orbiit
Voltar ao site

Documento legal

Política de Privacidade

Última atualização: 02/05/2026

Esta Política de Privacidade descreve como o Orbiit coleta, usa, armazena, compartilha e protege as informações pessoais dos usuários do nosso serviço, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD") e demais normas aplicáveis.

Ao criar uma conta, contratar um plano ou utilizar qualquer funcionalidade do Orbiit, você declara ter lido, compreendido e aceitado integralmente os termos desta Política. Se não concordar com qualquer disposição, recomendamos que não utilize o serviço.

1. Definições

Para os fins desta Política, aplicam-se as definições da LGPD, especialmente:

  • Dados pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável.
  • Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, exclusão etc.).
  • Titular: pessoa natural a quem se referem os dados pessoais — você.
  • Controlador: pessoa a quem competem as decisões referentes ao tratamento de dados — o Orbiit.
  • Operador: pessoa que realiza o tratamento em nome do controlador (nossos prestadores de serviço listados na seção 7).
  • Encarregado (DPO): pessoa indicada pelo controlador como canal de comunicação entre titulares, controlador e a Autoridade Nacional de Proteção de Dados (ANPD).

2. Quem somos

O Orbiit é um serviço de automação de conteúdo para redes sociais operado por Orbiit Tech Ltda. (em constituição), acessível em orbiit.app.br. Somos os controladores dos seus dados pessoais nos termos da LGPD.

Para qualquer questão relacionada ao tratamento dos seus dados, nosso canal único de contato é contato@orbiit.app.br.

3. Dados que coletamos

3.1. Dados fornecidos diretamente por você

  • Cadastro: nome, e-mail, senha (armazenada com hash bcrypt — nunca em texto puro).
  • Login social: ao usar "Continuar com Google", recebemos seu nome, e-mail verificado e foto de perfil.
  • Pagamento: dados de cobrança (nome, endereço, CPF quando exigido por nota fiscal). Os dados do cartão são processados diretamente pela Stripe; o Orbiit não armazena número, CVV nem validade do cartão.
  • Conteúdo de uso: URLs de artigos, tópicos pesquisados, edições manuais que você faz nos posts gerados, comentários e suporte que você nos envia.
  • Branding: tom de voz selecionado, paleta personalizada (em add-ons), nome de exibição público.

3.2. Dados coletados automaticamente

  • Logs técnicos: endereço IP, tipo e versão do navegador, sistema operacional, identificador do dispositivo, horários de acesso. Retenção: 30 dias.
  • Métricas de uso: formatos mais usados, frequência de geração, tempo gasto em cada etapa do wizard. Mantidas em forma agregada e anonimizada para melhoria do produto.
  • Cookies essenciais: token de autenticação (JWT) armazenado em localStorage. Sem ele, o login não funciona.

3.3. Dados de redes sociais conectadas

Quando você conecta uma conta de Instagram, LinkedIn ou outra rede suportada via OAuth, recebemos:

  • Identificador interno da rede (ex: ID da conta no Meta)
  • Nome de exibição público (handle)
  • Token de acesso e refresh token, armazenados criptografados com Fernet (AES-128 + HMAC) em nossa base
  • Permissões mínimas: apenas o necessário para publicar em seu nome (instagram_content_publish, w_member_social etc.). Não acessamos suas mensagens privadas, listas de seguidores nem outras informações além das necessárias para a publicação solicitada

3.4. O que NÃO coletamos

  • Cookies de tracking publicitário, pixels de terceiros ou fingerprinting
  • Dados de geolocalização precisa
  • Dados sensíveis (saúde, biometria, origem racial, etc.)
  • Conteúdo de mensagens privadas das suas redes sociais conectadas

4. Bases legais do tratamento (art. 7º LGPD)

Cada operação de tratamento de dados é fundamentada em uma das bases legais previstas na LGPD:

  • Execução de contrato (art. 7º, V): autenticação, geração e publicação de conteúdo, processamento de pagamentos e tudo o que é necessário para entregar o serviço contratado.
  • Consentimento (art. 7º, I): conexão de redes sociais via OAuth, recebimento de comunicações de marketing (opcional, opt-in explícito).
  • Cumprimento de obrigação legal (art. 7º, II): retenção de registros fiscais e contábeis pelos prazos exigidos pela legislação brasileira.
  • Legítimo interesse (art. 7º, IX): prevenção a fraudes, segurança da plataforma, melhoria do produto via métricas agregadas. Sempre mediante avaliação prévia da proporcionalidade frente aos seus direitos.

