Política de Privacidade

Política de Privacidade

Última atualização: 10 de abril de 2026

Somos a Museum App Inc. ("Museum App", "nós", "nosso"), uma empresa registrada no Estado do Texas, Estados Unidos.

Escritório administrativo:
5900 Balcones Drive Ste 100
Austin, TX 78731
Estados Unidos

1. Quem Somos e a Quem Esta Política Se Aplica

Esta Política de Privacidade se aplica ao nosso site (https://museum.app), aplicativos móveis (iOS e Android) e todos os serviços relacionados que oferecemos aos nossos usuários.

Ao usar o Museum App, você aceita as práticas descritas nesta Política de Privacidade. Se não concordar, por favor não use nossos serviços.

2. Definições Importantes

  • Dados Pessoais: Informações que identificam ou podem identificar uma pessoa física.
  • Tratamento: Qualquer operação realizada em dados pessoais (coleta, uso, armazenamento, transferência, exclusão, etc.).
  • Controlador: Entidade que determina as finalidades e os meios do tratamento (geralmente, Museum App Inc.).
  • Operador: Entidade que trata dados em nome do controlador (por exemplo, provedores de hospedagem, e-mail, pagamento).

3. Dados Que Coletamos

3.1 Informações Fornecidas Diretamente

Cadastro e conta:

  • Nome completo e nome de usuário
  • Endereço de e-mail
  • Senha (armazenada via hash criptográfico, nunca em texto simples)
  • País de residência
  • Idioma preferido
  • Data de nascimento (para verificação de idade e personalização da experiência)
  • Gênero (opcional)

Perfil público e conteúdo:

  • Foto de perfil ou avatar
  • Biografia e descrição pública
  • País (visível em seu perfil público)
  • Links para redes sociais ou sites pessoais
  • Preferências de categorias de coleção
  • Fotos e descrições de itens colecionáveis
  • Publicações, comentários, mensagens públicas e privadas
  • Museus virtuais, seções e conteúdo organizado
  • Listas de busca/wishlist de colecionáveis

Informações de contato e preferências:

  • Número de telefone e código do país (opcional)
  • Preferências de privacidade (conta pública/privada, ocultar última visualização, mostrar/ocultar armário de colecionáveis)
  • Preferências do sistema: moeda, sistema de medidas, sistema de peso, formato de data e hora, separadores decimais
  • Configurações de notificação e alertas

Assinaturas e faturamento:

  • Plano de assinatura (Gratuito, Premium, Premium Max)
  • Histórico de pagamentos e faturas
  • ID do cliente no Stripe (nosso processador de pagamentos)
  • Últimos 4 dígitos do cartão e informações de transação (fornecidos pelo Stripe; <strong>não armazenamos dados completos do cartão</strong>)
  • Moeda de faturamento preferida

Suporte e comunicações:

  • Mensagens enviadas ao suporte técnico
  • Anexos, capturas de tela e recibos
  • Metadados de comunicação (data, hora, assunto)
  • Denúncias de conteúdo ou usuários inapropriados

3.2 Informações Coletadas Automaticamente

Quando você usa o Museum App, coletamos automaticamente certas informações técnicas e de uso:

Dados técnicos e do dispositivo:

  • Endereço IP (com truncamento parcial quando apropriado por razões de privacidade)
  • Geolocalização aproximada (país e cidade) derivada do seu endereço IP usando a base de dados MaxMind GeoLite2 (consulta local; a base de dados é baixada periodicamente da MaxMind, Inc., EUA — os endereços IP não são transferidos por requisição)
  • Identificadores únicos do dispositivo
  • Sistema operacional e versão
  • Tipo de dispositivo (móvel, tablet, desktop)
  • Navegador web e versão (user agent)
  • Versão do aplicativo móvel
  • Idioma do navegador ou sistema operacional
  • Configuração de fuso horário
  • Resolução da tela

Dados de uso e atividade:

  • Páginas visitadas e tempo gasto
  • Ações realizadas no aplicativo (publicar, comentar, curtir, salvar, compartilhar, seguir usuários)
  • Eventos de interação (cliques, rolagem, pesquisas)
  • Duração da sessão ativa
  • Última conexão e status de atividade (lastSeen)
  • Visualizações de publicações, colecionáveis e seções do museu (com métricas de duração)
  • Histórico de navegação dentro da plataforma
  • Erros técnicos, falhas e desempenho do aplicativo

Segurança e autenticação:

  • Histórico de login (LoginHistory): dispositivo, localização geográfica aproximada, data e hora de acesso
  • Tokens de sessão e cookies de autenticação (gerenciados pelo NextAuth)
  • Alterações em dados sensíveis da conta (e-mail, senha, nome de usuário, biografia) com registro histórico para segurança
  • Tentativas de acesso falhas ou suspeitas

Cookies e tecnologias similares:

Usamos cookies e tecnologias similares (localStorage, sessionStorage) para melhorar sua experiência. Para mais informações, consulte nossa Política de Cookies.

