Política de Privacidade
Resumo: O Imobip é um SaaS B2B de automação de Instagram/Facebook para imobiliárias. Tratamos seus dados pessoais e os tokens das suas contas Meta apenas pelo tempo e na medida estritamente necessários pra publicar posts nas suas contas. Você pode pedir cópia, correção ou deleção a qualquer momento por dpo@imobip.com.br.
1. Quem somos (Controlador)
Imobip, empresa brasileira de tecnologia para imobiliárias.
Endereço de contato e exercício de direitos:
dpo@imobip.com.br (Encarregado de Dados — DPO).
Resposta em até 15 dias úteis, conforme LGPD Art. 19.
2. Que dados pessoais coletamos e por quê
| Dado | Origem | Finalidade | Base legal (LGPD) |
|---|---|---|---|
| Email, nome, nome da imobiliária, CRECI, WhatsApp | Você no signup/onboarding | Identificação da conta, comunicação operacional | Execução de contrato (Art. 7º, V) |
| Senha (hash + salt) | Auth0 (não passa pelos nossos servidores) | Autenticação | Execução de contrato |
| Token de acesso Meta (criptografado AES-256) | Fluxo OAuth com Facebook | Publicar posts nas suas contas Instagram/Facebook | Execução de contrato |
| Dados dos imóveis (XML do CRM ou cadastro manual) | Seu CRM via feed VRSync, ou input manual | Geração de criativos e legendas | Execução de contrato |
| Histórico de publicações + métricas de engajamento | API da Meta após publicação | Dashboard, relatórios, ranking dos seus posts | Execução de contrato |
| Dados de pagamento | Stripe (não armazenamos número de cartão) | Cobrança recorrente | Execução de contrato |
| IP, user-agent, logs de acesso | Coleta automática no servidor | Segurança, auditoria, prevenção a fraude | Legítimo interesse (Art. 7º, IX) |
3. Dados específicos da Meta (Facebook e Instagram)
Quando você conecta sua conta Meta, recebemos da Graph API:
- ID da Página do Facebook que você administra
- ID da conta Instagram Business conectada
- Seu Facebook user ID (apenas para localizar dados em pedidos de exclusão — nunca usado em outras finalidades)
- Token de acesso da Página (long-lived, validade 60 dias) — guardado criptografado no banco
- Métricas dos posts publicados por você através do Imobip (alcance, curtidas, comentários — só dos seus próprios posts)
Não coletamos: mensagens diretas (DMs), lista de seguidores, comentários de terceiros, posts antigos que não foram criados pelo Imobip, dados de outras Pages do seu Business Manager, histórico de navegação.
Detalhes específicos sobre dados Meta, retenção e deleção: Política de Dados da Meta (página dedicada).
4. Subprocessadores
Operadores que tratam dados sob nossas instruções:
- Stripe (EUA) — pagamento, PCI-DSS Level 1
- Auth0 / Okta (EUA/EU) — autenticação e gestão de usuários
- Meta Platforms (EUA) — publicação no Instagram/Facebook
- Postmark (EUA) — entrega de email transacional
- Hostinger (Brasil) — hospedagem (servidores no território nacional)
- Cloudflare (EUA) — proteção DDoS, CAPTCHA Turnstile
- OpenRouter / Google Gemini — geração de legendas (recebem apenas título, bairro, preço — nunca contatos pessoais)
- Sentry (EUA) — observabilidade de erros, sem PII por padrão
Transferências internacionais (EUA, EU) seguem cláusulas contratuais padrão conforme LGPD Art. 33-V.
5. Retenção
- Dados da conta: enquanto a assinatura estiver ativa + 30 dias após cancelamento (período pra exportação).
- Tokens Meta: até você desconectar (Configurações → Conexões), cancelar a assinatura ou solicitar deleção.
- Imagens dos posts já publicados no Instagram: 90 dias no nosso storage (depois Meta CDN serve direto, podemos apagar).
- Logs de auditoria (acessos, ações administrativas): 12 meses.
- Dados financeiros (notas, faturas Stripe): 5 anos (exigência fiscal, Receita Federal).
6. Seus direitos (LGPD Art. 18)
Independentemente da base legal, você tem direito a, gratuitamente:
- Confirmar que tratamos seus dados
- Acessar / receber cópia dos dados
- Corrigir dados incompletos, inexatos ou desatualizados
- Solicitar anonimização, bloqueio ou eliminação de dados desnecessários
- Portabilidade pra outro fornecedor (formato estruturado)
- Eliminar dados tratados com seu consentimento
- Saber com quem compartilhamos seus dados (esta política responde)
- Revogar consentimento a qualquer momento
- Opor-se a tratamento que viole a LGPD
Como exercer:
email pra dpo@imobip.com.br
com seu pedido. Respondemos em até 15 dias.
Você também pode reclamar à
ANPD
(autoridade nacional).
7. Como deletar seus dados
Três caminhos, todos efetivos:
- Pelo Facebook: facebook.com/settings → "Apps and Websites" → remova "Imobip". Recebemos o callback automaticamente e iniciamos a deleção. Você verá um código de confirmação na tela de status.
- Pelo painel Imobip: Configurações → Conexões → "Desconectar". Apaga tokens e identificadores Meta imediatamente.
- Por email: dpo@imobip.com.br com assunto "Excluir minha conta". Confirmamos e processamos em até 15 dias.
Detalhes técnicos: Política de Dados Meta — seção Deleção.
8. Segurança
Implementamos controles técnicos e organizacionais:
- TLS 1.2+ em todas as conexões (HTTPS obrigatório, HSTS)
- Tokens Meta e dados sensíveis criptografados em repouso (AES-256)
- Postgres com Row-Level Security (cada tenant só vê os próprios dados)
- Rate limiting, CSRF tokens, Content Security Policy estrita
- MFA disponível via Auth0
- Backups diários criptografados, retenção 30 dias
- Acesso interno só de pessoal autorizado, com auditoria
Em caso de incidente que possa afetar você, notificamos em até 48 horas e à ANPD conforme Art. 48 LGPD.
9. Cookies
Usamos apenas cookies estritamente necessários:
- Sessão de login (Flask session, HttpOnly, Secure, SameSite=Lax)
- CSRF token (proteção contra ataques)
- Preferência de tema (light/dark)
Não usamos Google Analytics, Facebook Pixel ou qualquer cookie de tracking sem consentimento explícito (banner).
10. Crianças e adolescentes
O Imobip é serviço B2B para profissionais imobiliários. Não direcionado nem usado por menores de 18 anos. Se identificarmos dados de menor sem consentimento dos responsáveis, deletamos imediatamente.
11. Mudanças nesta política
Atualizações relevantes são comunicadas por email com 30 dias de antecedência e publicadas aqui. A data no topo deste documento sempre indica a versão atual.
12. Contato
Encarregado de Dados (DPO):
dpo@imobip.com.br
Suporte geral:
contato@imobip.com.br