OMINIFOX ← Voltar ao site

Política de Privacidade

Versão 2.0 — vigente desde 18 de maio de 2026

1. Quem somos (Controlador de Dados)

Esta Política descreve como a OminiFox Marketing Digital ("OminiFox", "nós") coleta, utiliza, armazena, compartilha e protege dados pessoais por meio do site ominifoxdigital.com.br e da plataforma app.ominifoxdigital.com.br.

Razão social: [RAZÃO SOCIAL] — preencher antes da submissão a App Review

CNPJ: [CNPJ]

Sede: Boituva — São Paulo — Brasil

Contato geral: contato@ominifoxdigital.com.br

2. Encarregado pelo Tratamento de Dados (DPO)

Em cumprimento ao Art. 41 da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), nomeamos um Encarregado para atuar como canal de comunicação entre OminiFox, titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD):

Encarregado: Bruno Alves Bergamin

Contato: contato@ominifoxdigital.com.br

3. Dados que coletamos

3.1. Dados de cadastro

Nome, e-mail, telefone, nome da empresa, cargo. Coletados via formulário de contato ou cadastro na plataforma.

3.2. Dados de autenticação

E-mail e hash de senha (bcrypt). Nunca armazenamos sua senha em texto claro.

3.3. Dados de redes sociais conectadas via OAuth

Identificador da conta, nome de exibição, tokens de acesso (criptografados com AES-256-GCM), escopos autorizados, métricas e estatísticas das contas/páginas que você administra. Nunca armazenamos sua senha das redes sociais.

3.4. Conteúdo gerado pelo usuário

Textos, imagens, vídeos, agendamentos de posts, calendário editorial — armazenados para execução do serviço contratado.

3.5. Dados de uso e segurança

Logs de acesso (IP, user-agent, horário), ações realizadas na plataforma, dispositivo. Retidos por 6 meses para fins de auditoria.

4. Finalidades e base legal (LGPD Art. 7)

Finalidade Base legal
Execução dos serviços contratados Execução de contrato (Art. 7, V)
Publicação de conteúdo nas redes conectadas Consentimento (Art. 7, I) — OAuth
Envio de relatórios mensais Execução de contrato (Art. 7, V)
Comunicação operacional (e-mails) Execução de contrato (Art. 7, V)
Logs de auditoria de segurança Legítimo interesse (Art. 7, IX)
Cumprimento de obrigações fiscais Obrigação legal (Art. 7, II)
Cookies essenciais (sessão) Legítimo interesse (Art. 7, IX)

5. Permissões solicitadas em cada plataforma

Ao conectar suas contas via OAuth, solicitamos apenas as permissões estritamente necessárias para os serviços contratados. Você pode revogá-las a qualquer momento.

Meta (Facebook + Instagram + Meta Ads)

  • pages_show_list — listar páginas que você administra
  • pages_read_engagement — ler métricas de engajamento
  • pages_manage_posts — publicar conteúdo agendado
  • pages_manage_metadata — ler webhooks de página
  • instagram_basic — identificar conta Instagram Business
  • instagram_content_publish — publicar posts/reels/stories
  • instagram_manage_comments — sincronizar comentários
  • instagram_manage_insights — ler métricas Instagram
  • ads_management, ads_read — gerenciar e ler campanhas
  • business_management — acessar contas Business

Google (YouTube + Google Ads)

  • youtube.readonly — ler dados do canal
  • youtube.upload — publicar vídeos agendados
  • yt-analytics.readonly — ler métricas do canal
  • adwords — gerenciar campanhas Google Ads

LinkedIn

  • w_member_social — publicar conteúdo em nome do membro
  • r_organization_social — ler posts de organizações
  • rw_organization_admin — administrar páginas de organização
  • r_ads, rw_ads — ler e gerenciar campanhas

TikTok

  • user.info.basic — identificar conta TikTok
  • video.list — listar vídeos do canal
  • video.publish — publicar vídeos agendados

Esses dados são usados exclusivamente para os serviços contratados. Não são vendidos, compartilhados com terceiros não autorizados, utilizados para treinamento de IA, ou combinados com fontes externas sem seu consentimento explícito.

6. Conformidade com Google API Services User Data Policy

O uso de informações recebidas de APIs Google pela OminiFox cumpre a Google API Services User Data Policy, incluindo os requisitos de Limited Use:

  • Não usamos dados Google para treinar modelos de IA;
  • Não vendemos esses dados;
  • Não os usamos para publicidade própria ou de terceiros;
  • Acesso humano ocorre apenas quando: (a) você consentir explicitamente, (b) para segurança, (c) para cumprir lei aplicável, ou (d) de forma agregada e anonimizada para métricas internas.

