Política de Privacidade — Otto
Versão: 2026-05-06
Esta Política de Privacidade descreve como a Otto Tecnologia LTDA ("Otto") coleta, utiliza, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e o Marco Civil da Internet (Lei nº 12.965/2014).
1. Dados coletados
1.1. Do Cliente (pessoa jurídica e seus administradores)
- Dados de identificação: razão social, nome fantasia, CNPJ, endereço fiscal.
- Dados de contato: e-mail, telefone.
- Dados de pagamento: processados pelo Asaas; a Otto não armazena números de cartão.
- Dados de acesso: e-mails, hashes de senha (argon2), IPs de login, user-agent.
1.2. Dos atendentes
- Nome, e-mail corporativo, função (admin/atendente), métricas de desempenho.
1.3. Dos compradores ("buyers") capturados via marketplaces
- Apelido (nickname) público.
- Texto da pergunta enviada no marketplace.
- Identificadores internos do marketplace (não pessoais).
A Otto não coleta CPF, e-mail nem telefone dos compradores.
2. Bases legais
| Finalidade | Base legal LGPD (art. 7º) |
|---|---|
| Execução do contrato (login, atendimento, cobrança) | I - execução de contrato |
| Emissão de NFS-e e cumprimento fiscal | II - cumprimento de obrigação legal |
| Prevenção a fraudes, segurança da plataforma | IX - legítimo interesse |
| Comunicações de produto e atualizações operacionais | IX - legítimo interesse |
| Marketing e novidades opcionais | I - consentimento do titular |
3. Compartilhamento
A Otto compartilha dados estritamente com operadores necessários:
- Asaas — processamento de pagamentos e emissão de NFS-e.
- Provedores de infraestrutura — Fly.io (hosting), Vercel (web), Neon (Postgres), Upstash (Redis), Sentry (monitoramento).
- APIs públicas dos marketplaces — Mercado Livre, Shopee, Amazon, mediante autorização OAuth do Cliente.
A Otto não vende, aluga ou comercializa dados pessoais.
4. Armazenamento e retenção
Os dados são armazenados em servidores localizados no Brasil ou em jurisdições com nível adequado de proteção. Retenção:
- Conta ativa: enquanto durar a relação contratual.
- Pós-cancelamento: até 5 anos para fins fiscais e de auditoria, conforme legislação aplicável.
- Logs de segurança: até 6 meses.
5. Direitos do titular
O titular dos dados pode, a qualquer tempo:
- Confirmar a existência de tratamento.
- Acessar, corrigir, atualizar ou solicitar a portabilidade dos dados.
- Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários.
- Revogar consentimento.
Solicitações devem ser enviadas para dpo@otto.app.br, sendo respondidas em até 15 dias.
6. Encarregado de Dados (DPO)
E-mail: dpo@otto.app.br
Endereço para correspondência: a definir, conforme registro do CNPJ da Otto.
7. Segurança
- Tráfego sempre via HTTPS/TLS 1.2+.
- Senhas armazenadas como hash argon2id.
- Tokens OAuth de marketplaces criptografados em repouso (AES-256-GCM).
- Isolamento por tenantId em todas as queries (RLS lógica).
- Backups diários cifrados.
Em caso de incidente de segurança que represente risco aos titulares, a ANPD e os afetados serão notificados em até 72 horas, conforme art. 48 da LGPD.
8. Cookies
Utilizamos cookies estritamente necessários (sessão, CSRF) e analíticos opcionais. Detalhes na Política de Cookies.
9. Atualizações
Esta política pode ser atualizada periodicamente. Alterações materiais serão comunicadas por e-mail com 30 dias de antecedência.
Última atualização: 2026-05-06.