Política de Privacidade do TempStage
Esta Política de Privacidade descreve como o TempStage coleta, utiliza, armazena, compartilha e protege os dados pessoais dos seus usuários. Ela se aplica ao site, à aplicação web e a quaisquer outros serviços oferecidos sob a marca TempStage (em conjunto, o "Serviço") e deve ser lida em conjunto com os Termos de Uso.
Estamos comprometidos com a transparência exigida pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990 — CDC).
1. Quem é o Controlador
O Controlador dos dados pessoais tratados pelo TempStage é FLS INOVACAO E TECNOLOGIA DA INFORMACAO LTDA, inscrita no CNPJ sob o nº 41.541.419/0001-38, com sede em Rua Otto de Alencar, 315, Liberdade, São Paulo - SP, CEP 01517-000.
2. Encarregado pelo Tratamento de Dados Pessoais (DPO)
Em conformidade com o artigo 41 da LGPD, indicamos como nosso Encarregado:
- Nome / Cargo: FELIPE LUCIANO DOS SANTOS
- Canal de contato: felipe@tempstage.app
O Encarregado é o ponto de contato único para qualquer assunto relacionado a tratamento de dados pessoais, exercício de direitos, dúvidas e comunicações com a ANPD.
3. Quais dados pessoais coletamos e em que momento
Coletamos dados em três momentos principais: no cadastro da conta, na utilização do Serviço e por meio de integrações com terceiros.
3.1 Dados de identificação e autenticação
| Dado | Quando é coletado | Forma de armazenamento |
|---|---|---|
| Endereço de e-mail | No cadastro | Texto, com restrição de unicidade |
| Nome completo | No cadastro | Texto |
| Apelido (nickname) | No cadastro ou ao entrar em uma sala | Texto |
| Telefone (opcional) | No cadastro ou na atualização de perfil | Texto |
| Senha | No cadastro e em redefinições | Apenas o hash bcrypt — nunca em texto puro |
| Token de verificação de e-mail | No cadastro | Texto temporário com expiração |
| Token de redefinição de senha | Ao solicitar "esqueci minha senha" | Texto temporário com expiração curta |
3.2 Dados de autenticação de sessão
Quando você faz login, geramos um token JWT assinado (HS256) armazenado em um cookie HTTP-only chamado session, com prazo de 7 dias. Esse cookie é essencial ao funcionamento do Serviço.
3.3 Dados de uso do Serviço
| Categoria | Exemplos |
|---|---|
| Conteúdo gerado pelo usuário | Nome da festa, nomes de mesa, mensagens promocionais (plano mensal), nicknames usados em salas |
| Atividade na sala | Músicas adicionadas à fila, favoritos, configurações de telão (cores, logo) |
| Metadados de sessão | Códigos de sala, tokens de mesa, registros de presença |
3.4 Dados de pagamento
Ao contratar um plano, processamos a transação por meio da Stripe. Não armazenamos dados de cartão (PAN, CVV, data de validade) — esses dados ficam exclusivamente sob a responsabilidade da Stripe. Recebemos da Stripe e armazenamos apenas:
- Identificador de cliente Stripe (
customerId) - Identificador da assinatura (
subscriptionId) - Status da transação
- Identificador de acesso ao evento (interno)
3.5 Dados de consentimento
| Dado | Finalidade |
|---|---|
marketing_opt_in + timestamp |
Comprovar consentimento em receber e-mails promocionais |
terms_accepted_version |
Comprovar versão dos Termos de Uso aceita |
privacy_accepted_version |
Comprovar versão desta Política aceita |
terms_accepted_at |
Comprovar o momento exato do aceite (Termos + Política) |
3.6 Dados anonimizados e agregados de uso
Para entender padrões de uso e melhorar o produto, coletamos métricas agregadas sem identificação individual via Vercel Analytics e Vercel Speed Insights. Essas métricas são cookieless (não setam cookies de rastreamento) e não permitem reidentificação do titular.
Adicionalmente, eventos analíticos internos podem ser registrados (telemetria de partidas: contagem de músicas tocadas, sessions ativas). Quando esses eventos contêm vínculo com user_id, esse vínculo é tratado como dado pessoal sob as regras desta Política.
