Política de Privacidade

4.1. Dados de Cadastro

• Nome
• Endereço de e-mail
• Senha (armazenada de forma criptografada)
• Foto de perfil (avatar)
• Biografia
• Cidade/Localização
• Código de convite/referência (quando aplicável)
• Identificadores de contas sociais (Google ID, Apple ID, Facebook ID) — quando utilizado login social
• Data de aceite dos Termos de Uso

4.2. Dados de Verificação de Identidade (KYC) — Pessoa Física e Jurídica

A verificação possui dois níveis: a verificação básica (necessária para comprar) coleta dados pessoais e telefone; a verificação completa (necessária para vender) adiciona o documento de identidade. Todos os dados sensíveis têm armazenamento criptografado. Conforme o tipo de pessoa:

Pessoa Física (PF):

• Nome completo
• CPF (Cadastro de Pessoa Física)
• Data de nascimento
• Número de telefone celular
• Endereço completo (rua, número, complemento, bairro, cidade, estado, CEP)
• Documento de identidade (RG, CNH ou outro documento oficial com foto) — coletado apenas na verificação completa, exigida para vender

Pessoa Jurídica (PJ) — adicionalmente aos dados do representante legal:

• CNPJ (Cadastro Nacional da Pessoa Jurídica)
• Razão social ou nome fantasia
• Dados do representante legal (CPF, nome completo e data de nascimento)

Os dados de nome, CPF e data de nascimento informados na verificação básica são confirmados de forma automatizada junto a bases cadastrais oficiais, por meio de empresa especializada em validação de dados cadastrais que atua como operadora sob contrato, com obrigações de confidencialidade, segurança e uso restrito à finalidade de verificação (ver seção 7).

4.3. Dados de Transações e Pagamentos

• E-mail do pagador
• Método de pagamento selecionado (cartão de crédito, PIX, boleto)
• Token de cartão (nunca armazenamos dados completos do cartão)
• Valores e detalhes das transações
• Número de parcelas
• Status dos pagamentos
• Identificadores de transações nos gateways de pagamento

4.4. Dados Bancários do Vendedor

Coletados de vendedores verificados para recebimento de repasses, com armazenamento criptografado:

• Nome do banco e código
• Número da agência e dígito
• Número da conta e dígito
• Tipo de conta (corrente, poupança ou pagamento)
• Chave PIX e tipo (CPF, CNPJ, e-mail, telefone ou chave aleatória) — opcional

4.5. Dados de Envio e Logística

• Endereço de entrega (quando diferente do cadastro)
• CEP para cálculo de frete
• Código de rastreamento
• Histórico de status de entrega
• Serviço de frete e transportadora selecionados
• Preferências de transportadoras habilitadas pelo vendedor

4.6. Dados de Comunicação

• Mensagens trocadas no chat da plataforma
• Notificações enviadas e recebidas
• Preferências de notificação (incluindo ativação e horário do recurso "Disco do Dia")
• Histórico de comunicações com suporte

4.7. Dados de Conteúdo

• Informações da coleção de vinis (álbuns, artistas, condição, fotos)
• Anúncios criados no marketplace
• Lances em leilões
• Evidências e descrições em processos de disputa (fotos, vídeos, textos)
• Avaliações detalhadas com subcategorias (comunicação, envio, condição, embalagem, descrição) e comentários
• Posts e atividades no feed social, incluindo vídeos curtos publicados pelo usuário
• Tags e organizações personalizadas
• Preferências de gêneros musicais (selecionadas durante o cadastro e para personalização do feed)
• Histórico das sugestões enviadas pelo recurso "Disco do Dia" (data e disco sugerido) e indicação se a sugestão foi compartilhada no feed ou dispensada — utilizado para evitar repetição da mesma sugestão dentro de uma janela de 15 dias
• Denúncias realizadas (tipo, descrição e evidências enviadas)
• Registros de bloqueio entre usuários

Observação sobre vídeos: vídeos publicados podem conter dados pessoais do próprio usuário (imagem, voz, ambiente capturado pela câmera) e, eventualmente, de terceiros visíveis ou audíveis na gravação. Ao publicar um vídeo, o usuário declara possuir as autorizações necessárias dos terceiros retratados, conforme exigido pela LGPD. A VinilS não realiza tratamento adicional desses dados além da exibição do vídeo na plataforma e do armazenamento técnico necessário para o funcionamento do serviço.

