Última atualização: 10 de junho de 2026Versão 1.0.0

Política de Privacidade

Vigência: 10 de junho de 2026 Versão: 1.0.0

A nottepass respeita a sua privacidade e está comprometida em proteger seus dados pessoais. Esta Política de Privacidade descreve, de forma transparente, como coletamos, usamos, armazenamos, compartilhamos e protegemos suas informações quando você utiliza a plataforma, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990).

Ao se cadastrar ou utilizar nossos serviços, você declara ter lido e compreendido esta Política. Recomendamos a leitura atenta antes de fornecer qualquer dado.

1. Quem somos (Controladora)

A plataforma é operada por nottepass Tecnologia Ltda., inscrita no CNPJ sob o nº 51.890.784/0001-01 ("nottepass", "nós").

A nottepass é uma plataforma de intermediação tecnológica que permite a Organizadores criarem, divulgarem e venderem Ingressos e Produtos para Eventos, e a Compradores adquiri-los. Atuamos como intermediária entre Comprador e Organizador, e como facilitadora do processamento de pagamentos por meio de gateway parceiro.

Para os fins da LGPD:

  • A nottepass é a controladora dos dados pessoais tratados na operação da plataforma (cadastro, conta, compras, pagamentos, segurança e cumprimento de obrigações legais);
  • O Organizador é controlador autônomo dos dados que recebe para a gestão do seu próprio Evento (por exemplo, validação de acesso na portaria e comunicação sobre o Evento), respondendo de forma independente pelo uso que faz desses dados;
  • Os provedores de infraestrutura e de pagamento atuam como operadores, tratando dados em nosso nome e sob contrato.

Encarregado de Proteção de Dados (DPO): privacidade@nottepass.com.br

2. Quais dados coletamos

Coletamos apenas os dados necessários para operar a plataforma com segurança e cumprir nossas obrigações legais. Os dados variam conforme o seu perfil de uso (Comprador, Organizador ou membro de equipe).

2.1 Dados que você fornece diretamente

Cadastro e conta (todos os usuários):

  • Nome completo, e-mail, CPF, telefone, data de nascimento e gênero;
  • Senha, armazenada exclusivamente como hash criptográfico (bcrypt) — nunca temos acesso à sua senha em texto legível;
  • Preferências de tema e idioma.

Compra (Compradores):

  • Nome, e-mail, CPF/CNPJ e telefone do comprador associados ao pedido;
  • Dados de pagamento, processados diretamente pelo gateway. Não armazenamos o número completo do cartão nem o CVV. Guardamos apenas referências não sensíveis devolvidas pelo gateway, como os quatro últimos dígitos e a bandeira do cartão, e o identificador da transação, para suporte, conciliação e prevenção a fraudes;
  • Caso você opte por salvar um cartão para compras futuras, ele é tokenizado e armazenado pelo gateway de pagamento (Pagar.me), e não em nossos servidores. Mantemos apenas o identificador do token e os dados não sensíveis acima.

Organizador e recebimento de valores (Organizadores):

  • Dados da organização: nome/razão social, nome fantasia, tipo de pessoa (física ou jurídica), CPF ou CNPJ e endereço;
  • Dados de contato comercial (e-mail e telefone do organizador) e logotipo;
  • Dados bancários para repasse e saque: banco, agência, conta, tipo de conta, nome e documento (CPF/CNPJ) do titular. Esses dados são utilizados para constituir o recebedor junto ao gateway de pagamento.

Verificação de identidade (KYC — quando aplicável):

Para liberar saques e prevenir fraude e lavagem de dinheiro, podemos solicitar a quem vai receber valores (Organizadores) uma verificação de identidade, que inclui:

  • Tipo e imagens de documento oficial (CNH ou RG — frente e verso);
  • Selfie para conferência de titularidade.

Esses arquivos são tratados como dados sensíveis e recebem proteção reforçada (ver seção 7). Não solicitamos documentos de identidade do Comprador comum para a simples compra de Ingressos ou Produtos.

Conteúdo gerado por você:

  • Mensagens, anexos e informações de contato em chamados da Central de Suporte;
  • Outras informações que você opte por nos enviar.

2.2 Dados coletados automaticamente

  • Endereço IP e dados de conexão;
  • Tipo de dispositivo, sistema operacional e navegador (user agent);
  • Registros de eventos de segurança e auditoria (por exemplo, momento e contexto do aceite de políticas, eventos de login, bloqueios de conta), que incluem data, hora, IP e user agent, mantidos para fins probatórios e de segurança;
  • Métricas agregadas de acesso a páginas públicas de Eventos (contagem de visitas), sem identificar individualmente o visitante;
  • Em links de afiliados, registramos o clique de forma anonimizada, armazenando o IP apenas em forma de hash (não reversível), além de identificador de sessão e origem (referrer), para atribuição de comissão e prevenção a fraude;
  • Cookies e tecnologias similares (ver Política de Cookies).

