1. Introdução e Controlador
A CorraPass é a controladora dos dados pessoais tratados em sua plataforma, nos termos do art. 5º, VI da LGPD. Esta Política se aplica a todos os usuários — corredores e organizadores — que utilizam o site, o app e os serviços relacionados.
Quando um organizador usa nossa plataforma para vender inscrições, ele também atua como controlador dos dados dos seus inscritos para fins do evento. Nesse cenário, a CorraPass age como operadora em relação a esses dados específicos.
Esta Política deve ser lida em conjunto com nossos Termos de Uso.
2. Dados que Coletamos
2.1 Dados fornecidos por você:
- Cadastro: nome completo, e-mail, telefone, CPF, data de nascimento, sexo.
- Inscrição em evento: contato de emergência, tamanho de camiseta, equipe/assessoria, modalidade.
- Dados pessoais sensíveis (somente quando exigidos pelo organizador para a segurança da prova): tipo sanguíneo, alergias e condições médicas relevantes. Tratados com base no consentimento específico e destacado do titular (art. 11, I da LGPD), cumulado com a hipótese de tutela da saúde em situação de emergência durante o evento (art. 11, II, "f"). A revogação do consentimento pode impedir a inscrição em provas que exijam essas informações.
- Pagamento: processado diretamente pelo Mercado Pago. A CorraPass não armazena número completo de cartão, CVV nem senha de pagamento — recebemos apenas status da transação e identificadores anonimizados.
- Conteúdo de organizadores: CNPJ/CPF, razão social, dados bancários (custodiados pelo Mercado Pago), informações do evento.
2.2 Dados coletados automaticamente:
- Endereço IP, identificador de dispositivo, navegador e sistema operacional.
- Páginas visitadas, cliques, tempo de navegação e referenciador.
- Logs de segurança (login, troca de senha, tentativas suspeitas).
- Geolocalização aproximada por IP. Não usamos GPS sem consentimento expresso.
2.3 Dados recebidos de terceiros:
- Quando você entra com Google, recebemos nome, e-mail e foto de perfil — apenas o estritamente necessário para autenticar sua conta.
- Status de pagamento, antifraude e dados de transação vindos do Mercado Pago.
Aplicamos o princípio da necessidade (art. 6º, III da LGPD): coletamos apenas o mínimo de dados indispensável a cada finalidade. Dados não exigidos por lei ou contrato são opcionais e claramente sinalizados.
3. Finalidades do Tratamento
- Criar e manter sua conta, autenticar acessos e prevenir fraudes.
- Processar inscrições, pagamentos, emitir ingresso digital e QR Code.
- Permitir check-in e validação no dia do evento.
- Compartilhar com o organizador os dados necessários para realizar o evento.
- Enviar comunicações transacionais (confirmação, lembrete, alteração de evento).
- Atender solicitações de suporte, reembolso e exercer direitos como titular.
- Melhorar a plataforma com métricas agregadas e anonimizadas.
- Cumprir obrigações legais, regulatórias e fiscais.
- Enviar comunicações de marketing — somente com seu consentimento, com opt-out a qualquer momento.
4. Bases Legais (LGPD)
Cada finalidade descrita na seção 3 se ampara em uma base legal específica do art. 7º (dados pessoais) ou do art. 11 (dados pessoais sensíveis) da LGPD:
| Finalidade | Base legal |
|---|---|
| Criação e manutenção da conta; inscrição e participação no evento | Art. 7º, V — execução de contrato e procedimentos preliminares |
| Processamento de pagamento via split automático | Art. 7º, V — execução de contrato |
| Comunicações transacionais (confirmação, lembrete, alteração) | Art. 7º, V — execução de contrato |
| Suporte ao cliente e atendimento de solicitações | Art. 7º, V e IX — contrato e legítimo interesse |
| Emissão de nota fiscal, escrituração e obrigações tributárias | Art. 7º, II — cumprimento de obrigação legal/regulatória |
| Prevenção a fraude, segurança da informação e logs | Art. 7º, IX — legítimo interesse, com avaliação prévia (LIA) |
| Proteção ao crédito e prevenção a chargeback | Art. 7º, X — proteção ao crédito |
| Melhoria da plataforma com métricas agregadas/anonimizadas | Dados anonimizados — fora do escopo da LGPD (art. 12) |
| Marketing, newsletter e remarketing | Art. 7º, I — consentimento livre, informado e revogável |
| Dados sensíveis de saúde para segurança em prova esportiva | Art. 11, I (consentimento específico) cumulado com art. 11, II, "f" (tutela da saúde em emergência) |
| Defesa em processo judicial, administrativo ou arbitral | Art. 7º, VI e art. 11, II, "d" — exercício regular de direitos |
| Atendimento a requisições de autoridades competentes | Art. 7º, II e art. 11, II, "a" — obrigação legal/regulatória |
Sempre que utilizamos a base do legítimo interesse (art. 7º, IX), realizamos previamente um teste de balanceamento (LIA) para garantir que seus direitos e liberdades fundamentais não sejam comprometidos. Você pode se opor a esses tratamentos a qualquer tempo (seção 10).