4.8. Dados de Integrações

• Identificador do Spotify (quando conectado)
• Tokens de acesso OAuth (Google, Apple, Spotify, Discogs) - armazenados de forma criptografada
• Playlist do Spotify vinculada à coleção
• Nome de usuário do Discogs (quando conectado)
• Dados de coleção importados do Discogs e outros serviços externos (álbuns, artistas, condição, gravadoras, preços de mercado por condição)

4.9. Dados Técnicos

• Endereço IP
• Tipo de dispositivo e navegador
• Sistema operacional
• Token de dispositivo para notificações push
• Identificadores de dispositivo para prevenção a fraudes
• Logs de acesso e atividades na plataforma
• Cookies e tecnologias similares
• Dados de erro e performance para monitoramento técnico — anonimizados e amostrados
• Permissões de dispositivo: câmera (para fotografar discos de vinil e documentos de verificação), galeria de fotos (para upload de imagens)

5.1. Execução de Contrato (Art. 7º, V)

Tratamos seus dados quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual você seja parte. Isso inclui:

• Criação e manutenção da sua conta
• Processamento de transações de compra e venda
• Gestão de leilões e lances
• Cálculo e contratação de frete
• Processamento de pagamentos
• Comunicações relacionadas a transações
• Importação de coleção de plataformas externas

5.2. Consentimento (Art. 7º, I)

Em determinadas situações, solicitamos seu consentimento expresso para o tratamento de dados. Você pode revogar o consentimento a qualquer momento. Utilizamos esta base para:

• Envio de comunicações de marketing e novidades
• Integração com serviços de terceiros (Spotify, Discogs, Google, Apple)
• Uso de cookies não essenciais
• Compartilhamento de dados para finalidades específicas

5.3. Legítimo Interesse (Art. 7º, IX)

Tratamos alguns dados com base em nosso legítimo interesse, sempre respeitando seus direitos e expectativas legítimas. Isso inclui:

• Prevenção a fraudes e segurança da plataforma
• Melhoria dos nossos serviços e experiência do usuário
• Análises estatísticas agregadas
• Proteção dos direitos da VinilS e de terceiros
• Monitoramento de erros e performance da plataforma
• Aplicação de limites de uso (rate limiting) para proteção da infraestrutura

5.4. Cumprimento de Obrigação Legal (Art. 7º, II)

Tratamos dados quando necessário para cumprir obrigações legais ou regulatórias:

• Guarda de registros de acesso (Marco Civil da Internet)
• Retenção de dados fiscais e contábeis
• Atendimento a ordens judiciais ou requisições de autoridades
• Cumprimento de normas do Banco Central e órgãos reguladores

5.5. Exercício Regular de Direitos (Art. 7º, VI)

Podemos tratar dados para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais.

6.1. Prestação dos Serviços

• Criar e gerenciar sua conta na plataforma
• Permitir a criação e gestão da sua coleção de vinis
• Facilitar a publicação de anúncios e participação em leilões
• Conectar compradores e vendedores
• Exibir seu perfil e coleção para outros usuários
• Possibilitar interações sociais (seguir, curtir, comentar, votar em enquetes)
• Importar e sincronizar coleções de plataformas externas de catálogo musical

6.2. Processamento de Transações

• Processar pagamentos de compras e assinaturas
• Calcular e contratar serviços de frete
• Gerar etiquetas de envio e códigos de rastreamento
• Intermediar disputas entre usuários
• Calcular e repassar valores aos vendedores
• Cadastrar e processar dados bancários para repasse financeiro a vendedores

