Política de Privacidade
Versão 2026-05-15.2 · vigente a partir de 15 de maio de 2026.
Este documento descreve como a Origem Terra trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018). Aplica-se ao site público https://origemterra.com e ao painel administrativo https://app.origemterra.com. Leitura recomendada antes de cadastrar dados em qualquer formulário.
1. Identificação do controlador
BFG1 LTDA, inscrita no CNPJ sob o nº 55.816.368/0001-14, nome fantasia Origem Terra, com sede registrada em Rua Piauí, 914, Caixa Postal 271, Bairro dos Estados, João Pessoa-PB, CEP 58030-331, Brasil. Canal institucional: contato@origemterra.com.
2. Encarregado pelo Tratamento de Dados (DPO)
Bruno Gabarrus — Encarregado pelo Tratamento de Dados Pessoais (DPO). Canal direto e único para exercer direitos do titular ou comunicar qualquer questão de privacidade: contato@origemterra.com. Prazo de resposta: até 15 dias.
3. Dados pessoais que tratamos
Em função das finalidades descritas na seção 4, podemos tratar as seguintes categorias de dados:
- Identificação: nome, CPF, CNPJ (quando pessoa jurídica ou seu representante), CRECI (para corretores), foto de perfil (quando login Google).
- Contato: e-mail, telefone, WhatsApp.
- Navegação e dispositivo: endereço IP, user-agent, fingerprint do dispositivo (em fluxos de aceite de NDA), geolocalização aproximada por IP (cidade/região), cookie de sessão.
- Patrimoniais (quando proprietário cadastra área): número de matrícula, valor pretendido, polígono georreferenciado (KMZ), endereço e coordenadas da área.
- Preferências e perfil: respostas no quiz de qualificação, tipo de interesse (compra, permuta, venda), porte de empreendimento.
- Vínculos profissionais: empresa de origem, posicionamento na empresa.
Não tratamos intencionalmente dados pessoais sensíveis (origem racial, opinião política, religião, saúde, vida sexual, biometria), nem dados de crianças e adolescentes (seção 12).
4. Finalidades e bases legais (LGPD Art. 7º)
| Finalidade | Base legal |
|---|---|
| Captação de leads pelo formulário público da home (quiz) | Art. 7º I — Consentimento do titular |
| Cadastro de proprietário, área e contratos comerciais | Art. 7º V — Execução de contrato ou procedimentos preliminares |
| Aceite de NDA digital com prova criptográfica | Art. 7º V — Execução de contrato ou procedimentos preliminares |
| Autenticação de administradores via Google OAuth | Art. 7º V — Execução de contrato ou procedimentos preliminares |
| Logs de auditoria, segurança, anti-fraude e detecção de anomalias | Art. 7º IX — Legítimo interesse do controlador |
| Coleta de anúncios públicos de imóveis (web scraping) para análise agregada de mercado | Art. 7º IX — Legítimo interesse do controlador |
| Cumprimento de obrigações fiscais e contábeis | Art. 7º II — Cumprimento de obrigação legal |
| Defesa em processos administrativos ou judiciais | Art. 7º VI — Exercício regular de direitos em processo |
5. Como coletamos
- Formulários públicos: quiz de captação em https://origemterra.com, NDA digital, formulário de solicitação LGPD.
- Login OAuth: Google (escopos mínimos: openid, e-mail, perfil).
- Cadastro interno: administradores e corretores cadastram proprietários, áreas, empresas e contatos comerciais no painel administrativo.
- Coleta automatizada (scraping): apenas dados de produto (tipo, m², preço, URL) de anúncios públicos em portais imobiliários. Não coletamos dados pessoais nesse fluxo. Documentação detalhada na avaliação de legítimo interesse (LIA — seção 14).
- Cookies essenciais: exclusivamente para autenticação, CSRF e callback OAuth. Sem trackers analíticos ou de marketing (seção 11).
