Documento legal
Política de Privacidade
Última atualização: 01 de julho de 2026
O Romaria+ (“Romaria+”, “nós”) leva a sua privacidade a sério. Esta Política descreve quais dados coletamos, por que coletamos, como os tratamos e quais direitos você possui sobre eles, em conformidade com a Lei nº 13.709/2018 (LGPD).
1. Quem é o controlador
Guilherme Galdino Bitencourt, inscrito no CPF sob o nº 470.163.248-18, com sede em Rua Pedro Luiz Alencastro Gasparetto, Porteira Preta, Mogi das Cruzes - SP, CEP 08763-600, é o controlador dos dados pessoais coletados nesta plataforma, operada sob a marca Romaria+. Para exercer seus direitos ou tirar dúvidas, entre em contato pelo e-mail privacidade@romaria.app.
2. Quais dados coletamos
Coletamos apenas o necessário para prestar o serviço:
- Cadastro: nome, e-mail, telefone, data de nascimento, CPF (quando aplicável), cidade.
- Saúde (dado sensível — somente romeiros): alergias, medicamentos de uso contínuo, contato de emergência e informações relevantes para socorro. Esses dados são criptografados em banco de dados (AES-256-GCM) e acessíveis apenas pelo organizador da sua romaria e pela equipe de socorro autorizada.
- Localização (GPS): coordenadas geográficas em tempo real exclusivamente durante o período da romaria, para segurança e recurso de SOS. A coleta depende de consentimento expresso e pode ser revogada a qualquer momento nas configurações do aplicativo; a revogação não implica cancelamento da inscrição, mas desativa os recursos dependentes de localização.
- Pagamentos: processados por Stripe e Mercado Pago. Não armazenamos dados de cartão em nossos servidores.
- Uso da plataforma: registros técnicos (logs), IP, tipo de dispositivo e cookies essenciais.
- Dados dos organizadores: razão social ou nome completo, CPF/CNPJ, e-mail, telefone e dados bancários para repasse de pagamentos — tratados com a mesma política aqui descrita.
3. Por que tratamos seus dados (bases legais)
Para dados pessoais comuns (art. 7º da LGPD):
- Execução de contrato (art. 7º, V) — para inscrever você na romaria, processar pagamentos e prestar o serviço contratado.
- Consentimento (art. 7º, I) — para compartilhamento de geolocalização em tempo real, envio de notificações push e uso de imagem.
- Proteção da vida (art. 7º, VII) — para acionamento de SOS e socorro emergencial.
- Cumprimento de obrigação legal (art. 7º, II) — para emissão de recibos, relatórios fiscais e atendimento a autoridades quando exigido.
- Legítimo interesse (art. 7º, IX) — para segurança da plataforma, prevenção a fraudes e melhorias do produto.
Para dados sensíveis de saúde, as bases legais aplicáveis são, cumulativamente (art. 11 da LGPD):
- Consentimento específico e destacado do titular (art. 11, I) — solicitado no momento do cadastro, de forma granular e apartada dos demais termos, podendo ser revogado a qualquer momento.
- Tutela da saúde e proteção da vida (art. 11, II, “e”) — para fins de socorro emergencial durante a romaria, por entidade responsável pela segurança dos participantes.
4. Com quem compartilhamos
Compartilhamos dados estritamente com:
- Organizador da romaria que você participa — para gestão, hospedagem, transporte e segurança.
- Operadores técnicos: Vercel (hospedagem), Supabase (banco de dados), Upstash (rate limit), Stripe e Mercado Pago (pagamentos), Sentry (monitoramento de erros).
- Autoridades públicas — quando legalmente exigido (ordem judicial, requisição legal). Na medida em que a lei permitir, notificaremos o titular sobre tal requisição.
Nunca vendemos seus dados. Nunca compartilhamos dados de saúde para fins comerciais.
5. Transferências internacionais de dados
Alguns dos nossos operadores técnicos processam dados em servidores fora do Brasil:
- Vercel Inc. — Estados Unidos (hospedagem da aplicação web)
- Supabase Inc. — Estados Unidos (banco de dados)
- Upstash Inc. — Estados Unidos (rate limiting)
- Stripe Inc. — Estados Unidos (processamento de pagamentos)
- Mercado Pago S.A. — Argentina/Brasil (processamento de pagamentos)
- Functional Software Inc. (Sentry) — Estados Unidos (monitoramento de erros)
Essas transferências são realizadas com amparo no art. 33, II da LGPD, com base em cláusulas contratuais específicas (Standard Contractual Clauses — SCCs) celebradas com cada operador, que impõem obrigações equivalentes às da legislação brasileira de proteção de dados. Todos os operadores acima celebraram Acordos de Processamento de Dados (DPAs) compatíveis com a LGPD.