3.3 Informações de Terceiros

Autenticação de terceiros (Single Sign-On):

  • Nome e sobrenome
  • Endereço de e-mail
  • Foto de perfil (Google) ou email relay (Apple)
  • ID de usuário do provedor externo

Processamento de pagamentos (Stripe):

  • ID do cliente (Stripe Customer ID)
  • Status da assinatura (ativa, cancelada, expirada)
  • Últimos 4 dígitos e tipo de cartão (Visa, Mastercard, etc.)
  • Histórico de transações (valores, datas, status de pagamento)
  • Eventos de faturamento (renovações, falhas de pagamento, reembolsos)

Publicidade e analytics:

  • Solicitamos seu consentimento prévio quando legalmente exigido
  • Recebemos métricas agregadas de impressões, cliques e conversões
  • Os provedores podem usar cookies e tecnologias de rastreamento de acordo com suas preferências
  • Assinantes premium não visualizam anúncios

3.4 Categorias Especiais de Dados Pessoais e Dados Sensíveis

O Museum App NÃO solicita nem coleta intencionalmente categorias especiais de dados pessoais de acordo com o GDPR/UK GDPR (origem racial ou étnica, opiniões políticas, crenças religiosas, informações de saúde, orientação sexual, dados genéticos ou biométricos).

Proibimos expressamente que os usuários carreguem, publiquem ou processem através do Serviço qualquer conteúdo contendo:

  • Dados biométricos (reconhecimento facial, impressões digitais, escaneamento de íris, geometria facial, etc.) sem base legal adequada e consentimento explícito
  • Categorias especiais de dados pessoais de terceiros
  • Informações médicas, financeiras ou de menores sem autorização

O conteúdo que violar esta proibição pode ser removido sem aviso prévio, e a conta responsável pode ser suspensa ou excluída permanentemente. Para mais informações, consulte nossos Termos e Condições.

4. Como Usamos Seus Dados Pessoais

4.1 Fornecimento e Gestão do Serviço

  • Criar, gerenciar e autenticar sua conta de usuário
  • Permitir publicação, edição e gerenciamento de colecionáveis, publicações e museus virtuais
  • Habilitar recursos sociais: seguir usuários, curtir, comentar, salvar conteúdo, compartilhar publicações, criar reposts
  • Mensagens privadas em tempo real (chat 1-para-1) via WebSocket/Socket.io
  • Gerenciar listas de busca/wishlist de colecionáveis
  • Personalizar sua experiência de acordo com suas preferências (idioma, tema, moeda, formatos)
  • Lembrar suas configurações de privacidade e conta

4.2 Segurança e Proteção

  • Autenticação segura e prevenção de acesso não autorizado
  • Detecção e prevenção de fraudes, spam, abusos e atividades maliciosas
  • Moderação de conteúdo e revisão de denúncias de usuários
  • Proteger a integridade e segurança da plataforma
  • Enviar notificações de segurança por e-mail: novos dispositivos detectados, alterações de senha, alterações de endereço de e-mail, tentativas de acesso suspeitas
  • Manter registros de auditoria (LoginHistory, alterações de dados sensíveis) para investigações de segurança

4.3 Melhoria e Desenvolvimento do Produto

  • Analytics agregados e estatísticas de uso (sem identificação individual)
  • Correção de bugs técnicos e melhorias de desempenho
  • Testes A/B para otimizar recursos
  • Desenvolvimento de novos recursos e melhorias
  • Pesquisa e análise de tendências de colecionismo

4.4 Comunicações

  • <strong>Comunicações transacionais (obrigatórias):</strong> confirmações de cadastro, redefinição de senha, notificações de alterações na conta, alertas de segurança, confirmações de pagamento
  • <strong>Notificações de serviço:</strong> atividade social (novos seguidores, curtidas, comentários, menções, mensagens privadas), atualizações de conteúdo salvo
  • <strong>Suporte técnico:</strong> respostas a consultas e assistência
  • <strong>Avisos importantes:</strong> alterações nos Termos e Condições, Política de Privacidade, manutenção programada
  • <strong>Comunicações de marketing (opcionais, com opt-in):</strong> newsletters, novidades do produto, promoções, conteúdo educacional sobre colecionismo

4.5 Faturamento e Assinaturas

  • Processar pagamentos de assinaturas Premium e Premium Max
  • Gerenciar renovações automáticas, upgrades, downgrades e cancelamentos
  • Emitir faturas e recibos eletrônicos
  • Fornecer suporte de faturamento e pagamento
  • Cumprir obrigações fiscais e contábeis

4.6 Ferramentas e Recursos Especiais

  • <strong>Calculadora de valor da coleção:</strong> estimar o valor total da coleção com base nos dados que você fornece (não constitui avaliação profissional)
  • <strong>Calculadora de preço de lote:</strong> calcular o preço pago por lotes de itens
  • <strong>Métricas de conteúdo:</strong> visualizações de publicações e colecionáveis, duração da visualização, engajamento
  • <strong>Recomendações:</strong> sugerir usuários, categorias ou conteúdo relevante com base em seus interesses

4.7 Publicidade (web e aplicativos móveis)

O Museum App pode exibir publicidade através de redes como Google AdSense (web) e Google AdMob (aplicativos móveis). A disponibilidade de publicidade pode variar dependendo da sua localização geográfica e configurações da conta. Quando a publicidade está ativa em sua região:

  • Na UE/EEE e Reino Unido: Solicitamos seu consentimento explícito antes de usar cookies/SDKs não essenciais ou personalizar anúncios. Sem consentimento, exibimos anúncios não personalizados e aplicamos Limited Ads quando apropriado
  • Nos Estados Unidos: Respeitamos sinais de privacidade como Global Privacy Platform (GPP) e Global Privacy Control (GPC), e oferecemos controles de opt-out para "venda/compartilhamento" onde as leis estaduais se aplicam (CCPA/CPRA, Virginia, Colorado, Connecticut, Texas)
  • Usamos uma Plataforma de Gerenciamento de Consentimento (CMP) compatível com os padrões IAB TCF 2.2 para gerenciar suas preferências de publicidade e cookies
  • Oferecemos anúncios contextuais (não personalizados) como alternativa quando você não consente com publicidade personalizada
  • Detalhes completos sobre categorias de parceiros, finalidades publicitárias e durações de cookies estão disponíveis em nossa Política de Cookies

Base legal no EEE/Reino Unido: A base legal para usar cookies/SDKs de publicidade e anúncios personalizados é seu consentimento (art. 6.1.a GDPR). Se você negar ou retirar, serviremos apenas anúncios não personalizados e limitaremos identificadores de acordo com as políticas Limited Ads.

4.8 Conformidade Legal

  • Responder a solicitações válidas de autoridades competentes
  • Defender nossos direitos legais em processos judiciais ou administrativos
  • Fazer cumprir nossos Termos e Condições
  • Prevenir atividades ilegais ou prejudiciais

4.9 Análise e Ferramentas Preditivas (Futuro)

No futuro, o Museum App pode desenvolver ferramentas de análise de mercado e previsão de valor usando dados de preços de colecionáveis completamente anonimizados.

  • Estimativas de valor de mercado para colecionáveis similares
  • Tendências históricas de preços no mercado de colecionáveis
  • Ferramentas preditivas baseadas em dados de mercado agregados
  • Todas essas análises seriam realizadas exclusivamente com dados completamente anonimizados, sem possibilidade de identificar usuários ou colecionáveis individuais

5. Base Legal para Tratamento (GDPR/UK GDPR)

5.1 Consentimento

Obtemos seu consentimento explícito e informado para:

  • Cookies não essenciais e publicidade personalizada (via CMP compatível com TCF 2.2)
  • Comunicações de marketing por e-mail (você pode cancelar a qualquer momento)
  • Compartilhamento de dados com certos terceiros fora do escopo estritamente operacional

5.2 Execução de Contrato

O tratamento é necessário para cumprir o contrato que você tem conosco (Termos e Condições):

  • Criar e gerenciar sua conta
  • Fornecer recursos do serviço (publicações, colecionáveis, museus, chat, listas de busca)
  • Processar assinaturas e pagamentos
  • Fornecer suporte técnico

5.3 Obrigação Legal

O tratamento é necessário para cumprir obrigações legais aplicáveis:

  • Retenção de dados financeiros e de faturamento por períodos legais (ex. 7 anos)
  • Resposta a solicitações legítimas de autoridades competentes
  • Conformidade com regulamentações fiscais e contábeis

5.4 Interesses Vitais

Em casos excepcionais, podemos tratar dados para proteger a vida ou integridade física de uma pessoa.

5.5 Interesses Legítimos

O tratamento é necessário para nossos interesses legítimos, desde que seus direitos e liberdades não prevaleçam:

  • Segurança da plataforma e prevenção de fraudes/abusos
  • Moderação de conteúdo e aplicação de políticas
  • Analytics agregados não intrusivos para melhorar o produto
  • Detecção de erros técnicos e melhoria de desempenho
  • Publicidade personalizada (quando implementada)
  • Comunicações de marketing (newsletters, promoções)
  • Certas permissões de dispositivo móvel (câmera, galeria de fotos, notificações push)
  • Uso de dados de localização precisa (se solicitado no futuro)

6. Com Quem Compartilhamos Seus Dados Pessoais

O Museum App não vende seus dados pessoais a terceiros no sentido tradicional do termo. No entanto, compartilhamos certas informações com prestadores de serviços e nas circunstâncias descritas abaixo:

6.1 Prestadores de Serviços (operadores de dados)

Compartilhamos dados com terceiros que prestam serviços em nosso nome, sob contratos que os obrigam a proteger seus dados e usá-los apenas para as finalidades especificadas:

  • Hospedagem e infraestrutura: Digital Ocean (servidores e hospedagem web)
  • CDN (Content Delivery Network): Cloudflare (distribuição global de conteúdo estático, proteção DDoS)
  • Processamento de pagamentos: Stripe Inc. (processamento seguro de cartão de crédito, gerenciamento de assinaturas, faturamento)
  • E-mail transacional: Amazon Web Services (envio de e-mails de verificação, notificações de segurança, faturas, suporte)
  • E-mail transacional (fallback): Resend (Resend Inc., EUA) — usado apenas quando o AWS SES está temporariamente indisponível, para que e-mails de verificação e segurança continuem a chegar até você. Mesmo escopo de dados que o canal principal: endereço do destinatário e conteúdo da mensagem enviada.
  • Autenticação: NextAuth (gerenciamento de sessões), Google OAuth (login com Google) e Apple Sign-In (login com Apple ID)
  • Chat em tempo real: Socket.io (WebSocket auto-hospedado em nossos servidores, sem transferência para terceiros)
  • Processamento de imagens: Sharp (processamento local de imagens em nossos servidores, sem transferência externa)
  • Geolocalização: MaxMind GeoLite2 (consulta local de IP para localização geográfica aproximada; a base de dados GeoLite2 é baixada periodicamente da MaxMind, Inc., EUA — os endereços IP não são transferidos por requisição)
  • Relatório de erros e APM: Sentry (Functional Software Inc., EUA) — captura de erros e métricas de desempenho da aplicação móvel. Os cabeçalhos de autorização, JWTs e parâmetros sensíveis são ocultados antes da transmissão; os utilizadores são identificados apenas por ID numérico, nunca por nome de utilizador ou e-mail.

6.2 Redes de Publicidade e Medição

Quando a publicidade está habilitada em sua região, podemos compartilhar informações com redes de publicidade (como Google AdSense, Google AdMob) de acordo com suas preferências de consentimento e leis aplicáveis. As informações compartilhadas podem incluir:

  • Identificadores de dispositivo ou publicidade (ad IDs, cookies de publicidade)
  • Dados de navegação e uso (páginas visitadas, interações, eventos do aplicativo), sempre com controles de privacidade regionais
  • Métricas de impressões, cliques, conversões e desempenho de publicidade
  • Informações demográficas aproximadas (idade, gênero, localização geral) quando você deu consentimento

Na UE/EEE e Reino Unido, esse compartilhamento ocorre apenas após obter seu consentimento explícito através de nossa CMP. Nos Estados Unidos, reconhecemos automaticamente sinais de opt-out (GPC/GPP) e cumprimos as leis estaduais aplicáveis.

Nota para residentes de certos estados dos EUA: Algumas leis estaduais (CCPA/CPRA Califórnia, VCDPA Virgínia, CPA Colorado, CTDPA Connecticut, TDPSA Texas) podem considerar esse compartilhamento como "venda" ou "compartilhamento para publicidade comportamental". Oferecemos controles de opt-out através de sinais de privacidade do navegador (GPC/GPP) e das configurações de sua conta (Configurações → Privacidade → Preferências de publicidade). Para mais informações, veja a Seção 14 desta Política.

6.3 Autoridades Legais e Conformidade Regulatória

Podemos divulgar seus dados pessoais quando exigido por lei ou quando acreditamos de boa-fé que é necessário para:

  • Cumprir ordens judiciais, intimações, solicitações governamentais válidas
  • Fazer cumprir nossos Termos e Condições
  • Proteger nossos direitos, propriedade ou segurança, bem como os de nossos usuários ou do público
  • Prevenir fraudes, abusos ou atividades ilegais
  • Cooperar com investigações policiais

6.4 Transferências Corporativas

No caso de fusão, aquisição, venda de ativos ou reestruturação corporativa, seus dados pessoais podem ser transferidos para a entidade sucessora. Notificaremos você com aviso proeminente antes que seus dados sejam transferidos e sujeitos a uma Política de Privacidade diferente.

6.5 Visibilidade do Perfil e Distinção Entre Dados Públicos e Privados

O Museum App é uma rede social projetada para conectar colecionadores e compartilhar conteúdo. Por sua natureza como plataforma social, os perfis de usuário são públicos por design e visíveis para qualquer pessoa na internet, incluindo usuários não registrados e mecanismos de busca.

Dados pessoais que são públicos:

  • Seu nome de usuário, nome do perfil e biografia
  • Sua foto de perfil e museu virtual
  • Colecionáveis que você publica em sua coleção pública
  • Publicações, comentários e conteúdo que você compartilha publicamente
  • Suas listas de seguidores e contas que você segue
  • Suas interações públicas (curtidas, comentários públicos, reposts)

Base legal: Ao criar uma conta no Museum App, você dá seu consentimento expresso para que essas informações sejam públicas e acessíveis a qualquer pessoa, conforme estabelecido em nossos Termos de Serviço (Seção 8.4).

Armário de Coleção Privado (Recurso Premium): Usuários com assinatura Premium ou Premium Max têm acesso a um armário de coleção privado que permite armazenar e organizar colecionáveis de forma privada sem serem visíveis para outros usuários. Esta funcionalidade está disponível exclusivamente para assinantes ativos de planos premium.