4. Bases legais para o tratamento (LGPD, art. 7º)
Cada categoria de dado é tratada com base em uma hipótese legal específica:
| Base legal LGPD | Aplicação |
|---|---|
| Execução de contrato (art. 7º, V) | Identificação, autenticação, conteúdo do produto, pagamento, registros financeiros |
| Consentimento (art. 7º, I) | Comunicações de marketing (marketing_opt_in) |
| Legítimo interesse (art. 7º, IX) | Analytics agregado cookieless, prevenção de fraude e abuso, uso de hCaptcha em formulários públicos |
| Cumprimento de obrigação legal (art. 7º, II) | Retenção de registros fiscais e contábeis decorrentes de transações de pagamento |
| Proteção do crédito (art. 7º, X) | Dados de transações pelo prazo legal mínimo |
5. Finalidades do tratamento
Tratamos dados pessoais para:
- Prestar o Serviço: criar e manter sua conta; permitir o uso de salas, fila de músicas, telão, branding, promoções; conectar anfitriões e convidados.
- Comunicar com você: enviar e-mails transacionais (verificação de e-mail, redefinição de senha, confirmação de pagamento, recibos, avisos legais) e — somente com seu consentimento — comunicações de marketing.
- Processar pagamentos: por meio da Stripe.
- Prevenir fraude e abuso: hCaptcha em formulários públicos, monitoramento de uso anômalo, suspensão de contas que violem os Termos.
- Cumprir obrigações legais: retenção fiscal, atendimento a requisições da ANPD ou de autoridades judiciais.
- Melhorar o produto: análise agregada cookieless e telemetria interna.
6. Subprocessadores
Para operar o Serviço, contratamos operadores que tratam dados em nosso nome. Todos estão vinculados por contrato a tratar os dados estritamente para as finalidades aqui descritas:
| Subprocessador | Finalidade | País de operação |
|---|---|---|
| Stripe | Processamento de pagamentos e assinaturas | EUA |
| Vercel | Hospedagem da aplicação, edge runtime, analytics agregado e Speed Insights | EUA |
| Neon | Armazenamento do banco PostgreSQL serverless | EUA |
| Upstash | Armazenamento em Redis para realtime de sessões | EUA |
| Resend | Envio de e-mails transacionais e de marketing | EUA |
| Vercel Blob Storage | Armazenamento de uploads (logos de telão, imagens de promoções) | EUA |
| YouTube / Google | Fornecimento e reprodução dos vídeos de karaokê | EUA |
| hCaptcha | Proteção contra bots em formulários públicos | EUA |
A lista pode ser atualizada — alterações relevantes serão refletidas com bump da versão desta Política.
7. Transferência internacional de dados (LGPD, art. 33)
Os subprocessadores listados na Seção 6 estão localizados nos Estados Unidos. Esses tratamentos envolvem, portanto, transferência internacional de dados pessoais.
Garantimos essa transferência com base nas hipóteses do art. 33 da LGPD, em especial:
- Cláusulas contratuais padrão: contratos de tratamento (DPA — Data Processing Agreement) com cada subprocessador.
- Garantias de segurança: certificações reconhecidas (SOC 2, ISO 27001 quando aplicável) e medidas técnicas equivalentes.
Você pode solicitar mais informações sobre as garantias específicas de transferência internacional por meio do contato do Encarregado (Seção 2).
8. Por quanto tempo retemos seus dados
| Categoria | Prazo de retenção |
|---|---|
| Dados de conta (identificação, perfil) | Enquanto a conta estiver ativa; até 30 dias após a exclusão para conclusão técnica |
| Dados transacionais (pagamentos, recibos) | 5 anos, conforme legislação fiscal e CDC |
| Logs de acesso e segurança | 6 meses, conforme art. 15 do Marco Civil da Internet |
| Tokens de verificação e redefinição de senha | Até a expiração configurada (minutos a horas) |
| Dados anonimizados/agregados | Indefinidamente, sem identificação do titular |
Após o término dos prazos acima, os dados são apagados ou irreversivelmente anonimizados.
9. Direitos do titular (LGPD, art. 18)
Você, como titular dos dados pessoais, possui os seguintes direitos:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados a outro fornecedor de serviço ou produto;
- Eliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses legais de conservação;
- Informação sobre entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e as consequências do não fornecimento;
- Revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.