7. Compartilhamento de dados

Não vendemos dados pessoais. Compartilhamos apenas com:

  • Meta Platforms (Facebook, Instagram, Meta Ads) — para publicação e leitura de métricas autorizadas pelo usuário
  • Google LLC (YouTube, Google Ads) — idem
  • LinkedIn Corporation — idem
  • TikTok For Business — idem
  • Supabase Inc. — infraestrutura de banco de dados e storage (servidores em São Paulo e EUA)
  • Vercel Inc. — hospedagem da aplicação web (EUA + edge global)
  • Resend Inc. — envio de e-mails transacionais (EUA, baseado em AWS SES)
  • Sentry / Functional Software Inc. — monitoramento de erros (EUA), com PII scrubbing ativo
  • Anthropic PBC — geração de conteúdo via IA (apenas quando o usuário aciona, com PII scrubbing)

Quando exigido por lei ou ordem judicial, podemos compartilhar dados com autoridades competentes — sempre com registro formal e limitado ao estritamente necessário.

LinkedIn: Dados obtidos via LinkedIn API não são combinados com dados de outras fontes sem consentimento explícito do membro, conforme LinkedIn API Terms of Use §4.

8. Transferência internacional de dados

Alguns fornecedores listados acima processam dados fora do Brasil (principalmente EUA e União Europeia). Em conformidade com o Art. 33 da LGPD, essas transferências são amparadas em:

  • Cláusulas contratuais padrão entre OminiFox e os operadores;
  • Garantias técnicas e organizacionais equivalentes aos padrões brasileiros (TLS 1.3, AES-256, controles de acesso);
  • Consentimento do titular ou execução de contrato, conforme a finalidade.

9. Período de retenção

Categoria Prazo
Dados de cadastro (conta ativa) Enquanto a conta existir + 30 dias
Tokens OAuth (redes sociais) Até revogação ou 90 dias de inatividade
Logs de auditoria 6 meses
Métricas e relatórios Enquanto contrato ativo + 12 meses
Backups criptografados 30 dias (rotação automática)
Registros fiscais (NF, contratos) 5 anos (Art. 195 CTN)

Após esses prazos, dados são excluídos ou anonimizados de forma irreversível.

10. Medidas de segurança (LGPD Art. 46)

  • Criptografia em repouso: AES-256-GCM em tokens OAuth, secrets de webhook e dados pessoais sensíveis;
  • Criptografia em trânsito: TLS 1.3 obrigatório em todas as conexões;
  • Isolamento de banco: Row-Level Security (RLS) PostgreSQL ativo em todas as tabelas;
  • Controle de acesso: RBAC (Role-Based Access Control) com permissões granulares;
  • Autenticação: hash bcrypt de senhas, MFA opcional, account lockout após tentativas excessivas, anti-enumeração de usuários;
  • Uploads: validação de magic bytes (não confia em Content-Type), allowlist de MIME, signed URLs com TTL curto;
  • Rate limiting: sliding window por IP, especialmente em endpoints de autenticação e captação de leads;
  • Anti-SSRF: validação de URLs em webhooks externos (bloqueia RFC 1918, link-local, metadata de cloud);
  • Logs: redação automática de PII, tokens, e-mails antes do armazenamento;
  • Backups: diários, criptografados com chave independente, em bucket privado;
  • Monitoramento: Sentry com PII scrubbing e detecção de incidentes em tempo real;
  • Suíte de testes de segurança: 43+ testes automatizados de regressão (RBAC, isolamento de tenant, SSRF, criptografia, sanitização).

11. Seus direitos como titular (LGPD Art. 18)

Você pode, a qualquer momento:

  1. Confirmar a existência de tratamento dos seus dados;
  2. Acessar os dados que temos sobre você (export JSON);
  3. Corrigir dados incompletos, inexatos ou desatualizados;
  4. Solicitar anonimização, bloqueio ou eliminação de dados desnecessários;
  5. Solicitar a portabilidade dos seus dados a outro fornecedor;
  6. Solicitar a eliminação total dos dados tratados com seu consentimento;
  7. Obter informações sobre as entidades públicas e privadas com as quais compartilhamos seus dados;
  8. Ser informado sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
  9. Revogar consentimento (incluindo conexões OAuth a qualquer momento);
  10. Opor-se a tratamento realizado com base em legítimo interesse.

Para exercer esses direitos:

Resposta em até 15 dias corridos (Art. 19 LGPD). Solicitações via callback oficial da Meta são processadas em 24 horas.

12. Cookies

Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma:

  • Cookies de sessão (HttpOnly, Secure, SameSite=Lax) — autenticação;
  • Cookies de preferência — idioma e tema;
  • Cookies de role (HMAC-assinado) — controle de acesso RBAC.

Não utilizamos cookies de rastreamento publicitário, fingerprinting de dispositivo, ou cookies de terceiros para perfilamento.

13. Menores de idade

A plataforma OminiFox é destinada a uso por profissionais maiores de 18 anos. Não coletamos conscientemente dados de menores de 13 anos. Caso identifique cadastro indevido, entre em contato para imediata exclusão.

14. Alterações desta Política

Esta Política pode ser atualizada para refletir mudanças legais, regulatórias ou operacionais. Alterações relevantes serão comunicadas por e-mail e exibidas em destaque na plataforma com pelo menos 15 dias de antecedência à entrada em vigor.

15. Como nos contatar

OminiFox Marketing Digital

Encarregado: Bruno Alves Bergamin

E-mail: contato@ominifoxdigital.com.br

Site: ominifoxdigital.com.br

Plataforma: app.ominifoxdigital.com.br

Você também pode peticionar diretamente à ANPD em gov.br/anpd.