Política de Privacidade

1. Controlador

O controlador dos dados pessoais é a DEEVO Technologies Ltda., inscrita no CNPJ sob o nº 65.526.465/0001-26, com sede na cidade de São Paulo/SP.

A DEEVO é uma plataforma digital de eventos que oferece serviços de venda de ingressos, carteira digital, pagamentos cashless, chat, check-in e ferramentas de gestão para organizadores e estabelecimentos.

Para questões relacionadas a dados pessoais, entre em contato com nosso Encarregado de Proteção de Dados (DPO) através do e-mail: privacidade@deevo.live.

2. Dados Coletados

Coletamos diferentes categorias de dados pessoais conforme o tipo de usuário e os serviços utilizados:

2.1 Dados de Cadastro e Identificação

Participantes: nome completo, e-mail, telefone, CPF, data de nascimento, foto de perfil, senha (armazenada em hash irreversível).

Organizadores e estabelecimentos: razão social, nome fantasia, CNPJ, inscrição estadual/municipal, endereço comercial, dados bancários (banco, agência, conta), documentos de identificação dos responsáveis legais, logotipo e imagens do estabelecimento.

2.2 Dados da Carteira Digital (DEEVO Wallet)

Saldo e transações: histórico de depósitos, pagamentos, estornos e transferências realizados na carteira digital.

PIN de pagamento: armazenado exclusivamente como hash criptográfico irreversível (nunca em texto legível).

Dados de depósito: valor, data/hora, método de pagamento utilizado (PIX ou cartão de crédito), identificador da transação no parceiro de pagamento (Asaas).

2.3 Dados de Ponto de Venda (POS)

Transações POS: registros de pagamentos realizados em pontos de venda de estabelecimentos parceiros, incluindo itens consumidos, valores, data/hora, método de pagamento (carteira DEEVO ou PIX direto) e identificação do estabelecimento.

PIX POS: dados da cobrança PIX gerada (QR Code, status, identificador Asaas), sem armazenamento de dados bancários do pagador.

2.4 Dados Biométricos

Reconhecimento facial para check-in: quando o participante optar pelo check-in por reconhecimento facial, coletamos dados biométricos faciais. Esses dados são considerados dados pessoais sensíveis nos termos do Art. 5º, II da LGPD e são tratados exclusivamente com base no consentimento explícito do titular (Art. 11, I). A coleta é opcional e o participante pode sempre optar pelo check-in tradicional via QR Code.

2.5 Dados de Notificações Push

Subscrição push: endpoint do serviço de notificação do navegador, chaves de criptografia (p256dh e auth), tipo de navegador e preferências de notificação.

Preferências: configuração de ativação/desativação de notificações push, gerenciável nas configurações de privacidade da conta.

2.6 Dados de Geolocalização

Localização aproximada: cidade selecionada manualmente pelo usuário para exibição de eventos e estabelecimentos próximos.

Coordenadas GPS: quando expressamente autorizado pelo usuário através das permissões do navegador ou dispositivo, coletamos coordenadas geográficas (latitude e longitude) para funcionalidades de descoberta de eventos e espaços próximos. A coleta pode ser revogada a qualquer momento nas configurações do navegador.

2.7 Dados de Staff e Equipe de Bar

Operadores de POS: nome, e-mail e função (caixa, gerente) dos funcionários cadastrados por estabelecimentos parceiros para operação dos pontos de venda. Esses dados são fornecidos pelo organizador/estabelecimento, que é responsável por obter o consentimento adequado de seus funcionários.

2.8 Dados de Chat e Mensagens

Mensagens: conteúdo das conversas realizadas através do sistema de chat da plataforma, incluindo textos, links e metadados (data/hora de envio, status de leitura).

Dados de conexão: informações de sessão WebSocket para entrega de mensagens em tempo real.

2.9 Dados de Uso e Navegação

Dados de uso: histórico de eventos visualizados e comprados, preferências musicais, gêneros favoritos, artistas seguidos, interações na plataforma (curtidas, avaliações, compartilhamentos).

