Política de Privacidade

1. Quem Somos e Identificação do Controlador

Esta Política de Privacidade descreve como o evento Paccha Mamma trata seus dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), o Marco Civil da Internet (Lei 12.965/2014) e o Código de Defesa do Consumidor (Lei 8.078/1990).

Controlador dos dados (LGPD Art. 5º VI): o evento Paccha Mamma é organizado e operado por seus idealizadores. Para fins de exercício de direitos LGPD, considere o controlador identificado por meio do canal do Encarregado abaixo.

Encarregado de Proteção de Dados (DPO/Encarregado, conforme LGPD Art. 41): Gui Duarte. Contato direto sobre tratamento de dados pessoais e exercício de direitos LGPD: dpo@pacchamamma.com.

Para questões gerais não relacionadas a dados pessoais (atendimento ao cliente, dúvidas operacionais), utilize contato@pacchamamma.com.

2. Definições

Para os fins desta Política, adotamos as definições da LGPD (Art. 5º):

Dados pessoais: informação relacionada a pessoa natural identificada ou identificável (ex.: nome, CPF, e-mail, telefone, IP).

Tratamento: toda operação realizada com dados pessoais (coleta, classificação, utilização, armazenamento, compartilhamento, eliminação etc.).

Titular: pessoa natural a quem se referem os dados pessoais (você).

Controlador: pessoa a quem competem as decisões referentes ao tratamento (Paccha Mamma).

Operador: pessoa que realiza o tratamento em nome do controlador (ex.: Stripe, Mercado Pago, Resend).

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento para finalidade determinada.

ANPD: Autoridade Nacional de Proteção de Dados, autoridade federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

3. Dados Coletados

Coletamos diferentes categorias de dados pessoais conforme o tipo de interação que você tem com a plataforma. Cada categoria está vinculada a uma finalidade específica e a uma base legal documentada na seção 4.

Dados de cadastro (criação de conta): nome completo, endereço de e-mail, CPF, telefone e data de nascimento. CPF e data de nascimento são exigidos por requisitos fiscais (CTN) e por validação de idade conforme Art. 14 da LGPD (seção 11).

Momento da persistência dos dados de cadastro (princípio da minimização — Art. 6º III LGPD): ao se cadastrar, você preenche CPF, telefone e data de nascimento no formulário do navegador. Esses três dados específicos só são gravados em nossa base de dados de aplicação após você confirmar seu e-mail clicando no link enviado. Se você não confirmar o e-mail, CPF, telefone e data de nascimento não são armazenados em nosso banco de dados — apenas o e-mail e dados mínimos de autenticação ficam registrados temporariamente para permitir a confirmação. Após a confirmação, você é direcionado a uma página dedicada (/membro/completar-perfil) para concluir o cadastro com esses dados, que então passam a ser tratados conforme esta Política. Não armazenamos CPF, telefone ou data de nascimento no seu navegador (em mecanismos como sessionStorage ou localStorage), seguindo recomendação da OWASP HTML5 Security.

Dados de autenticação via Google (Google OAuth, opcional): nome, e-mail e foto de perfil associados à sua conta Google quando você opta por entrar usando o provedor Google. Esses dados substituem o cadastro manual e são utilizados exclusivamente para autenticação.

Dados de pagamento: para pagamentos via cartão de crédito, os dados são processados diretamente pelo Stripe e não trafegam nem são armazenados em nossos servidores (apenas tokens de transação). Para pagamentos via PIX, utilizamos o Mercado Pago e armazenamos identificadores de transação não-sensíveis.

Dados de navegação: endereço IP, tipo de navegador, páginas acessadas, data e hora de acesso. Esses dados são coletados conforme exigência do Marco Civil da Internet (Art. 13/15) e usados para segurança operacional, prevenção de fraude e cumprimento de ordens judiciais.

Dados de uso da plataforma: histórico de pedidos, ingressos comprados e transferidos, participação em programa de indicação (quando aplicável), pontos acumulados.

