1. Introdução
A Control Ticket ("nós", "nosso" ou "Empresa") é uma empresa especializada em soluções de controle de acesso facial para eventos, academias, escritórios e ambientes corporativos. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais (incluindo dados biométricos) de participantes, clientes, usuários do nosso site e demais titulares de dados.
Esta política foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis à proteção de dados pessoais no Brasil.
A Control Ticket trata dados biométricos faciais, classificados pela LGPD como dados pessoais sensíveis (Art. 5º, II). Por isso, adotamos medidas reforçadas de segurança e transparência descritas ao longo desta política.
2. Definições
Para os fins desta Política, adotamos as seguintes definições, conforme o Art. 5º da LGPD:
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (ex.: nome, e-mail, telefone).
- Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, dado genético ou biométrico, entre outros, quando vinculado a uma pessoa natural (Art. 5º, II). Os dados faciais coletados pela Control Ticket enquadram-se nesta categoria.
- Titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento.
- Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
- Tratamento: toda operação realizada com dados pessoais, como coleta, armazenamento, utilização, compartilhamento e eliminação.
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
- ANPD: Autoridade Nacional de Proteção de Dados, órgão responsável por fiscalizar o cumprimento da LGPD.
- Encarregado (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares e a ANPD.
3. Agente de Tratamento
A Control Ticket pode atuar como controladora ou operadora de dados pessoais, a depender do contexto:
| Contexto | Papel | Descrição |
|---|---|---|
| Site institucional e formulário de contato | Controladora | A Control Ticket decide quais dados coletar e como utilizá-los para responder solicitações comerciais. |
| Controle de acesso em eventos de terceiros | Operadora | A Control Ticket processa dados biométricos em nome do organizador do evento (controlador), conforme instruções contratuais. |
| Serviços próprios (academias, escritórios contratantes diretos) | Controladora | A Control Ticket define as finalidades e meios do tratamento para prestação do serviço contratado. |
4. Dados Pessoais Coletados
4.1. Dados coletados via site
Ao preencher nosso formulário de contato, coletamos:
- Nome completo;
- Endereço de e-mail;
- Número de telefone;
- Nome do evento ou empresa;
- Mensagem livre (informações adicionais fornecidas voluntariamente).
4.2. Dados coletados via serviço de controle de acesso
No contexto da prestação de serviços de controle de acesso, coletamos:
- Nome completo;
- CPF ou documento de identidade (quando aplicável);
- Número do ingresso ou código de acesso;
- Dados biométricos faciais (descritos na seção 5);
- Registros de acesso (data, hora, local da catraca, resultado da verificação);
- Fotografia capturada no momento da verificação facial.
4.3. Dados coletados automaticamente
Ao acessar nosso site, podemos coletar automaticamente:
- Endereço IP;
- Tipo de navegador e sistema operacional;
- Páginas visitadas e tempo de permanência;
- Origem do tráfego (referrer).
5. Dados Biométricos (Sensíveis)
Os dados biométricos faciais são classificados como dados pessoais sensíveis pela LGPD (Art. 5º, II) e recebem proteção reforçada em nosso sistema.
5.1. O que coletamos
Nosso sistema captura a imagem facial do participante e gera um template biométrico, que é uma representação matemática (vetor numérico) das características faciais. Esse template não é uma fotografia e não pode ser revertido em uma imagem do rosto.
5.2. Como coletamos
A coleta ocorre de duas formas:
- Cadastro prévio: o participante envia uma selfie pelo aplicativo da ticketeria parceira ou pelo portal de cadastro, antes do evento.
- Cadastro presencial: o participante registra seu rosto nos totens de autoatendimento localizados na entrada do evento.
5.3. Tecnologia utilizada
Utilizamos catracas modernas com módulo de reconhecimento facial integrado, equipadas com:
- Detecção de vivacidade (liveness detection): impede o uso de fotos, vídeos ou máscaras para fraudar o sistema;
- Processamento local: a verificação biométrica é realizada no próprio dispositivo, sem necessidade de enviar a imagem para servidores externos em tempo real;
- Precisão de 99,7%: taxa de reconhecimento que minimiza falsos positivos e negativos.
