Politica de Privacidade

1. Quem somos

A Oohrus e uma plataforma brasileira de mídia OOH (Out of Home) que opera em três verticais: TV corporativa (digital signage), marketplace de espacos publicitarios fisicos e live commerce. Atuamos como controladora dos dados que você nos fornece ao criar uma conta, contratar um plano ou reservar um espaco.

2. Dados que coletamos

Coletamos apenas o mínimo necessário para operar a plataforma:

• Cadastro: nome, e-mail, telefone, senha (armazenada com hash bcrypt), documento (CPF/CNPJ) quando necessário para faturamento.
• Uso da plataforma: páginas visitadas, ações executadas (criacao de campanhas, uploads de mídia, reservas), endereço IP, agente do navegador, data e hora.
• Pagamento: processado integralmente pelo nosso gateway (MercadoPago). Não armazenamos número de cartão em nossos servidores.
• Mídia enviada: arquivos de imagem e vídeo que você carrega para exibição, armazenados em storage privado por tenant.
• Mensagens de contato e tickets: conteúdo das mensagens que você nos envia via formulario de contato ou abertura de ticket de suporte.

3. Por que coletamos

Usamos seus dados exclusivamente para: autenticar você na plataforma, prestar os servicos contratados, emitir notas fiscais e documentos legais, prevenir fraudes, melhorar a experiência com base em uso agregado, e cumprir obrigacoes legais (como retencao fiscal).

Não vendemos, não alugamos e não compartilhamos seus dados para fins de marketing de terceiros.

4. Com quem compartilhamos

Compartilhamos dados apenas com provedores essenciais a operação, sob clausulas contratuais de confidencialidade:

• MercadoPago: processamento de pagamentos.
• Provedor de e-mail transacional: envio de notificações, confirmacoes e recuperacao de senha.
• Servidor de hospedagem: infraestrutura em nuvem dentro do territorio brasileiro sempre que tecnicamente viavel.
• Autoridades públicas: apenas mediante ordem judicial ou requisicao formal legalmente amparada.

5. Retencao de dados

Mantemos seus dados pelo prazo de vigencia do contrato e por até 5 (cinco) anos após o encerramento, conforme obrigacoes fiscais e civis brasileiras. Após esse período, os dados são anonimizados ou excluidos em definitivo.

6. Seguranca

Aplicamos medidas tecnicas e administrativas razoaveis para proteger seus dados: conexao HTTPS em todas as páginas, senhas armazenadas com hash forte (bcrypt), controle de acesso por papel (RBAC), registro de atividades sensiveis (activity log), backups periodicos e separacao logica por tenant (isolamento por organizacao).

Autenticacao em dois fatores (2FA): oferecemos 2FA opcional via aplicativo autenticador (TOTP: Google Authenticator, Authy, 1Password). Quando você ativa, o segredo compartilhado e os códigos de recuperacao ficam criptografados no banco com a chave da aplicacao. Esses segredos não são incluidos no export de dados LGPD — apenas flags de status (ativo/inativo e data de confirmacao). Após 5 tentativas invalidas consecutivas, o challenge de 2FA e bloqueado temporariamente por 15 minutos.

Boas práticas recomendadas: use senha única e forte, habilite 2FA na sua conta, guarde os códigos de recuperacao em local seguro (gerenciador de senhas ou cofre físico) e revise periodicamente as atividades na sua conta.

7. Seus direitos como titular (LGPD)

Você tem direito a:

• Confirmar a existencia de tratamento dos seus dados (Art. 18 I).
• Acessar os dados que possuimos sobre você (Art. 18 II) — disponível como export JSON self-service na area logada.
• Corrigir dados incompletos, inexatos ou desatualizados (Art. 18 III).
• Solicitar anonimizacao, bloqueio ou eliminacao de dados desnecessarios (Art. 18 IV).
• Solicitar portabilidade para outro servico (Art. 18 V).
• Solicitar a eliminacao dos dados tratados com consentimento (Art. 18 VI) — disponível como exclusão de conta na area logada.
• Revogar consentimento a qualquer momento.
• Ser informado sobre compartilhamento com terceiros.

Ações self-service (usuário logado): você pode baixar uma copia dos seus dados em /profile/export-data e solicitar exclusão da conta diretamente no seu perfil. Após o pedido de exclusão, seus dados permanecem em retencao por 90 dias (para recuperacao acidental) e depois são removidos permanentemente por rotina automatica.

Para as demais solicitacoes ou casos que exijam atendimento individual, envie um e-mail para [email protected] com o assunto "LGPD - Titular de dados". Responderemos em até 15 dias.

8. Cookies

Usamos cookies tecnicos essenciais (sessao, autenticacao, preferência de tema) e, opcionalmente, cookies analiticos para entender o uso agregado da plataforma. Você pode bloquear cookies no seu navegador, mas isso pode afetar o funcionamento do login.

9. Criancas e adolescentes

A plataforma e destinada a maiores de 18 anos ou pessoas juridicas representadas por maiores de idade. Não coletamos intencionalmente dados de criancas.

10. Alteracoes nesta política

Podemos atualizar este documento para refletir mudancas legais, tecnicas ou de processo. Quando houver alteracao relevante, avisaremos no painel logado e por e-mail. A data de última atualizacao aparece no topo desta página.

11. Encarregado de Dados (DPO) e contato

Para duvidas, solicitacoes LGPD ou incidentes de segurança, fale conosco: