Jurídico

Este Aviso de Privacidade Integral explica como a Orbis trata seus dados pessoais por meio deste site e dos serviços de marketing digital associados. A entidade responsável pelo tratamento é determinada pelo seu país de residência ou localização no momento da coleta de seus dados, conforme detalhado a seguir.

1. Quem é o Responsável pelos seus dados?

A entidade responsável pelo tratamento dos seus dados pessoais é determinada pelo seu país de residência ou localização:

Se você está no México

• Responsável: Orbis Agencia de Marketing Digital, S.A.S. de C.V.
• Endereço: Calzada Villa Plata 430, interior 5, Jesús María, Aguascalientes, México, C.P. 20908.
• RFC: OAM2201187A3.
• E-mail ARCO/privacidade: hola@orbis.agency
• Encarregado de Dados Pessoais: Sergio Guillermo Caballero Real.
• Marco aplicável: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) 2025.

Se você está fora do México

• Responsável: Orbis Agency LLC.
• Jurisdição de constituição: Estado de Delaware, EUA.
• Endereço: 651 N Broad St, Suite 201, Middletown, DE 19709, Condado de New Castle, EUA.
• E-mail de privacidade: hola@orbis.agency
• Contato responsável (UE / Reino Unido / Brasil): Guillermo Alberto Caballero Biard — hola@orbis.agency.
• Marco aplicável: a lei local do usuário (GDPR, UK GDPR, CCPA/CPRA, LGPD, entre outras).

O site determina a entidade responsável de acordo com o seu país (geolocalização e/ou sua declaração) e exibe os dados de contato da entidade correspondente. As comunicações de dados entre ambas as entidades do grupo Orbis constituem uma transferência internacional, descrita mais adiante.

2. Autoridade no México (SABG)

Com a reforma constitucional de dezembro de 2024 que extinguiu o INAI, as atribuições em matéria de proteção de dados pessoais em posse de particulares foram transferidas para a Secretaría Anticorrupción y Buen Gobierno (SABG), conforme a nova Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) publicada no Diário Oficial da Federação em 20 de março de 2025. A SABG concentra as atribuições de investigação, auditoria e sanção; no novo marco foi criado, ainda, o organismo descentralizado "Transparencia para el Pueblo".

Você pode recorrer à SABG se considerar que seus direitos em matéria de proteção de dados pessoais foram violados.

3. Quais dados pessoais coletamos?

Por meio dos formulários e ferramentas do site (formulário de contato, calculadora de ROI, assinatura da newsletter) podemos coletar:

• Dados de identificação e contato: nome, e-mail, telefone.
• Dados profissionais / da empresa: nome da empresa, site, cargo, segmento/setor e, quando você contrata ou fatura, endereço e dados fiscais.
• Dados da mensagem / projeto: informações que você voluntariamente incluir em sua consulta ou na calculadora (por exemplo, orçamento, métricas, objetivos).
• Dados de navegação e técnicos: endereço IP, identificadores de cookies, tipo de dispositivo/navegador, páginas visitadas e métricas de analytics (consulte nossa Política de Cookies).

Não coletamos intencionalmente dados sensíveis. Caso, em alguma hipótese, sejam necessários, nós o informaríamos e, conforme os artigos 8 e 9 da LFPDPPP, coletaríamos seu consentimento expresso e por escrito. Os dados financeiros ou patrimoniais, se for o caso, requerem consentimento expresso.

4. Para que finalidades usamos seus dados?

Finalidades necessárias (origem do tratamento; não requerem seu consentimento adicional)

• Atender suas consultas, solicitações de contato e de orçamento.
• Prestar e administrar os serviços contratados e gerir a relação contratual.
• Gerar os resultados da calculadora de ROI que você solicita.
• Cumprir obrigações legais, fiscais e contratuais.

Finalidades secundárias / voluntárias (você pode recusar sem afetar o serviço)

• Envio de newsletter, boletins, conteúdos e comunicações de marketing.
• Prospecção comercial e acompanhamento de leads.
• Elaboração de perfis (profiling) e segmentação com fins de marketing.
• Analytics e melhoria de nossos serviços e experiência.

Não quer as finalidades secundárias? Você pode recusar agora marcando a caixa correspondente no formulário, ou a qualquer momento escrevendo para o nosso e-mail de privacidade. Sua recusa não será motivo para negar os serviços que você solicita.

5. Base legal / fundamento do tratamento

• México (LFPDPPP): consentimento tácito para dados pessoais comuns (ao ser colocado à sua disposição este aviso e não manifestar oposição); expresso para dados financeiros/patrimoniais; expresso e por escrito para dados sensíveis. O consentimento é livre, específico e informado.
• UE/EEE e Reino Unido (GDPR / UK GDPR, art. 6): execução de um contrato; consentimento (newsletter/marketing); interesse legítimo (prospecção B2B e melhoria do serviço, mediante ponderação ou balancing test, com seu direito de oposição); e obrigação legal.
• EUA (CCPA/CPRA): modelo opt-out; tratamos dados com base na relação contratual e de negócio, respeitando seus direitos de exclusão.
• Brasil (LGPD), Canadá, Austrália, etc.: consentimento, execução de contrato ou legítimo interesse conforme aplicável.