Dados sensíveis (Art. 5º II LGPD): NÃO coletamos. A plataforma não solicita dados de saúde, biometria, religião, orientação sexual, filiação sindical ou opinião política.

4. Bases Legais por Tratamento

Cada tratamento de dados pessoais que realizamos está fundamentado em uma das hipóteses do Art. 7º da LGPD. Adotamos múltiplas bases legais conforme a finalidade:

Art. 7º V (execução de contrato): criação de conta (registro mínimo de identificação no signup + dados completos no profile após confirmação de e-mail, conforme Sec 3), autenticação, processamento e confirmação de compras de ingressos, emissão de ingressos eletrônicos com QR code, verificação de identidade na entrada do evento, transferência de ingressos entre titulares.

Art. 7º VI (cumprimento de obrigação legal): retenção de dados fiscais por 5 anos (CTN Art. 195), retenção de logs de aplicação por 6 meses (Marco Civil Art. 13), atendimento a ordens judiciais.

Art. 7º IX (legítimo interesse, com avaliação documentada — LIA): segurança operacional da plataforma (Sentry — observability + error tracking), métricas operacionais agregadas (Vercel Analytics — sem cookies, sem identificação individual), prevenção de fraude.

Art. 7º I (consentimento explícito): comunicações de marketing por e-mail (newsletter, novidades de futuras edições) e mensagens via WhatsApp (futuro). Estes tratamentos são opcionais e exigem consentimento ativo, granular e revogável a qualquer momento.

Não realizamos tratamento de dados pessoais para finalidades comerciais ou publicitárias sem o seu consentimento explícito e granular.

5. Uso dos Dados

Seus dados pessoais são utilizados para as finalidades específicas descritas a seguir, sempre vinculadas a uma base legal da seção 4:

Operação da plataforma: criação e autenticação de conta, processamento de compras, emissão de ingressos com QR code, validação na entrada do evento, transferência de ingressos.

Comunicação transacional: envio de e-mails relacionados a operações que você realizou (confirmação de compra, ingresso, recuperação de senha, alteração de dados). Esses e-mails são considerados parte do contrato e não dependem de consentimento separado.

Comunicação opcional (apenas com consentimento): newsletters, lembretes pré-evento, novidades de futuras edições. Você pode dar e revogar consentimento a qualquer momento por canal granular (cookie banner ou painel de conta).

Segurança e prevenção de fraude: detecção de transações suspeitas, monitoramento de erros (Sentry), análise agregada de padrões de uso (Vercel Analytics).

Cumprimento de obrigações legais: emissão de comprovantes fiscais, atendimento a ordens judiciais, atendimento a requisições da ANPD.

Não realizamos perfilamento individual nem decisões automatizadas que produzam efeitos jurídicos sobre você (Art. 20 LGPD). Caso isso mude no futuro, esta Política será atualizada e você será notificado.

6. Compartilhamento com Operadores

Para operar a plataforma, recorremos a operadores especializados (Art. 5º VII LGPD) que tratam dados pessoais em nosso nome, sob nossa instrução e com obrigações contratuais de confidencialidade e segurança (DPA — Data Processing Agreement).

Operadores ATIVOS atualmente:

Supabase (subprocessor crítico — banco de dados, autenticação e armazenamento): localizado em São Paulo, Brasil (sa-east-1). Sem transferência internacional. Base legal: Art. 7º V.

Vercel (hosting e Functions): runtime principal em São Paulo (gru1), com cache e edge functions globais. Transferência parcial Art. 33 II + Resolução CD/ANPD 15/2024. Base legal: Art. 7º V.

Vercel Analytics (métricas operacionais agregadas): EUA + global. Sem cookies, sem identificação individual, IP descartado em segundos. Transferência internacional Art. 33 II + Res. ANPD 15/2024. Base legal: Art. 7º IX (LIA arquivada).

Stripe (processamento de pagamentos via cartão): EUA. Transferência internacional Art. 33 II + Res. ANPD 15/2024. Certificações PCI-DSS, SOC 2, ISO 27001. Base legal: Art. 7º V.

