Política de Privacidade
Rua Exemplo, 123 — Cidade/UF
Encarregado de Dados (DPO): dpo@imobip.com.br
Última atualização: 2026-05-14
Resumo: O Imobip é um SaaS B2B de automação de Instagram/Facebook para imobiliárias. Tratamos seus dados pessoais e os tokens das suas contas Meta apenas pelo tempo e na medida estritamente necessários pra publicar posts nas suas contas. Você pode pedir cópia, correção ou deleção a qualquer momento por suporte@imobip.com.br.
1. Quem somos (Controlador)
Imobip, empresa brasileira de tecnologia para imobiliárias.
Endereço de contato e exercício de direitos:
suporte@imobip.com.br (Encarregado de Dados — DPO).
Resposta em até 15 dias úteis, conforme LGPD Art. 19.
2. Que dados pessoais coletamos e por quê
| Dado | Origem | Finalidade | Base legal (LGPD) |
|---|---|---|---|
| Email, nome, nome da imobiliária, CRECI, WhatsApp | Você no signup/onboarding | Identificação da conta, comunicação operacional | Execução de contrato (Art. 7º, V) |
| Senha (hash + salt) | Auth0 (não passa pelos nossos servidores) | Autenticação | Execução de contrato |
| Token de acesso Meta (criptografado AES-256) | Fluxo OAuth com Facebook | Publicar posts nas suas contas Instagram/Facebook | Execução de contrato |
| Dados dos imóveis (XML do CRM ou cadastro manual) | Seu CRM via feed VRSync, ou input manual | Geração de criativos e legendas | Execução de contrato |
| Histórico de publicações + métricas de engajamento | API da Meta após publicação | Dashboard, relatórios, ranking dos seus posts | Execução de contrato |
| Dados de pagamento | Stripe (não armazenamos número de cartão) | Cobrança recorrente | Execução de contrato |
| IP, user-agent, logs de acesso | Coleta automática no servidor | Segurança, auditoria, prevenção a fraude | Legítimo interesse (Art. 7º, IX) |
| Conteúdo enviado pra IA (texto do imóvel, fotos selecionadas) | Você ao clicar em ações de IA (legenda, story, reescrita, melhorar foto) | Geração de criativos, melhoria de qualidade de imagem | Execução de contrato |
| Chave de API BYOK (criptografada AES-128) | Você ao plugar uma chave OpenAI/Anthropic/Google | Roteamento das chamadas de IA pelo provedor escolhido | Execução de contrato + Consentimento (Art. 7º, I) |
| Histórico de uso de IA (ação, provider, modelo, custo, sucesso/falha) | Coleta automática a cada chamada de IA | Auditoria de créditos, debug, billing | Execução de contrato |
3. Dados específicos da Meta (Facebook e Instagram)
Quando você conecta sua conta Meta, recebemos da Graph API:
- ID da Página do Facebook que você administra
- ID da conta Instagram Business conectada
- Seu Facebook user ID (apenas para localizar dados em pedidos de exclusão — nunca usado em outras finalidades)
- Token de acesso da Página (long-lived, validade 60 dias) — guardado criptografado no banco
- Métricas dos posts publicados por você através do Imobip (alcance, curtidas, comentários — só dos seus próprios posts)
Não coletamos: mensagens diretas (DMs), lista de seguidores, comentários de terceiros, posts antigos que não foram criados pelo Imobip, dados de outras Pages do seu Business Manager, histórico de navegação.
Detalhes específicos sobre dados Meta, retenção e deleção: Política de Dados da Meta (página dedicada).
4. Subprocessadores
Operadores que tratam dados sob nossas instruções:
- Stripe (EUA) — pagamento, PCI-DSS Level 1
- Auth0 / Okta (EUA/EU) — autenticação e gestão de usuários
- Meta Platforms (EUA) — publicação no Instagram/Facebook
- Postmark (EUA) — entrega de email transacional
- Hostinger (Brasil) — hospedagem (servidores no território nacional)
- Cloudflare (EUA) — proteção DDoS, CAPTCHA Turnstile
- OpenRouter, Google (Gemini), OpenAI, Anthropic — geração de legendas, criativos de story, reescritas e melhoria de fotos. Recebem apenas o conteúdo necessário pra cada ação (título do imóvel, bairro, preço, características, fotos selecionadas pelo usuário). Nunca enviamos contatos pessoais, dados financeiros, tokens da Meta ou histórico do usuário. Chamadas via BYOK vão direto pra chave do tenant — Imobip apenas roteia, sem armazenar conteúdo
- Sentry (EUA) — observabilidade de erros, sem PII por padrão
Transferências internacionais (EUA, EU) seguem cláusulas contratuais padrão conforme LGPD Art. 33-V.