6. Seus direitos

México — Direitos ARCO e revogação

Você tem o direito de Acessar, Retificar (incluída a atualização), Cancelar e se Opor ao tratamento de seus dados, bem como de se opor a decisões automatizadas ou de profiling que o afetem sem intervenção humana. Você também pode revogar seu consentimento e limitar o uso ou divulgação de seus dados. (A LFPDPPP protege os dados pessoais de pessoas físicas; os dados de pessoas jurídicas não são objeto desta lei, sem prejuízo das informações de seu pessoal de contato, que são, sim, dado pessoal.)

• Como exercê-los: envie sua solicitação ao e-mail de privacidade indicado, identificando-se e descrevendo claramente os dados e o direito que deseja exercer.
• Prazo de resposta: até 20 dias úteis a partir do recebimento; se procedente, será efetivado dentro dos 15 dias seguintes à resposta.
• Revogação do consentimento: pelo mesmo meio; surtirá efeitos para tratamentos futuros, salvo obrigações legais de conservação.
• Você pode recorrer à SABG se considerar que seus direitos foram violados.

Usuários fora do México — direitos por marco

• GDPR / UK GDPR: acesso, retificação, eliminação ("direito ao esquecimento"), limitação, portabilidade, oposição, e de não ser objeto de decisões automatizadas. Resposta em 1 mês (prorrogável por 2 meses). Direito de reclamar perante sua autoridade (AEPD na Espanha, CNIL na França, etc., ou a ICO / Information Commission no Reino Unido).
• EUA (CCPA/CPRA): saber, acessar, eliminar, corrigir, exclusão da "venda" / "compartilhamento" e limitar o uso de informações sensíveis, sem discriminação por exercer seus direitos; resposta em torno de 45 dias. Honramos o sinal Global Privacy Control (GPC).
• Brasil (LGPD): confirmação, acesso, correção, anonimização/eliminação, portabilidade, informação sobre compartilhamento e revogação; resposta em 15 dias. Autoridade: ANPD.
• Canadá, Austrália, Suíça, África do Sul, etc.: direitos de acesso, correção, eliminação/objeção e retirada do consentimento conforme sua normativa.

7. Transferências e comunicações de dados

Para operar o site e prestar nossos serviços, podemos compartilhar dados com:

• Entre as entidades do grupo Orbis (da Orbis Agencia de Marketing Digital, S.A.S. de C.V. para a Orbis Agency LLC e vice-versa) para suporte, ferramentas centralizadas e administração. Isto constitui uma transferência internacional.
• Operadores / fornecedores que tratam dados por nossa conta (remessa): hosting próprio na DigitalOcean; CRM interno próprio e Kommo; email marketing Mailchimp; telefonia Zadarma; analytics e medição Google Analytics (GA4), Google Tag Manager, Ahrefs, Semrush; publicidade e plataformas Google, Meta, TikTok, LinkedIn, Pinterest e Microsoft (Bing). Esses fornecedores tratam os dados conforme nossas instruções e os acordos de tratamento (DPA/SCC) correspondentes.

Garantias das transferências:

• México: as transferências são informadas neste aviso; salvo exceções legais, requerem seu consentimento. Você pode manifestar sua recusa às transferências que não sejam necessárias para a relação. Distingue-se entre transferência (a outro responsável) e remessa (a um operador).
• UE/EEE: Cláusulas Contratuais-Padrão (SCC, Decisão (UE) 2021/914) + avaliação de impacto de transferência (TIA); ou EU-US Data Privacy Framework se o importador estiver certificado.
• Reino Unido: IDTA ou Adendo às SCC da UE.
• Brasil: mecanismos de transferência internacional da LGPD (arts. 33-36), incluídas as Cláusulas Contratuais-Padrão (CCP) da ANPD aprovadas mediante a Resolução CD/ANPD nº 19/2024 (publicada em 23 de agosto de 2024). O período de adequação encerrou-se em 23 de agosto de 2025, de modo que sua incorporação aos contratos de transferência internacional já é obrigatória.
• Turquia (KVKK), Suíça, Japão (APPI), etc.: mecanismos previstos por cada normativa (decisão de adequação, cláusulas ou consentimento, conforme o caso).

