Política de Privacidade

A Axedro Tecnologia LTDA, inscrita no CNPJ nº 63.544.325/0001-55, é a controladora dos dados pessoais tratados no âmbito da plataforma Omnibid, nos termos do art. 5º, VI, da LGPD. Contato do encarregado (DPO): legal@axedro.com.

Tratamos apenas os dados pessoais estritamente necessários para prestação do Serviço:

• Dados de cadastro: nome, e-mail, senha (armazenada com hash), telefone opcional, empresa e cargo.
• Identificação fiscal do workspace: CPF ou CNPJ fornecido pelo titular do workspace no momento do cadastro, armazenado em formato normalizado (somente dígitos) e validado por algoritmo módulo-11. Quando fornecido CNPJ, podemos consultar bases públicas (ex.: BrasilAPI) para enriquecer o registro com razão social. A finalidade é prevenir fraude, evitar criação múltipla de workspaces pelo mesmo titular e garantir que o contrato esteja vinculado a uma entidade juridicamente identificável. Base legal: execução de contrato (art. 7º, V) e legítimo interesse para prevenção a fraude (art. 7º, IX).
• Dados de uso: configurações de OmniAgent, filtros salvos, editais favoritados, histórico de navegação interno e preferências de notificação.
• Dados técnicos: endereço IP, tipo de dispositivo, navegador, sistema operacional, logs de acesso e telemetria de desempenho.
• Dados de pagamento: processados diretamente por adquirente ou gateway contratado (Stripe ou equivalente). Não armazenamos número completo de cartão de crédito em nossos servidores.
• Dados de comunicação: mensagens trocadas com a equipe de suporte, pesquisas e feedback voluntário.
• Conteúdo de IA e documentos enviados (item 2.7): compreende (i) prompts e respostas geradas pelo OmniAgent, (ii) documentos carregados pelo usuário (editais em PDF, propostas, anexos, planilhas, anotações livres) e (iii) conteúdo derivado (sumários, embeddings, classificações automáticas). Finalidade: execução do Serviço — análise de editais, sumarização, geração de minutas, detecção de oportunidades. Base legal: execução de contrato (art. 7º, V) para o uso primário e legítimo interesse (art. 7º, IX) para uso agregado/anonimizado em melhoria do produto e antifraude, com DPIA pendente — Relatório de Impacto será publicado e disponibilizado ao DPO antes de qualquer reutilização para treinamento. Retenção: durante a vigência da assinatura; janela de exportação de 30 dias após cancelamento; backups residuais até 90 dias. Trânsito internacional: processado por modelos da AWS Bedrock (us-east-1) e/ou Google Gemini (EUA) — ver seção 6.

Cada tratamento se apoia em uma base legal específica da LGPD:

• Execução de contrato (art. 7º, V) — para prestação do Serviço contratado.
• Cumprimento de obrigação legal ou regulatória (art. 7º, II) — para atendimento a autoridades fiscais, tributárias e regulatórias.
• Legítimo interesse (art. 7º, IX) — para prevenção a fraudes, segurança da plataforma e melhoria do Serviço, sempre com avaliação de impacto.
• Consentimento (art. 7º, I) — para envio de comunicações de marketing opcionais e uso de cookies não essenciais, revogável a qualquer momento.

Utilizamos os dados pessoais exclusivamente para:

• criar e administrar sua conta;
• prestar o Serviço contratado, incluindo execução do OmniAgent sobre os filtros que você configurar;
• processar pagamentos e emitir documentos fiscais;
• comunicar mudanças no Serviço, avisos de segurança e resposta a solicitações de suporte;
• prevenir fraudes, abusos e violações dos Termos de Uso;
• cumprir obrigações legais, regulatórias e atender autoridades competentes;
• melhorar a qualidade do Serviço com base em métricas agregadas e anonimizadas.

Não utilizamos dados pessoais para perfilamento publicitário de terceiros nem vendemos dados a qualquer título.

Dados pessoais podem ser compartilhados, no limite estritamente necessário, com:

• Operadores contratados — provedores de infraestrutura em nuvem, processadores de pagamento, serviços de envio de e-mail transacional e observabilidade. Todos sob contrato de tratamento de dados com obrigações equivalentes às desta Política.
• Autoridades públicas — mediante ordem judicial, requisição formal fundamentada ou obrigação legal específica.
• Sucessores empresariais — em eventuais operações de fusão, aquisição ou reestruturação societária, respeitadas as finalidades originais do tratamento e os direitos dos titulares.