6.3. Comunicação

• Enviar notificações sobre transações e atividades relevantes
• Permitir comunicação entre usuários via chat
• Moderação automatizada de mensagens de chat para detecção de compartilhamento de informações de contato (telefone, e-mail, redes sociais), visando prevenir transações fora da plataforma e proteger os usuários — a análise é realizada localmente nos servidores da VinilS, sem compartilhamento de conteúdo com serviços externos
• Enviar atualizações sobre status de pedidos e leilões
• Fornecer suporte ao cliente
• Enviar comunicações de marketing (mediante consentimento)
• Enviar notificações push para dispositivos móveis (mediante autorização)
• Enviar a sugestão diária do recurso "Disco do Dia" no horário escolhido pelo usuário, selecionando aleatoriamente um disco da própria coleção ativa do usuário (sem cruzamento com dados de terceiros)

Você pode desativar as notificações push a qualquer momento nas configurações do seu dispositivo (iOS: Ajustes > Notificações > VinilS; Android: Configurações > Apps > VinilS > Notificações). O recurso "Disco do Dia" também pode ser ativado ou desativado individualmente em Perfil → Preferências de Notificação (mobile) ou Configurações → Notificações (web), onde também é possível ajustar o horário da sugestão.

6.4. Segurança e Prevenção a Fraudes

• Verificar a identidade de usuários (KYC)
• Detectar e prevenir fraudes e atividades suspeitas
• Proteger a plataforma contra abusos
• Garantir a autenticidade das transações
• Implementar medidas de segurança da informação

6.5. Melhoria da Plataforma

• Analisar uso e desempenho da plataforma
• Desenvolver novos recursos e funcionalidades
• Personalizar a experiência do usuário
• Realizar pesquisas e análises estatísticas

6.6. Cumprimento de Obrigações Legais

• Atender exigências fiscais e contábeis
• Responder a requisições de autoridades competentes
• Manter registros de acesso conforme Marco Civil da Internet
• Cumprir decisões judiciais e administrativas

6.7. Campanha de Pontos

• Registrar eventos do usuário que geram pontos (compras, vendas, lances, interações sociais, verificações) para apuração de pontuação
• Calcular cupons, posição no ranking e elegibilidade a prêmios
• Exibir nome e avatar do usuário no ranking público da campanha (a menos que o usuário opte por aparecer como "Anônimo" nas configurações)
• Apurar vencedores de sorteios e prêmios por colocação
• Disparar notificações de marcos, encerramento de campanha e resultado de sorteio
• Gerar registro auditável (CSV interno) de cupons para validação do sorteio externo via Loteria Federal

O CSV de cupons gerado para auditoria do sorteio contém apenas identificador interno, nome público do usuário e quantidade de pontos/cupons — não inclui e-mail, telefone ou outros dados sensíveis. Você pode controlar a exibição do seu nome no ranking público em Configurações.

7.1. Com Outros Usuários

Durante transações, compartilhamos dados necessários para a conclusão da operação:

• Nome e cidade (visíveis no perfil público)
• Endereço de entrega (compartilhado com o vendedor para envio)
• Avaliações e reputação

7.2. Processadores de Pagamento

Para processar pagamentos, compartilhamos dados com processadores de pagamento certificados (PCI-DSS), que realizam operações de cartão de crédito, PIX, boleto e assinaturas.

Estes parceiros estão sujeitos às suas próprias políticas de privacidade e padrões de segurança.

7.3. Serviços de Logística

Para viabilizar o envio de produtos, compartilhamos dados com serviços de cálculo de frete, geração de etiquetas e transportadoras responsáveis pelo envio e rastreamento de encomendas.

