Esta Política de Privacidade descreve como a SpaceshipNFT Tecnologia Ltda. (nome fantasia "OpenTicket"), inscrita no CNPJ [●], com sede em [●], São Paulo/SP ("OpenTicket", "nós"), trata dados pessoais dos titulares que utilizam a plataforma OpenTicket — um marketplace SaaS multivertical que conecta empresas/produtores (que criam e gerenciam o próprio negócio na plataforma) e consumidores/clientes finais, nas verticais eventos, gastronomia, cultura, esportes, igreja, varejo, educação, saúde (healthcare) e relacionamentos. Este documento é elaborado em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD) e, no que aplicável, com a Lei nº 12.965/2014 (Marco Civil da Internet) e a Lei nº 8.078/1990 (Código de Defesa do Consumidor). Leia com atenção: ao criar conta, comprar, reservar, matricular-se ou navegar, você toma ciência de como tratamos seus dados e, quando exigido por lei, registramos os consentimentos específicos cabíveis — em especial para dados pessoais sensíveis (saúde e relacionamentos) e para finalidades opcionais (marketing, analytics, personalização, compartilhamento com parceiros e cookies não essenciais). AVISO: esta é uma MINUTA, sujeita à revisão por advogado(a) e ao preenchimento dos dados reais da empresa (campos [●]) antes da publicação.
Controladora e Encarregado pelo Tratamento de Dados (DPO)
A controladora dos dados pessoais tratados na plataforma é a SpaceshipNFT Tecnologia Ltda. (nome fantasia OpenTicket), CNPJ [●], com sede em [●], São Paulo/SP. A controladora define as finalidades e os meios do tratamento descritos nesta Política, nos termos do art. 5º, VI, da LGPD.
Importante (papéis no marketplace): nas operações em que o consumidor adquire ingressos, reservas, matrículas, atendimentos ou produtos de um produtor/empresa terceiro, esse produtor atua como controlador (ou cocontrolador) dos dados pessoais necessários à entrega do serviço por ele oferecido, sendo responsável pelo tratamento que realiza para essa finalidade. A OpenTicket atua como intermediária e fornece a infraestrutura tecnológica; em relação aos dados de cadastro, conta, pagamento e segurança da plataforma, a OpenTicket é a controladora. A repartição exata de responsabilidades entre OpenTicket e produtor é definida em instrumento contratual específico (acordo de tratamento de dados — DPA).
Nomeamos um Encarregado pelo Tratamento de Dados Pessoais (DPO), nos termos do art. 41 da LGPD, que é o canal de comunicação entre você (titular), a OpenTicket e a Autoridade Nacional de Proteção de Dados (ANPD).
- Encarregado/DPO: [●] (nome do Encarregado a preencher)
- Canal do titular e do Encarregado (LGPD/DSAR): privacidade@openticket.com.br
- Assuntos contratuais e de termos de uso: legal@openticket.com.br
Abrangência e definições
Esta Política aplica-se a todos os dados pessoais tratados pela OpenTicket no âmbito da plataforma web e dos aplicativos, em todas as verticais, tanto em relação a consumidores/clientes finais quanto a representantes de empresas/produtores que utilizam o ambiente administrativo.
Para os fins desta Política, adotamos as definições da LGPD:
- Titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento (art. 5º, V).
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I).
- Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso/filosófico/político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural (art. 5º, II).
- Tratamento: toda operação realizada com dados pessoais — coleta, uso, acesso, armazenamento, compartilhamento, transferência, eliminação etc. (art. 5º, X).
- Controlador: a quem competem as decisões sobre o tratamento (art. 5º, VI). Operador: quem realiza o tratamento em nome do controlador (art. 5º, VII).
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para finalidade determinada (art. 5º, XII).
Quais dados coletamos
Coletamos dados que você nos fornece diretamente, dados gerados pelo uso da plataforma e dados obtidos de operadores que nos auxiliam. A coleta é limitada ao necessário para as finalidades desta Política (princípio da necessidade, art. 6º, III). A idade mínima para cadastro é 13 anos — vide seção 9.