A infraestrutura primária do OmniBid está hospedada na AWS sa-east-1 (São Paulo, Brasil) — RDS, EC2, Secrets Manager e SSM Parameter Store. Entretanto, parte do tratamento envolve transferência internacional de dados pessoais para os Estados Unidos, formalizada nas seguintes bases legais da LGPD:

• Art. 33, II — cláusulas contratuais específicas (Data Processing Addenda e Standard Contractual Clauses) firmadas individualmente com cada operador.
• Art. 33, VIII — necessidade de execução do contrato a pedido do titular, dado que serviços técnicos contratados não possuem equivalente disponível em região brasileira na data desta versão.

Operadores e sub-operadores nominais com tratamento fora do Brasil:

• Amazon Web Services, Inc. — S3 (storage de tenant: documentos, anexos, exports), SES (e-mails transacionais), Bedrock (modelos de IA do OmniAgent, com cross-region inference) e KMS (chaves de criptografia multi-region). Localidade: EUA / us-east-1. Base: art. 33, II (AWS DPA + SCCs) e art. 33, VIII.
• Google LLC — Gemini API, modelos de IA complementares. Localidade: EUA. Base: art. 33, II (Google Cloud DPA) e art. 33, VIII.
• Stripe, Inc. — processamento de pagamento por cartão e PIX, com certificação PCI-DSS Nível 1. Localidade: EUA. Base: art. 33, II (Stripe DPA) e art. 33, VIII.
• Cloudflare, Inc. — CDN, Web Analytics e Turnstile. Localidade: EUA. Base: art. 33, II e art. 33, IX (legítimo interesse para segurança e medição agregada).

A ANPD ainda não emitiu decisão de adequação para os Estados Unidos (art. 33, I, LGPD), motivo pelo qual a base utilizada é o inciso II combinado com o inciso VIII. Os DPAs e SCCs estão disponíveis sob demanda ao DPO em /dpo.

Dados pessoais são mantidos pelo tempo necessário ao cumprimento das finalidades descritas nesta Política, observadas as obrigações legais de retenção (art. 16 da LGPD). Sintetizamos os prazos por categoria de dado:

• Conta ativa: enquanto durar a relação contratual.
• Dados cadastrais (nome, e-mail, CNPJ, cargo, telefone): mantidos durante a vigência do contrato e por 30 (trinta) dias após o encerramento, para fins de reativação, disputa e portabilidade. Findo esse período, os dados são anonimizados ou eliminados, exceto se houver obrigação legal de retenção ou processo administrativo/judicial em curso.
• Invoices, recibos e NFS-e: retidos por 5 (cinco) anos, contados do fato gerador, por obrigação fiscal e tributária (art. 174 da Lei nº 5.172/1966 — Código Tributário Nacional; art. 195 do mesmo diploma; legislação municipal do ISS do prestador). Após o prazo, podem ser anonimizados ou eliminados.
• Dados de conteúdo inseridos pelo cliente (editais favoritados, filtros de OmniAgent, propostas em rascunho, anotações, documentos carregados): mantidos durante a assinatura ativa. Após o cancelamento, disponibilizados para exportação por 30 (trinta) dias e, em seguida, excluídos de forma definitiva dos sistemas da Contratada, ressalvada cópia residual em backups com ciclo de rotação próprio (até 90 dias).
• Logs de acesso a aplicações de internet: mantidos por, no mínimo, 6 (seis) meses, nos termos do art. 15 da Lei nº 12.965/2014 (Marco Civil da Internet). Podem ser mantidos por prazo maior quando houver investigação, requisição de autoridade competente ou risco legítimo à segurança da plataforma.
• Registros de auditoria e de consentimento (LGPD): mantidos pelo prazo prescricional aplicável (até 5 anos), para demonstração de conformidade e cumprimento de obrigação legal (art. 7º, II, LGPD).

Encerrada a relação contratual, o titular pode solicitar a eliminação antecipada dos dados pessoais tratados com base em consentimento (art. 15, III, LGPD) e os demais direitos do art. 18, ressalvadas as hipóteses de guarda obrigatória previstas no art. 16 da LGPD (cumprimento de obrigação legal, estudo por órgão de pesquisa, transferência a terceiro e uso exclusivo do controlador vedado acesso de terceiro, desde que anonimizados). O procedimento para cancelamento e a política de reembolso associada estão descritos na Política de Reembolso e no Contrato de Prestação de Serviços.