Dados privados que NUNCA compartilhamos ou tornamos públicos:

  • Preço de compra e data de aquisição dos colecionáveis
  • Valor estimado atual dos colecionáveis
  • Notas pessoais e documentação privada
  • Faturas e recibos de compra
  • Qualquer outra informação sensível relacionada às aquisições
  • Mensagens privadas e conversas diretas
  • Configurações de privacidade e preferências da conta

<strong>Garantia de privacidade:</strong> Esses dados privados são protegidos por medidas de segurança técnicas e organizacionais, e são acessíveis apenas pelo proprietário da conta. <strong>Nunca serão publicamente visíveis ou compartilhados com outros usuários de forma identificável</strong>, independentemente de o colecionável ser público ou privado.

Possível uso futuro de dados de preços para ferramentas preditivas:

No futuro, o Museum App <strong>pode desenvolver</strong> ferramentas de previsão de preços e estimativa de valor de mercado para benefício da comunidade de colecionadores. Se implementarmos esses recursos, <strong>poderemos usar</strong> dados de preço de compra e valor atual dos colecionáveis de forma <strong>completamente anônima e agregada</strong> para:

  • Gerar modelos preditivos de tendências de mercado
  • Calcular estimativas de valor para itens similares
  • Fornecer faixas de preços históricas e projeções futuras
  • Melhorar ferramentas de avaliação e calculadoras de coleção

Compromisso de anonimização:

Se implementarmos essas ferramentas preditivas no futuro, garantimos que:

  • Anonimização irreversível: Os dados serão processados de forma que seja tecnicamente impossível rastreá-los até um usuário específico ou colecionável individual
  • Sem identificação: Nenhum usuário, nem mesmo o Museum App, poderá identificar de onde vieram os dados usados nas previsões
  • Agregação massiva: Os dados serão combinados com informações de múltiplos usuários e colecionáveis antes de qualquer processamento
  • Sem preços individuais: Preços individuais ou informações que possam identificar o proprietário nunca serão compartilhados publicamente
  • Conformidade legal: Esses dados anonimizados cumprirão o conceito de "dados anônimos" segundo o GDPR (Considerando 26), não constituirão "informações pessoais" segundo CCPA §1798.140(o)(2), e não serão considerados "dados pessoais" segundo LGPD Art. 12

Base legal para tratamento futuro:

  • GDPR/UK GDPR: Interesse legítimo (Art. 6(1)(f)) - Dados verdadeiramente anonimizados não são dados pessoais e não requerem base legal sob o GDPR; além disso, melhorar o serviço através de análise estatística beneficia toda a comunidade
  • CCPA/CPRA: Dados anonimizados são explicitamente excluídos da definição de "informações pessoais" (§1798.140(o)(2))
  • LGPD (Brasil): Dados anonimizados não constituem dados pessoais e estão fora do escopo da lei (Art. 12)
  • Transparência: Notificaremos você através de uma atualização desta Política de Privacidade e aviso proeminente no aplicativo se implementarmos essas ferramentas no futuro, dando-lhe a oportunidade de exercer seus direitos de oposição antes da implementação

Seus direitos: Você pode exercer seu direito de acesso, retificação, exclusão, portabilidade, oposição e limitação do tratamento a qualquer momento de acordo com a seção 10 desta Política. Você pode excluir sua conta e todos os seus dados pessoais nas configurações da sua conta a qualquer momento.

<strong>Controle de privacidade:</strong> Use as configurações de privacidade disponíveis em <strong>Configurações → Privacidade</strong> para gerenciar suas preferências de visibilidade, consentimentos para marketing, analytics e publicidade personalizada.

7. Transferências Internacionais de Dados

O Museum App opera a partir dos Estados Unidos. Hospedamos e processamos dados nos Estados Unidos e em outras localidades de acordo com nossos prestadores de serviços (Digital Ocean, Cloudflare, Stripe, Amazon Web Services, Sentry).

Para usuários na União Europeia, Espaço Econômico Europeu e Reino Unido:

Quando transferimos dados pessoais para fora do EEE/Reino Unido para países que não têm uma decisão de adequação da Comissão Europeia, aplicamos as seguintes salvaguardas:

  • Cláusulas Contratuais Padrão (SCCs): contratos aprovados pela Comissão Europeia que garantem proteção adequada
  • Reino Unido: Para transferências sujeitas ao UK GDPR, usamos o International Data Transfer Agreement (UK IDTA) ou SCCs da UE com o Adendo UK, conforme apropriado
  • Medidas técnicas e organizacionais suplementares: criptografia de dados em trânsito e em repouso, controles de acesso rigorosos, minimização de dados
  • Avaliação de Impacto de Transferência: análise de riscos e garantias adicionais quando necessário

Você pode solicitar cópias não confidenciais das Cláusulas Contratuais Padrão, UK IDTA ou UK Adendo que implementamos enviando um e-mail para [email protected].

8. Por Quanto Tempo Mantemos Seus Dados

Retemos seus dados pessoais apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados, a menos que a lei exija ou permita um período de retenção mais longo:

8.1 Conta Ativa

Enquanto sua conta permanecer ativa e você usar o serviço, retemos seus dados pessoais para fornecer o serviço.