5.4. Finalidade exclusiva
Os dados biométricos são utilizados exclusivamente para a verificação de identidade no controle de acesso. Não utilizamos dados biométricos para:
- Publicidade ou marketing;
- Criação de perfis comportamentais;
- Monitoramento ou vigilância além do controle de acesso;
- Venda ou cessão a terceiros;
- Qualquer outra finalidade além da expressamente consentida pelo titular.
6. Finalidades do Tratamento
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome, e-mail, telefone (formulário) | Responder solicitações comerciais e enviar propostas | Legítimo interesse (Art. 7º, IX) |
| Nome, documento, ingresso | Identificação e vinculação ao evento/serviço | Execução de contrato (Art. 7º, V) |
| Dados biométricos faciais | Verificação de identidade no controle de acesso | Consentimento específico (Art. 11, I) |
| Registros de acesso | Segurança, auditoria e relatórios operacionais | Legítimo interesse (Art. 7º, IX) |
| Dados de navegação (IP, cookies) | Melhoria do site, analytics e segurança | Legítimo interesse (Art. 7º, IX) |
7. Bases Legais
Todo tratamento de dados pessoais realizado pela Control Ticket é fundamentado em ao menos uma das bases legais previstas na LGPD:
- Consentimento (Art. 7º, I e Art. 11, I): utilizado obrigatoriamente para o tratamento de dados biométricos faciais. O consentimento é obtido de forma específica, destacada e informada, podendo ser revogado a qualquer momento.
- Execução de contrato (Art. 7º, V): para viabilizar a prestação dos serviços contratados pelo organizador do evento ou empresa.
- Legítimo interesse (Art. 7º, IX): para responder formulários de contato, gerar relatórios operacionais e garantir a segurança do sistema.
- Cumprimento de obrigação legal (Art. 7º, II): para atender exigências legais ou regulatórias, como manutenção de registros de acesso conforme o Marco Civil da Internet.
8. Consentimento
8.1. Coleta do consentimento
O consentimento para tratamento de dados biométricos é obtido de forma:
- Livre: o titular não é obrigado a fornecer seus dados biométricos. Alternativas de acesso (QR code, ingresso físico) são disponibilizadas quando aplicável.
- Informada: o titular é comunicado, no momento do cadastro, sobre quais dados serão coletados, para qual finalidade, por quanto tempo serão armazenados e quais seus direitos.
- Inequívoca: o consentimento é registrado por meio de aceite explícito (checkbox, botão de confirmação ou aceite no aplicativo).
- Específica: o consentimento é vinculado à finalidade de controle de acesso, sem autorizações genéricas.
8.2. Revogação do consentimento
O titular pode revogar o consentimento a qualquer momento, de forma gratuita e facilitada, pelos seguintes canais:
- E-mail para o Encarregado de Proteção de Dados (seção 17);
- Solicitação direta ao organizador do evento;
- Formulário disponível em nosso site.
A revogação não prejudica a licitude do tratamento realizado anteriormente com base no consentimento (Art. 8º, §5º da LGPD). Após a revogação, os dados biométricos serão eliminados no prazo descrito na seção 11.
9. Compartilhamento de Dados
A Control Ticket pode compartilhar dados pessoais com os seguintes destinatários, exclusivamente para as finalidades descritas nesta política:
| Destinatário | Dados compartilhados | Finalidade |
|---|---|---|
| Organizadores de eventos (contratantes) | Registros de acesso, relatórios de fluxo | Gestão operacional do evento |
| Ticketerias parceiras (Fivepass, Sympla, etc.) | Status de verificação facial (aprovado/negado) | Integração do sistema de acesso com venda de ingressos |
| Prestadores de serviço de TI | Dados operacionais (sem dados biométricos) | Manutenção de infraestrutura e suporte técnico |
| Autoridades públicas | Dados solicitados por ordem judicial ou legal | Cumprimento de obrigação legal |
Os templates biométricos faciais NÃO são compartilhados com organizadores de eventos, ticketerias ou quaisquer terceiros. Apenas o resultado da verificação (acesso aprovado ou negado) é transmitido.