8. Conservação dos dados

• Dados de contato/leads: enquanto houver interesse ou relação e, após isso, durante os prazos de prescrição legal aplicáveis, com um período máximo de referência de 72 meses (6 anos).
• Dados de clientes: durante a relação contratual e os prazos fiscais/legais de conservação; como referência geral, até 72 meses (6 anos) após o último tratamento, salvo obrigação legal distinta.
• Assinatura da newsletter: até que você cancele a inscrição.
• Dados de cookies/analytics: conforme a duração indicada na Política de Cookies.

Concluídas as finalidades e prazos (referência geral: 72 meses), os dados são suprimidos ou anonimizados de forma segura.

9. Medidas de segurança e violações

Implementamos medidas de segurança administrativas, técnicas e físicas razoáveis para proteger seus dados contra perda, uso indevido ou acesso não autorizado. Em caso de uma violação de segurança que afete significativamente seus direitos patrimoniais ou morais, nós o notificaremos e daremos aviso à autoridade quando a lei exigir (LFPDPPP no México; GDPR/UK GDPR, LGPD e demais marcos para usuários internacionais).

10. Cookies e tecnologias de rastreamento

O site utiliza cookies e tecnologias de rastreamento (analytics e marketing). Os cookies não essenciais só são ativados com seu consentimento prévio onde o modelo é opt-in. Consulte os detalhes, categorias e como geri-los na Política de Cookies.

11. Menores de idade

O site destina-se a profissionais e empresas; não é dirigido a menores de idade e não coletamos conscientemente seus dados. Se detectarmos dados de um menor sem o consentimento parental exigido pela lei aplicável, nós os eliminaremos.

12. Redes sociais

As redes sociais (Facebook, Instagram, X/Twitter, LinkedIn, TikTok, Pinterest, entre outras) são plataformas de terceiros alheias à Orbis e não estão sob sua responsabilidade. As informações que você publicar ou fornecer dentro dessas plataformas são regidas pelas políticas e pela responsabilidade de cada fornecedor e de quem as publica, e não fazem parte dos dados sujeitos a este Aviso de Privacidade.

13. Endereços IP e arquivo de atividade do servidor

Os servidores do site podem detectar automaticamente o endereço IP e o domínio utilizados pelo usuário. O endereço IP é atribuído automaticamente ao conectar-se à Internet e é registrado no arquivo de atividade do servidor, o que permite o processamento posterior dos dados com fins exclusivamente estatísticos (número de impressões de página, visitas aos serviços, ordem de visita, ponto de acesso, etc.).

14. Alterações ao Aviso de Privacidade

Podemos atualizar este Aviso. Publicaremos a versão vigente no site com sua data; as alterações substanciais serão comunicadas pelos meios disponíveis (site e, se for o caso, e-mail).

15. Disposições por região

Quando seu responsável é a Orbis Agency LLC, além das regras gerais deste aviso, aplicam-se as disposições específicas de sua jurisdição:

México

LFPDPPP 2025 (autoridade: SABG), LFPC/PROFECO e Código de Comercio. Consentimento tácito para dados comuns; ARCO + revogação com resposta em 20 dias úteis; aviso integral, simplificado e curto; medidas de segurança e aviso de violações. Regime de infrações e sanções em UMA: em caráter geral, de 100 a 160.000 UMA, e até 320.000 UMA em hipóteses agravadas; os valores são dobrados tratando-se de dados sensíveis. Com a UMA diária vigente em 2026 ($117,31 MXN, INEGI, desde 1º de fevereiro de 2026), a faixa equivale aproximadamente a $11.731 – $37,5 M MXN. A UMA é atualizada a cada ano, de modo que o equivalente em pesos varia anualmente.

União Europeia / EEE (Espanha, Portugal, França, Alemanha, Itália, Irlanda)

GDPR (UE) 2016/679 + leis nacionais (LOPDGPD Espanha, BDSG Alemanha, Codice Privacy Itália, Lei 58/2019 Portugal, DPA 2018 Irlanda, lei francesa). Bases do art. 6; direitos arts. 15-22; resposta em 1 mês. Transferências aos EUA com SCC 2021/914 + TIA ou EU-US DPF. Contato responsável designado: Guillermo Alberto Caballero Biard (hola@orbis.agency).

Reino Unido

UK GDPR + DPA 2018, alterados pela Data (Use and Access) Act 2025 (DUAA; Royal Assent em 19 de junho de 2025, entrada em vigor escalonada 2025-2026). A autoridade é a ICO (Information Commissioner's Office), que a DUAA transforma progressivamente na Information Commission conforme a reforma for implementada. Transferências mediante IDTA ou Adendo às SCC. Contato responsável designado: Guillermo Alberto Caballero Biard (hola@orbis.agency).

Estados Unidos

Sem lei federal integral. CCPA/CPRA (Califórnia) com regulamentos CPPA vigentes em 2026 (decisões automatizadas, avaliações de risco, auditorias). Modelo opt-out, links "Do Not Sell or Share" e "Limit Sensitive PI", reconhecimento de GPC. Outros estados: Virgínia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Texas (TDPSA), Oregon, Montana, etc. Email: CAN-SPAM; SMS/chamadas: TCPA; depoimentos/avaliações: FTC Endorsement Guides.