2.3 Dados recebidos de terceiros

  • Confirmação de pagamento, status e dados não sensíveis da transação fornecidos pelo gateway de pagamento;
  • Caso você opte por entrar com uma conta de terceiro (por exemplo, login social), recebemos do provedor o identificador da conta e o e-mail associado, exclusivamente para autenticação;
  • Informações fornecidas por Organizadores no contexto de Eventos que você adquiriu.

3. Para que usamos seus dados e com qual base legal

FinalidadeBase legal (LGPD)
Criar e gerenciar sua conta e autenticaçãoExecução de contrato (Art. 7º, V)
Processar compras, emitir Ingressos/Produtos e gerar QR CodesExecução de contrato (Art. 7º, V)
Processar pagamentos, repasses e saquesExecução de contrato (Art. 7º, V)
Verificar identidade (KYC), prevenir fraude, lavagem de dinheiro e abusoCumprimento de obrigação legal (Art. 7º, II) e legítimo interesse (Art. 7º, IX)
Enviar confirmações, recibos, QR Codes e comunicações operacionais sobre seus pedidos e EventosExecução de contrato (Art. 7º, V)
Prestar suporte e responder a solicitaçõesExecução de contrato e legítimo interesse (Art. 7º, IX)
Garantir a segurança da plataforma e registrar provas de aceite e de usoLegítimo interesse (Art. 7º, IX) e cumprimento de obrigação legal
Cumprir obrigações fiscais, contábeis e regulatóriasCumprimento de obrigação legal (Art. 7º, II)
Exercer e defender direitos em processosExercício regular de direitos (Art. 7º, VI)
Enviar comunicações de marketing e novidadesConsentimento (Art. 7º, I) — revogável a qualquer momento
Realizar análise estatística e melhorar o serviçoLegítimo interesse (Art. 7º, IX)

Quando o tratamento se basear em legítimo interesse, limitamo-nos ao estritamente necessário e respeitamos as suas expectativas e direitos fundamentais. Você pode se opor a esse tratamento conforme a seção 6.

4. Com quem compartilhamos seus dados

Compartilhamos dados apenas quando necessário para prestar o serviço, cumprir a lei ou proteger direitos. Os destinatários e a finalidade são:

  • Organizadores do Evento: para Eventos que você adquiriu, o Organizador recebe nome, e-mail e telefone do Comprador (o telefone apenas quando informado), para validação de acesso na portaria e comunicação sobre o Evento (por exemplo, alterações ou cancelamento). O Organizador é controlador autônomo desses dados e responde pelo uso que deles faz;
  • Gateway de pagamento (Pagar.me): dados necessários para processar pagamentos, constituir recebedores e realizar repasses/saques;
  • Provedores de infraestrutura e comunicação (por exemplo, serviços de hospedagem, banco de dados e envio de e-mail): tratam dados em nosso nome, como operadores, sob contrato e com obrigação de confidencialidade;
  • Autoridades públicas e órgãos reguladores: mediante ordem judicial, requisição administrativa legítima ou para cumprir obrigação legal;
  • Sucessores: em caso de reorganização societária, fusão ou aquisição, os dados podem ser transferidos ao sucessor, mantida a observância desta Política.

A nottepass nunca vende seus dados pessoais. Não compartilhamos seus dados com terceiros para marketing próprio deles sem o seu consentimento.

5. Por quanto tempo armazenamos seus dados

Mantemos os dados pelo tempo necessário às finalidades para as quais foram coletados e ao cumprimento de obrigações legais:

  • Dados de cadastro e conta: enquanto a conta estiver ativa e por até 5 anos após a inativação, para obrigações fiscais e o prazo prescricional do Código de Defesa do Consumidor;
  • Dados de transação, pagamento e fiscais: no mínimo 5 anos, conforme a legislação fiscal e contábil;
  • Documentos de verificação de identidade (KYC): pelo período exigido pela regulação de prevenção à fraude e à lavagem de dinheiro e enquanto necessário para defesa de direitos, sendo eliminados ou anonimizados ao término;
  • Registros de acesso e logs de segurança: mínimo de 6 meses (Marco Civil da Internet, Art. 15), podendo ser mantidos por mais tempo quando necessário à segurança e à defesa de direitos;
  • Registros de aceite de políticas: mantidos para fins probatórios enquanto subsistir qualquer responsabilidade decorrente da relação; podem ser anonimizados mediante solicitação, mas não apagados, por constituírem prova de manifestação de vontade.