10. Armazenamento e Segurança
10.1. Medidas técnicas
- Criptografia em trânsito: todas as comunicações utilizam protocolo TLS 1.2 ou superior;
- Criptografia em repouso: os templates biométricos são armazenados com criptografia AES-256;
- Processamento local: a verificação facial é realizada diretamente no dispositivo (catraca), reduzindo a exposição dos dados;
- Segregação de dados: dados biométricos são armazenados separadamente de dados cadastrais, vinculados apenas por identificadores internos criptografados;
- Controle de acesso: apenas colaboradores autorizados têm acesso aos sistemas, com autenticação multifator e registro de acessos (logs);
- Monitoramento: monitoramento contínuo de infraestrutura para detecção de acessos não autorizados ou anomalias.
10.2. Medidas organizacionais
- Treinamento periódico dos colaboradores sobre proteção de dados;
- Acordos de confidencialidade (NDA) com todos os colaboradores e prestadores de serviço;
- Política interna de segurança da informação;
- Revisão periódica de acessos e permissões;
- Contratos de tratamento de dados (DPA) com todos os operadores e suboperadores.
11. Retenção e Eliminação
| Tipo de dado | Prazo de retenção | Critério |
|---|---|---|
| Templates biométricos (eventos) | Até 30 dias após o evento | Eliminados automaticamente após o período de contingência operacional |
| Templates biométricos (academias/escritórios) | Enquanto durar a relação contratual | Eliminados em até 30 dias após o encerramento do contrato ou revogação do consentimento |
| Registros de acesso | Até 6 meses | Mantidos para fins de segurança e auditoria |
| Dados do formulário de contato | Até 12 meses | Mantidos para acompanhamento comercial; eliminados após o período ou a pedido do titular |
| Logs de navegação (site) | Até 6 meses | Conforme Marco Civil da Internet |
Ao término do prazo de retenção, os dados são eliminados de forma segura e irreversível, incluindo backups, no prazo máximo de 15 dias úteis.
12. Direitos do Titular
Conforme os artigos 17 a 22 da LGPD, o titular dos dados tem os seguintes direitos, que podem ser exercidos a qualquer momento:
- Confirmação da existência de tratamento: saber se a Control Ticket trata seus dados pessoais.
- Acesso aos dados: obter uma cópia dos dados pessoais que tratamos sobre você.
- Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade: solicitar a transferência dos seus dados a outro fornecedor de serviço, mediante requisição expressa.
- Eliminação dos dados tratados com consentimento: solicitar a exclusão dos dados biométricos e demais dados tratados com base no consentimento.
- Informação sobre compartilhamento: saber com quais entidades seus dados foram compartilhados.
- Informação sobre a possibilidade de não consentir: ser informado sobre as consequências da negativa de consentimento.
- Revogação do consentimento: retirar o consentimento previamente concedido, a qualquer momento.
- Oposição: opor-se ao tratamento realizado com base em hipótese de dispensa de consentimento, caso haja descumprimento da LGPD.
- Revisão de decisões automatizadas: solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados.
12.1. Como exercer seus direitos
Para exercer qualquer dos direitos acima, entre em contato com nosso Encarregado de Proteção de Dados (DPO) pelos canais indicados na seção 17 desta política. Responderemos à sua solicitação no prazo de 15 dias úteis, conforme previsto na LGPD.
Poderemos solicitar informações adicionais para confirmar sua identidade antes de processar a requisição, como medida de segurança para proteção dos seus próprios dados.
13. Cookies e Tecnologias de Rastreamento
Nosso site pode utilizar cookies e tecnologias similares para:
- Cookies essenciais: necessários para o funcionamento básico do site (ex.: preferências de sessão).