6. Por quanto tempo guardamos
- Cadastro e histórico de romarias: enquanto sua conta estiver ativa, mais 5 anos para fins fiscais e estatísticos.
- Geolocalização em tempo real: retida apenas durante a romaria; após o término, agregada de forma anonimizada para estatísticas, e o histórico individual é apagado em até 90 dias.
- Dados de saúde: apagados em até 30 dias após o término da última romaria, salvo solicitação contrária do titular.
- Logs de acesso: 12 meses (art. 15 do Marco Civil da Internet).
7. Seus direitos como titular
A LGPD garante a você os seguintes direitos (art. 18):
- Confirmar a existência de tratamento
- Acessar e obter cópia dos seus dados
- Corrigir dados incompletos ou desatualizados
- Solicitar anonimização, bloqueio ou exclusão de dados desnecessários ou tratados em desconformidade com a LGPD
- Portabilidade dos dados a outro fornecedor de serviço
- Revogar o consentimento a qualquer momento, sem prejuízo do tratamento já realizado
- Eliminar os dados tratados com base em consentimento
- Obter informação sobre as entidades com as quais compartilhamos seus dados
- Opor-se ao tratamento realizado com fundamento em legítimo interesse, quando este contrarie suas expectativas razoáveis (art. 18, IX)
- Peticionar à Autoridade Nacional de Proteção de Dados (ANPD)
Para exercer qualquer um destes direitos, escreva para privacidade@romaria.app ou, se você for um romeiro, use a opção “Excluir minha conta” dentro do aplicativo. Respondemos em até 15 dias úteis; prazo passível de extensão fundamentada em casos de complexidade ou volume excepcional de solicitações.
8. Incidentes de segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD, com informações sobre:
- A natureza dos dados pessoais afetados
- As medidas técnicas e de segurança adotadas para mitigar os efeitos
- Os riscos relacionados ao incidente
- Os dados de contato do encarregado de proteção de dados
A comunicação será realizada pelo e-mail cadastrado e/ou por notificação na plataforma. Para reportar uma vulnerabilidade, entre em contato com seguranca@romaria.app.
9. Como protegemos
- Criptografia em trânsito (HTTPS/TLS 1.3) em todas as requisições
- Criptografia em repouso para dados sensíveis (AES-256-GCM)
- Controle de acesso por papel: organizadores só veem romeiros das suas próprias romarias
- Senhas com hash bcrypt (nunca em texto puro)
- Rate limiting distribuído contra força bruta e abuso
- Monitoramento contínuo via Sentry
10. Cookies
Usamos apenas cookies estritamente necessários para autenticação e segurança (sessão Supabase, CSRF). Não usamos cookies de marketing ou rastreamento de terceiros.
11. Crianças e adolescentes
Romeiros menores de 18 anos só podem ser inscritos por responsáveis legais, conforme art. 14 da LGPD. O responsável legal torna-se o titular do consentimento e assume responsabilidade pelo tratamento dos dados do menor. O Romaria+ adota as seguintes salvaguardas:
- No fluxo de inscrição, o responsável declara expressamente ser o representante legal do menor e fornece seus próprios dados de identificação;
- Dados de menores são coletados apenas na medida do estritamente necessário para a prestação do serviço;
- Dados de menores não são compartilhados com terceiros além dos operadores listados na seção 4, salvo mediante novo consentimento do responsável;
- O responsável pode solicitar a exclusão dos dados do menor a qualquer momento pelo canal de privacidade.
Se identificarmos que dados de menor foram coletados sem consentimento parental verificável, excluiremos tais dados imediatamente.
12. Alterações nesta política
Podemos atualizar esta Política. Mudanças relevantes serão comunicadas por e-mail e/ou notificação na plataforma com pelo menos 15 dias de antecedência. O uso continuado da plataforma após a vigência das alterações implica concordância com a nova versão.
13. Encarregado de Dados (DPO)
Encarregado de Proteção de Dados: Guilherme Galdino Bitencourt.
Contato: dpo@romaria.app
Em caso de dúvida sobre esta política ou sobre o tratamento dos seus dados, fale conosco em privacidade@romaria.app.