Logística reversa em disputas: em disputas que envolvam devolução do produto, os endereços do comprador (origem da devolução) e do vendedor (destino), bem como a identificação dos itens objeto da devolução, são compartilhados com os mesmos serviços para emissão da etiqueta reversa, declaração de conteúdo e rastreamento do envio, sob a mesma política de minimização adotada para a logística de ida.

7.4. Provedores de Infraestrutura

Utilizamos provedores terceirizados para a operação da plataforma, incluindo:

• Hospedagem de servidores e banco de dados
• Armazenamento de imagens e documentos em nuvem
• Armazenamento e distribuição de vídeos por meio de rede de entrega de conteúdo (CDN) com infraestrutura globalmente distribuída
• Envio de e-mails transacionais
• Envio de notificações push para dispositivos móveis
• Monitoramento de erros e performance (dados técnicos anonimizados)

7.5. Integrações Solicitadas por Você

Quando você opta por conectar serviços externos (como plataformas de streaming musical ou autenticação social), compartilhamos apenas os dados necessários para a integração, mediante sua autorização expressa.

7.6. Serviço de Mensagens Instantâneas

Utilizamos serviço de mensagens instantâneas (WhatsApp ou equivalente) para:

• envio de códigos de verificação de telefone no processo de identificação de usuários (KYC);
• avisos pontuais sobre eventos críticos da disputa, como a disponibilidade de etiqueta de devolução para download na plataforma. Estas mensagens não contêm dados sensíveis do pedido nem links externos — orientam o usuário a acessar a plataforma para consultar os detalhes.

Demais notificações operacionais (despacho, trânsito, entrega, lembretes de prazo, conclusão da disputa) são enviadas exclusivamente pelo aplicativo (notificações in-app e push). O número de telefone é compartilhado com o provedor de mensageria apenas para envio dos avisos acima, sem retenção de conteúdo pelo provedor. Base legal: execução de contrato e legítimo interesse (art. 7º, V e IX, LGPD).

7.7. Serviços de Inteligência Artificial

Utilizamos serviços de inteligência artificial para reconhecimento de vinis por foto e análise de documentos durante a verificação de identidade.

Imagens são processadas apenas para as finalidades específicas e não são retidas pelos provedores de IA.

7.8. Serviço de Validação de Dados Cadastrais (Pessoa Física)

Para confirmar a autenticidade dos dados informados na verificação básica e prevenir fraudes, compartilhamos o CPF, o nome completo e a data de nascimento do usuário com empresa especializada em validação de dados cadastrais (bureau), que confronta essas informações com bases cadastrais oficiais e nos retorna apenas o resultado da conferência.

Esse parceiro atua como operador de dados, exclusivamente para a finalidade de verificação, sob contrato com cláusulas de confidencialidade, segurança e proibição de uso para finalidade diversa. Base legal: execução de contrato e legítimo interesse na prevenção a fraudes (art. 7º, V e IX, LGPD). Não armazenamos os dados retornados pelo parceiro além do estritamente necessário ao registro de que a verificação foi realizada.

7.9. Serviços de Dados e Consultas Públicas

Consultamos bases de dados públicas para precificação de discos, importação de catálogos musicais e verificação de dados cadastrais empresariais (CNPJ).

Nenhum dado pessoal do usuário é compartilhado com esses serviços — apenas dados públicos de consulta são utilizados nas requisições.

7.10. Autoridades e Órgãos Públicos

Podemos compartilhar dados quando exigido por lei, ordem judicial ou requisição de autoridade competente, incluindo:

• Autoridades policiais e judiciárias
• Ministério Público
• Receita Federal e órgãos fazendários
• ANPD (Autoridade Nacional de Proteção de Dados)
• Procon e órgãos de defesa do consumidor

7.11. Consultores e Assessores

Podemos compartilhar dados com advogados, contadores e outros profissionais, quando necessário para defesa de nossos interesses legítimos ou cumprimento de obrigações legais, sempre sob obrigação de confidencialidade.

