Política de Privacidade — Brisa Pass
⚠️ Documento em revisão jurídica final. Versão atual escrita pela equipe Brisa Pass com fundamentação legal explícita (ver §"Base Legal e Referências" ao final). Pendente parecer formal de advogado externo antes da divulgação pública intencional.
Esta Política de Privacidade descreve quais dados pessoais coletamos, como tratamos, com quem compartilhamos e quais são seus direitos como titular de dados, em conformidade com o Regulamento (UE) 2016/679 (GDPR) e a legislação espanhola aplicável.
1. Quem é o controlador dos seus dados
Brisa Pass S.L., sociedade espanhola com sede em Barcelona, é a controladora dos dados pessoais tratados no contexto deste serviço. Veja §Contato ao final.
- Encarregado de Proteção de Dados (DPO): dpo@brisapass.com
- Autoridade supervisora: Agencia Española de Protección de Datos (AEPD) — aepd.es
Você pode entrar em contato com o DPO a qualquer momento para tirar dúvidas, exercer direitos ou apresentar reclamações.
2. Que dados coletamos
| Categoria | Dados específicos | Quando coletamos |
|---|---|---|
| Identificação | Nome, email, locale (PT/ES) | Cadastro |
| Autenticação | Provedor (email/senha ou Google), email verificado (boolean) | Cadastro · login |
| Consentimentos | Aceite de Termos, Privacidade, declaração 18+, opt-in marketing | Cadastro · alterações em /app/conta |
| Preferências | Tipo de usuário (visitante/residente), vibes, locale escolhido | Onboarding · /app/conta |
| Atividade | Logs de acesso, eventos de produto, IPs (em hash), user-agent | Durante uso do serviço |
| Pagamento (futuro) | Tokenização Stripe (não armazenamos cartão), histórico de cobranças | Quando módulo stripe-billing for ligado |
| Check-in (futuro) | Registros de check-in em clubs (timestamps, club ID, status) | Quando módulos de operação dos clubs forem ligados |
Não coletamos dados sensíveis no sentido do art. 9 do GDPR (saúde, origem racial, opinião política, etc.) exceto o gate de declaração 18+ — que tratamos sob base legal de execução de contrato + consentimento expresso (ver §4).
3. Para que tratamos seus dados (finalidades)
| Finalidade | Base legal (GDPR art. 6) |
|---|---|
| Criar e manter sua conta | art. 6.1.b — execução de contrato |
| Validar idade mínima (18+) — exigência da Lei 19/2010 da Catalunha | art. 6.1.b + 6.1.c — obrigação legal |
| Emitir e verificar credenciais de check-in | art. 6.1.b — execução de contrato |
| Cobrar planos de assinatura (futuro) | art. 6.1.b — execução de contrato |
| Enviar emails transacionais (verificação, recuperação de senha) | art. 6.1.b — execução de contrato |
| Enviar comunicação de marketing | art. 6.1.a — consentimento (opt-in) |
| Análise de uso (estatísticas agregadas) | art. 6.1.f — interesse legítimo |
| Cumprimento de obrigações legais (auditoria, fiscal, antifraude) | art. 6.1.c — obrigação legal |
| Defesa em ações judiciais | art. 6.1.f — interesse legítimo |
Você pode revogar o consentimento de marketing a qualquer momento sem prejudicar o serviço (ver §6 — Seus direitos).
4. Tratamento da declaração 18+
Por ser exigência da Lei 19/2010 da Catalunha (associação a Cannabis Social Clubs é restrita a maiores de 18 anos), a Brisa Pass coleta no cadastro a declaração afirmativa do usuário sobre sua maioridade.
- Base legal dupla: GDPR art. 6.1.a (consentimento expresso) + art. 6.1.b (execução de contrato).
- Evidence trail: registramos em
audit_logso eventouser.consent.acceptedcommeta.consent_type='age_18_plus', IP em hash criptográfico e timestamp. - Retenção: o registro permanece pelo período de relação contratual + prazo prescricional aplicável (ver §7).
Esta declaração não substitui validação documental — quando a Brisa Pass evoluir para validação por documento (Fase 2), você será informado e poderá revisar consentimentos. Veja Aviso sobre Maiores de 18 para o contexto regulatório.
5. Com quem compartilhamos
A Brisa Pass compartilha dados pessoais apenas com processadores que necessitam dos dados para prestar o serviço, todos sujeitos a Acordos de Tratamento de Dados (DPAs) conforme o art. 28 do GDPR:
| Processador | Localização | Finalidade |
|---|---|---|
| Supabase Inc. (via UE-IE) | Irlanda (UE) | Banco de dados (Postgres), autenticação, storage |
| Stripe Payments Europe Ltd. | Irlanda (UE) | Processamento de pagamentos (futuro — stripe-billing) |
| Resend (Resend, Inc.) | UE | Envio de emails transacionais (verificação, recuperação) |
| Sentry (Functional Software) | UE/EUA* | Monitoramento de erros (logs com PII removido por scrubbing) |
| Google Analytics 4 | UE/EUA* | Estatísticas agregadas de uso (sem identificação individual) |
| Microsoft Clarity | UE/EUA* | Heatmaps + session replay (anonimizado) |
| Vercel Inc. | UE | Hospedagem do site e funções serverless |
*Sentry, GA4 e Clarity podem processar dados em servidores fora da UE. A transferência ocorre sob Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (Decisão 2021/914) — ver §6 abaixo. Este ponto está em revisão (ver banner topo do documento).
Não vendemos dados pessoais a terceiros. Não compartilhamos dados com plataformas de publicidade comportamental (ad tech).
