Política de Privacidade

O Romaria+ (“Romaria+”, “nós”) leva a sua privacidade a sério. Esta Política descreve quais dados coletamos, por que coletamos, como os tratamos e quais direitos você possui sobre eles, em conformidade com a Lei nº 13.709/2018 (LGPD).

1. Quem é o controlador

O Romaria+ é o controlador dos dados pessoais coletados nesta plataforma. Para exercer seus direitos ou tirar dúvidas, entre em contato pelo e-mail privacidade@romariaplus.com.br.

2. Quais dados coletamos

Coletamos apenas o necessário para prestar o serviço:

• Cadastro: nome, e-mail, telefone, data de nascimento, CPF (quando aplicável), cidade.
• Saúde (apenas para romeiros): alergias, medicamentos de uso contínuo, contato de emergência e informações relevantes para socorro. Esses dados são criptografados em banco de dados (AES-256-GCM) e acessíveis apenas pelo organizador da sua romaria e pela equipe de socorro autorizada.
• Localização (GPS): coordenadas geográficas em tempo real durante o período da romaria, para segurança e recurso de SOS.
• Pagamentos: processados por Stripe e Mercado Pago. Não armazenamos dados de cartão em nossos servidores.
• Uso da plataforma: registros técnicos (logs), IP, tipo de dispositivo e cookies essenciais.

3. Por que tratamos seus dados (bases legais)

• Execução de contrato — para inscrever você na romaria, processar pagamentos e prestar o serviço contratado.
• Consentimento — para compartilhamento de geolocalização em tempo real, envio de notificações push e uso de imagem.
• Proteção da vida — para acionamento de SOS e socorro emergencial (art. 7º, VII da LGPD).
• Cumprimento de obrigação legal — para emissão de recibos, relatórios fiscais e atendimento a autoridades quando exigido.
• Legítimo interesse — para segurança da plataforma, prevenção a fraudes e melhorias do produto.

4. Com quem compartilhamos

Compartilhamos dados estritamente com:

• Organizador da romaria que você participa — para gestão, hospedagem, transporte e segurança.
• Operadores técnicos: Vercel (hospedagem), Supabase (banco de dados), Upstash (rate limit), Stripe e Mercado Pago (pagamentos), Sentry (monitoramento de erros).
• Autoridades públicas — quando legalmente exigido (ordem judicial, requisição legal).

Nunca vendemos seus dados. Nunca compartilhamos dados de saúde para fins comerciais.

5. Por quanto tempo guardamos

• Cadastro e histórico de romarias: enquanto sua conta estiver ativa, mais 5 anos para fins fiscais e estatísticos.
• Geolocalização em tempo real: retida apenas durante a romaria; após o término, agregada de forma anonimizada para estatísticas e o histórico individual é apagado em até 90 dias.
• Dados de saúde: apagados em até 30 dias após o término da última romaria, salvo solicitação contrária do titular.
• Logs de acesso: 12 meses (Marco Civil da Internet).

6. Seus direitos como titular

A LGPD garante a você os seguintes direitos:

• Confirmar a existência de tratamento
• Acessar e obter cópia dos seus dados
• Corrigir dados incompletos ou desatualizados
• Solicitar anonimização, bloqueio ou exclusão
• Portabilidade dos dados
• Revogar o consentimento a qualquer momento
• Eliminar os dados tratados com base em consentimento

Para exercer qualquer um destes direitos, escreva para privacidade@romariaplus.com.br ou, se você for um romeiro, use a opção “Excluir minha conta” dentro do aplicativo. Respondemos em até 15 dias.

7. Como protegemos

• Criptografia em trânsito (HTTPS/TLS 1.3) em todas as requisições
• Criptografia em repouso para dados sensíveis (AES-256-GCM)
• Controle de acesso por papel: organizadores só veem romeiros das suas próprias romarias
• Senhas com hash bcrypt (nunca em texto puro)
• Rate limiting distribuído contra força bruta e abuso
• Monitoramento contínuo via Sentry

8. Cookies

Usamos apenas cookies estritamente necessários para autenticação e segurança (sessão Supabase, CSRF). Não usamos cookies de marketing ou rastreamento de terceiros.

9. Crianças e adolescentes

O Romaria+ não é destinado a menores de 18 anos. Romeiros menores de idade só podem ser inscritos por responsáveis legais, que se tornam os titulares do consentimento sobre os dados do menor.

10. Alterações nesta política

Podemos atualizar esta Política. Mudanças relevantes serão comunicadas por e-mail e/ou notificação na plataforma com pelo menos 15 dias de antecedência.

11. Encarregado de Dados (DPO)

Encarregado de Proteção de Dados: dpo@romariaplus.com.br