Mercado Pago (processamento de pagamentos via PIX): Brasil. Sem transferência internacional. Base legal: Art. 7º V.

Resend (envio de e-mails transacionais): EUA. Transferência internacional Art. 33 II + Res. ANPD 15/2024. Base legal: Art. 7º V.

Sentry (observability e error tracking): EUA. Transferência internacional Art. 33 II + Res. ANPD 15/2024. Base legal: Art. 7º IX (LIA arquivada). Mascaramento total de PII em session replays.

Google (autenticação via OAuth, opcional): EUA + global. Transferência internacional Art. 33 II + Res. ANPD 15/2024. Base legal: Art. 7º V (login solicitado pelo titular ao escolher provedor Google).

Operadores previstos para integração futura, com atualização desta Política e re-confirmação de consentimento (Art. 9º II LGPD): UpdePix (gateway PIX adicional), Anthropic (Claude API para análise interna), Z-API (WhatsApp Business). Cada integração será comunicada antes da ativação.

GitHub é utilizado apenas para infraestrutura DevOps (CI/CD, secrets de configuração) e NÃO recebe dados pessoais de titulares. Por isso não é listado como operador LGPD.

Compartilhamento com autoridades: cumprimos ordens judiciais e requisições legais devidamente fundamentadas (Marco Civil Art. 22, LGPD Art. 7º VI).

Não vendemos, alugamos ou cedemos seus dados pessoais a terceiros para fins comerciais ou publicitários.

7. Transferência Internacional de Dados

Alguns operadores listados na seção 6 (Vercel parcial, Vercel Analytics, Stripe, Resend, Sentry, Google) processam dados em servidores localizados fora do território brasileiro, principalmente nos Estados Unidos.

Base legal para transferência internacional: Art. 33 II da LGPD c/c Resolução CD/ANPD 15/2024 — adoção de cláusulas contratuais específicas (Standard Contractual Clauses, DPAs específicos) garantindo nível de proteção compatível com a LGPD.

Para cada operador estrangeiro mantemos DPA (Data Processing Agreement) arquivado, contendo obrigações específicas de confidencialidade, segurança técnica e organizacional, sub-processamento controlado e cooperação em casos de DSR (solicitações de titulares).

Você pode solicitar cópia dos DPAs ou informações detalhadas sobre os mecanismos de transferência adotados entrando em contato com o Encarregado em dpo@pacchamamma.com.

8. Cookies e Rastreamento

Utilizamos cookies estritamente necessários para o funcionamento da plataforma: cookies de autenticação (sessão do usuário), cookie de atribuição de parceiro (válido por 90 dias, para rastreamento de indicações) e cookie de referência de divulgador (válido por 7 dias).

Vercel Analytics, utilizado para métricas operacionais agregadas (capacity planning e UX), opera de forma cookie-less por design — não cria identificadores persistentes no navegador. O endereço IP é descartado em segundos após uso para geolocação por país.

Não utilizamos cookies de publicidade, remarketing ou rastreamento cross-site de terceiros. Não integramos ferramentas de analytics que rastreiem usuários individuais (como Google Analytics, Meta Pixel, etc.).

Em breve disponibilizaremos um banner de consentimento de cookies com 4 categorias granulares (essenciais, analytics, marketing, recovery de carrinho), conforme Guia ANPD de Cookies (out/2022). Até a ativação do banner, mantemos apenas os cookies estritamente necessários acima.

9. Segurança da Informação

Adotamos medidas técnicas e organizacionais (Art. 46 LGPD) para proteger seus dados pessoais contra acesso não autorizado, perda, alteração ou destruição:

Criptografia em trânsito: TLS 1.3 (HTTPS) em todas as conexões com a plataforma. Headers de segurança HSTS habilitados.

Criptografia em repouso: AES-256-GCM aplicado a dados sensíveis (configurações de gateways de pagamento). Banco de dados Supabase com encryption-at-rest nativo.

