros de sincronização.
O cliente pode ver esse histórico no painel da integração dele.
10. Cláusula de revisão
Este documento é vivo. Cada novo provedor pode adicionar nuances — por exemplo, a API da X tem limites diferentes do WhatsApp — mas nenhum item da seção 3 ("nunca coletamos") pode ser flexibilizado sem decisão explícita do dono do Ómò Obé E aceite formal do cliente afetado. Os princípios 1, 2 e 5 são imutáveis.
Última atualização: 20 de maio de 2026.