Dados de pagamento: informações de cartão de crédito (processadas e armazenadas exclusivamente pelo parceiro de pagamento Asaas, regulado pelo Banco Central do Brasil — a DEEVO nunca armazena dados de cartão em seus servidores).

Dados de navegação: endereço IP, tipo de navegador e dispositivo, sistema operacional, páginas visitadas, tempo de permanência, cookies (ver seção 7).

3. Finalidade do Tratamento

Seus dados são utilizados para as seguintes finalidades:

• • Criação, manutenção e autenticação da sua conta;
• • Processamento de compras de ingressos e pagamentos;
• • Operação da carteira digital (depósitos, pagamentos, estornos, transferências);
• • Processamento de pagamentos em pontos de venda (POS) de estabelecimentos;
• • Check-in em eventos (QR Code ou reconhecimento facial, quando autorizado);
• • Personalização de recomendações de eventos e conteúdo;
• • Envio de comunicações transacionais (confirmações de compra, status de pagamento);
• • Envio de notificações push (quando autorizado);
• • Envio de comunicações de marketing (quando consentido);
• • Descoberta de eventos e espaços próximos com base na localização;
• • Facilitação da comunicação entre usuários via chat;
• • Gestão de repasses financeiros para organizadores, colaboradores e afiliados;
• • Validação de identidade de organizadores e estabelecimentos (KYC);
• • Prevenção de fraudes e segurança da plataforma;
• • Melhoria dos serviços, análise de uso e geração de relatórios estatísticos (dados anonimizados);
• • Cumprimento de obrigações legais, fiscais e regulatórias.

4. Base Legal (LGPD)

O tratamento de dados pessoais pela DEEVO fundamenta-se nas seguintes bases legais previstas na Lei nº 13.709/2018 (LGPD):

Consentimento (Art. 7º, I e Art. 11, I): envio de comunicações de marketing, uso de cookies não essenciais, compartilhamento de dados para personalização, coleta de dados biométricos para check-in facial, ativação de notificações push, coleta de geolocalização precisa. O consentimento pode ser revogado a qualquer momento.

Execução de contrato (Art. 7º, V): processamento de compras, emissão de ingressos, operação da carteira digital, pagamentos POS, repasses financeiros, prestação dos serviços contratados.

Legítimo interesse (Art. 7º, IX): prevenção de fraudes, melhoria dos serviços, segurança da plataforma, comunicações transacionais, análise de uso agregada, detecção de atividades suspeitas.

Obrigação legal ou regulatória (Art. 7º, II): cumprimento de obrigações fiscais, contábeis, regulatórias e de prevenção à lavagem de dinheiro; retenção de registros conforme Marco Civil da Internet (Lei nº 12.965/2014); reporte à ANPD conforme LGPD.

Exercício regular de direitos (Art. 7º, VI): defesa em processos judiciais, administrativos ou arbitrais.

5. Compartilhamento de Dados

Compartilhamos seus dados com os seguintes parceiros e terceiros, estritamente para as finalidades descritas nesta Política:

Asaas (Pagamentos): processamento de pagamentos via PIX e cartão de crédito, gestão de cobranças, repasses financeiros (split de pagamentos) e operações da carteira digital. A Asaas é instituição de pagamento regulada pelo Banco Central do Brasil. Dados compartilhados: nome, CPF/CNPJ, e-mail, valores de transação.

Brevo (Comunicações por e-mail): envio de e-mails transacionais (confirmação de conta, recibos de compra, status de pedidos) e de marketing (quando consentido). Dados compartilhados: nome e e-mail.

Amazon Web Services — AWS (Infraestrutura): hospedagem de servidores, armazenamento de arquivos (imagens, documentos), backups e infraestrutura de computação. Dados armazenados conforme políticas de segurança da AWS.

Serviços de notificação push: os endpoints de notificação push são processados pelos serviços nativos dos navegadores (Google FCM, Mozilla Push Service, Apple Push Notification Service) para entrega das notificações. Apenas o identificador do endpoint e o conteúdo criptografado da notificação são transmitidos.

Organizadores de eventos: nome do participante e dados do ingresso (tipo, lote, código QR) para fins de check-in, controle de acesso e lista de presença. Organizadores são obrigados a tratar esses dados conforme a LGPD.