Categorias de dados tratados:
- Dados cadastrais e de identificação: nome, e-mail, CPF, data de nascimento, telefone e avatar/foto de perfil.
- Endereço completo: CEP, logradouro, número, complemento, bairro, cidade e UF (preenchimento auxiliado por consulta de CEP via ViaCEP).
- Credenciais de acesso: dados de autenticação gerenciados pelo provedor de identidade (Keycloak), incluindo senha sob forma protegida (hash).
- Dados transacionais e de uso do serviço: histórico de compras, ingressos, reservas, matrículas, certificados, check-ins/controle de acesso, uso de cashless (carteira pré-paga) e PDV.
- Dados de pagamento: processados pelo parceiro homologado (Asaas) para PIX e cartão. A OpenTicket não armazena dados completos de cartão; recebe do parceiro apenas as informações necessárias à confirmação e conciliação da transação e à retenção da taxa de serviço/conveniência.
- Dados de navegação e dispositivo: endereço IP, identificadores de dispositivo, registros (logs) de acesso a aplicações, cookies e tecnologias similares (vide seção 6).
- Geolocalização e interesses/preferências: tratados especialmente na vertical relacionamentos, para viabilizar recomendações e match por localização e por interesses (vide seção 4 quanto à natureza sensível de parte desses dados).
- Dados de saúde: na vertical saúde (healthcare), informações que podem ser tratadas no contexto de agendamentos, serviços ou histórico de atendimento (dados sensíveis — vide seção 4).
- Dados do marketplace de revenda e tokenização: registros de revenda de ingressos entre usuários e, quando o ingresso for tokenizado (NFT) em blockchain de testes (testnet Sepolia), identificadores on-chain associados à transação. Atenção: registros em blockchain podem ser, por natureza, imutáveis; evitamos gravar dados pessoais diretamente on-chain, associando apenas identificadores técnicos.
Dados pessoais sensíveis (LGPD art. 11)
Algumas verticais podem envolver dados pessoais sensíveis, que recebem proteção reforçada e somente são tratados com base em uma das hipóteses do art. 11 da LGPD. Em regra, na relação direta com a OpenTicket, a base é o consentimento específico e destacado do titular (art. 11, I), coletado de forma apartada das demais finalidades. Não condicionamos o uso de funcionalidades não relacionadas a esses dados ao fornecimento de tais consentimentos.
Tratamentos sensíveis por vertical:
- Vertical relacionamentos: pode tratar dados que revelem vida sexual e/ou orientação sexual, inferidos de interesses e preferências que você opta por informar. Base legal: consentimento específico e destacado (art. 11, I), coletado de forma apartada. O uso é restrito ao funcionamento do produto (discovery, match e interação) e cessa com a revogação do consentimento ou a exclusão da conta.
- Vertical saúde (healthcare): pode tratar dados relativos à saúde do titular (ex.: informações vinculadas a agendamentos, serviços ou histórico de atendimento). Quando o tratamento é necessário para a prestação de serviços de saúde pelo produtor/profissional, a base legal aplicável é a tutela da saúde por profissionais de saúde ou serviços de saúde (art. 11, II, alínea "f"), hipótese em que o produtor/serviço de saúde figura como controlador desse tratamento. Para usos da OpenTicket que extrapolem essa necessidade (ex.: recomendações personalizadas a partir de dados de saúde), aplica-se o consentimento específico e destacado (art. 11, I).
- Em razão do tratamento de dados sensíveis e do volume de titulares, podemos elaborar Relatório de Impacto à Proteção de Dados Pessoais (RIPD/DPIA) quando aplicável, disponível à ANPD mediante requisição (art. 38).
Finalidades e bases legais
Tratamos dados pessoais apenas para finalidades determinadas e legítimas, com a respectiva base legal (arts. 7º e 11 da LGPD). O quadro abaixo associa cada conjunto de finalidades à sua base:
- Execução de contrato e procedimentos preliminares (art. 7º, V): criação e manutenção de conta; processamento de compras, reservas, matrículas, certificados, check-in/controle de acesso, cashless e PDV; emissão e entrega de ingressos; comunicações transacionais e de serviço (confirmações, comprovantes, avisos operacionais); suporte ao cliente; e intermediação entre você e o produtor, incluindo o compartilhamento mínimo de dados necessário para que o produtor entregue o serviço contratado.
