Política de Privacidade

O Licytá é uma plataforma SaaS de prospecção de licitações públicas disponível em www.licyta.com. Para fins desta Política, o Licytá atua como Controlador dos dados pessoais coletados de seus Usuários, nos termos do art. 5º, VI, da Lei Geral de Proteção de Dados (LGPD).

Contato do encarregado (DPO): dpo@licyta.com

2.1. Dados de cadastro — fornecidos diretamente pelo Usuário ao criar a conta: nome completo, e-mail e (quando aplicável) dados básicos do perfil Google quando o login é feito via OAuth (nome, e-mail e foto pública).

2.2. Dados de uso — gerados automaticamente durante a navegação: termos de busca digitados, licitações salvas, anotações criadas, contagem de buscas no mês corrente, datas de login.

2.3. Dados técnicos — endereço IP, tipo de navegador, sistema operacional, fuso horário e logs de erro, coletados para fins de segurança e diagnóstico.

2.4. Cookies necessários — utilizados para manter a sessão autenticada e armazenar preferências locais (tema claro/escuro, última busca).

2.5. Cookies e tecnologias de marketing e analytics — utilizamos o conjunto de ferramentas abaixo para medir o uso do Serviço, otimizar campanhas publicitárias e melhorar a experiência:

• Meta Pixel + Conversions API (Meta Platforms, Inc.) — eventos de navegação e conversão (visita, cadastro, busca, início de checkout, compra). Cookies _fbp/_fbc. Compartilhamos e-mail/telefone criptografados por hash SHA-256, nunca em texto puro.
• Google Analytics 4 (Google LLC) — métricas de visitação, fontes de tráfego e funil de conversão. IP anonimizado. Cookies _ga, _gid.
• Google Ads Conversion (Google LLC) — medição de conversões geradas por anúncios no Google. Cookies _gcl_*.
• Plausible Analytics — métricas agregadas de navegação sem cookies de rastreamento e sem coleta de dados pessoais identificáveis.
• PostHog (PostHog Inc.) — analytics de produto, gravação de sessão (anonimizada — campos de senha e dados sensíveis são automaticamente mascarados) e funcionalidades de experimentação. Cookie __ph_*.
• Microsoft Clarity (Microsoft Corporation) — gravação de sessão e heatmaps para identificar pontos de fricção na interface. Campos sensíveis são mascarados por padrão. Cookie_clck.

Base legal: legítimo interesse (LGPD art. 7º, IX) para medição e melhoria do Serviço, e consentimento via uso continuado do site para finalidades publicitárias. Você pode bloquear qualquer dessas tecnologias nas configurações do navegador ou por extensões (uBlock Origin, Privacy Badger), sem prejuízo de uso do Serviço. Você também pode ajustar cookies de marketing/analytics a qualquer momento pelo botão “Preferências de cookies” no rodapé do site.

O que NÃO coletamos: dados sensíveis (origem racial, convicção religiosa, saúde, vida sexual etc.), dados financeiros detalhados (números completos de cartão de crédito são processados diretamente pela operadora de pagamento, sem passar pelos nossos servidores), nem dados de menores de 18 anos — o Licytá é uma ferramenta B2B e não se destina a esse público.

• Prestação do Serviço: autenticar o Usuário, executar buscas, salvar listas e anotações, aplicar limites de plano.
• Comunicação operacional: envio de e-mails transacionais (confirmação de cadastro, recuperação de senha, alertas de cobrança).
• Melhoria do produto: análise agregada e anonimizada de uso para entender quais funcionalidades são mais utilizadas.
• Marketing e medição de campanhas: medir a eficácia de anúncios e otimizar a aquisição de clientes (Meta Pixel e Conversions API), com base no legítimo interesse (LGPD art. 7º, IX) e, quando aplicável, no seu consentimento.
• Segurança e prevenção a fraudes: detectar atividades anômalas, abuso de cota, tentativas de invasão.
• Cumprimento de obrigações legais: guarda de logs por prazos exigidos pelo Marco Civil da Internet (Lei 12.965/2014, art. 15) e cooperação com autoridades quando obrigado por ordem judicial.

• Execução de contrato (art. 7º, V) — para dados estritamente necessários à prestação do Serviço (cadastro, buscas, anotações).
• Cumprimento de obrigação legal (art. 7º, II) — para logs de acesso conforme Marco Civil da Internet.
• Legítimo interesse (art. 7º, IX) — para segurança, prevenção a fraudes e melhoria do produto via métricas agregadas, sempre respeitando expectativas razoáveis do titular.
• Consentimento (art. 7º, I) — para eventuais comunicações de marketing, sempre opcionais e revogáveis a qualquer momento.