- Cookies analíticos: utilizados para compreender como os visitantes interagem com o site, por meio de ferramentas como Google Analytics. Estes cookies coletam informações de forma agregada e anônima.
Você pode gerenciar ou desabilitar cookies a qualquer momento por meio das configurações do seu navegador. A desabilitação de cookies essenciais pode comprometer o funcionamento de algumas funcionalidades do site.
14. Dados de Crianças e Adolescentes
A Control Ticket não coleta intencionalmente dados pessoais de crianças (menores de 12 anos). O tratamento de dados de crianças e adolescentes (12 a 17 anos) somente será realizado:
- Com o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal (Art. 14 da LGPD);
- No melhor interesse da criança ou adolescente;
- Limitado ao estritamente necessário para a finalidade de controle de acesso.
Caso tenhamos conhecimento de que dados de crianças foram coletados sem o consentimento apropriado, procederemos com a eliminação imediata.
15. Transferência Internacional de Dados
Em regra, os dados pessoais tratados pela Control Ticket são armazenados e processados em servidores localizados no Brasil. Caso seja necessária a transferência internacional de dados (por exemplo, para uso de serviços de infraestrutura em nuvem com servidores no exterior), essa transferência ocorrerá em conformidade com o Art. 33 da LGPD, mediante:
- Transferência para países ou organismos que proporcionem grau de proteção adequado;
- Garantias oferecidas por cláusulas contratuais específicas (cláusulas-padrão); ou
- Consentimento específico e informado do titular.
Os templates biométricos faciais não são transferidos para fora do Brasil.
16. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Control Ticket se compromete a:
- Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme o Art. 48 da LGPD;
- Informar a natureza dos dados afetados, os riscos envolvidos e as medidas adotadas para mitigar os efeitos do incidente;
- Adotar providências imediatas para conter o incidente e minimizar seus impactos.
17. Encarregado de Proteção de Dados (DPO)
A Control Ticket designou um Encarregado de Proteção de Dados responsável por:
- Receber reclamações e comunicações dos titulares e da ANPD;
- Prestar esclarecimentos e adotar providências;
- Orientar colaboradores e contratados sobre práticas de proteção de dados.
Canal de contato do Encarregado:
- E-mail: privacidade@controlticket.com.br
As solicitações serão respondidas em até 15 dias úteis, prorrogáveis por igual período mediante justificativa, conforme a LGPD.
18. Alterações nesta Política
Esta Política de Privacidade poderá ser atualizada periodicamente para refletir mudanças em nossas práticas, na legislação aplicável ou em decisões da ANPD. Quando realizarmos alterações substanciais:
- A data de "última atualização" no topo desta página será revisada;
- Publicaremos um aviso destacado em nosso site;
- Caso as alterações afetem o tratamento de dados biométricos, solicitaremos novo consentimento dos titulares.
Recomendamos que você revise esta política periodicamente para manter-se informado.
19. Legislação Aplicável e Foro
Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, em especial:
- Lei nº 13.709/2018: Lei Geral de Proteção de Dados Pessoais (LGPD);
- Lei nº 12.965/2014: Marco Civil da Internet;
- Decreto nº 8.771/2016: Regulamentação do Marco Civil da Internet;
- Código de Defesa do Consumidor (Lei nº 8.078/1990), quando aplicável.
Para a resolução de quaisquer controvérsias decorrentes desta política, fica eleito o foro da comarca da sede da Control Ticket, com renúncia expressa a qualquer outro, por mais privilegiado que seja, ressalvado o direito do consumidor de optar pelo foro de seu domicílio.
20. Contato
Para dúvidas, solicitações ou reclamações relacionadas a esta Política de Privacidade ou ao tratamento de seus dados pessoais, entre em contato conosco:
- E-mail do DPO: privacidade@controlticket.com.br
- E-mail geral: contato@controlticket.com.br
- Site: controlticket.com.br
Caso não obtenha resposta satisfatória, você poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) por meio do site gov.br/anpd.