Legal · LGPD

Política de Privacidade

Versão 3.0 · Última atualização: 8 de junho de 2026

Esta Política descreve como a Cena (operada pela FLAMBOYANT TECNOLOGIA LTDA) coleta, utiliza, compartilha e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) e demais normas aplicáveis.

1. Identificação do Controlador de Dados

Razão social: FLAMBOYANT TECNOLOGIA LTDA

CNPJ: 44.920.303/0001-06

Sede: Brasília, Distrito Federal, Brasil

Plataforma: Cena — cena.cc

E-mail geral: suporte@cena.cc

E-mail de privacidade (DPO): privacidade@cena.cc

2. Encarregado de Proteção de Dados (DPO)

Para exercer seus direitos como titular ou esclarecer dúvidas sobre o tratamento dos seus dados:

E-mail: privacidade@cena.cc

Prazo de resposta: até 15 dias úteis (LGPD, art. 18 § 3º)

3. Dados Pessoais Coletados

3.1 Dados de cadastro e identidade (via Google OAuth)

Nome completo e endereço de e-mail (fornecidos pelo Google no login)
Foto de perfil (URL da foto do Google)
Nome de usuário ("handle") — definido pelo usuário no onboarding
Biografia e localização (cidade/estado) — preenchidos voluntariamente pelo usuário

3.2 Dados de localização geográfica

Coletados somente após autorização explícita via permissão do sistema operacional (iOS ou Android):

Coordenadas GPS (latitude e longitude): utilizadas para calcular a proximidade do usuário com eventos e alimentar a funcionalidade de tendências ("Trending / Hype"). As coordenadas são armazenadas temporariamente com timestamp e nunca são exibidas publicamente nem compartilhadas com outros usuários.
Cidade e estado (UF): utilizados para filtrar e personalizar a exibição de eventos por região.

Você pode revogar a permissão de localização a qualquer momento nas configurações do seu dispositivo ou pelo app (Configurações → Localização).

3.3 Dados de comportamento e interação na plataforma

Confirmação de presença em eventos ("Tô Dentro") e check-in físico no local
Reações a eventos (Fire, Love, Wow, Skull) e comentários públicos
Grafo social: usuários que você segue e que te seguem
Coleções de eventos criadas e salvas
Histórico de notificações recebidas e respectivo status de leitura
Imagens enviadas como foto de perfil ou capa de evento (armazenadas em AWS S3)

3.4 Dados técnicos e de sessão

Endereço IP (segurança e prevenção a fraudes)
User agent — modelo de dispositivo e versão do sistema operacional (diagnóstico técnico)
Token de sessão autenticada (Better Auth)
Token de push notification (Expo EAS / FCM / APNs)
Data, hora e duração das sessões (logs de segurança, conforme Marco Civil da Internet)

3.5 O que NÃO coletamos

Dados de pagamento ou informações bancárias (não processamos transações financeiras)
Dados sensíveis: saúde, origem racial ou étnica, convicção religiosa, opinião política, biometria ou orientação sexual
Histórico de navegação fora da plataforma Cena
Lista de contatos da agenda do dispositivo
Mensagens privadas entre usuários (a plataforma não possui recurso de chat ou DM)

4. Finalidades do Tratamento e Base Legal (LGPD)

| Finalidade | Base Legal (LGPD) |

|---|---|

| Autenticação e criação/manutenção de conta | Execução de contrato (art. 7º, V) |

| Personalização de eventos por localização | Consentimento (art. 7º, I) |

| Funcionalidade de Trending / Hype por proximidade | Consentimento (art. 7º, I) |

| Envio de notificações push personalizadas | Consentimento (art. 7º, I) |

| Exibição do grafo social (seguidores) | Execução de contrato (art. 7º, V) |

| Descoberta de eventos por IA (agente interno) | Legítimo interesse (art. 7º, IX) |

| Recomendação e personalização de conteúdo | Legítimo interesse (art. 7º, IX) |

| Armazenamento de imagens de perfil e eventos | Execução de contrato (art. 7º, V) |

| Prevenção a fraudes e segurança da plataforma | Legítimo interesse (art. 7º, IX) |

| Logs de acesso obrigatórios | Obrigação legal — Marco Civil, art. 15 (art. 7º, II) |

| Cumprimento de ordens judiciais ou administrativas | Obrigação legal (art. 7º, II) |

5. Compartilhamento de Dados com Terceiros (Subprocessadores)

Não vendemos, alugamos nem comercializamos seus dados pessoais.

Compartilhamos dados apenas com os seguintes operadores/subprocessadores, contratualmente vinculados a adotar medidas de segurança compatíveis com a LGPD:

| Empresa | País | Finalidade |

|---|---|---|

| Google LLC | EUA | Autenticação OAuth (Google Sign-In) e envio de push (FCM) |

| Amazon Web Services (AWS) | EUA / Brasil | Armazenamento de imagens e arquivos de mídia (S3) |

| DigitalOcean LLC | EUA | Infraestrutura de servidores e banco de dados (PostgreSQL) |

| Expo / Expo EAS | EUA | Infraestrutura de notificações push (iOS e Android) |

| Anthropic PBC | EUA | Processamento de IA para agente de descoberta de eventos |

| Tavily Inc. | EUA | Busca na web para coleta de dados de eventos públicos |

| OpenStreetMap / Nominatim | UE / Distribuído | Geocodificação de endereços de locais de eventos |

Podemos divulgar dados a autoridades competentes quando exigido por lei, ordem judicial ou decisão de autoridade administrativa.

