ObsidiaVoltar
LGPD Compliant

Política de Privacidade

Última atualização: 01 de abril de 2026 · Vigência a partir de: 01 de abril de 2026

Sua privacidade é nossa prioridade. Esta Política descreve como a Obsidia coleta, utiliza, armazena e protege seus dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD – Lei n.º 13.709/2018) e demais normas aplicáveis.

1. Controlador de Dados

O controlador dos dados pessoais tratados por meio da plataforma Obsidia é a Duarte Labs, inscrita no CNPJ sob n.º 63.320.419/0001-40, com sede na cidade de São Paulo – SP.

O Encarregado pelo Tratamento de Dados (DPO) pode ser contatado pelo e-mail privacidade@obsidia.com.br para quaisquer questões relativas ao tratamento de dados pessoais, conforme exigido pelo art. 41 da LGPD.

2. Dados Coletados

2.1. Dados de Cadastro

Ao criar e manter uma conta na plataforma, coletamos:

  • Nome completo e endereço de e-mail (via autenticação Google OAuth 2.0);
  • Denominação social e CNPJ da empresa;
  • Estados de interesse, segmentos de atuação (CNAEs) e faixas de valor;
  • Palavras-chave positivas e negativas para curadoria de editais;
  • Canais de comunicação preferidos (e-mail, WhatsApp).

2.2. Dados de Uso

Durante o uso da plataforma, coletamos automaticamente:

  • Logs de acesso: endereço IP, data e hora, tipo de navegador, sistema operacional e páginas visitadas (exigidos pelo art. 15 do Marco Civil da Internet – Lei n.º 12.965/2014, armazenados por 6 meses);
  • Dados de interação: editais visualizados, análises solicitadas, filtros aplicados, documentos gerenciados;
  • Dados de desempenho e telemetria para manutenção e melhoria do serviço (coletados de forma pseudonimizada).

2.3. Dados de Pagamento

As transações financeiras são processadas diretamente pelo Stripe(parceiro certificado PCI-DSS). A Obsidia não armazena números de cartão de crédito completos, recebendo apenas tokens e metadados de transação (valor, data, status, últimos 4 dígitos do cartão, bandeira).

2.4. Dados Fornecidos Voluntariamente

Mensagens enviadas ao suporte, avaliações, feedbacks e quaisquer informações que o Usuário decida compartilhar voluntariamente com a Obsidia.

2.5. Dados que NÃO Coletamos

A Obsidia não coleta dados sensíveis conforme definidos no art. 5.º, inciso II, da LGPD, tais como origem racial ou étnica, convicção religiosa, opinião política, dados de saúde ou biométricos.

3. Finalidades e Bases Legais do Tratamento

Nos termos do art. 7.º da LGPD, o tratamento de dados pessoais na plataforma Obsidia fundamenta-se nas seguintes bases legais:

FinalidadeBase Legal (LGPD)
Criação e gestão de conta de usuárioExecução de contrato (art. 7.º, V)
Prestação dos serviços contratados (monitoramento, análise, alertas)Execução de contrato (art. 7.º, V)
Processamento de pagamentos e controle financeiroExecução de contrato (art. 7.º, V)
Comunicações transacionais (confirmações, recibos, alertas de sistema)Execução de contrato (art. 7.º, V)
Comunicações de marketing e novidades da plataformaConsentimento (art. 7.º, I) — revogável a qualquer momento
Melhoria dos modelos de IA (dados anonimizados)Legítimo interesse (art. 7.º, IX) / Anonimização
Armazenamento de logs de acessoObrigação legal — Marco Civil da Internet (art. 7.º, II)
Prevenção a fraudes e segurança da plataformaLegítimo interesse (art. 7.º, IX)
Cumprimento de obrigações fiscais e contábeisObrigação legal (art. 7.º, II)

4. Compartilhamento de Dados

A Obsidia não vende, aluga ou comercializa dados pessoais de seus Usuários. Os dados poderão ser compartilhados nas seguintes situações:

4.1. Parceiros e Subfornecedores (Suboperadores)

  • MongoDB Atlas (MongoDB Inc.): armazenamento seguro do banco de dados, com hospedagem em servidores localizados no Brasil ou EUA (ver Seção 9);
  • VPS Hostinger: hospedagem da aplicação (servidores no Brasil);
  • Stripe Inc.: processamento de pagamentos;
  • Resend: envio de e-mails transacionais e notificações;
  • Z-API: envio de notificações via WhatsApp Business;
  • PostHog: analytics de produto (self-hosted, dados pseudonimizados);
  • OpenAI / Anthropic: processamento de análises por modelos de linguagem grandes (LLMs). O conteúdo dos editais analisados é transmitido a esses provedores. Nenhum dado pessoal identificável exceto o necessário para a análise é compartilhado.

Todos os subfornecedores são vinculados por cláusulas contratuais de proteção de dados (DPAs) exigindo nível de proteção equivalente ao desta Política.

4.2. Autoridades e Obrigação Legal

Dados poderão ser divulgados a autoridades governamentais, judiciais, fiscais ou regulatórias quando exigido por lei, decisão judicial ou determinação de autoridade competente, incluindo a Autoridade Nacional de Proteção de Dados (ANPD).

4.3. Operações Societárias

Em caso de fusão, aquisição, cisão ou venda de ativos da Obsidia, os dados dos Usuários poderão ser transferidos ao adquirente, que estará vinculado às mesmas obrigações desta Política. Os Usuários serão notificados com antecedência mínima de 30 dias.

5. Retenção e Exclusão de Dados

Os dados pessoais serão mantidos pelo período necessário para as finalidades declaradas, observando os seguintes critérios:

  • Dados de conta e perfil: durante toda a vigência da relação contratual e por até 5 anos após o encerramento, para fins de cumprimento de obrigações legais e defesa em processos judiciais (prazo prescricional geral – art. 205 do Código Civil);
  • Logs de acesso: 6 meses, conforme mandatório pelo art. 15 do Marco Civil da Internet;
  • Dados fiscais e financeiros: 5 anos, conforme exigência da Receita Federal e do Código Tributário Nacional;
  • Comunicações de suporte: 2 anos após a resolução do chamado;
  • Dados de marketing (com consentimento): até a revogação do consentimento ou encerramento da conta.

Após os prazos acima, os dados serão excluídos ou anonimizados de forma irreversível, não podendo mais ser atribuídos a um titular identificado.

6. Segurança dos Dados

A Obsidia adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou divulgação indevida, incluindo:

  • Criptografia em trânsito: TLS 1.3 em todas as comunicações entre cliente e servidor;
  • Criptografia em repouso: AES-256 para dados armazenados em banco de dados;
  • Controle de acesso: princípio do menor privilégio, autenticação multifator para equipes internas;
  • Monitoramento contínuo: detecção de anomalias e tentativas de acesso não autorizado;
  • Avaliações periódicas de segurança (pentests e revisões de código);
  • Plano de resposta a incidentes com procedimentos documentados para contenção, notificação e remediação.

Em caso de incidente de segurança que represente risco ou dano relevante aos titulares, a Obsidia comunicará a ANPD e os Usuários afetados em prazo razoável, conforme exigido pelo art. 48 da LGPD.

7. Direitos do Titular dos Dados

Nos termos dos arts. 17 a 22 da LGPD, o Usuário (titular dos dados) tem os seguintes direitos, exercíveis mediante solicitação ao DPO:

Confirmação e Acesso

Confirmar se tratamos seus dados e obter cópia deles (art. 18, I e II).

Correção

Solicitar a correção de dados incompletos, inexatos ou desatualizados (art. 18, III).

Anonimização, Bloqueio ou Eliminação

Solicitar a anonimização, bloqueio ou exclusão de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD (art. 18, IV).

Portabilidade

Receber seus dados em formato estruturado e de uso comum para transferência a outro fornecedor (art. 18, V), quando regulamentado pela ANPD.

Eliminação

Solicitar a exclusão dos dados tratados com base no consentimento, ressalvadas as hipóteses legais de retenção (art. 18, VI).