- Cumprimento de obrigação legal ou regulatória (art. 7º, II): guarda de registros fiscais e contábeis; guarda de registros de acesso a aplicações de internet, nos termos do Marco Civil da Internet (art. 15 da Lei nº 12.965/2014); e atendimento a requisições de autoridades competentes.
- Legítimo interesse (art. 7º, IX): prevenção a fraudes e garantia da segurança do titular e da plataforma (antifraude, proteção de contas e da rede) e melhoria contínua dos serviços, sempre limitado às legítimas expectativas do titular e mediante teste de balanceamento (LIA) documentado, que sopesa nosso interesse, a necessidade do tratamento e os direitos e liberdades do titular. Os cookies estritamente essenciais e os dados mínimos de sessão e segurança apoiam-se em execução de contrato e legítimo interesse.
- Consentimento (art. 7º, I): finalidades opcionais que você pode ativar ou desativar a qualquer momento — (i) comunicações de marketing; (ii) analytics de uso; (iii) personalização/recomendações; (iv) compartilhamento com parceiros além do necessário à execução do serviço; e (v) cookies não essenciais. A negativa ou a revogação desses consentimentos não impede o uso das funcionalidades essenciais da plataforma.
- Consentimento específico e destacado (art. 11, I) ou tutela da saúde (art. 11, II, "f"): tratamentos de dados sensíveis das verticais relacionamentos e saúde, conforme a seção 4.
- Você pode revogar a qualquer momento os consentimentos opcionais em Perfil > Privacidade & Consentimentos, sem prejuízo da licitude do tratamento realizado antes da revogação e dos tratamentos baseados em outras hipóteses legais. As concessões e revogações de consentimento são registradas em trilha de auditoria (com data, versão do termo e, quando disponível, endereço IP). Versão de referência dos termos de consentimento adotada no produto: 2026-05-02.
Cookies e tecnologias similares
Utilizamos cookies e tecnologias semelhantes para operar a plataforma, lembrar preferências, medir uso e, mediante consentimento, personalizar conteúdo e marketing.
Cookies essenciais: necessários ao funcionamento e à segurança (sessão, autenticação, balanceamento de carga, prevenção a fraude). Baseiam-se em execução de contrato e legítimo interesse e não dependem de consentimento, pois sua desativação inviabilizaria o serviço. Cookies não essenciais (medição/analytics, marketing e personalização): só são ativados com o seu consentimento, que você pode conceder ou revogar a qualquer momento no painel de gestão de consentimento (banner de cookies e Perfil > Privacidade & Consentimentos). A revogação não afeta a licitude do tratamento já realizado.
Compartilhamento de dados, operadores e suboperadores
Não vendemos seus dados pessoais. Compartilhamos dados apenas quando necessário às finalidades desta Política, com operadores e parceiros submetidos a obrigações contratuais de proteção de dados e segurança da informação, e com os produtores/empresas para quem você adquire serviços. Principais destinatários e suas finalidades:
- Asaas — processamento de pagamentos (PIX e cartão), conciliação e prevenção a fraude.
- Provedor de e-mail transacional — envio de confirmações, códigos e, mediante consentimento, comunicações de marketing.
- Armazenamento de arquivos (S3-compatível/MinIO) — guarda de avatares, documentos e arquivos enviados.
- Keycloak — autenticação e gestão de identidade/credenciais.
- Railway — infraestrutura de hospedagem em nuvem da aplicação e dos bancos de dados.
- Cloudflare — CDN, DNS e proteção/roteamento de rede.
- Sentry — observabilidade e monitoramento de erros, para estabilidade e segurança.
- ViaCEP — consulta de endereço a partir do CEP informado.
- Produtores/empresas vendedores — recebem os dados estritamente necessários para entregar o serviço que você contratou (ex.: validar ingresso, executar reserva, efetivar matrícula, prestar atendimento). Atuam como controladores desse tratamento. Compartilhamentos com parceiros além do necessário à execução do serviço dependem do seu consentimento.