Como exercer cada direito
| Direito | Como exercer |
|---|---|
| Acesso, correção, confirmação, portabilidade, informação sobre compartilhamentos | Enviar solicitação para felipe@tempstage.app. Resposta em até 15 dias corridos a partir do recebimento. |
| Exclusão da conta | Self-service em /account → seção "Privacidade e dados" → "Excluir minha conta". Confirmação por senha. Execução em até 24 horas. Alternativamente: solicitação por e-mail. |
| Revogação do consentimento de marketing | Self-service em /account → toggle "Receber novidades por e-mail". Ou clicar no link "Cancelar inscrição" no rodapé de qualquer e-mail de marketing — efeito em um clique, sem necessidade de login. |
| Anonimização ou bloqueio | Solicitação por e-mail; resposta em até 15 dias. |
10. Autoridade supervisora
Caso você entenda que seu pedido relativo a dados pessoais não foi atendido satisfatoriamente, poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):
- Site: https://www.gov.br/anpd
11. Segurança da informação
Adotamos medidas técnicas e administrativas para proteger seus dados, incluindo:
- Senhas armazenadas como hash bcrypt — nunca em texto puro.
- Transporte sob TLS (HTTPS) em todas as comunicações.
- Cookies de sessão HTTP-only com flags
SameSite=LaxeSecureem produção. - JWT assinado com chave segura e validade de 7 dias.
- Acesso ao banco de dados restrito por credenciais armazenadas como variáveis de ambiente — nunca no código.
- Proteção contra bots com hCaptcha em formulários públicos.
- Logs estruturados sem PII desnecessário, com retenção alinhada ao Marco Civil.
Apesar dessas medidas, nenhum sistema é absolutamente imune a incidentes. Em caso de incidente de segurança que envolva dados pessoais com risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados conforme determina o art. 48 da LGPD.
12. Cookies e tecnologias semelhantes
O TempStage utiliza apenas cookies estritamente necessários ao funcionamento do Serviço, descritos abaixo:
| Cookie | Origem | Finalidade | Duração |
|---|---|---|---|
session |
TempStage | Manter sua sessão autenticada (JWT) | 7 dias |
psc_* |
TempStage | Controle de presença física via QR Code | curta — sessão |
Não utilizamos cookies de marketing, retargeting ou pixels de redes sociais.
Os serviços Vercel Analytics e Vercel Speed Insights que utilizamos são cookieless por design — não setam cookies em seu navegador.
O hCaptcha, utilizado em formulários públicos, pode setar cookies de terceiros sob a política de privacidade do hCaptcha. Esse uso é necessário para a função de proteção contra bots (legítimo interesse).
13. Idade mínima
O TempStage não é destinado a menores de 18 anos. A criação de conta e a contratação de qualquer plano exigem que o usuário declare ter pelo menos 18 anos completos e plena capacidade civil, conforme os Termos de Uso.
Caso identifiquemos cadastro de menor, a conta será suspensa imediatamente. Suspeitas podem ser comunicadas ao Encarregado (Seção 2).
14. Estabelecimentos e dados de convidados
Quando um estabelecimento (bar, hotel, pousada, resort, casa de show, espaço cultural, restaurante temático, evento corporativo ou demais negócios com uso recorrente) opera o TempStage sob o plano mensal, ele atua como controlador adicional dos dados gerados pelos convidados ou clientes que entram em suas salas (nicknames escolhidos, músicas pedidas durante o evento). Nessa relação, o TempStage atua como operador dos dados em nome do estabelecimento, processando-os para a finalidade do evento conforme instruções do estabelecimento e desta Política.
15. Alterações desta Política
Esta Política pode ser atualizada a qualquer momento. A versão vigente é sempre a publicada em /politica-de-privacidade, e a data da última atualização é exibida com destaque no topo do documento.
Mudanças relevantes serão comunicadas por meio de banner in-app dispensável na primeira sessão de cada usuário autenticado após a atualização (mesmo mecanismo dos Termos de Uso). O uso continuado do Serviço após a publicação de uma nova versão caracteriza ciência das mudanças.
16. Documentos relacionados
- Termos de Uso — regras de uso da plataforma, modelo comercial e responsabilidades.
- Esta Política deve ser lida em conjunto com os Termos de Uso, que formam o conjunto unitário de instrumentos legais aceitos no cadastro.
17. Contato
Para qualquer dúvida, solicitação ou exercício de direitos previstos na LGPD:
- Encarregado pelo Tratamento de Dados Pessoais: FELIPE LUCIANO DOS SANTOS
- E-mail: felipe@tempstage.app
Responderemos sua solicitação em até 15 dias corridos a partir do recebimento.