5. Finalidades do tratamento

Tratamos seus dados pessoais exclusivamente para as seguintes finalidades:

  • Criar, autenticar e gerenciar sua conta
  • Executar o pipeline de geração de conteúdo (scraping, IA, render, upload de mídia)
  • Publicar nas redes sociais quando você explicitamente solicitar
  • Processar pagamentos, emitir notas fiscais e gerenciar assinaturas
  • Prestar suporte ao usuário e responder solicitações
  • Cumprir obrigações legais e regulatórias
  • Prevenir fraudes, abusos e violações destes termos
  • Comunicar mudanças no serviço, novos recursos e — apenas com seu consentimento — novidades de marketing
  • Melhorar o produto através de análise estatística agregada (sem identificação individual)

6. Como NÃO usamos seus dados

  • Não vendemos seus dados pessoais a terceiros sob nenhuma circunstância
  • Não treinamos modelos de IA com seu conteúdo. Os textos enviados à Anthropic (Claude) não são usados pela Anthropic para treinar modelos, conforme contrato comercial vigente
  • Não compartilhamos com anunciantes ou data brokers
  • Não tomamos decisões automatizadas de impacto significativo sobre você sem revisão humana

7. Compartilhamento com terceiros

Para operar o serviço, compartilhamos dados estritamente necessários com os seguintes prestadores (operadores), todos contratualmente obrigados a tratar seus dados conforme a LGPD:

  • Anthropic, PBC (Estados Unidos): recebe o texto do artigo que você cola para gerar o roteiro do post via Claude API. Política: anthropic.com/legal/privacy
  • Stripe, Inc. (Estados Unidos / Brasil): processa todos os pagamentos. Política: stripe.com/br/privacy
  • Cloudflare, Inc. (Estados Unidos): CDN, R2 (armazenamento de mídia) e DNS. Política: cloudflare.com/privacypolicy
  • Railway, Inc. (Estados Unidos): hospedagem dos servidores da API e do banco de dados. Política: railway.com/legal/privacy
  • Vercel, Inc. (Estados Unidos): hospedagem do frontend.
  • Meta Platforms, Inc.: publicação no Instagram. Sujeito à autorização explícita via OAuth.
  • LinkedIn Corporation (Microsoft): publicação no LinkedIn. Sujeito à autorização explícita via OAuth.
  • Unsplash, Inc.: recebe queries de busca de imagens (em inglês), sem identificadores pessoais associados.
  • Google LLC: apenas se você usar o login com Google (OpenID Connect).

Também podemos compartilhar dados quando exigido por ordem judicial, requisição de autoridades competentes ou cumprimento de obrigação legal, sempre limitando o escopo ao mínimo necessário.

8. Transferência internacional de dados

Considerando que vários dos prestadores listados acima estão sediados nos Estados Unidos, parte do tratamento dos seus dados envolve transferência internacional. Isso ocorre nos termos do art. 33 da LGPD, fundamentado em:

  • Cláusulas contratuais específicas com cada operador, garantindo nível de proteção adequado
  • Necessidade para execução do contrato com você

Estamos avaliando a migração da infraestrutura para hosting brasileiro para reduzir transferência internacional. Atualizaremos esta política se a topologia mudar.

9. Cookies e tecnologias similares

O Orbiit usa apenas cookies e armazenamento local estritamente necessários:

  • Token de autenticação (JWT): armazenado em localStorage do navegador. Sem ele, é impossível permanecer logado. Validade: 7 dias.
  • Preferências de UI: tema escolhido, idioma e configurações da última sessão (também em localStorage).

Não usamos: Google Analytics, Facebook Pixel, Hotjar, cookies de remarketing nem qualquer tecnologia de rastreamento publicitário.