Nos termos do art. 18 da LGPD, você pode, a qualquer tempo, solicitar:

• confirmação da existência de tratamento;
• acesso aos seus dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD;
• portabilidade dos dados a outro fornecedor de serviço;
• eliminação dos dados tratados com base em consentimento;
• informação sobre entidades públicas e privadas com as quais os dados foram compartilhados;
• revogação do consentimento.

As solicitações devem ser enviadas para legal@axedro.com ou pela página /dpo. SLA contratual: respondemos em até 15 (quinze) dias corridos contados do recebimento do pedido devidamente identificado, prorrogáveis por mais 15 dias mediante justificativa escrita ao titular (art. 18, §6º, LGPD). Podemos solicitar informações adicionais para confirmar sua identidade antes de atender ao pedido.

Adotamos medidas técnicas e administrativas razoáveis para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado, incluindo: criptografia em trânsito (TLS) e em repouso, controle de acesso baseado em papéis, autenticação multifator para equipes internas, registros de auditoria, testes periódicos e políticas internas de segurança da informação.

Nenhum sistema é absolutamente inviolável. Em caso de incidente de segurança com risco relevante aos titulares, a Axedro comunicará a ANPD e os titulares afetados nos prazos e termos exigidos pela LGPD.

Utilizamos cookies estritamente necessários para funcionamento do Serviço (autenticação, preferências de sessão) e ferramentas de medição para entender o uso agregado e melhorar o produto. Ferramentas não essenciais só são ativadas mediante seu consentimento, revogável a qualquer momento pelo banner de cookies ou nas configurações do navegador.

Cloudflare Web Analytics. Ferramenta privacy-first, sem uso de cookies, que coleta métricas agregadas e anonimizadas (página visitada, resolução de tela, país de origem, duração da sessão). Não identifica o visitante e não permite retargeting. Base legal: legítimo interesse para melhoria do produto (art. 7º, IX, LGPD). A ferramenta é operada pela Cloudflare, Inc., com sede nos Estados Unidos — eventual tratamento internacional segue as bases do art. 33 da LGPD.

Meta Pixel (Facebook/Instagram). Ferramenta de medição e retargeting publicitário operada pela Meta Platforms, Inc. Quando habilitada, registra a visita da página e permite à Axedro mensurar campanhas no Facebook e no Instagram e compor audiências semelhantes. O Meta Pixel somente é carregado após consentimento explícito do usuário pelo banner de cookies — sem consentimento, nenhum script da Meta é executado nem informação é enviada. Base legal: consentimento (art. 7º, I, LGPD). Os dados são tratados pela Meta Platforms, Inc. nos Estados Unidos, sob as bases do art. 33 da LGPD. Você pode revogar o consentimento a qualquer momento pelo banner, hipótese em que novos carregamentos cessam imediatamente.

Cloudflare Turnstile. Sistema antibot utilizado no formulário de contato, operado pela Cloudflare, Inc. Processa sinais técnicos do navegador para validar que a submissão não é automatizada. Não identifica o visitante, não cria perfil publicitário e não utiliza cookies persistentes. Base legal: legítimo interesse para prevenção a abuso (art. 7º, IX, LGPD).

A lista de ferramentas de medição ativas pode mudar no tempo. Quando incluirmos uma nova ferramenta com impacto material em privacidade, atualizaremos esta Política com 30 dias de antecedência.

O Omnibid é um produto corporativo destinado a maiores de 18 anos. Não tratamos conscientemente dados pessoais de crianças ou adolescentes. Caso identifiquemos cadastro indevido nessa faixa, a conta será excluída e os dados associados, eliminados.

Esta Política pode ser atualizada a qualquer tempo para refletir mudanças legais, regulatórias ou operacionais. Alterações materiais serão comunicadas por e-mail e exibidas no próprio produto com pelo menos 30 dias de antecedência da vigência. A versão histórica das revisões fica arquivada e pode ser solicitada ao DPO.

Dúvidas, solicitações de direitos do titular ou reclamações sobre tratamento de dados podem ser enviadas para legal@axedro.com ou pela página pública do Encarregado em omnibid.com.br/dpo. O Encarregado (DPO) atualmente designado: Tiago de Sousa Moscoski (Axedro Tecnologia LTDA, CNPJ 63.544.325/0001-55, R. Medina P. Bento, 52, Jundiaí/SP, CEP 13203-527). O titular também pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD), órgão competente para fiscalização da LGPD.