Controle de acesso: arquitetura RBAC (Role-Based Access Control) com Row Level Security (RLS) no banco de dados. Princípio do menor privilégio aplicado a todos os perfis.

Monitoramento contínuo: Sentry para detecção e diagnóstico de erros em runtime. Mascaramento total de PII em session replays. Alertas operacionais ao DPO em incidentes.

Retenção de logs: conforme Marco Civil da Internet, logs de aplicação são retidos por no mínimo 6 meses, com triggers de proteção contra TRUNCATE/DROP e arquivamento subsequente em armazenamento criptografado.

Imutabilidade de versões legais: versões publicadas desta Política e dos Termos de Uso são armazenadas em tabela imutável (paginas_institucionais_historico) com SHA256, RLS admin-only e proteção contra UPDATE/DELETE.

Apesar de nossos esforços, nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa afetar seus dados, você será notificado conforme exigido pela LGPD (Art. 48), e a ANPD será comunicada nos prazos legais.

10. Retenção de Dados

Aplicamos prazos diferenciados de retenção conforme a finalidade e a base legal:

Dados de conta ativa: mantidos enquanto sua conta estiver ativa. Após solicitação de exclusão, removidos em até 30 dias para dados não vinculados a obrigações legais.

Dados fiscais (CPF, dados de transações de pagamento, comprovantes): retidos por 5 (cinco) anos após a transação, conforme prazos prescricional/decadencial da legislação fiscal brasileira (Código Tributário Nacional — Art. 173, 174 e 195 §único). Estes dados serão preservados mesmo em caso de exclusão de conta.

Logs de aplicação (IP, navegação, autenticação): retidos por no mínimo 6 (seis) meses, conforme Marco Civil da Internet (Art. 13/15). Arquivamento subsequente em armazenamento seguro por até 5 anos para fins de auditoria.

Dados de marketing (consentimento ativo): retidos enquanto o consentimento estiver vigente. Revogação resulta em remoção em até 30 dias dos sistemas ativos de envio.

Histórico de versões desta Política e dos Termos: retenção permanente em tabela imutável, para correlação com consentimentos registrados (prova ANPD).

Após o término dos prazos legais aplicáveis, os dados são anonimizados ou eliminados de forma segura.

11. Menores de Idade (Art. 14 LGPD)

A plataforma Paccha Mamma é destinada exclusivamente a maiores de 18 (dezoito) anos completos. Esta restrição é aplicada em duas camadas: (a) auto-declaração no formulário de cadastro (campo de data de nascimento e checkbox de confirmação de idade), com a data de nascimento persistida em nossa base de dados após a confirmação de e-mail, conforme Sec 3, e (b) revalidação técnica no checkout, com bloqueio automático em caso de identificação de idade inferior a 18 anos.

Conforme exigido pelo Art. 14 da LGPD, não tratamos intencionalmente dados pessoais de menores de 18 anos. A revalidação no checkout é registrada com prova auditável — data, hora, IP, user agent, versão da Política de Privacidade e versão dos Termos de Uso aceitos no momento — atendendo aos princípios do Art. 6º II (boa-fé) e Art. 50 (boas práticas).

Identificando tratamento inadvertido (ex: cadastro com data de nascimento abaixo de 18 anos): o sistema bloqueia automaticamente o checkout antes da criação de qualquer pedido e o titular é orientado, no próprio fluxo, a corrigir o cadastro (em /perfil — caso de erro de digitação) ou contatar o Encarregado de Proteção de Dados (caso de adolescente honesto que precise envolver responsável legal).

Não direcionamos qualquer comunicação de marketing a menores. Marketing por e-mail, WhatsApp e qualquer outro canal opcional permanece bloqueado por padrão para todas as contas com idade inferior à mínima da plataforma, mesmo após hipotético consentimento — em conformidade com o Art. 14 §3º da LGPD.