Canadá

PIPEDA (Bill C-27/CPPA não aprovado) e Quebec Lei 25 (encarregado de privacidade designado, PIAs, registro de incidentes, regras de transferência). Anti-spam: CASL.

Brasil

LGPD (Lei 13.709/2018), autoridade ANPD. Direitos com resposta em 15 dias. Cláusulas Contratuais-Padrão da ANPD (Resolução 19/2024) obrigatórias para transferências internacionais desde 23 de agosto de 2025. Aviso de privacidade e de cookies em português; encarregado de contato designado: Guillermo Alberto Caballero Biard (hola@orbis.agency). Consumo: CDC, Marco Civil da Internet e Decreto 7.962/2013 (arrependimento em 7 dias).

Austrália e Nova Zelândia

Austrália: Privacy Act 1988 (reforma 2024, escalonada 2025-2026): consentimento informado e inequívoco, restrição de caixas pré-marcadas e dark patterns, transparência em decisões automatizadas. Nova Zelândia: Privacy Act 2020 (13 IPP, notificação de incidentes, IPP 12 para envios ao exterior). Spam Act 2003.

África do Sul

POPIA (regulador: Information Regulator). 8 condições de tratamento; consentimento por banner antes de implantar cookies; transferências do art. 72.

Suíça

nFADP (vigente em 1º de setembro de 2023), alinhada com o GDPR. Consentimento para tracking/analytics/publicidade/profiling; necessárias isentas. A Suíça mantém adequação UE.

Turquia

KVKK (Lei 6698, reformada pela Lei 7499 de março de 2024, vigente em 1º de junho de 2024). Reestruturou-se o regime de transferências internacionais (Regulamento de transferências em vigor desde 1º de setembro de 2024): além do consentimento explícito do titular, foram incorporados como mecanismos a decisão de adequação, as cláusulas-padrão, as normas corporativas vinculantes (BCR) e o compromisso escrito com autorização da autoridade (KVKK). O consentimento explícito continua sendo uma base válida de tratamento; a reforma ampliou as vias de transferência além do consentimento. Em caso de violação de dados, a notificação à autoridade (KVKK) deve ser realizada no prazo mais breve possível (critério interpretado como 72 horas) desde que se tem conhecimento.

Japão

APPI (autoridade PPC). A transferência a um terceiro em país estrangeiro requer consentimento prévio + informação sobre o regime do país receptor. Adequação mútua com a UE.

EAU / Dubai

PDPL Federal (Decreto-Lei 45/2021) e, se a operação estiver no DIFC, DIFC Data Protection Law No. 5 of 2020 (emendas vigentes em 15 de julho de 2025), alinhada com o GDPR. O ADGM tem regime próprio. A zona aplicável (regime Federal, DIFC ou ADGM) depende de onde a entidade se estabeleça ou se considere que opera; por padrão assume-se o regime Federal (PDPL).

Andorra e Mônaco

Andorra: Llei 29/2021 (Andorra conta, sim, com decisão de adequação da UE). Mônaco: Loi n.º 1.565 (em vigor desde dezembro de 2024, substitui a Loi 1.165/1993), alinhada com o GDPR, a Diretiva 2016/680 e a Convenção 108+; autoridade APDP. Mônaco ainda NÃO tem decisão de adequação da UE (a revisão da Comissão Europeia segue em curso em meados de 2026), de modo que as transferências da UE/EEE para Mônaco requerem garantias como as SCC.

Equador

Ley Orgánica de Protección de Datos Personales (LOPDP, publicada em 2021), alinhada com o GDPR: bases legais, direitos do titular e regime de transferências internacionais. Seu regime sancionatório está em vigor desde 26 de maio de 2023 e o Regulamento Geral (Decreto 904) foi publicado em novembro de 2023; com resoluções posteriores da autoridade (2025) que operacionalizam aspectos técnicos. As sanções podem alcançar até 1% do faturamento anual. Autoridade: Superintendencia de Protección de Datos Personales (SPDP).

16. Aviso de Privacidade Simplificado

Para formulários, landing pages e a calculadora de ROI, colocamos à sua disposição o seguinte aviso simplificado:

"Seus dados pessoais serão tratados pela Orbis Agencia de Marketing Digital, S.A.S. de C.V. (se você estiver no México) ou pela Orbis Agency LLC (se você estiver fora do México) para atender à sua solicitação e, se você autorizar, enviar-lhe comunicações de marketing. Você pode exercer seus direitos e conhecer as transferências e finalidades no Aviso de Privacidade Integral. Aceito receber comunicações de marketing (opcional)."