Não vendemos dados pessoais. Compartilhamos apenas com operadores estritamente necessários à operação da Plataforma:

• Supabase, Inc. — provedor de banco de dados e autenticação. Servidores localizados nos Estados Unidos, com cláusulas contratuais adequadas para transferência internacional (LGPD art. 33).
• Cloudflare, Inc. — provedor de borda (CDN, Workers) para hospedar e servir o app.
• OpenAI, L.L.C. — processa termos de busca e metadados públicos de editais para expansão semântica e ranqueamento. Não recebe anotações privadas do Usuário.
• Asaas Gestão Financeira S.A. — processa os pagamentos (Pix e cartão). Os dados de cartão são enviados diretamente ao Asaas; não são armazenados em nossos servidores.
• Meta Platforms, Inc. — recebe eventos de conversão (incluindo e-mail/telefone criptografados por hash) para medição e otimização de campanhas publicitárias, via Meta Pixel e Conversions API.
• Google LLC — login OAuth 2.0; Google Analytics 4 (métricas agregadas); Google Ads Conversion (medição de anúncios). IP anonimizado nos relatórios de analytics.
• Plausible Insights OÜ (Estônia) — métricas agregadas de uso sem cookies de rastreamento.
• PostHog Inc. — analytics de produto, gravação anonimizada de sessão e experimentação. Campos sensíveis (senha, CPF, cartão) são automaticamente mascarados.
• Microsoft Corporation — Microsoft Clarity para gravação de sessão e heatmaps com mascaramento automático de campos sensíveis.
• Autoridades públicas — quando exigido por ordem judicial, requisição da ANPD ou obrigação legal.

Todos os operadores são selecionados com critérios de segurança e estão sujeitos a obrigações contratuais de confidencialidade e proteção de dados.

Alguns operadores (Supabase, OpenAI, Google, Meta, PostHog, Microsoft, Plausible) processam dados em servidores fora do Brasil. Essa transferência é amparada pelo art. 33, II, da LGPD (cláusulas contratuais específicas) e ocorre apenas para as finalidades descritas nesta Política.

Mantemos os dados pessoais pelo tempo necessário para cumprir as finalidades acima ou para atender a obrigações legais:

• Dados de cadastro e uso: mantidos enquanto a conta estiver ativa. Após o encerramento, são excluídos em até 30 dias, ressalvados os casos de obrigação legal de guarda.
• Logs de acesso (IP, data/hora): mantidos por 6 meses, conforme exigência do art. 15 do Marco Civil da Internet.
• Dados de cobrança e faturamento: mantidos pelo prazo prescricional aplicável (até 5 anos, conforme legislação tributária).

Adotamos medidas técnicas e administrativas para proteger os dados pessoais, incluindo:

• conexões criptografadas em trânsito (HTTPS/TLS 1.3);
• criptografia em repouso no banco de dados (gerenciada pelo provedor de infraestrutura);
• isolamento de dados por Row Level Security (RLS) no Postgres — cada Usuário só acessa os próprios registros;
• autenticação com hash de senha (bcrypt) ou OAuth 2.0 federado;
• logs de acesso e monitoramento de atividades anômalas.

Nenhum sistema é 100% inviolável. Em caso de incidente de segurança com risco relevante aos titulares, comunicaremos a ANPD e os afetados nos prazos da LGPD (art. 48).

Você tem direito a:

• Confirmar a existência de tratamento dos seus dados;
• Acessar os dados que mantemos sobre você;
• Corrigir dados incompletos, inexatos ou desatualizados;
• Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portar os dados a outro fornecedor de serviço, mediante requisição expressa;
• Eliminar dados pessoais tratados com base no consentimento;
• Obter informações sobre entidades públicas e privadas com as quais compartilhamos dados;
• Revogar consentimento, quando aplicável;
• Opor-se a tratamentos realizados com base em legítimo interesse;
• Solicitar revisão de decisões automatizadas que afetem seus interesses.

Para exercer qualquer direito, escreva para dpo@licyta.com. Responderemos em até 15 dias, conforme estabelecido pela LGPD.

Utilizamos duas categorias de cookies e tecnologias similares:

• Necessários — Sessão (Supabase Auth): mantém o Usuário autenticado entre páginas.
• Necessários — Preferência local: tema claro/escuro, última busca digitada (armazenados em localStorage no próprio navegador, não enviados ao servidor).
• Marketing — Meta Pixel: cookies _fbp e _fbc usados para medir conversões e otimizar anúncios. Acompanhados da Conversions API server-side, que envia à Meta eventos de conversão com e-mail/telefone criptografados (hash).

Você pode recusar os cookies de marketing a qualquer momento bloqueando-os nas configurações do navegador ou por extensões de bloqueio, sem qualquer prejuízo ao uso do Serviço. Os cookies necessários não podem ser desativados, pois são indispensáveis ao funcionamento da Plataforma.

O Licytá utiliza modelos de linguagem para expandir termos de busca e ranquear editais. Esse ranqueamento é auxiliar — não constitui decisão automatizada com efeitos jurídicos ou relevantes na esfera do Usuário, pois a decisão final de participar ou não de um certame é sempre humana.

Você pode, a qualquer momento, solicitar revisão dos critérios de ranqueamento aplicados a uma busca específica escrevendo para o suporte.

Esta Política pode ser atualizada periodicamente. Mudanças relevantes serão comunicadas por e-mail ou notificação na Plataforma, com pelo menos 15 dias de antecedência. A versão vigente está sempre disponível em www.licyta.com/privacidade, com indicação da data de última atualização.

Encarregado de Dados (DPO): dpo@licyta.com

Suporte geral: contato@licyta.com

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.