5. Compartilhamento de Dados
Compartilhamos dados estritamente com quem é necessário para entregar o serviço, sempre sob contrato e cláusulas de proteção de dados. Identificamos abaixo o papel de cada terceiro nos termos da LGPD:
| Quem recebe | O que é compartilhado | Papel LGPD |
|---|---|---|
| Organizador do evento | Nome, idade, sexo, contato, equipe, modalidade e — quando exigidos no formulário — dados médicos da prova. CPF apenas quando legalmente necessário (controle de fraude, premiação, federação). | Controlador independente quanto à execução do evento |
| Mercado Pago | Dados de pagamento, antifraude e identificação do pagador exigidos pela regulação financeira. | Controlador independente (regulado pelo BACEN) |
| Provedores de infraestrutura (Cloudflare, Supabase) | Dados em hospedagem, banco de dados, CDN e logs operacionais. | Operadores, sob contrato com cláusulas LGPD |
| Provedores de e-mail transacional | Nome, e-mail e conteúdo necessário ao envio de confirmações e comunicados. | Operadores |
| Provedores de analytics (somente com consentimento) | Identificadores pseudônimos, eventos de navegação agregados. | Operadores |
| Autoridades públicas e Poder Judiciário | Dados estritamente requisitados, mediante ordem judicial ou requisição legal fundamentada. | Cumprimento de obrigação legal |
Não vendemos seus dados. Não os compartilhamos com terceiros para publicidade fora da plataforma sem consentimento expresso. Em caso de reorganização societária, fusão ou aquisição, eventuais transferências de dados serão precedidas de comunicação aos titulares e manterão o mesmo nível de proteção desta Política.
6. Transferência Internacional
Parte da nossa infraestrutura usa provedores globais (Cloudflare Workers, Supabase, Google) que podem processar dados fora do Brasil. Quando isso ocorre, garantimos que o destino oferece grau de proteção adequado, nos termos do art. 33 da LGPD, por meio de:
- Cláusulas contratuais padrão de proteção de dados.
- Provedores certificados em padrões internacionais (ISO 27001, SOC 2).
- Compromisso contratual de uso restrito à finalidade contratada.
7. Armazenamento e Retenção
Aplicamos os princípios da necessidade e da limitação da finalidade (art. 6º, III e art. 15 da LGPD). Cada categoria de dado tem um prazo próprio, conforme abaixo:
| Categoria | Prazo | Fundamento |
|---|---|---|
| Dados de cadastro (nome, e-mail, telefone, senha) | Enquanto a conta estiver ativa | Execução de contrato |
| Após exclusão da conta — dados de cadastro | Eliminados em até 30 dias | Art. 16 da LGPD |
| Inscrições, ingressos e histórico de eventos | 5 anos após a realização do evento | CDC, art. 27 (prescrição) |
| Pagamentos e comprovantes financeiros | 5 anos contados do encerramento do exercício | CTN, art. 174; Código Civil, art. 206 |
| Notas fiscais e escrituração | 5 anos | Legislação tributária |
| Dados sensíveis de saúde | Apagados em até 90 dias após o evento | Princípio da necessidade |
| Logs de acesso à aplicação | Mínimo de 6 meses (podem ser mantidos por até 12) | Marco Civil da Internet, art. 15 |
| Logs de segurança e antifraude | Até 12 meses | Art. 7º, IX (legítimo interesse) |
| Comunicações com suporte | 2 anos após o último contato | Defesa de direitos (art. 7º, VI) |
| Consentimentos de marketing | Até a revogação | Art. 8º, §5º (revogação livre) |
Quando você solicita exclusão da conta, eliminamos os dados de cadastro em até 30 dias. Registros financeiros, fiscais e transacionais permanecem armazenados pelos prazos legais acima, em base segregada e com acesso restrito, exclusivamente para cumprimento de obrigação legal e exercício regular de direitos (art. 16, I e II da LGPD).
