info

Este documento é um modelo inicial e deve ser revisado por advogado antes de uso comercial.

Legal

Política de Privacidade

Última atualização: 5 de junho de 2026

Em poucas palavras

A OtterAsset coleta apenas o necessário para operar sua conta, processar a cobrança e proteger a plataforma contra abuso. Não vendemos seus dados. Você pode acessar, corrigir, exportar e apagar suas informações a qualquer momento escrevendo para contato@otterasset.com.br.

1. Introdução

A OtterAsset é uma plataforma SaaS de gestão de ativos de TI operada pela OtterAsset Tecnologia (“OtterAsset”, “nós”). Esta Política descreve como tratamos dados pessoais de visitantes do site, assinantes e usuários finais do produto, em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018), o Regulamento Geral de Proteção de Dados europeu (GDPR) e o California Consumer Privacy Act (CCPA), quando aplicáveis.

Ao usar nossos sites (otterasset.com, otterasset.com.br e subdomínios), nosso fluxo de assinatura ou o aplicativo OtterAsset, você concorda com as práticas descritas aqui.

2. Dados que coletamos

Coletamos apenas o necessário para operar a plataforma e cumprir obrigações legais. Os dados ficam organizados em quatro categorias:

  • Conta: nome, e-mail, telefone, empresa e função. O e-mail e o hash da senha são armazenados via Firebase Authentication.
  • Uso do produto: registros de ativos, empresas, locais, anexos e eventos de auditoria gerados por você no Firestore.
  • Pagamento: identificadores de cliente e assinatura no Stripe, valores, moeda e status. Nunca armazenamos número de cartão (PAN), CVV ou tarja magnética — esses dados ficam exclusivamente no Stripe.
  • Técnicos: endereço IP, user-agent, idioma, identificadores anônimos do App Check e sinais de dispositivo do reCAPTCHA Enterprise, usados para prevenir abuso.

3. Como usamos os dados

  • Provisionar, autenticar e operar sua conta e o subdomínio do seu workspace.
  • Processar pagamentos e gerir o trial gratuito de 7 dias e a renovação de assinaturas.
  • Enviar comunicações transacionais (recibos, alertas de segurança, mudanças de plano) e, com seu consentimento, novidades de produto.
  • Detectar fraude, abuso e bots, principalmente via App Check e reCAPTCHA Enterprise.
  • Melhorar a plataforma com métricas agregadas e anonimizadas de uso.
  • Cumprir obrigações fiscais, regulatórias e responder a autoridades competentes.

4. Bases legais

Tratamos dados pessoais apenas com base em hipóteses legais previstas em lei:

  • LGPD art. 7º — execução de contrato (II), cumprimento de obrigação legal (II), legítimo interesse (IX) para segurança e prevenção a fraude, e consentimento (I) para comunicações de marketing.
  • GDPR art. 6 — performance of contract (1.b), legal obligation (1.c), legitimate interests (1.f) e consent (1.a).
  • CCPA — tratamos dados como “business purpose”; não vendemos informações pessoais conforme definição da lei californiana.

5. Compartilhamento com subprocessadores

Para entregar o serviço, contamos com fornecedores que atuam como operadores/processadores em nosso nome. Eles tratam dados conforme nossas instruções e mediante contrato com obrigações de proteção e confidencialidade.

Fornecedor Finalidade Localização
Google Firebase (Auth, Firestore, Hosting, Functions)Autenticação, armazenamento, hospedagem e backendEUA / UE
StripeProcessamento de pagamentos e gestão de assinaturasEUA / UE
Google reCAPTCHA EnterprisePrevenção de abuso e fraudeEUA
Firebase App CheckAtestação de origem das requisiçõesEUA
SendGrid / MailgunEnvio de e-mails transacionais (quando aplicável)EUA

A lista pode ser atualizada; mudanças relevantes serão anunciadas com antecedência razoável.

6. Transferências internacionais

Parte dos nossos subprocessadores armazena ou processa dados fora do Brasil. Quando isso ocorre, adotamos salvaguardas adequadas previstas na LGPD (art. 33) e no GDPR (capítulo V), incluindo Cláusulas Contratuais Padrão e decisões de adequação aplicáveis.

7. Retenção de dados

  • Dados de conta: enquanto a assinatura estiver ativa e por até 5 anos após o cancelamento, para cumprir obrigações fiscais e contábeis.
  • Dados de pagamento (Stripe): conforme regras do PCI-DSS e da legislação financeira aplicável.
  • Logs técnicos e de segurança: até 12 meses, salvo se necessário para investigação de incidentes.
  • Após o prazo, dados são apagados ou anonimizados de forma irreversível.

8. Segurança

Adotamos controles técnicos e organizacionais para proteger seus dados:

  • Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256 na infraestrutura Google Cloud / Firebase).
  • Senhas armazenadas apenas como hash via Firebase Authentication; nunca em texto claro.
  • Firebase App Check e reCAPTCHA Enterprise para bloquear bots e clientes não atestados.
  • Autenticação multifator (MFA) opcional para administradores.
  • Princípio do menor privilégio, revisões periódicas de acesso e trilhas de auditoria.

Nenhum sistema é 100% imune. Em caso de incidente que represente risco relevante, notificaremos os titulares e a ANPD nos prazos exigidos pela LGPD.

9. Direitos do titular

Você tem direito a:

  • Confirmar a existência de tratamento e obter acesso aos seus dados.
  • Corrigir dados incompletos, inexatos ou desatualizados.
  • Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade.
  • Solicitar portabilidade dos dados a outro fornecedor.
  • Revogar consentimento e se opor a tratamentos baseados em legítimo interesse.
  • Apresentar reclamação à ANPD (Brasil) ou à autoridade de proteção de dados aplicável.

Para exercer qualquer direito, escreva para contato@otterasset.com.br. Respondemos em até 15 dias.

10. LGPD — Encarregado (DPO) e canal oficial

Nos termos do art. 41 da LGPD, indicamos um Encarregado pelo Tratamento de Dados Pessoais (DPO) responsável por receber comunicações de titulares e da ANPD.

11. Política de cookies

Usamos um conjunto mínimo de cookies e armazenamento local. Não usamos cookies de publicidade comportamental.

  • Essenciais: sessão de autenticação do Firebase, tokens do App Check e do reCAPTCHA Enterprise. Sem eles, o serviço não funciona.
  • Preferências: chave oa-lang em localStorage para lembrar seu idioma (PT, EN, ES) e oa-lang-source para registrar se a escolha foi manual.
  • Analíticos: métricas agregadas e anônimas para entender desempenho do site; não cruzamos esses dados com sua identidade.

Você pode limpar cookies e localStorage no seu navegador a qualquer momento; isso desconectará sua sessão e redefinirá as preferências de idioma.

12. Crianças

A OtterAsset é destinada a profissionais e empresas. Não coletamos intencionalmente dados de crianças ou adolescentes. Se identificarmos cadastros indevidos, removeremos as informações associadas.

13. Alterações nesta política

Podemos atualizar este documento para refletir mudanças legais, técnicas ou de produto. A data de “Última atualização” no topo indica a versão vigente. Mudanças relevantes serão comunicadas por e-mail ou aviso no aplicativo com antecedência razoável.

14. Contato

Dúvidas, solicitações de titular ou denúncias relacionadas a privacidade podem ser enviadas para contato@otterasset.com.br.