8.2 Conteúdo Excluído ou Conta Encerrada

  • Exclusão operacional: Os dados são excluídos de nossos sistemas de produção dentro de aproximadamente 90 dias a partir da exclusão do conteúdo ou encerramento da conta
  • Backups: Os dados podem permanecer em cópias de backup automáticas por um período adicional de até 90 dias, após o qual são permanentemente eliminados
  • Exceções: Podemos reter certos dados por mais tempo se:
  • For necessário para cumprir obrigações legais (faturas, registros fiscais)
  • Houver uma disputa legal pendente ou procedimento de resolução
  • Forem necessários para investigações de segurança, fraude ou abuso
  • Você solicitou especificamente sua retenção

8.3 Dados de Faturamento e Transações

Faturas, recibos, histórico de pagamentos e dados relacionados a assinaturas: 5 a 10 anos, conforme exigido pelas leis fiscais e contábeis aplicáveis (IRS nos Estados Unidos, regulamentações locais em outros países).

8.4 Logs de Segurança e Auditoria

  • Histórico de login (LoginHistory): 12 a 24 meses
  • Logs de acesso e eventos de segurança: 12 meses
  • Registros de alterações em dados sensíveis (e-mail, senha, nome de usuário): 24 meses

8.5 Registros de Consentimento e Preferências de Privacidade

Retemos status de consentimento, opt-out e preferências de privacidade (sinais CMP, strings TCF 2.2, GPP/GPC, escolhas de cookies, preferências de publicidade) por 24 meses ou o período mínimo exigido por lei, o que for maior. Esta retenção nos permite cumprir os requisitos de auditoria das redes de publicidade e demonstrar consentimento válido quando legalmente exigido.

8.6 Critérios de Retenção

Para determinar o período de retenção apropriado, consideramos:

  • A natureza e sensibilidade dos dados
  • O risco potencial de dano por uso ou divulgação não autorizados
  • As finalidades do tratamento
  • Se podemos cumprir as finalidades por outros meios menos invasivos
  • Obrigações legais, regulatórias, fiscais ou contábeis aplicáveis

Você pode solicitar informações detalhadas sobre nossos critérios e períodos de retenção específicos enviando um e-mail para [email protected].

9. Segurança dos Seus Dados

O Museum App implementa medidas técnicas e organizacionais razoáveis para proteger seus dados pessoais de acordo com os padrões da indústria:

9.1 Medidas Técnicas

  • Criptografia: Dados em trânsito via HTTPS/TLS; senhas armazenadas com hash criptográfico bcrypt (nunca em texto simples)
  • Autenticação segura: Tokens de sessão seguros gerenciados pelo NextAuth, suporte para autenticação de dois fatores (futuro)
  • Controle de acesso: Acesso baseado em funções, princípio do menor privilégio
  • Monitoramento de segurança: Detecção de acessos não autorizados, tentativas de intrusão, atividade suspeita
  • Backups: Backups automáticos regulares com criptografia e armazenamento seguro
  • Segregação de ambientes: Separação entre produção, desenvolvimento e teste
  • Proteção DDoS: Cloudflare para mitigação de ataques de negação de serviço

9.2 Medidas Organizacionais

  • Políticas de segurança e proteção de dados
  • Treinamento e conscientização de funcionários
  • Acordos de confidencialidade com funcionários e fornecedores
  • Auditorias de segurança e revisões periódicas
  • Plano de resposta a incidentes de segurança

9.3 Limitações

Apesar de nossos esforços, nenhum sistema de segurança é completamente infalível. Não podemos garantir que nossos sistemas são invulneráveis a todos os tipos de ataques cibernéticos, hacking ou acesso não autorizado.

9.4 Notificação de Violação de Segurança

No caso de uma violação de segurança que afete dados pessoais, o Museum App cumprirá todas as obrigações de notificação estabelecidas pelas leis aplicáveis:

  • GDPR/UK GDPR: Notificação à autoridade supervisora dentro de 72 horas; comunicação aos indivíduos afetados sem demora indevida quando houver alto risco
  • Leis estaduais dos EUA: Notificação aos residentes afetados de acordo com os prazos de cada estado
  • Forneceremos informações sobre a natureza da violação, dados afetados, medidas tomadas e passos que você pode tomar para se proteger

9.5 Sua Responsabilidade

Você é responsável por:

  • Manter a confidencialidade de sua senha e credenciais de acesso
  • Não compartilhar sua conta com terceiros
  • Notificar-nos imediatamente sobre qualquer uso não autorizado de sua conta enviando um e-mail para [email protected]
  • Usar senhas fortes (mínimo 8 caracteres, combinação de letras, números e símbolos)
  • Manter o software do seu dispositivo e navegador atualizados

Para mais informações sobre nossas limitações de responsabilidade em caso de violações de segurança, veja a Seção 8 de nossos Termos e Condições.

10. Proteção de Menores

10.1 Estados Unidos (COPPA)

A Museum App não permite a utilização do serviço por utilizadores abaixo da idade mínima para o consentimento digital na sua jurisdição — 13 anos na maioria dos países (em conformidade com o Children's Online Privacy Protection Act, COPPA) e 16 anos no Espaço Económico Europeu, Reino Unido e Suíça (em conformidade com o artigo 8.º do RGPD).