6. Transferências internacionais
A Brisa Pass mantém o núcleo do tratamento dentro da União Europeia (Supabase IE, Stripe IE, Resend EU, Vercel EU). Transferências secundárias para Sentry, GA4 e Clarity são realizadas sob:
- Cláusulas Contratuais Padrão (SCCs) aprovadas pela Decisão de Execução (UE) 2021/914.
- Avaliação de Impacto de Transferência (TIA) documentada internamente.
- Direito de oposição: você pode solicitar a retirada de seus dados desses serviços via DPO.
7. Por quanto tempo mantemos seus dados
| Categoria | Prazo de retenção |
|---|---|
| Dados de cadastro | Enquanto sua conta existir + 6 meses após exclusão |
| Logs de auditoria | 5 anos após o evento (prazo prescricional fiscal/civil espanhol) |
| Registros de check-in | 2 anos após cada evento |
| Faturas e recibos (futuro) | 6 anos (obrigação fiscal espanhola — Lei 58/2003, art. 70) |
| Logs técnicos (Sentry/Vercel) | 90 dias |
| Cookies de tracking | Conforme Política de Cookies |
8. Seus direitos
O GDPR (arts. 15 a 22) lhe garante os seguintes direitos, exercíveis a qualquer momento sem custo:
- Acesso (art. 15): receber cópia dos seus dados — disponível via funcionalidade de exportação na sua conta (gera arquivo JSON via Edge Function
build-data-export). - Retificação (art. 16): corrigir dados incorretos.
- Apagamento / "direito ao esquecimento" (art. 17): solicitar exclusão da conta e dados associados (ressalvados dados que devemos manter por obrigação legal).
- Limitação do tratamento (art. 18): restringir o uso enquanto resolvemos reclamações.
- Portabilidade (art. 20): receber dados em formato estruturado e legível por máquina (JSON).
- Oposição (art. 21): opor-se a tratamentos baseados em interesse legítimo.
- Revogação de consentimento: retirar consentimentos (marketing, etc.) sem afetar o tratamento já realizado.
Para exercer qualquer direito: dpo@brisapass.com ou pela funcionalidade na própria conta. Resposta em até 30 dias (prorrogáveis por mais 60 em casos complexos).
Você também tem o direito de apresentar reclamação à AEPD (Agencia Española de Protección de Datos) — aepd.es.
9. Decisões automatizadas e profiling
A Brisa Pass não toma decisões automatizadas com efeito jurídico ou similarmente significativo sobre você no sentido do art. 22 do GDPR. Não há scoring, ranking ou classificação que decida sozinho admissão, suspensão ou exclusão.
Quando recursos com IA forem adicionados (futuro — recomendações de clubs, etc.), você será informado, terá direito de oposição e poderá solicitar revisão humana de decisões automatizadas.
10. Segurança
Aplicamos medidas técnicas e organizacionais apropriadas para proteger seus dados (art. 32 do GDPR), incluindo:
- Criptografia em trânsito (TLS 1.3) e em repouso (AES-256 via Supabase).
- Row-Level Security no banco de dados (cada usuário só lê seus próprios dados).
- Auditoria (
audit_logs) de ações sensíveis. - Scrubbing de PII em logs técnicos (Sentry).
- Princípio do menor privilégio em acesso interno.
- Backup com retenção limitada e criptografada.
Em caso de violação de dados pessoais, comunicaremos a AEPD em até 72 horas (art. 33) e notificaremos os titulares afetados quando o risco for elevado (art. 34).
11. Cookies
Detalhes em Política de Cookies. Resumo: usamos cookies estritamente necessários (sem consentimento, base legal de execução de contrato — brisa_locale, sb-* Supabase Auth) e cookies de análise (com consentimento — _ga, _clck, brisa_track).
Aviso: o banner de consent técnico (gate de tracking opt-in) está em desenvolvimento. Até o seu lançamento, controles de cookies devem ser feitos pelo seu navegador.
12. Versionamento desta Política
Esta Política pode ser atualizada. Mudanças materiais (que alterem finalidade, base legal ou destinatários) serão comunicadas por email com antelação mínima de 30 dias conforme art. 13 §3 do GDPR — boa prática que adotamos.
- Versão atual: v2.0
- Versões arquivadas: /legal/versoes
Base Legal e Referências
Este documento foi redigido com fundamentação legal explícita nas seguintes normas:
- Regulamento (UE) 2016/679 (GDPR) — art. 4 (definições), art. 5 (princípios), art. 6 (bases legais), art. 7 (consentimento), art. 9 (categorias especiais), art. 13–14 (informação ao titular), art. 15–22 (direitos do titular), art. 28 (encarregado do tratamento), art. 30 (registros de tratamento), art. 32 (segurança), art. 33–34 (notificação de violações), art. 44–49 (transferências internacionais).
- Lei Orgânica 3/2018, de 5 de dezembro — Proteção de Dados Pessoais e Garantia dos Direitos Digitais (LOPDGDD), Espanha.
- Diretiva 2002/58/CE (ePrivacy) — comunicações eletrônicas e cookies.
- Decisão de Execução (UE) 2021/914 — Cláusulas Contratuais Padrão (SCCs) para transferências internacionais.
- Lei 58/2003, de 17 de dezembro (Lei Geral Tributária Espanhola), art. 70 — prazos de retenção fiscal.
- Lei 19/2010 da Catalunha, de 7 de junho — base legal específica do tratamento da declaração 18+ (ver Aviso sobre Maiores de 18).
Contato
- Razão social: Brisa Pass S.L.
- CIF: [A PREENCHER pelo PL]
- Endereço: [A PREENCHER pelo PL — Barcelona, Espanha]
- Email geral: contato@brisapass.com
- Encarregado de Proteção de Dados (DPO): dpo@brisapass.com
- Autoridade supervisora competente: Agencia Española de Protección de Datos (AEPD) — aepd.es