6. Compartilhamento com operadores (sub-processadores)
Algumas finalidades dependem de operadores terceiros que processam dados sob nossas instruções. Lista atual:
| Operador | Jurisdição | Finalidade |
|---|---|---|
| Anthropic | US | Geração de laudos de previabilidade e landing pages (IA generativa). PII de proprietário é sanitizada antes do envio. |
| Resend | US | Envio de e-mails transacionais (OTP, notificações de NDA, alertas). |
| Zoho Mail | US/EU | Leitura e envio de e-mails por administradores via OAuth (caixa contato@origemterra.com). Cabeçalhos e corpo de mensagens transitam pelos servidores Zoho. |
| Backblaze B2 | US | Armazenamento WORM (immutable) do AuditLog para integridade forense de longo prazo. |
| US | Autenticação OAuth de administradores (escopos: openid, email, profile). | |
| ipapi.co | US | Geolocalização aproximada (cidade/região) por IP no fluxo de aceite de NDA, quando a base local MaxMind/DB-IP falha. |
| Esri (ArcGIS Online) | US | Tiles de mapa satélite carregados no painel administrativo e nas landing pages públicas de empreendimentos. |
| Hostinger | BR | Hospedagem do VPS de produção (banco, web, worker, backups locais). |
| Overpass API (OSM) | DE/EU | Consulta de pontos de interesse (POIs) ao redor das áreas. Adequação via GDPR. |
7. Transferência internacional de dados (LGPD Art. 33)
Operadores nos Estados Unidos (Anthropic, Resend, Backblaze, Google, ipapi.co, Esri) e na União Europeia (Overpass-API) recebem dados em função das finalidades acima. Justificativas conforme LGPD Art. 33: execução de contrato com o titular ou com o controlador, legítimo interesse com salvaguardas técnicas (sanitização de prompts antes do envio para a Anthropic; sem PII de proprietário em qualquer fluxo de IA). Para operadores na UE, adequação via GDPR.
8. Retenção (LGPD Art. 16)
- Dados pessoais identificáveis no fluxo de NDA: anonimizados após 6 meses (e-mail, CPF, telefone, nome cifrados são zerados; IP truncado).
- Logs de acesso ao NDA por visitante (IP, user-agent, device fingerprint, cidade, país): anonimizados após 6 meses.
- Metadados forenses do aceite de NDA (hashes, timestamps, IP truncado): preservados por até 10 anos para defesa em juízo.
- Logs de auditoria administrativa: 5 anos, após o que registros são purgados, exceto categorias de segurança e forense.
- Dados comerciais de cliente: enquanto vínculo contratual + 5 anos para defesa em prazos prescricionais.
- Logs técnicos da plataforma (Pino): 90 dias.
- Backups: 7 dias (diários), 4 semanas (semanais), 3 meses (mensais).
9. Direitos do titular (LGPD Art. 18)
Você pode exercer a qualquer tempo, gratuitamente e pelo canal contato@origemterra.com ou pelo formulário público (com confirmação OTP por e-mail), os seguintes direitos:
- Confirmação da existência de tratamento.
- Acesso aos dados pessoais que mantemos sobre você.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade dos dados a outro fornecedor de serviço ou produto, em formato estruturado (JSON).
- Eliminação dos dados tratados com base em consentimento, ressalvadas hipóteses legais que justifiquem a manutenção.
- Informação sobre com quem compartilhamos seus dados.
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
- Revogação do consentimento previamente concedido.
- Petição à Autoridade Nacional de Proteção de Dados (ANPD) em caso de descumprimento, conforme LGPD Art. 18 §1º. Canal oficial: www.gov.br/anpd.
Para identificação prévia em fluxos públicos, exigimos confirmação por e-mail (OTP), evitando que terceiros solicitem exclusão de dados em nome de outras pessoas. Prazo de resposta: 15 dias. O atendimento é gratuito em todos os canais (Art. 18 §5º).
10. Segurança (LGPD Art. 46)
- Em trânsito: TLS 1.3 obrigatório, HSTS habilitado.
- Em repouso: CPF e dados de visitante (e-mail, nome, telefone) em aceite de NDA armazenados com AES-256-GCM. Backups mantidos com criptografia simétrica.
- Autenticação: Google OAuth com escopo mínimo; sessões com cookie
__Secure-eHttpOnly. - Autorização: controle de acesso baseado em permissões (RBAC) por módulo e ação.
- Auditoria: cadeia hash SHA-256 imutável em registros administrativos; exportação WORM diária para armazenamento em modo compliance de 90 dias.
- Sanitização de prompts à IA: filtros de controle impedem que dados pessoais de proprietário (nome, CPF, e-mail, telefone) sejam enviados a modelos de linguagem.
