Documento Legal · LGPD
Política de Privacidade
Última atualização: 28 de maio de 2026
Resumo em uma frase
Coletamos o mínimo necessário (nome, e-mail, senha em hash) para você usar a plataforma; dados opcionais do Google (Agenda e Contatos) só são acessados com sua autorização explícita; tudo fica em banco no Brasil; você pode apagar e revogar a qualquer momento.
1. Quem somos (Controlador dos dados)
Plataforma Ómò Obé, controlada por ANDREONNI COMERCIO E MANUTENCAO DE ELETROELETRONICOS LTDA (nome fantasia: Ómò Obé), inscrita no CNPJ 46.930.098/0001-87, com sede em Av. Antonio Munhoz Bonilha, 869, casa 2, Vila Palmeiras, São Paulo/SP, CEP 02725-055.
Contato do encarregado de dados (DPO): dpo@omoobe.com.br. Atendimento geral: contato@omoobe.com.br. Telefone: (11) 2865-8806.
2. Quais dados coletamos
| Dado | Origem | Finalidade | Base legal (LGPD) |
|---|---|---|---|
| Nome e e-mail | Você (cadastro) | Identificar e contatar você | Execução de contrato (art. 7º, V) |
| Senha (hash bcrypt) | Você (cadastro) | Autenticar acesso | Execução de contrato |
| Dados do negócio (contatos, transações, produtos) | Você (uso) | Operar a gestão do seu negócio | Execução de contrato |
| Conversas com Guardiões IA | Você (uso) | Gerar respostas e histórico | Execução de contrato |
| Logs técnicos (IP, navegador, timestamps) | Servidor | Segurança, rate limit, depuração | Legítimo interesse (art. 7º, IX) |
| Eventos de XP/carreira do Obé | Gerado pelo sistema | Gamificação e auditoria | Execução de contrato |
| Dados do Google (opcional) Perfil (nome, foto), eventos da Agenda, lista de contatos pessoais | Google (via OAuth — apenas se você autorizar) | Exibir eventos na página Agenda; importar contatos para Conexões. Cada permissão é concedida separadamente e usada exclusivamente para a finalidade indicada no momento da concessão. | Consentimento (art. 7º, I) |
| Token OAuth do Google access_token e refresh_token | Google (pós-autorização) | Manter acesso às APIs do Google sem exigir nova autorização a cada visita | Consentimento (art. 7º, I) |
Não coletamos CPF, RG, dados financeiros de cartão (a Vercel/Stripe processa pagamentos, se aplicável), localização precisa, dados biométricos ou sensíveis.
Dados do Google são estritamente opcionais: a plataforma funciona integralmente sem qualquer integração Google. As permissões são solicitadas apenas quando você acessa funcionalidades que delas dependem (ex: página Agenda). Você pode revogar qualquer permissão Google em myaccount.google.com/permissions a qualquer momento.
3. Onde seus dados ficam
Banco de dados PostgreSQL na Neon, região São Paulo (sa-east-1) — todos os dados ficam em território brasileiro, conforme exigido pela LGPD. Tráfego entre seu dispositivo e o servidor é criptografado via HTTPS/TLS.
Hospedagem da aplicação: Vercel (com processamento na borda mais próxima do usuário; sem armazenamento persistente fora do banco brasileiro).
4. Compartilhamento com terceiros
Compartilhamos apenas o mínimo necessário com prestadores de serviço (operadores, segundo a LGPD):
- Anthropic (Claude) — recebe o conteúdo de cada mensagem enviada ao chat para gerar a resposta da IA. A Anthropic declara não treinar modelos com dados de clientes da API. Veja a política da Anthropic em anthropic.com/legal/privacy.
- Neon — armazena seu banco de dados em São Paulo.
- Vercel — hospeda a aplicação e processa requisições.
- Hostinger — registra o domínio omoobe.com.br e gerencia DNS; recebe seu e-mail apenas se você nos contatar via
@omoobe.com.br. - Google (opcional) — quando você autoriza explicitamente: a Google Calendar API lê seus eventos para exibi-los na página Agenda; a Google People API lê seus contatos para importação em Conexões. O uso de dados das APIs Google obedece à Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado: os dados são usados apenas para as finalidades descritas nesta Política, não são compartilhados com terceiros adicionais, não são usados para fins publicitários e não são vendidos.
Nunca vendemos seus dados. Nunca compartilhamos com fins de marketing de terceiros.
Para integrações com redes sociais (WhatsApp, Instagram, Facebook, etc.), seguimos a Doutrina das Integrações — compromisso público com OAuth, mínimo necessário e lista fechada de dados que nunca coletamos.
4a. Uso de dados das APIs Google — Política de Uso Limitado
O uso das APIs Google pelo Ómò Obé está sujeito à Política de Dados do Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado. Especificamente:
- Google Calendar (escopo
calendar.readonly) — usado exclusivamente para listar seus eventos futuros na página Agenda (/app/agenda). Não criamos, editamos nem deletamos eventos. - Google People API (escopo
contacts.readonly) — usado exclusivamente para importar contatos do Google para a seção Conexões (/app/conexoes). Os contatos importados ficam armazenados no banco brasileiro e não são enviados a terceiros. - Dados restritos: não transferimos dados das APIs Google para terceiros além dos necessários para operar a funcionalidade descrita, não os usamos para fins de publicidade e não os armazenamos além do necessário.
- Revogação: você pode revogar as permissões a qualquer momento em myaccount.google.com/permissions. Após a revogação, os tokens são invalidados e os dados recém-lidos não são mais processados.
5. Por quanto tempo guardamos
- Conta ativa: enquanto durar.
- Conta encerrada: dados apagados em até 30 dias via cascade no banco. Backups com retenção de até 30 dias adicionais.
- Logs técnicos: 90 dias, depois descartados.
- Dados exigidos por lei (ex: registro fiscal, quando aplicável): pelo prazo legal mínimo, mesmo após o encerramento.
6. Seus direitos (art. 18 da LGPD)
Você pode, a qualquer momento:
- Acessar os dados que temos sobre você.
- Corrigir dados incompletos ou desatualizados.
- Excluir sua conta e seus dados.
- Portabilidade — exportar seus dados num formato legível.
- Revogar consentimento a qualquer momento.
- Reclamar à ANPD (Autoridade Nacional de Proteção de Dados) em gov.br/anpd.
Para exercer qualquer direito: acesse /app/configuracoes ou envie e-mail para dpo@omoobe.com.br. Respondemos em até 15 dias úteis.
7. Cookies e armazenamento local
Usamos cookies estritamente necessários para autenticação (sessão NextAuth, com flags HttpOnly, SameSite=Lax e Secure em produção). Não usamos cookies de rastreamento publicitário nem analytics de terceiros invasivos.
O service worker do PWA armazena dados localmente no seu dispositivo para funcionamento offline; esses dados nunca saem do seu navegador.
8. Segurança
Aplicamos por padrão:
- Senhas com hash bcrypt (mínimo 12 rounds).
- Segredos em variáveis de ambiente criptografadas, nunca em código.
- HTTPS forçado com HSTS.
- Isolamento por
userIdem todas as queries — nenhum usuário lê dado de outro. - Validação Zod em toda entrada externa.
- Rate limit em endpoints públicos.
- Cabeçalhos HTTP de segurança (X-Frame-Options, X-Content-Type-Options, Referrer-Policy).
Em caso de incidente de segurança que envolva dados pessoais, notificaremos a ANPD e os titulares afetados em até 48 horas, conforme exige a LGPD.
9. Crianças e adolescentes
A plataforma é destinada a maiores de 18 anos. Não coletamos dados de crianças (menores de 12) conscientemente. Se você é responsável legal e identificou que um menor criou conta, entre em contato em dpo@omoobe.com.br para remoção imediata.
10. Alterações nesta Política
Atualizamos esta Política quando o produto ou a legislação mudam. Mudanças relevantes serão comunicadas por e-mail e/ou aviso na plataforma com pelo menos 15 dias de antecedência. A versão vigente está sempre nesta página.