Encerrados todos os prazos aplicáveis, os dados são eliminados de forma segura ou anonimizados de forma irreversível para fins estatísticos agregados (art. 12 da LGPD).
8. Segurança da Informação
Adotamos medidas técnicas e organizacionais compatíveis com a sensibilidade dos dados:
- Criptografia em trânsito: TLS 1.2+ em 100% das conexões.
- Criptografia em repouso: AES-256 no banco de dados e backups.
- Senhas: armazenadas com hash bcrypt com salt único; nunca em texto puro.
- Controle de acesso: princípio do menor privilégio, autenticação multifator para equipe interna.
- Row Level Security (RLS): isolamento de dados por usuário no banco.
- Backups: automáticos e criptografados, com testes periódicos de restauração.
- Monitoramento: logs de auditoria, alertas de comportamento anômalo e proteção contra DDoS.
- Treinamento: equipe orientada quanto à LGPD e boas práticas de segurança.
- Pagamentos: processados em ambiente PCI-DSS pelo Mercado Pago — não tocamos em dados de cartão.
Nenhum sistema é 100% imune. Se identificar comportamento suspeito na sua conta, troque a senha e nos avise imediatamente em seguranca@corrapass.app.
10. Seus Direitos como Titular
A LGPD (art. 18) garante a você os seguintes direitos, exercíveis gratuitamente:
Confirmação e acesso
Saber se tratamos seus dados e obter cópia.
Correção
Atualizar dados incompletos, inexatos ou desatualizados.
Anonimização ou exclusão
Solicitar a remoção de dados desnecessários ou tratados em desconformidade.
Portabilidade
Receber seus dados em formato estruturado e interoperável.
Revogação do consentimento
Cancelar autorização a qualquer momento, sem prejuízo do tratamento legal anterior.
Informação e oposição
Saber com quem compartilhamos e se opor a tratamentos baseados em legítimo interesse.
Para exercer qualquer direito, escreva para dpo@corrapass.app informando seu nome completo e CPF. Respondemos em até 15 dias. Você também pode reclamar diretamente à ANPD (Autoridade Nacional de Proteção de Dados).
11. Crianças e Adolescentes
A plataforma é voltada a maiores de 18 anos. Crianças e adolescentes podem ser inscritos por seus responsáveis legais, que assumem a responsabilidade pelos dados fornecidos e pela participação no evento, nos termos do art. 14 da LGPD.
Dados de menores são tratados com a estrita finalidade de viabilizar a inscrição e a segurança do participante.
12. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos:
- A ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD.
- Detalhando: natureza dos dados, titulares envolvidos, medidas técnicas adotadas, riscos e medidas de mitigação.
Mantemos plano de resposta a incidentes documentado, com papéis definidos e revisão periódica.
13. Alterações desta Política
Podemos atualizar esta Política para refletir mudanças legais, técnicas ou de negócio. Alterações substanciais serão comunicadas com pelo menos 7 dias de antecedência por e-mail e/ou aviso na plataforma. A data de "Última atualização" no topo indica a versão vigente.
14. Encarregado (DPO) e Contato
Nosso Encarregado pelo Tratamento de Dados (Data Protection Officer) está à disposição para esclarecer dúvidas, receber solicitações e atender requisições da ANPD.
- E-mail do DPO: dpo@corrapass.app
- Suporte geral: contato@corrapass.app
- Segurança: seguranca@corrapass.app
- Tempo médio de resposta: até 15 dias para solicitações LGPD; 2 dias úteis para suporte.
Política em conformidade com a LGPD (Lei 13.709/2018), o Marco Civil da Internet (Lei 12.965/2014) e o Código de Defesa do Consumidor (Lei 8.078/1990). Vigente desde 01 de maio de 2026.