- Autoridades públicas — quando exigido por lei, ordem judicial ou requisição de autoridade competente.
- Você pode solicitar, pelo canal privacidade@openticket.com.br, informações sobre as entidades públicas e privadas com as quais a OpenTicket compartilha seus dados (art. 18, VII).
Transferência internacional de dados (LGPD art. 33)
Alguns operadores e parceiros podem processar ou armazenar dados em servidores localizados fora do Brasil. Nesses casos, asseguramos que a transferência internacional ocorra com fundamento legal adequado (art. 33 da LGPD) e mediante salvaguardas apropriadas, tais como cláusulas contratuais específicas/padrão, garantias de nível de proteção de dados compatível com a LGPD e medidas técnicas e organizacionais de segurança. As salvaguardas e o país de destino concretos de cada operador devem ser confirmados e mantidos atualizados [conferir referência legal / mapeamento por operador]. Você pode solicitar informações adicionais sobre as salvaguardas aplicáveis pelo canal privacidade@openticket.com.br.
Crianças e adolescentes (LGPD art. 14)
A idade mínima para cadastro na plataforma é 13 anos. O tratamento de dados pessoais de crianças e de adolescentes observa o art. 14 da LGPD e é sempre realizado em seu melhor interesse.
O tratamento de dados de crianças (pessoas até 12 anos completos), quando ocorrer, depende de consentimento específico e em destaque dado por ao menos um dos pais ou pelo responsável legal. Não condicionamos a participação de crianças e adolescentes em atividades ao fornecimento de mais dados pessoais do que o estritamente necessário (art. 14, §3º). Caso identifiquemos cadastro de pessoa abaixo da idade mínima de 13 anos, ou tratamento de dados de criança sem o fundamento adequado, adotaremos medidas para suspender e eliminar tais dados. O fluxo de cadastro coleta a data de nascimento para verificação de idade.
Retenção e eliminação de dados
Mantemos os dados pessoais apenas pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os prazos contratuais e as obrigações legais e regulatórias aplicáveis.
Encerrada a relação ou atingida a finalidade, eliminamos os dados (art. 16 da LGPD), salvo quando a guarda for autorizada ou exigida por lei. Critérios e prazos de referência:
- Dados de conta e perfil: mantidos enquanto a conta estiver ativa; eliminados após a exclusão da conta, ressalvadas as hipóteses de guarda obrigatória abaixo.
- Registros de acesso a aplicações de internet (logs): guardados pelo prazo legal aplicável nos termos do Marco Civil da Internet [conferir referência legal — guarda de registros de acesso a aplicações].
- Dados fiscais, contábeis e financeiros: guardados pelos prazos exigidos pela legislação tributária e contábil [conferir referência legal — prazo de guarda fiscal/contábil].
- Dados necessários ao exercício regular de direitos em processo judicial, administrativo ou arbitral: mantidos até o encerramento do respectivo prazo (art. 7º, II e art. 16, II e III).
- Nas hipóteses de guarda obrigatória, os dados são mantidos de forma restrita, com acesso limitado, e, quando viável, anonimizados. Os prazos concretos por categoria devem ser confirmados com o jurídico/contábil antes da publicação.
Direitos do titular (LGPD art. 18) e como exercê-los
A qualquer momento, mediante requisição, você pode exercer os direitos previstos no art. 18 da LGPD:
- I — Confirmação da existência de tratamento;
- II — Acesso aos dados;
- III — Correção de dados incompletos, inexatos ou desatualizados;
- IV — Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- V — Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, observados os segredos comercial e industrial;
- VI — Eliminação dos dados pessoais tratados com o consentimento do titular, ressalvadas as hipóteses de guarda do art. 16;
- VII — Informação sobre as entidades públicas e privadas com as quais a OpenTicket realizou uso compartilhado de dados;
- VIII — Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- IX — Revogação do consentimento, nos termos do art. 8º, §5º;
- Direito de petição perante a ANPD (art. 18, §1º) e direito de oposição a tratamento fundado em hipótese de dispensa de consentimento, em caso de descumprimento da LGPD (art. 18, §2º);
- Revisão de decisões tomadas unicamente com base em tratamento automatizado (art. 20 — vide seção 14).