6. Transferências Internacionais de Dados

Alguns dados são processados em servidores localizados fora do Brasil, principalmente nos EUA. As transferências internacionais ocorrem somente com subprocessadores que oferecem nível de proteção adequado, por meio de:

Cláusulas contratuais padrão;
Certificações reconhecidas (ISO 27001, SOC 2 Type II);
Conformidade com o EU-U.S. Data Privacy Framework, quando aplicável.

7. Retenção e Eliminação de Dados

| Categoria de Dado | Prazo de Retenção |

|---|---|

| Dados de conta e perfil ativo | Enquanto a conta estiver ativa |

| Dados após solicitação de exclusão | Até 30 dias (para propagação das exclusões) |

| Coordenadas GPS (trending) | Até 24 horas após a última atualização |

| Sessões e tokens de acesso | 90 dias |

| Logs de acesso (Marco Civil, art. 15) | 6 meses |

| Registros de suporte e incidentes | Até 5 anos (Código Civil, art. 206) |

| Registros de solicitações LGPD | 2 anos após conclusão |

Após os prazos acima, os dados são anonimizados de forma irreversível ou excluídos definitivamente dos nossos sistemas.

8. Seus Direitos como Titular (LGPD, art. 18)

Você pode exercer os seguintes direitos gratuitamente, a qualquer momento, por e-mail (privacidade@cena.cc) ou pelo formulário em cena.cc/exclusao-de-dados:

| Direito | O que significa |

|---|---|

| Acesso | Confirmar quais dados tratamos sobre você e receber cópia completa |

| Correção | Atualizar dados incompletos, incorretos ou desatualizados |

| Anonimização ou bloqueio | Para dados desnecessários ou tratados irregularmente |

| Eliminação | Excluir dados tratados com base em consentimento (revogado) |

| Portabilidade | Receber seus dados em formato estruturado e interoperável |

| Revogação de consentimento | Revogar localização, notificações push, a qualquer momento |

| Oposição | Opor-se a tratamentos com base em legítimo interesse |

| Informação | Saber com quem compartilhamos seus dados e em que hipóteses |

Prazo de resposta: até 15 dias úteis. Em casos complexos, o prazo pode ser prorrogado por igual período mediante comunicação fundamentada.

9. Segurança da Informação

Adotamos as seguintes medidas técnicas e organizacionais de segurança:

Comunicações criptografadas com HTTPS/TLS 1.2+;
Tokens de sessão assinados com expiração e rotação automática;
Controle de acesso baseado em perfis (RBAC) para dados internos;
Credenciais e segredos armazenados via variáveis de ambiente seguras (nunca em código-fonte);
Backups criptografados com periodicidade diária;
Monitoramento contínuo de atividade anômala e tentativas de acesso não autorizado;
Acesso restrito aos dados pessoais apenas a colaboradores com necessidade operacional justificada.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante, notificaremos a ANPD e os titulares afetados nos prazos previstos na LGPD (art. 48).

10. Dados de Adolescentes e Crianças

A plataforma Cena é destinada exclusivamente a maiores de 16 anos. Usuários com idade entre 16 e 17 anos devem ter consentimento expresso de pais ou responsáveis legais. Menores de 16 anos não estão autorizados a se cadastrar (LGPD, art. 14).

Caso identifiquemos dados de criança menor de 16 anos cadastrada sem consentimento parental adequado, excluiremos imediatamente os dados e encerraremos a conta. Denúncias: privacidade@cena.cc.

11. Cookies e Armazenamento Local

|---|---|---|---|

Não utilizamos cookies de rastreamento, publicidade comportamental ou ferramentas de analytics de terceiros com coleta de dados pessoais.

12. Notificações Push

Notificações push são enviadas exclusivamente com sua autorização prévia, solicitada no momento da instalação do aplicativo. Para revogar:

iOS: Ajustes → Notificações → Cena → desativar
Android: Configurações → Apps → Cena → Notificações → desativar
Pelo app: Configurações → Notificações → desativar

A revogação não afeta notificações já enviadas anteriormente.

13. Alterações desta Política

Mudanças relevantes serão comunicadas com antecedência mínima de 10 dias via notificação push, e-mail cadastrado e banner na plataforma. O uso continuado da plataforma após a entrada em vigor da nova versão constitui aceitação tácita.

14. Contato, DPO e Canal de Atendimento

DPO / Privacidade: privacidade@cena.cc
Suporte geral: suporte@cena.cc
Formulário de exclusão de dados: cena.cc/exclusao-de-dados
Empresa: FLAMBOYANT TECNOLOGIA LTDA — CNPJ 44.920.303/0001-06 — Brasília, DF, Brasil

Caso não fique satisfeito com nossa resposta, você tem o direito de peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd

Canal de privacidade (DPO): privacidade@cena.cc
Prazo de resposta: até 15 dias úteis (LGPD, art. 18 § 3º)

Termos de Uso →LGPD — Seus direitos →Solicitar exclusão de dados →