Informação sobre Compartilhamento

Obter informações sobre entidades com as quais compartilhamos seus dados (art. 18, VII).

Revogação do Consentimento

Revogar consentimento para tratamentos baseados nesta base legal, a qualquer tempo (art. 18, IX).

Oposição

Opor-se a tratamento realizado com base em legítimo interesse (art. 18, § 2.º).

Revisão de Decisões Automatizadas

Solicitar revisão humana de decisões tomadas exclusivamente com base em tratamento automatizado (art. 20).

As solicitações serão respondidas em até 15 (quinze) dias úteis, podendo ser prorrogadas por igual período mediante justificativa. O exercício dos direitos é gratuito. Solicitações manifestamente infundadas ou excessivas poderão ser recusadas com fundamentação.

Para exercer seus direitos, envie solicitação ao endereço privacidade@obsidia.com.br com identificação da empresa (CNPJ) e descrição clara do pedido.

8. Cookies e Tecnologias Similares

8.1. O que são Cookies

Cookies são pequenos arquivos de texto armazenados no dispositivo do Usuário quando ele acessa a plataforma. Utilizamos também tecnologias similares como localStorage e sessionStorage.

8.2. Tipos de Cookies Utilizados

  • Cookies essenciais: Necessários para o funcionamento básico da plataforma (autenticação, sessão, preferências de tema). Não podem ser desativados;
  • Cookies analíticos: Coletam informações de uso agregadas e pseudonimizadas para melhorar a plataforma (PostHog). Podem ser desativados nas configurações;
  • Cookies de preferências: Armazenam configurações do Usuário (tema claro/escuro, filtros salvos).

8.3. Gestão de Cookies

O Usuário pode gerenciar cookies nas configurações do navegador. A desativação de cookies essenciais pode comprometer o funcionamento da plataforma.

9. Transferência Internacional de Dados

Alguns de nossos parceiros de tecnologia possuem servidores localizados fora do Brasil, especialmente nos Estados Unidos da América (EUA). As transferências internacionais de dados são realizadas com base em:

  • Cláusulas contratuais padrão aprovadas pela ANPD ou equivalentes, garantindo nível de proteção adequado (art. 33, II da LGPD);
  • Necessidade para execução do contrato com o titular (art. 33, V da LGPD), quando aplicável;
  • Consentimento específico do titular, quando necessário (art. 33, I da LGPD).

Principais parceiros com operações internacionais: MongoDB Atlas (EUA/AWS), Stripe (EUA), OpenAI / Anthropic (EUA).

10. Menores de Idade

Os serviços da Obsidia destinam-se exclusivamente a pessoas jurídicas representadas por pessoas físicas maiores de 18 anos. A plataforma não coleta conscientemente dados de menores de 18 anos. Caso a Obsidia tome conhecimento de que coletou dados de menor, tais dados serão imediatamente excluídos.

11. Alterações desta Política

A presente Política poderá ser atualizada periodicamente para refletir mudanças em nossas práticas, na legislação aplicável ou nos serviços prestados. Quaisquer alterações relevantes serão comunicadas ao Usuário com antecedência mínima de 15 (quinze) dias corridos antes da entrada em vigor, por e-mail ou aviso em destaque na plataforma.

A versão vigente sempre estará disponível em app.obsidia.com.br/politica-de-privacidade com data de última atualização identificada.

12. Contato e Encarregado de Dados (DPO)

Para questões relacionadas ao tratamento de dados pessoais, exercício de direitos ou reclamações, contate nosso Encarregado de Dados (DPO):

E-mail DPOprivacidade@obsidia.com.br
E-mail Geralcontato@obsidia.com.br
EndereçoRua [endereço completo], São Paulo – SP, CEP [XXXXX-XXX]
EmpresaDuarte Labs · CNPJ 63.320.419/0001-40

O Usuário que considerar que o tratamento de seus dados viola a LGPD tem o direito de apresentar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 55-J, inciso V, da LGPD, pelo portal gov.br/anpd.

Ficou com alguma dúvida?

Consulte também nossos Termos de Serviço ou entre em contato pelo e-mail privacidade@obsidia.com.br

Voltar ao login