8.1. Medidas de Segurança Técnica

• Criptografia em repouso: Dados sensíveis (CPF, CNPJ, telefone, endereço, nome completo, dados bancários e chaves PIX) são criptografados com algoritmo de padrão industrial (AES-256-GCM) antes do armazenamento
• Criptografia em trânsito: Toda comunicação com a plataforma é protegida por conexão segura (HTTPS)
• Senhas: Armazenadas com hash seguro e irreversível, nunca em texto plano
• Autenticação: Sistema de tokens com expiração curta e renovação automática
• Proteção contra abuso: Limitação de requisições para prevenir ataques de força bruta
• Sanitização de logs: Dados sensíveis (senhas, tokens, CPF, CNPJ, telefone, dados bancários, chaves PIX) são automaticamente redatados dos registros de log do sistema, em conformidade com a LGPD

8.2. Armazenamento

• Banco de dados com acesso restrito e controle de permissões
• Backups regulares e redundância
• Imagens e documentos em armazenamento seguro na nuvem com acesso controlado
• Separação de ambientes (desenvolvimento e produção)

8.3. Medidas Organizacionais

• Acesso restrito a dados pessoais apenas a funcionários autorizados
• Princípio do menor privilégio (acesso apenas ao necessário)
• Treinamento de equipe sobre proteção de dados
• Políticas internas de segurança da informação
• Contratos com cláusulas de proteção de dados com fornecedores

8.4. Prevenção a Fraudes

• Verificação de identidade (KYC) para vendedores
• Análise de risco em transações
• Identificação de dispositivos para detecção de comportamentos suspeitos
• Monitoramento contínuo de atividades anômalas

11.1. Canais de Atendimento

• E-mail: Envie sua solicitação para privacidade@vinils.app
• Configurações da Conta: Acesse suas configurações de perfil para editar dados diretamente ou solicitar a exclusão da sua conta
• Formulário de Contato: Utilize nosso formulário de suporte em /help/contact

11.2. Informações Necessárias

Para processar sua solicitação, precisaremos de:

• Seu nome completo e e-mail cadastrado na plataforma
• Descrição clara do direito que deseja exercer
• Informações adicionais que possam ajudar a identificar os dados (se necessário)

11.3. Verificação de Identidade

Para sua segurança, poderemos solicitar informações adicionais para confirmar sua identidade antes de processar a solicitação. Isso evita que terceiros acessem ou manipulem seus dados indevidamente.

11.4. Prazo de Resposta

Responderemos às suas solicitações em até 15 (quinze) dias corridos, conforme previsto na LGPD. Em casos complexos que demandem mais tempo, informaremos os motivos e o prazo previsto para conclusão.

11.5. Gratuidade

O exercício dos seus direitos é gratuito. Não cobramos nenhuma taxa para processar solicitações relacionadas aos seus dados pessoais.

12.1. Tipos de Cookies Utilizados

12.2. Local Storage e Session Storage

Além de cookies, utilizamos tecnologias de armazenamento local do navegador para guardar dados essenciais ao funcionamento da plataforma:

• auth-storage: Dados de autenticação (sessão do usuário)
• cart-storage: Dados do carrinho de compras

Esses dados permanecem no seu dispositivo e podem ser apagados limpando os dados do navegador.

12.3. Ausência de Analytics de Terceiros

A VinilS não utiliza serviços de analytics de terceiros (como Google Analytics, Mixpanel ou similares). Não realizamos rastreamento comportamental do usuário para fins publicitários ou de marketing.

12.4. Cookie de Atribuição de Marketing

Utilizamos um cookie próprio (vinils_utm) para identificar de qual campanha publicitária o usuário chegou à plataforma. Este cookie:

• Armazena apenas dados da campanha (fonte, meio e nome da campanha) — nenhum dado pessoal
• Tem duração máxima de 30 dias
• É automaticamente apagado após o cadastro do usuário
• Serve exclusivamente para medir a eficácia das campanhas de divulgação da plataforma

Base legal: interesse legítimo do controlador em mensurar a eficácia de suas ações de marketing (Art. 7º, IX, LGPD).