4.A. Inteligência Artificial e BYOK
O Imobip oferece recursos de IA disparados manualmente pelo usuário (nunca automaticamente). Sobre o tratamento de dados nesse fluxo:
- Pool padrão (créditos do plano): chamadas vão pra OpenRouter (modelo gratuito), Google Gemini (texto) ou Google Gemini (imagem) com cascata de fallback. Esses provedores podem reter dados conforme suas próprias políticas — recomendamos não inserir informação pessoal sensível no campo "instrução de reescrita"
- BYOK (chave própria): você plugar uma chave OpenAI/Anthropic/Google em Configurações → IA. Quando ativa, as chamadas vão direto pra sua conta no provedor. O Imobip não armazena o conteúdo trocado nessas chamadas — apenas registra metadados (qual ação, qual provider/modelo, sucesso/falha) pra auditoria de créditos. A chave fica criptografada (AES-128) no banco; equipe Imobip não tem acesso ao texto-claro
- Conteúdo gerado: textos e imagens produzidos pela IA pertencem a você. O Imobip não reivindica direitos sobre esse conteúdo. Você é responsável editorial — revise antes de publicar
- Imagens enviadas pra "Melhorar foto": a foto cortada (1:1 feed, 9:16 story) é enviada pro provedor de IA escolhido. Salvamos a versão melhorada no nosso storage (mesma retenção das demais fotos de posts). Você pode descartar e usar a original — o crédito gasto não é reembolsável
- Hashtags trending: rodamos 1× por dia uma chamada global de IA (sem dados de tenant) pra gerar 7 hashtags em alta de mercado imobiliário BR. Esse resultado é compartilhado entre todos os tenants e não envolve dados pessoais
5. Retenção
- Dados da conta: enquanto a assinatura estiver ativa + 30 dias após cancelamento (período pra exportação).
- Tokens Meta: até você desconectar (Configurações → Conexões), cancelar a assinatura ou solicitar deleção.
- Imagens dos posts já publicados no Instagram: 90 dias no nosso storage (depois Meta CDN serve direto, podemos apagar).
- Logs de auditoria (acessos, ações administrativas): 12 meses.
- Dados financeiros (notas, faturas Stripe): 5 anos (exigência fiscal, Receita Federal).
6. Seus direitos (LGPD Art. 18)
Independentemente da base legal, você tem direito a, gratuitamente:
- Confirmar que tratamos seus dados
- Acessar / receber cópia dos dados
- Corrigir dados incompletos, inexatos ou desatualizados
- Solicitar anonimização, bloqueio ou eliminação de dados desnecessários
- Portabilidade pra outro fornecedor (formato estruturado)
- Eliminar dados tratados com seu consentimento
- Saber com quem compartilhamos seus dados (esta política responde)
- Revogar consentimento a qualquer momento
- Opor-se a tratamento que viole a LGPD
Como exercer:
email pra suporte@imobip.com.br
com seu pedido. Respondemos em até 15 dias.
Você também pode reclamar à
ANPD
(autoridade nacional).
7. Como deletar seus dados
Três caminhos, todos efetivos:
- Pelo Facebook: facebook.com/settings → "Apps and Websites" → remova "Imobip". Recebemos o callback automaticamente e iniciamos a deleção. Você verá um código de confirmação na tela de status.
- Pelo painel Imobip: Configurações → Conexões → "Desconectar". Apaga tokens e identificadores Meta imediatamente.
- Por email: suporte@imobip.com.br com assunto "Excluir minha conta". Confirmamos e processamos em até 15 dias.
Detalhes técnicos: Política de Dados Meta — seção Deleção.
8. Segurança
Implementamos controles técnicos e organizacionais:
- TLS 1.2+ em todas as conexões (HTTPS obrigatório, HSTS)
- Tokens Meta e dados sensíveis criptografados em repouso (AES-256)
- Postgres com Row-Level Security (cada tenant só vê os próprios dados)
- Rate limiting, CSRF tokens, Content Security Policy estrita
- MFA disponível via Auth0
- Backups diários criptografados, retenção 30 dias
- Acesso interno só de pessoal autorizado, com auditoria
Em caso de incidente que possa afetar você, notificamos em até 48 horas e à ANPD conforme Art. 48 LGPD.
9. Cookies
Usamos apenas cookies estritamente necessários:
- Sessão de login (Flask session, HttpOnly, Secure, SameSite=Lax)
- CSRF token (proteção contra ataques)
- Preferência de tema (light/dark)
Não usamos Google Analytics, Facebook Pixel ou qualquer cookie de tracking sem consentimento explícito (banner).
10. Crianças e adolescentes
O Imobip é serviço B2B para profissionais imobiliários. Não direcionado nem usado por menores de 18 anos. Se identificarmos dados de menor sem consentimento dos responsáveis, deletamos imediatamente.
11. Mudanças nesta política
Atualizações relevantes são comunicadas por email com 30 dias de antecedência e publicadas aqui. A data no topo deste documento sempre indica a versão atual.
12. Contato
Encarregado de Dados (DPO):
suporte@imobip.com.br
Suporte geral:
suporte@imobip.com.br