10. Segurança

Adotamos medidas técnicas e organizacionais razoáveis para proteger seus dados contra acesso não autorizado, alteração, divulgação ou destruição:

  • Senhas: hash bcrypt com salt único por usuário — nunca armazenadas em texto puro
  • Tokens OAuth: criptografados em repouso com Fernet (AES-128 + HMAC)
  • Comunicação: HTTPS/TLS 1.2+ obrigatório em toda interação cliente-servidor
  • Acesso interno: princípio de menor privilégio, autenticação forte para colaboradores
  • Backups: diários, criptografados, retidos por 30 dias
  • Monitoramento: logs de erro e tentativas de acesso inválido revisados continuamente

Apesar dessas medidas, nenhum sistema é 100% imune a incidentes. Em caso de violação que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme exigido pelo art. 48 da LGPD.

11. Retenção de dados

Tratamos seus dados pelo prazo necessário às finalidades acima:

  • Dados de conta: enquanto a conta estiver ativa
  • Posts gerados (slides, PDFs): 12 meses após a geração — depois removidos do storage
  • Logs de acesso: 30 dias
  • Histórico de pagamento e notas fiscais: 5 anos (obrigação fiscal)
  • Comunicações de suporte: 2 anos após o último contato
  • Dados de marketing: até a revogação do consentimento

Após o encerramento da conta, removemos os dados pessoais associados em até 30 dias, exceto registros que devem ser mantidos por obrigação legal ou para defesa em processo judicial.

12. Direitos do titular (art. 18 LGPD)

Você tem o direito, a qualquer momento, de:

  • Confirmação: saber se tratamos dados sobre você
  • Acesso: obter cópia dos dados que mantemos sobre você, em formato legível
  • Correção: solicitar correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade
  • Portabilidade: receber seus dados em formato estruturado para transferir a outro fornecedor
  • Eliminação dos dados tratados com consentimento, ressalvadas as hipóteses do art. 16 da LGPD
  • Informação sobre compartilhamento: conhecer com quem compartilhamos seus dados
  • Informação sobre não consentimento: ser informado sobre as consequências de negar consentimento
  • Revogação do consentimento a qualquer tempo
  • Oposição a tratamento realizado com fundamento em dispensa de consentimento, em caso de descumprimento da LGPD

13. Como exercer seus direitos

Para exercer qualquer dos direitos listados acima, escreva para contato@orbiit.app.br com o assunto "LGPD — exercício de direito". Pediremos confirmação da identidade (e-mail cadastrado) para evitar fraudes.

Respondemos em até 15 (quinze) dias a partir da solicitação, conforme art. 19 §1º da LGPD.

Algumas funções (excluir conta, baixar dados gerados, gerenciar consentimentos) também podem ser executadas diretamente no app, em Configurações.

14. Crianças e adolescentes

O Orbiit é destinado exclusivamente a pessoas maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos que coletamos dados de uma criança ou adolescente sem o consentimento específico de pelo menos um dos pais ou responsáveis, removemos imediatamente. Pais ou responsáveis que identificarem essa situação devem nos contatar em contato@orbiit.app.br.

15. Mudanças nesta política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças no serviço, nas práticas de tratamento de dados ou em obrigações legais. Mudanças materiais serão comunicadas:

  • Por e-mail enviado ao endereço cadastrado
  • Por aviso destacado dentro do app
  • Com no mínimo 15 dias de antecedência da entrada em vigor

A data de "Última atualização" no topo desta página reflete a versão vigente. O uso continuado do serviço após a entrada em vigor de mudanças implica aceitação da nova versão.

16. Encarregado de Proteção de Dados (DPO)

Nomeamos um Encarregado interno como canal de comunicação entre titulares, controlador e a ANPD, conforme art. 41 da LGPD. Para contato direto:

17. Reclamações à ANPD

Caso você considere que seus direitos foram violados ou nossa resposta a uma solicitação não foi satisfatória, é seu direito apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):

18. Contato

Para qualquer dúvida sobre esta Política, sobre o tratamento dos seus dados ou para exercer qualquer direito previsto na LGPD, fale conosco:

Direcione internamente o assunto da mensagem (LGPD, suporte, cobrança etc.) para agilizar nosso atendimento.