Não recolhemos intencionalmente informações pessoais de menores abaixo deste limite. Se descobrirmos que recolhemos dados de tal utilizador sem consentimento parental verificável, eliminaremos essas informações dos nossos sistemas o mais rapidamente possível.

10.2 União Europeia e Reino Unido (GDPR/UK GDPR)

Aplicam-se as idades mínimas locais para consentimento digital conforme previsto no artigo 8 do GDPR/UK GDPR (entre 13 e 16 anos dependendo do país membro). Quando legalmente exigido, o Museum App implementará mecanismos razoáveis para verificação do consentimento parental ou do responsável legal.

10.3 Publicidade Direcionada a Menores

O Museum App não usa anúncios personalizados ou identificadores para segmentação comportamental direcionados a usuários que sabemos ou razoavelmente inferimos serem menores.

Aplicamos políticas de conteúdo adequado para famílias e limitações de segmentação de acordo com as políticas das redes de publicidade (Google AdSense/AdMob "Child-directed treatment").

10.4 Se Você É Pai ou Responsável Legal

Se você acredita que seu filho menor forneceu dados pessoais ao Museum App sem seu consentimento, entre em contato conosco imediatamente em [email protected]. Tomaremos medidas para excluir essas informações o mais rápido possível.

11. Seus Direitos de Privacidade

Dependendo da sua localização, você tem direitos em relação aos seus dados pessoais. Os mais comuns incluem:

  • Acesso: Obter uma cópia dos seus dados pessoais
  • Retificação: Corrigir dados imprecisos ou incompletos
  • Exclusão: Solicitar a exclusão dos seus dados (com certas exceções legais)
  • Portabilidade: Receber seus dados em formato baixável
  • Oposição: Opor-se a certos tratamentos de dados
  • Retirar consentimento: Cancelar consentimentos concedidos anteriormente
  • Opt-out de publicidade: Recusar publicidade personalizada (quando implementada)

Leis aplicáveis de acordo com sua localização

  • 🇪🇺 União Europeia / EEE / Reino Unido: O GDPR e UK GDPR concedem amplos direitos incluindo portabilidade, limitação de tratamento. Além disso, você tem o direito de apresentar uma reclamação à sua autoridade supervisora se considerar que violamos seus direitos de proteção de dados, sem prejuízo de qualquer outro recurso administrativo ou judicial. Você pode contatar diretamente autoridades como CNPD (Portugal), ANPD (Brasil), ICO (Reino Unido), ou outras autoridades UE/EEE em seu país de residência.
  • 🇺🇸 Estados Unidos: CCPA/CPRA (Califórnia), VCDPA (Virgínia), CPA (Colorado), CTDPA (Connecticut), TDPSA (Texas) e outras leis estaduais concedem direitos de acesso, correção, exclusão, portabilidade e opt-out de venda/compartilhamento de dados. Inclui direito à não discriminação e de apelar negações.
  • 🇧🇷 Brasil: A LGPD concede direitos de confirmação, acesso, correção, anonimização, exclusão, portabilidade, informação sobre compartilhamento e revogação de consentimento.
  • Outras jurisdições: Se você reside em outro país com leis de proteção de dados, você pode ter direitos adicionais. Entre em contato conosco em [email protected].

12. Como Exercer Seus Direitos

12.1 Da Sua Conta

Vá para Configurações → Privacidade e Segurança para:

  • Visualizar e editar suas informações pessoais
  • Baixar seus dados: Solicitar uma exportação completa incluindo publicações, colecionáveis, mensagens, comentários, histórico de atividades e mais (veja o processo detalhado abaixo)
  • Excluir sua conta permanentemente
  • Gerenciar preferências de privacidade, cookies e notificações

📥 Processo de download de dados:

  1. Clique em "Baixar meus dados" nas Configurações
  2. Você receberá um código de verificação por e-mail
  3. Digite o código para confirmar sua solicitação
  4. Seus dados estarão disponíveis em um máximo de 30 dias
  5. Você receberá um e-mail com link para download (válido por 7 dias)
  6. O arquivo inclui todos os seus dados em formato JSON baixável

Nota: Você só pode ter uma solicitação ativa por vez. Se já tiver uma em andamento, aguarde sua conclusão antes de solicitar outra.

12.2 Por E-mail

Para solicitações especiais (correção de dados específicos, exclusão parcial, portabilidade para outro serviço, etc.), envie um e-mail para [email protected] indicando:

  • Seu nome completo e nome de usuário
  • E-mail associado à sua conta
  • Direito que deseja exercer (acesso, retificação, exclusão, portabilidade, oposição)
  • Descrição detalhada da sua solicitação

Prazos de resposta: 30-45 dias dependendo da sua localização (GDPR: 30 dias; CCPA: 45 dias). Verificaremos sua identidade via código por e-mail antes de processar solicitações sensíveis.