- Para exercer seus direitos, escreva para privacidade@openticket.com.br. Você também pode usar as ferramentas no produto: Perfil > Privacidade & Consentimentos (gerir consentimentos), Exportar meus dados (acesso/portabilidade, art. 18, II e V) e Excluir minha conta (eliminação, art. 18, VI), esta última com confirmação por token e período de carência de 30 dias antes da eliminação definitiva.
- Prazos de atendimento: a confirmação da existência de tratamento e o acesso aos dados serão prestados de forma imediata, em formato simplificado, ou, mediante declaração clara e completa, no prazo de até 15 (quinze) dias contados da requisição (art. 19, I e II, da LGPD). As demais solicitações são atendidas em prazo razoável e proporcional à complexidade. Poderemos solicitar dados adicionais para confirmar sua identidade e resguardar a segurança da informação, sem que isso configure tratamento excessivo.
Segurança da informação
Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46 da LGPD).
- Criptografia de dados em trânsito (TLS) e proteção de credenciais (armazenamento de senhas sob hash, via Keycloak);
- Controle de acesso por perfil e princípio do menor privilégio;
- Autenticação centralizada (Keycloak) e segregação de ambientes;
- Registro e monitoramento de eventos e erros (observabilidade) e trilha de auditoria de consentimentos;
- Medidas de prevenção a fraude e revisão periódica das práticas de segurança.
- Observação: não declaramos "criptografia ponta a ponta" de forma genérica — descrevemos a proteção efetivamente aplicada (criptografia em trânsito e proteção de credenciais).
Incidentes de segurança
Caso ocorra incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme definido pela regulamentação da ANPD, nos termos do art. 48 da LGPD. A comunicação incluirá, na medida do disponível, a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, as medidas técnicas e de segurança utilizadas, os riscos relacionados ao incidente e as medidas adotadas para reverter ou mitigar os efeitos do prejuízo.
Decisões automatizadas e definição de perfis
A plataforma pode utilizar tratamento automatizado para personalização, recomendações de conteúdo e, na vertical relacionamentos, sugestões de match por localização e interesses, bem como em rotinas de prevenção a fraude. Esses tratamentos, isoladamente, não se destinam a produzir efeitos jurídicos relevantes sobre você. Quando uma decisão for tomada unicamente com base em tratamento automatizado de dados e afetar seus interesses, você pode solicitar a revisão dessa decisão e informações claras e adequadas sobre os critérios e procedimentos utilizados, observados os segredos comercial e industrial (art. 20 da LGPD), pelo canal privacidade@openticket.com.br.
Alterações desta Política
Podemos atualizar esta Política para refletir mudanças legais, regulatórias ou no produto. A versão vigente será sempre publicada na plataforma, com a data da última atualização. Quando a alteração for material, daremos aviso por meios razoáveis (ex.: e-mail ou aviso no produto) e, quando exigido por lei, solicitaremos novo consentimento. O uso continuado após a vigência da versão atualizada indica ciência das mudanças, sem prejuízo das bases legais aplicáveis e dos consentimentos que permanecem revogáveis a qualquer tempo.
Contato — Encarregado e ANPD
Para dúvidas, solicitações de titular e assuntos de proteção de dados, fale com nosso Encarregado/DPO ([●]) pelo e-mail privacidade@openticket.com.br. Assuntos contratuais e de termos de uso: legal@openticket.com.br.
Você também pode contatar a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar pela proteção de dados pessoais no Brasil e a quem é assegurado o direito de petição do titular (art. 18, §1º), por meio dos canais oficiais disponibilizados em seu sítio eletrônico.
Última atualização: [●]. Versão de referência dos termos de consentimento adotada no produto: 2026-05-02.
Documento em formato de minuta, sujeito a validação jurídica e ao preenchimento dos dados cadastrais da empresa. Dúvidas: legal@openticket.com.br · privacidade@openticket.com.br.
© 2026 OpenTicket · SpaceshipNFT Tecnologia Ltda.