- Rate-limit: em todas as rotas públicas que aceitam dados pessoais (OTP, aceite, captação, formulário LGPD).
- Redação de PII em logs: identificadores são mascarados pelo logger antes de qualquer escrita.
11. Cookies
Utilizamos exclusivamente cookies essenciais para o funcionamento da plataforma. Não usamos cookies analíticos, de marketing, de rastreamento entre sites, nem ferramentas como Google Analytics, Meta Pixel, Hotjar ou similares. Cookies utilizados:
- Sessão NextAuth — autenticação do administrador logado.
- CSRF — proteção contra requisições forjadas.
- Callback OAuth — temporário, apenas durante o fluxo de login Google.
- Aceite informativo — preferência local (
cookie_notice_ack_v1) que o banner de cookies foi fechado.
12. Crianças e adolescentes (LGPD Art. 14)
A plataforma destina-se a profissionais e empresas do mercado imobiliário. Não coletamos intencionalmente dados de menores de 18 anos. Caso seja identificado cadastro de menor, o registro é cancelado e os dados são eliminados. Se você é responsável e identificou cadastro indevido, escreva para contato@origemterra.com.
13. Decisões automatizadas e uso de IA (LGPD Art. 20)
Utilizamos modelos de IA generativa da Anthropic (Claude) para apoiar a análise de mercado, gerar landing pages de empreendimentos e produzir laudos preliminares de previabilidade. Aplica-se o seguinte:
- Nenhum dado pessoal de proprietário (nome, CPF, telefone, e-mail) é enviado aos modelos de IA. Os prompts contêm exclusivamente dados agregados de mercado, área e vocação.
- Os modelos podem realizar consultas a buscadores externos via ferramentas integradas (web search) para complementar dados públicos de mercado — a consulta enviada pode ser registrada pelo buscador.
- Nenhuma decisão com efeito jurídico ou patrimonial sobre o titular é tomada exclusivamente por IA — o resultado dos modelos é insumo para decisão humana.
- O titular pode, a qualquer tempo, solicitar revisão humana de decisões ou laudos que afetem seus dados, pelo canal contato@origemterra.com.
- Lógica simplificada do processo: o sistema agrega dados de mercado coletados publicamente, calcula preço médio e tendência, e o modelo de IA redige texto descritivo a partir desses números — sem inferência sobre características pessoais.
14. Tratamento por legítimo interesse (LGPD Art. 10)
Realizamos coleta automatizada de anúncios públicos de imóveis para construir referencial agregado de mercado (preço médio por m², ofertas ativas por região). O tratamento se ampara em legítimo interesse do controlador, devidamente avaliado em documento específico (LIA — Avaliação de Legítimo Interesse), disponível mediante solicitação ao Encarregado. Salvaguardas aplicadas: zero coleta de dados pessoais, agregação por região e tipologia (não por pessoa), identificação do agente automatizado, respeito a robots.txt e rate-limit defensivo.
15. Incidentes de segurança (LGPD Art. 48)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) em até 2 dias úteis e os titulares afetados em até 15 dias corridos, contados da ciência do incidente, conforme Resolução CD/ANPD nº 2/2022. O runbook interno de resposta a incidentes está formalmente documentado. Suspeitas externas devem ser reportadas ao Encarregado em contato@origemterra.com ou via canal de divulgação responsável de vulnerabilidades em /security.
16. Alterações desta Política
Esta Política pode ser atualizada para refletir mudanças no tratamento, novos operadores, ajustes em finalidades ou novas obrigações regulatórias. A versão atual é controlada pelo identificador 2026-05-15.2. Em mudanças materiais, o consentimento previamente concedido será revalidado. Alterações são publicadas nesta página e mantêm histórico interno disponível mediante solicitação.
17. Foro e legislação aplicável
Esta Política é regida pela Lei 13.709/2018 (LGPD) e demais normas aplicáveis do ordenamento brasileiro. Fica eleito o foro da Comarca de Capão da Canoa/RS para dirimir quaisquer questões oriundas desta Política, ressalvada a competência sancionatória administrativa da Autoridade Nacional de Proteção de Dados (ANPD).
BFG1 LTDA · CNPJ 55.816.368/0001-14 · João Pessoa/PB · contato@origemterra.com · Versão 2026-05-15.2.