Como cuidamos dos seus dados.

1. Dados que coletamos

Coletamos apenas o necessário para entregar o serviço:

• Cadastro: nome completo, email, senha (hash), CPF, telefone, CNPJ e nome da empresa.
• Conteúdo que você sobe: planilhas, arquivos, transações, resumos de reuniões, anotações, contatos, fotos de documentos.
• Dados de integrações que você autoriza: quando você conecta uma conta bancária (Open Finance), ERP ou ferramenta de pagamento, recebemos dados desses provedores conforme o escopo autorizado por você no consentimento.
• Uso da plataforma: logs técnicos (data e hora de acesso, endereço IP, tipo de dispositivo, ações dentro da plataforma) para segurança e diagnóstico.
• Áudios de reunião: capturados em pipeline efêmero, transcritos em tempo real e descartados imediatamente, sem armazenamento em disco. A transcrição também é descartada; apenas o resumo extraído permanece, se você optar por salvar.

Não coletamos dados sensíveis (origem racial, religião, opinião política, saúde, etc.) intencionalmente. Se você inserir esse tipo de informação em algum campo, ela será tratada como conteúdo seu, e você responde pela legalidade do tratamento.

2. Finalidades e base legal

3. Operadores e subprocessadores

Usamos serviços de terceiros confiáveis para infraestrutura e processamento. Cada um trata dados estritamente conforme nossas instruções:

• Supabase: banco de dados, autenticação e armazenamento de arquivos.
• Fly.io: hospedagem do backend (região São Paulo).
• Cloudflare: entrega da interface web.
• Anthropic: modelos Claude para extração e classificação. Dados enviados sob política sem retenção para treinamento.
• Groq: transcrição de áudio em tempo real (Whisper). Áudios não são retidos.
• Pagar.me: processamento de pagamentos (quando planos pagos forem lançados).
• Belvo / Pluggy: Open Finance, quando você conectar uma conta bancária.
• Conta Azul e outros ERPs: quando você conectar seu sistema de gestão.
• Meta (WhatsApp Business): envio de avisos no WhatsApp, quando você ativar.
• Sentry: diagnóstico de erros técnicos.

4. Compartilhamento

Não vendemos seus dados nem os compartilhamos com terceiros para fins de marketing. Compartilhamos apenas com os operadores listados acima, quando exigido por lei, ordem judicial ou requisição de autoridades competentes (ANPD, Receita Federal, Banco Central). Caso a Orbit seja adquirida ou fundida com outra empresa, você será informado antes de qualquer transferência de dados e poderá encerrar a conta antes da transferência.

5. Retenção

• Dados de cadastro e conteúdo: enquanto a conta estiver ativa, mais até 30 dias após o encerramento para permitir exportação.
• Logs técnicos: até 6 meses, para segurança e auditoria.
• Áudios de reunião: não são retidos. Descartados em segundos após a transcrição.
• Transcrição de áudio: não é retida. Descartada após a extração do resumo.
• Resumos de reunião extraídos: ficam armazenados enquanto a conta estiver ativa, se você optar por salvar.
• Dados de pagamento: mantidos pelo prazo exigido pela legislação fiscal e tributária.
• Dados sob obrigação legal: mantidos pelo prazo exigido (fiscal, contábil, regulatório).

6. Seus direitos (LGPD art. 18)

Você pode, a qualquer momento, solicitar:

• Confirmação da existência de tratamento.
• Acesso aos seus dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
• Portabilidade dos dados para outro fornecedor.
• Eliminação dos dados tratados com base no seu consentimento.
• Informação sobre com quem compartilhamos seus dados.
• Oposição a tratamento realizado com base em alguma das hipóteses sem consentimento, em caso de descumprimento da LGPD.
• Revogação do consentimento.

Para exercer qualquer desses direitos, envie email para contato@orbitpme.com. Respondemos em até 15 dias úteis. Você também pode apresentar reclamação à ANPD (Autoridade Nacional de Proteção de Dados), pelo site gov.br/anpd.

7. Segurança

Aplicamos medidas técnicas e administrativas razoáveis para proteger seus dados: criptografia em trânsito (HTTPS), tokens de autenticação assinados, isolamento por organização (multi-tenant com RLS no banco), hashing de senhas e escopo mínimo de acessos internos. Nenhuma plataforma é 100% imune a incidentes. Em caso de vazamento que afete seus dados, comunicaremos você e a ANPD conforme o art. 48 da LGPD.

8. Cookies e tecnologias similares

Usamos cookies essenciais para manter sua sessão autenticada e preferências básicas (organização ativa). Para entender como a plataforma é usada e diagnosticar problemas, podemos coletar métricas de uso agregadas e anonimizadas em nossa própria infraestrutura. Não usamos cookies de rastreamento publicitário, nem ferramentas de behavioral analytics de terceiros, nem pixels de redes sociais.

9. Crianças e adolescentes

O Orbit é destinado a maiores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes, em conformidade com o art. 14 da LGPD. Se você é responsável legal e identificar que um menor de idade criou conta, entre em contato pelo email contato@orbitpme.com e removeremos os dados imediatamente.

10. Transferência internacional

A operação principal é no Brasil (Fly.io região São Paulo, Supabase). Algumas operações ocorrem em servidores fora do país:

• Anthropic e Groq (processamento de linguagem e transcrição): Estados Unidos.
• Sentry (diagnóstico de erros): Estados Unidos.

Todas essas transferências seguem o art. 33 da LGPD, com cláusulas contratuais adequadas e garantia de nível de proteção equivalente ao brasileiro.

11. Encarregado pelo tratamento (DPO)

Para questões relacionadas a esta política ou ao tratamento dos seus dados pessoais, entre em contato com o nosso suporte:

Suporte: contato@orbitpme.com

12. Mudanças nesta política

Atualizamos esta política conforme a plataforma evolui. Mudanças relevantes serão comunicadas por email e/ou na plataforma com antecedência razoável. A data da última atualização está no topo desta página.