12.5. Gerenciamento de Cookies

Você pode gerenciar ou bloquear cookies através das configurações do seu navegador. No entanto, a desativação de cookies essenciais pode impactar o funcionamento da plataforma.

Consulte a documentação do seu navegador para instruções específicas sobre como gerenciar cookies.

15.1. Dados Coletados na Verificação

Pessoa Física (PF):

• Nome completo conforme documento
• CPF (Cadastro de Pessoa Física)
• Data de nascimento
• Número de telefone celular
• Endereço residencial completo
• Foto de documento de identidade oficial (RG, CNH ou passaporte) — apenas na verificação completa, exigida para vender

Pessoa Jurídica (PJ) — adicionalmente:

• CNPJ (Cadastro Nacional da Pessoa Jurídica)
• Razão social ou nome fantasia
• Dados do representante legal (CPF, nome completo e data de nascimento)

15.2. Processo de Verificação

As etapas relativas a documento aplicam-se somente à verificação completa (para vender):

1. Preenchimento de dados pessoais e data de nascimento
2. Confirmação automatizada dos dados cadastrais junto a bases oficiais, por meio de operador especializado (ver seção 7.8)
3. Verificação de telefone via código enviado por WhatsApp
4. Upload de documento de identidade com foto (apenas para vender)
5. Análise automatizada do documento via inteligência artificial (apenas para vender)
6. Consulta automatizada de dados empresariais para Pessoa Jurídica
7. Revisão manual em casos específicos

15.3. Uso de Inteligência Artificial

Na verificação completa (para vender), utilizamos serviços de inteligência artificial (visão computacional) para:

• Extrair automaticamente dados do documento enviado
• Verificar a autenticidade e legibilidade do documento
• Comparar informações fornecidas com as extraídas do documento

As imagens são processadas apenas para fins de verificação e não são retidas pelos provedores de IA após o processamento.

15.4. Armazenamento Seguro

Os dados de verificação recebem tratamento diferenciado conforme sua natureza:

• Imagens de documentos: Eliminadas imediatamente após a análise e decisão (aprovação ou rejeição), em conformidade com o princípio de minimização de dados da LGPD
• Dados textuais (CPF, CNPJ, nome, data de nascimento, endereço, telefone, dados empresariais PJ): Criptografados com algoritmo AES-256-GCM e mantidos pelo período exigido por lei (mínimo 5 anos após encerramento da conta). A data de nascimento é armazenada sem criptografia, por se tratar de dado isolado de baixo risco, sob as mesmas medidas de controle de acesso
• Armazenados em ambiente seguro com acesso restrito
• Acessíveis apenas por pessoal autorizado e mediante justificativa

15.5. Finalidade Exclusiva

Os dados de verificação são utilizados exclusivamente para:

• Confirmar sua identidade
• Prevenir fraudes e lavagem de dinheiro
• Cumprir obrigações regulatórias
• Proteger outros usuários da plataforma

17.1. Comunicação à ANPD

Conforme artigo 48 da LGPD, comunicaremos à Autoridade Nacional de Proteção de Dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo razoável.

17.2. Comunicação aos Titulares

Notificaremos os titulares afetados sobre o incidente, informando:

• Descrição da natureza dos dados pessoais afetados
• Informações sobre os titulares envolvidos
• Medidas técnicas e de segurança utilizadas para proteção dos dados
• Riscos relacionados ao incidente
• Medidas adotadas ou que serão adotadas para reverter ou mitigar os efeitos do incidente
• Recomendações ao titular para mitigar riscos

17.3. Plano de Resposta

Mantemos um plano de resposta a incidentes que inclui:

• Identificação e contenção do incidente
• Investigação da causa raiz
• Avaliação do impacto e riscos
• Notificação às partes interessadas
• Implementação de medidas corretivas
• Documentação e lições aprendidas