Política de Privacidade do Nanafy

Última atualização: 15 de junho de 2026 · Versão 2.0

Esta Política de Privacidade descreve como o aplicativo Nanafy (“nós”, “Nanafy” ou “aplicativo”) coleta, usa, armazena, compartilha e protege os dados pessoais dos usuários (“você” ou “usuário”). Ao criar uma conta ou usar o aplicativo, você declara ter lido e compreendido esta Política.

O Nanafy é operado pela Orbbis Promoção de Vendas LTDA, inscrita no CNPJ sob o nº 39.445.495/0001-06, com sede em Rua Rio Grande do Norte, 1435, Sala 708 — Pavimento 7, Savassi, Belo Horizonte/MG, CEP 30130-138, doravante denominada “Controladora”, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD).

1. Resumo rápido

Coletamos seu email (para login) e o nome do bebê (para personalizar músicas).
Usamos provedores de IA (OpenAI e Mureka) para gerar letras e melodias.
Armazenamos seus dados em infraestrutura Supabase (provedor de banco de dados e autenticação).
Não vendemos seus dados e não compartilhamos com terceiros para fins de marketing.
Você pode pedir acesso, correção ou exclusão dos seus dados a qualquer momento em nanafy@orbbis.com.br.
O app é destinado a maiores de 18 anos (pais ou responsáveis legais).

2. Quem é o Controlador

O Controlador dos dados pessoais coletados pelo Nanafy é a Orbbis Promoção de Vendas LTDA, CNPJ 39.445.495/0001-06, com sede em Rua Rio Grande do Norte, 1435, Sala 708 — Pavimento 7, Savassi, Belo Horizonte/MG, CEP 30130-138. Em caso de dúvidas sobre esta Política ou sobre o tratamento dos seus dados, entre em contato com nosso Encarregado de Proteção de Dados (DPO) pelo email nanafy@orbbis.com.br.

3. Quais dados coletamos

3.1. Dados que você nos fornece diretamente

Email — para criar e autenticar sua conta.
Senha (armazenada apenas em formato criptografado/hash pelo nosso provedor de autenticação Supabase).
Nome do bebê — usado como entrada para personalizar a música gerada por IA.
Detalhes opcionais que você escreva no formulário de geração (entre 15 e 150 caracteres), usados como contexto adicional para a IA.

3.2. Dados coletados automaticamente

Identificador da conta (UUID gerado pelo Supabase).
Identificador da Apple ou Google, quando você opta por entrar com Apple ou Google (apenas o token de identidade — não recebemos sua senha desses provedores).
Histórico de músicas geradas, incluindo data, tema escolhido, idioma, status da geração e link para o áudio armazenado.
Saldo de créditos e histórico de transações de planos pagos.
Logs técnicos mínimos (IDs internos de requisição) para fins de depuração e segurança, sem identificadores publicitários.

3.3. Dados que NÃO coletamos

Não coletamos localização (GPS).
Não acessamos sua agenda, contatos, fotos ou microfone.
Não usamos identificadores publicitários (IDFA / GAID).
Não rastreamos seu comportamento fora do aplicativo.

4. Como usamos seus dados

Finalidade	Base legal (LGPD)
Autenticar sua conta e dar acesso ao app	Execução de contrato (art. 7º, V)
Gerar músicas personalizadas com o nome do bebê	Execução de contrato (art. 7º, V)
Manter histórico das suas músicas dentro do app	Execução de contrato (art. 7º, V)
Processar pagamentos e atribuir créditos	Execução de contrato e cumprimento de obrigação legal/fiscal (art. 7º, V e II)
Prevenir fraude, abuso e uso indevido	Legítimo interesse (art. 7º, IX)
Cumprir obrigações legais e fiscais	Cumprimento de obrigação legal (art. 7º, II)
Enviar avisos críticos sobre sua conta (não-marketing)	Legítimo interesse (art. 7º, IX)

5. Com quem compartilhamos seus dados

Nós não vendemos seus dados pessoais. Compartilhamos apenas com os parceiros operacionais necessários para o funcionamento do app, listados abaixo:

Operador / Parceiro	O que recebe	Finalidade	Local
Supabase (Supabase Inc.)	Email, senha (hash), nome do bebê, histórico de músicas, saldo de créditos	Banco de dados, autenticação, armazenamento de arquivos de áudio e imagem	Estados Unidos
OpenAI (OpenAI L.L.C.)	Apenas o nome do bebê, tema, idioma e detalhes opcionais — sem identificador da conta	Geração da letra da música por modelos de linguagem (gpt-4o-mini)	Estados Unidos
Mureka (Skymusic AI)	Apenas a letra e descrição musical produzidas pela OpenAI — sem identificador da conta	Geração do áudio (melodia + vocal) e da imagem associada	Estados Unidos
Apple Sign In	Email (quando você opta por “Continuar com Apple”)	Autenticação social	Estados Unidos / Global
Google Sign In	Email e nome (quando você opta por “Continuar com Google”)	Autenticação social	Estados Unidos / Global
RevenueCat	Identificador anônimo da assinatura, plano contratado, status de pagamento	Gestão de assinaturas e créditos da App Store / Play Store	Estados Unidos
Apple App Store / Google Play	Dados de pagamento — processados diretamente pela Apple / Google. Nós não recebemos seu cartão de crédito.	Cobrança das assinaturas	Conforme política da Apple e do Google

Também podemos compartilhar dados quando exigido por autoridade pública, ordem judicial ou obrigação legal, ou quando necessário para defender nossos direitos em processos legítimos.

6. Transferência internacional de dados

Como os provedores acima estão sediados majoritariamente nos Estados Unidos, seus dados serão transferidos internacionalmente. Garantimos que essas transferências ocorrem com base em cláusulas contratuais padrão firmadas com cada operador, em conformidade com o art. 33 da LGPD.

7. Por quanto tempo guardamos seus dados

Conta e músicas geradas: enquanto sua conta estiver ativa.
Após exclusão da conta: removemos seus dados em até 30 dias, exceto onde a lei exigir retenção (ex.: registros fiscais por 5 anos, conforme a legislação brasileira).
Logs técnicos: até 90 dias.

8. Sobre a geração por IA

O Nanafy utiliza inteligência artificial para criar músicas personalizadas. Você deve estar ciente de que:

As letras e melodias são geradas por modelos de IA de terceiros (OpenAI e Mureka) e podem variar em qualidade.
Enviamos para os provedores de IA apenas o conteúdo mínimo necessário: nome do bebê, tema, idioma e detalhes opcionais — sem associar ao seu email ou identificador de conta.
De acordo com as políticas vigentes da OpenAI e da Mureka, os dados enviados via API não são utilizados para treinar seus modelos.
Você não deve enviar informações sensíveis (dados médicos, financeiros, etc.) no campo de detalhes opcionais.

9. Segurança dos dados

Adotamos medidas técnicas e administrativas razoáveis para proteger seus dados, incluindo:

Conexões criptografadas (HTTPS / TLS) entre o app e nossos servidores.
Senhas armazenadas em formato de hash (nunca em texto claro).
Chaves de API de provedores de IA nunca ficam no aplicativo — todas as chamadas sensíveis passam por funções de servidor (Supabase Edge Functions).
Acesso restrito aos dados, com controle de identidade e auditoria de logs.

Apesar dos nossos esforços, nenhum sistema é 100% imune a incidentes. Em caso de incidente de segurança que possa gerar risco relevante a você, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e você, conforme exigido pela LGPD.

10. Seus direitos como titular

De acordo com a LGPD (art. 18), você tem direito a:

Confirmar a existência de tratamento dos seus dados;
Acessar os seus dados;
Corrigir dados incompletos, inexatos ou desatualizados;
Solicitar a anonimização, bloqueio ou eliminação de dados;
Solicitar a portabilidade dos dados;
Solicitar a eliminação dos dados pessoais tratados com base no consentimento;
Obter informação sobre com quem compartilhamos seus dados;
Revogar o consentimento, quando aplicável;
Apresentar reclamação à ANPD.

Para exercer qualquer um desses direitos, envie um email para nanafy@orbbis.com.br. Responderemos em até 15 dias.

11. Exclusão da conta

Você pode solicitar a exclusão completa da sua conta e dos seus dados a qualquer momento enviando um email para nanafy@orbbis.com.br, ou diretamente pelo app na seção de Configurações da conta. Após a confirmação, removeremos seus dados em até 30 dias, ressalvadas as obrigações legais de retenção.

12. Crianças

O Nanafy é um aplicativo voltado a cuidadores adultos (pais, mães e responsáveis legais) que criam canções personalizadas para seus bebês ou crianças. O aplicativo não é destinado a uso direto por menores de 18 anos e não criamos contas de menores. O nome da criança é fornecido pelo cuidador adulto e usado exclusivamente como entrada para a geração da música, sem que ela própria interaja com o app.