Caso você seja responsável legal e identifique que um menor sob sua tutela cadastrou-se na plataforma sem autorização, entre em contato imediatamente com o Encarregado em dpo@pacchamamma.com para exclusão dos dados (Art. 14 §1º LGPD c/c Art. 18 IV LGPD — direito à eliminação).

12. Seus Direitos como Titular (LGPD Art. 18)

Conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018) Art. 18, você tem os seguintes direitos sobre seus dados pessoais:

I. Confirmação da existência de tratamento — saber se tratamos seus dados.

II. Acesso aos dados — receber cópia dos dados que temos sobre você.

III. Correção de dados incompletos, inexatos ou desatualizados.

IV. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

V. Portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa.

VI. Eliminação dos dados pessoais tratados com base em consentimento, exceto nas hipóteses de obrigação legal/regulatória (CTN, Marco Civil).

VII. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados (lista atualizada na seção 6 desta Política).

VIII. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

IX. Revogação do consentimento, nos termos do Art. 8º §5º LGPD.

Direito adicional — Art. 19 §2º LGPD: você pode solicitar resposta imediata em formato simplificado (confirmação de tratamento + acesso resumido aos seus dados) sem necessidade de processo formal completo.

Direito adicional — Art. 20 LGPD: revisão de decisões automatizadas que produzam efeitos jurídicos sobre você. Atualmente não realizamos decisões automatizadas com efeito jurídico, mas reservamos seu direito caso isso mude.

Para exercer qualquer destes direitos, entre em contato com nosso Encarregado de Proteção de Dados pelo e-mail dpo@pacchamamma.com. Compromisso Paccha Mamma: responderemos preferencialmente em até 5 dias úteis, com prazo máximo de até 15 dias previsto no Art. 19 §1º, II da LGPD em casos complexos ou que exijam verificação adicional de identidade, sempre com comunicação prévia ao titular.

Caso não esteja satisfeito com nossa resposta, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) através do site oficial www.gov.br/anpd.

13. Encarregado de Proteção de Dados (DPO)

Conforme exigido pelo Art. 41 da LGPD, designamos um Encarregado de Proteção de Dados (DPO/Encarregado) para atuar como canal de comunicação entre o controlador (Paccha Mamma), os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Encarregado: Gui Duarte. E-mail de contato: dpo@pacchamamma.com.

O DPO é responsável por: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar funcionários e contratados sobre práticas a serem tomadas em relação à proteção de dados pessoais; e executar demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Em conformidade com a Resolução CD/ANPD 2/2022 (regramento de pequenos agentes de tratamento), mantemos canal de comunicação ativo com os titulares mesmo enquadrados como pequeno agente.

Para questões gerais não relacionadas a dados pessoais, utilize contato@pacchamamma.com.

14. Versionamento e Alterações nesta Política

Esta Política de Privacidade é versionada com identificador único (hash SHA256 do conteúdo) calculado automaticamente pelo banco de dados a cada publicação. Esse identificador permite ao Paccha Mamma demonstrar à ANPD, em caso de fiscalização, exatamente qual versão estava vigente em cada data e qual versão foi aceita por cada titular.

Versões anteriores publicadas são preservadas em registro imutável e auditável por tempo indeterminado, com proteções técnicas contra alteração ou exclusão indevida, garantindo cadeia probatória para fins de prova ANPD (Art. 9º II e Art. 18 VII LGPD).

Podemos atualizar esta Política periodicamente para refletir mudanças em nossas práticas, novos operadores, ajustes de bases legais ou requisitos regulatórios.

Alterações materiais (que afetem direitos do titular, finalidades de tratamento ou operadores) serão comunicadas por e-mail e/ou aviso destacado na plataforma com antecedência razoável. Quando o tratamento depender de consentimento, será solicitada nova confirmação antes da continuidade.

Correções não-materiais (typos, ajustes editoriais, atualizações de links) são publicadas continuamente sem notificação individual, mas o histórico permanece auditável.

Recomendamos que você revise esta Política periodicamente. A data da última atualização aparece no topo desta página.