Encerrados os prazos e as finalidades, os dados são eliminados ou anonimizados de forma segura, ressalvadas as hipóteses de guarda obrigatória previstas em lei.

6. Seus direitos como titular dos dados

Conforme a LGPD (Art. 18), você pode, a qualquer momento:

  • Confirmar a existência de tratamento dos seus dados;
  • Acessar os dados que mantemos sobre você;
  • Corrigir dados incompletos, inexatos ou desatualizados;
  • Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a lei;
  • Portar seus dados a outro fornecedor, mediante requisição expressa;
  • Eliminar os dados tratados com base no seu consentimento;
  • Obter informação sobre as entidades com as quais compartilhamos seus dados;
  • Revogar o consentimento a qualquer momento;
  • Opor-se a tratamento realizado com base em legítimo interesse, nos casos previstos em lei.

Para exercer esses direitos, escreva para privacidade@nottepass.com.br. Poderemos solicitar informações adicionais para confirmar a sua identidade antes de atender ao pedido, como medida de segurança. Responderemos no prazo legal.

Alguns direitos podem ser limitados quando houver dever legal de retenção (por exemplo, dados fiscais ou registros de prevenção a fraude). Nesses casos, explicaremos a razão da recusa.

7. Segurança dos dados

Adotamos medidas técnicas e organizacionais para proteger seus dados contra acessos não autorizados, perda, alteração e divulgação indevida:

  • Criptografia em trânsito (HTTPS/TLS);
  • Senhas protegidas por hash bcrypt e tokens de sessão de curta duração;
  • Controle de acesso baseado em função (RBAC), com concessão mínima de privilégios;
  • Tratamento reforçado dos documentos de verificação de identidade (KYC): armazenamento em repositório privado e dedicado, sem acesso público, com chaves de acesso segregadas; o acesso por nossa equipe ocorre apenas por meio de links temporários de curta expiração e é registrado em trilha de auditoria;
  • Mascaramento de dados sensíveis (como CPF, telefone e documentos) nas interfaces internas e remoção de campos sensíveis dos registros de log;
  • Monitoramento de acessos suspeitos e alertas de incidentes.

Nenhum sistema é absolutamente imune a riscos. Caso ocorra incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, nos prazos e na forma da lei.

8. Cookies e tecnologias similares

Utilizamos cookies essenciais para o funcionamento e a segurança da plataforma (como sessão autenticada, proteção contra CSRF e registro de consentimento) e cookies opcionais de análise e marketing, estes apenas com o seu consentimento. Detalhes, finalidades e prazos estão na Política de Cookies, onde você também pode gerenciar suas preferências.

9. Crianças e adolescentes

Nossos serviços são destinados a maiores de 18 anos. Não coletamos intencionalmente dados de menores de idade. Caso identifiquemos dados de menores coletados sem o devido amparo legal, procederemos à sua eliminação. Se você é responsável por um menor que utilizou a plataforma, entre em contato para a remoção dos dados.

10. Transferência internacional de dados

Alguns provedores de infraestrutura, pagamento e comunicação podem tratar dados em servidores localizados fora do Brasil. Nesses casos, asseguramos que a transferência observe os requisitos da LGPD (Art. 33 e seguintes), por meio de cláusulas contratuais adequadas e da exigência de padrões de proteção compatíveis com a legislação brasileira.

11. Decisões automatizadas

Podemos utilizar regras automatizadas para prevenir fraude, validar pagamentos e proteger a plataforma (por exemplo, recusa de transações com indícios de fraude). Você pode solicitar a revisão de decisões automatizadas que afetem seus interesses, nos termos do Art. 20 da LGPD, pelo canal indicado nesta Política.

12. Alterações nesta Política

Podemos atualizar esta Política periodicamente para refletir mudanças legais, técnicas ou operacionais. Mudanças relevantes serão comunicadas com antecedência mínima de 30 dias. Quando a alteração exigir nova manifestação de vontade, você precisará aceitar a nova versão para continuar utilizando a plataforma. O histórico de versões está disponível mediante solicitação.

13. Foro e legislação aplicável

Esta Política é regida pelas leis brasileiras. Fica eleito o foro da comarca de Presidente Prudente, Estado de São Paulo, para dirimir controvérsias, ressalvado o direito do consumidor de optar pelo foro de seu domicílio (Art. 101, I, do Código de Defesa do Consumidor).

14. Contato

Dúvidas, solicitações ou exercício de direitos relativos a esta Política podem ser encaminhados ao Encarregado de Proteção de Dados:

E-mail: privacidade@nottepass.com.br


Última atualização: 10 de junho de 2026