13. Cookies e tecnologias semelhantes

O Nanafy é um aplicativo móvel e não utiliza cookies. Não usamos pixels de rastreamento, identificadores publicitários (IDFA, GAID) ou ferramentas de analytics de terceiros que criem perfis comportamentais.

14. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Sempre que houver alterações materiais, avisaremos por email ou por aviso dentro do app, com no mínimo 7 dias de antecedência. A data da última atualização sempre aparecerá no topo deste documento.

15. Lei aplicável e foro

Esta Política é regida pelas leis da República Federativa do Brasil, em especial a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990). Fica eleito o foro da comarca de Belo Horizonte/MG, com renúncia a qualquer outro, por mais privilegiado que seja.

16. Contato

Encarregado de Proteção de Dados (DPO) — Orbbis
Email: nanafy@orbbis.com.br
Endereço: Rua Rio Grande do Norte, 1435, Sala 708 — Pavimento 7, Savassi, Belo Horizonte/MG, CEP 30130-138

Nanafy Privacy Policy

Last updated: June 15, 2026 · Version 2.0

This Privacy Policy explains how the Nanafy mobile application (“we”, “Nanafy” or “the app”) collects, uses, stores, shares and protects users’ personal data (“you” or “user”). By creating an account or using the app, you confirm that you have read and understood this Policy.

Nanafy is operated by Orbbis Promoção de Vendas LTDA, a Brazilian company registered under CNPJ no. 39.445.495/0001-06, headquartered at Rua Rio Grande do Norte, 1435, Suite 708, 7th Floor, Savassi, Belo Horizonte/MG, ZIP 30130-138, Brazil, hereinafter referred to as the “Controller”, in compliance with the Brazilian General Data Protection Law (Law No. 13,709/2018 — LGPD) and, where applicable, with the European GDPR and the California CCPA.

1. Quick summary

We collect your email (for login) and the baby’s name (to personalize songs).
We use AI providers (OpenAI and Mureka) to generate lyrics and melodies.
Your data is stored on Supabase infrastructure (database and authentication provider).
We don’t sell your data and don’t share it with third parties for marketing.
You can request access, correction or deletion of your data at any time at nanafy@orbbis.com.br.
The app is intended for users 18 years of age or older (parents or legal guardians).

2. Who is the Controller

The Controller of personal data collected by Nanafy is Orbbis Promoção de Vendas LTDA, CNPJ 39.445.495/0001-06, headquartered at Rua Rio Grande do Norte, 1435, Suite 708, 7th Floor, Savassi, Belo Horizonte/MG, ZIP 30130-138, Brazil. For questions about this Policy or about how your data is processed, please contact our Data Protection Officer (DPO) at nanafy@orbbis.com.br.

3. What data we collect

3.1. Data you provide directly

Email — to create and authenticate your account.
Password (stored only in hashed form by our authentication provider, Supabase).
Baby’s name — used as input to personalize the AI-generated song.
Optional details you may write in the generation form (between 15 and 150 characters), used as additional context for the AI.

3.2. Data collected automatically

Account identifier (UUID generated by Supabase).
Apple or Google identifier, when you choose to sign in with Apple or Google (only the identity token — we never receive your password from these providers).
History of generated songs, including date, chosen theme, language, generation status and link to the stored audio.
Credit balance and history of paid plan transactions.
Minimal technical logs (internal request IDs) for debugging and security purposes, without any advertising identifiers.

3.3. Data we do NOT collect

We do not collect location (GPS).
We do not access your calendar, contacts, photos or microphone.
We do not use advertising identifiers (IDFA / GAID).
We do not track your behavior outside the app.

4. How we use your data

Purpose	Legal basis (LGPD)
Authenticate your account and grant access to the app	Contract performance (art. 7, V)
Generate personalized songs with the baby’s name	Contract performance (art. 7, V)
Keep your song history inside the app	Contract performance (art. 7, V)
Process payments and credit assignments	Contract performance and legal/tax obligations (art. 7, V and II)
Prevent fraud, abuse and misuse	Legitimate interest (art. 7, IX)
Comply with legal and tax obligations	Legal obligation (art. 7, II)
Send critical (non-marketing) notices about your account	Legitimate interest (art. 7, IX)

5. Who we share your data with

We do not sell your personal data. We share it only with the operational partners required for the app to function, listed below:

Processor / Partner	What it receives	Purpose	Location
Supabase (Supabase Inc.)	Email, password hash, baby’s name, song history, credit balance	Database, authentication, audio and image file storage	United States
OpenAI (OpenAI L.L.C.)	Only the baby’s name, theme, language and optional details — no account identifier	Lyrics generation via language models (gpt-4o-mini)	United States
Mureka (Skymusic AI)	Only the lyrics and musical description produced by OpenAI — no account identifier	Audio generation (melody + vocals) and associated image	United States
Apple Sign In	Email (when you choose “Continue with Apple”)	Social authentication	United States / Global
Google Sign In	Email and name (when you choose “Continue with Google”)	Social authentication	United States / Global
RevenueCat	Anonymous subscription identifier, plan contracted, payment status	App Store / Play Store subscription and credit management	United States
Apple App Store / Google Play	Payment data — processed directly by Apple / Google. We do not receive your credit card details.	Subscription billing	Per Apple’s and Google’s policies

We may also share data when required by public authorities, court orders or legal obligations, or when necessary to defend our rights in legitimate proceedings.

6. International data transfer

Since the providers above are mostly based in the United States, your data will be transferred internationally. We ensure these transfers occur under standard contractual clauses signed with each processor, in compliance with article 33 of the LGPD.

7. How long we keep your data

Account and generated songs: as long as your account is active.
After account deletion: we remove your data within 30 days, except where law requires retention (e.g., tax records for 5 years under Brazilian law).
Technical logs: up to 90 days.

8. About AI-generated content

Nanafy uses artificial intelligence to create personalized songs. You should be aware that:

Lyrics and melodies are generated by third-party AI models (OpenAI and Mureka) and may vary in quality.
We send to AI providers only the minimum required content: baby’s name, theme, language and optional details — without associating it with your email or account identifier.
Under OpenAI and Mureka current policies, data submitted via API is not used to train their models.
Do not submit sensitive information (medical, financial, etc.) in the optional details field.

9. Data security

We adopt reasonable technical and administrative measures to protect your data, including:

Encrypted connections (HTTPS / TLS) between the app and our servers.
Passwords stored as hashes (never in plain text).
AI provider API keys never live in the app — all sensitive calls go through server-side functions (Supabase Edge Functions).
Restricted data access with identity controls and log auditing.

Despite our efforts, no system is 100% incident-proof. In case of a security incident that may pose a relevant risk to you, we will notify the Brazilian Data Protection Authority (ANPD) and you, as required by the LGPD.

10. Your rights as a data subject

Under the LGPD (art. 18), you have the right to:

Confirm whether we process your data;
Access your data;
Correct incomplete, inaccurate or outdated data;
Request anonymization, blocking or deletion of data;
Request data portability;
Request deletion of personal data processed with your consent;
Be informed about who we share your data with;
Withdraw consent, where applicable;
File a complaint with the ANPD.

To exercise any of these rights, email us at nanafy@orbbis.com.br. We respond within 15 days.

11. Account deletion

You can request complete deletion of your account and data at any time by emailing nanafy@orbbis.com.br, or directly in the app under Account settings. Once confirmed, we will remove your data within 30 days, except where legal retention applies.

12. Children

Nanafy is aimed at adult caregivers (parents and legal guardians) who create personalized songs for their babies or children. The app is not intended for direct use by anyone under 18 and we do not create accounts for minors. The child’s name is provided by the adult caregiver and used solely as input for song generation; the child does not interact with the app.

13. Cookies and similar technologies

Nanafy is a mobile app and does not use cookies. We do not use tracking pixels, advertising identifiers (IDFA, GAID) or third-party analytics tools that build behavioral profiles.

14. Changes to this Policy

We may update this Policy from time to time. Whenever there are material changes, we will notify you by email or in-app notice with at least 7 days’ notice. The date of the latest update will always appear at the top.

15. Applicable law and jurisdiction

This Policy is governed by the laws of the Federative Republic of Brazil, in particular the General Data Protection Law (Law No. 13,709/2018), the Internet Civil Framework (Law No. 12,965/2014) and the Consumer Protection Code (Law No. 8,078/1990). The courts of Belo Horizonte/MG, Brazil are elected as the exclusive forum, with waiver of any other, however privileged.

16. Contact

Data Protection Officer (DPO) — Orbbis
Email: nanafy@orbbis.com.br
Address: Rua Rio Grande do Norte, 1435, Suite 708, 7th Floor, Savassi, Belo Horizonte/MG, ZIP 30130-138, Brazil