12.3 Direitos Adicionais

  • Agentes autorizados: Você pode designar um representante legal para enviar solicitações em seu nome (requer procuração)
  • Apelações (EUA): Se rejeitarmos sua solicitação, você pode apelar escrevendo para [email protected] com assunto "Apelação". Responderemos em 45 dias, ou o período exigido pela lei aplicável
  • Sinais de privacidade: Reconhecemos Global Privacy Control (GPC) e Global Privacy Platform (GPP) para opt-out automático de publicidade

13. Comunicações de Marketing e Promocionais

13.1 Opt-in (consentimento prévio)

Para usuários na União Europeia, Espaço Econômico Europeu, Reino Unido e outras jurisdições que o exigem, solicitamos seu consentimento explícito (opt-in) antes de enviar comunicações de marketing, como:

  • Newsletters com novidades do produto
  • Promoções e ofertas especiais
  • Conteúdo educacional sobre colecionismo
  • Pesquisas e feedback de usuários

13.2 Opt-out (cancelamento de inscrição)

Você pode cancelar a inscrição de comunicações de marketing a qualquer momento através de:

  • Link "Cancelar inscrição" em cada e-mail de marketing
  • Configurações da conta: Configurações → Notificações → Desativar "E-mails promocionais"
  • E-mail: [email protected] com assunto "Cancelar marketing"

13.3 Comunicações Transacionais (não canceláveis)

Algumas comunicações são essenciais para o funcionamento do serviço e não podem ser canceladas enquanto você mantiver sua conta ativa:

  • Confirmações de cadastro e verificação de e-mail
  • Redefinição de senha
  • Notificações de segurança (novo dispositivo, alterações na conta)
  • Confirmações de pagamento e faturas
  • Alterações nos Termos e Condições ou Política de Privacidade
  • Avisos de encerramento ou suspensão de conta

14. Venda e Compartilhamento de Dados (EUA)

O Museum App não vende seus dados pessoais no sentido tradicional. No entanto, certas leis dos EUA (CCPA/CPRA, Virginia, Colorado, Connecticut, Texas, etc.) definem "venda" de forma ampla, incluindo o compartilhamento de dados com redes de publicidade para publicidade comportamental.

Como atualmente utilizamos publicidade através do Google AdSense e Google AdMob, o que pode se qualificar como "venda" ou "compartilhamento" sob essas leis:

  • Opt-out automático: Reconhecemos sinais de preferência de privacidade como Global Privacy Control (GPC) e Global Privacy Platform (GPP)
  • Controle da conta: Você poderá gerenciar preferências de publicidade em Configurações → Privacidade → Preferências de publicidade
  • Não discriminação: Não negaremos o serviço nem cobraremos preços diferentes por exercer seus direitos de privacidade

Você pode gerenciar essas preferências em Configurações → Privacidade → Preferências de publicidade ou através de sinais do navegador (GPC/GPP). Também forneceremos um link "Não vender/compartilhar minhas informações pessoais" quando exigido pela lei estadual aplicável.

15. Decisões Automatizadas e Perfilamento

O Museum App pode realizar perfilamento básico para melhorar sua experiência, incluindo:

  • Classificar suas preferências temáticas de coleção com base em sua atividade
  • Recomendar usuários, categorias ou conteúdo relevantes
  • Detectar e limitar spam, fraude ou atividade suspeita
  • Selecionar anúncios contextuais ou personalizados (apenas com seu consentimento quando legalmente exigido)

NÃO tomamos decisões automatizadas que produzam efeitos legais significativos sobre você ou o afetem de forma similar sem intervenção humana, a menos que:

  • Seja necessário para execução de contrato com você
  • Seja autorizado pela lei aplicável
  • Você tenha dado seu consentimento explícito

Se você tiver dúvidas sobre como usamos perfilamento ou decisões automatizadas, entre em contato conosco em [email protected].

16. Alterações Nesta Política de Privacidade

O Museum App se reserva o direito de atualizar ou modificar esta Política de Privacidade a qualquer momento. Quando fizermos alterações:

16.1 Notificação de Alterações

Alterações menores: Atualizamos a data "Última atualização" no início desta Política

Alterações significativas: Notificaremos você através de:

  • E-mail para seu endereço registrado
  • Notificação proeminente no aplicativo (banner ou pop-up)
  • Aviso em nosso site

16.2 Data de Vigência

As alterações entrarão em vigor na data indicada no topo desta Política ("Última atualização"). Seu uso continuado do serviço após a data de vigência constitui sua aceitação das alterações.

16.3 Histórico de Versões

Você pode solicitar versões anteriores desta Política de Privacidade enviando um e-mail para [email protected].

16.4 Serviços de Terceiros - Geolocalização

Este site usa dados GeoLite2 criados pela MaxMind, disponíveis em https://www.maxmind.com. Este serviço nos permite detectar seu país de origem para cumprir as regulamentações de privacidade aplicáveis (GDPR, CCPA, LGPD).

17. Contato

Se você tiver dúvidas, comentários ou preocupações sobre esta Política de Privacidade ou sobre como tratamos seus dados pessoais, entre em contato conosco em:

Museum App Inc.

5900 Balcones Drive Ste 100

Austin, TX 78731

Estados Unidos

E-mail de contato: [email protected]

Faremos o possível para responder à sua consulta dentro de um prazo razoável (geralmente 5-10 dias úteis para consultas gerais; prazos legais específicos para solicitações de direitos de privacidade).