Estabelecimentos (venues): dados de transações POS realizadas no estabelecimento para fins de gestão de vendas e reconciliação financeira.

Autoridades públicas: dados podem ser compartilhados com autoridades judiciais, fiscais ou reguladoras quando exigido por lei, decisão judicial ou procedimento administrativo.

A DEEVO não vende seus dados pessoais para terceiros em nenhuma circunstância.

6. Transferência Internacional de Dados

Alguns dos nossos parceiros e prestadores de serviço podem processar dados fora do território brasileiro, configurando transferência internacional de dados nos termos do Art. 33 da LGPD:

Amazon Web Services (AWS): nossa infraestrutura principal está hospedada na região sa-east-1 (São Paulo, Brasil). Entretanto, determinados serviços auxiliares da AWS (como CDN, proteção contra DDoS e serviços de e-mail) podem processar dados em outras regiões. A AWS mantém conformidade com padrões internacionais de proteção de dados (ISO 27001, SOC 2) e oferece cláusulas contratuais padrão.

Brevo (e-mail): os servidores de envio de e-mail da Brevo estão localizados na União Europeia, que possui nível de proteção de dados adequado conforme reconhecido pela ANPD.

Serviços de push notification: os serviços de entrega de notificações push (Google FCM, Mozilla, Apple) possuem infraestrutura global e podem processar dados em diferentes jurisdições. Apenas dados criptografados e identificadores técnicos são transmitidos.

Em todos os casos, a DEEVO adota salvaguardas adequadas conforme o Art. 33 da LGPD, incluindo cláusulas contratuais padrão, verificação do nível de proteção de dados do país de destino e medidas técnicas de segurança (criptografia em trânsito e em repouso).

7. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias similares (localStorage, sessionStorage, Service Workers) para garantir o funcionamento adequado da plataforma, lembrar suas preferências, autenticação de sessão e, quando consentido, para fins de análise e marketing.

Você pode gerenciar suas preferências de cookies a qualquer momento através do nosso banner de consentimento de cookies ou nas configurações de privacidade da sua conta.

Para informações detalhadas sobre os tipos de cookies utilizados, suas finalidades e como gerenciá-los, consulte nossa Política de Cookies.

8. Retenção de Dados

Seus dados são retidos pelo período necessário para cumprimento das finalidades descritas nesta Política, respeitando os prazos legais aplicáveis:

Dados de conta: enquanto a conta estiver ativa. Após solicitação de exclusão, os dados são anonimizados em até 15 dias, mantendo-se apenas os dados necessários para cumprimento de obrigações legais por 5 anos.

Dados de transações financeiras: 5 anos conforme legislação fiscal brasileira (Código Tributário Nacional) e normas do Banco Central.

Dados da carteira digital: histórico de transações da carteira DEEVO retido por 5 anos após a última transação, conforme obrigações regulatórias de instituições de pagamento.

Registros de transações POS: 5 anos conforme legislação fiscal e contábil.

Dados biométricos: dados de reconhecimento facial são retidos apenas durante o período do evento para o qual o check-in foi configurado, sendo eliminados em até 72 horas após o encerramento do evento.

Dados de chat: mensagens são retidas enquanto a conta estiver ativa. Após exclusão da conta, são anonimizadas junto com os demais dados.

Dados de notificação push: subscrições são removidas imediatamente quando o usuário desativa as notificações ou exclui a conta.

Registros de acesso (logs): 6 meses conforme o Marco Civil da Internet (Lei nº 12.965/2014, Art. 15).

Dados de navegação e cookies: até 2 anos, conforme as finalidades específicas descritas na Política de Cookies.

9. Direitos do Titular

Conforme os Arts. 17 a 22 da LGPD, você tem os seguintes direitos sobre seus dados pessoais:

• • Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados pessoais;
• • Correção: corrigir dados incompletos, inexatos ou desatualizados;
• • Anonimização, bloqueio ou eliminação: solicitar tratamento de dados desnecessários, excessivos ou em desconformidade com a LGPD;
• • Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço;
• • Eliminação: solicitar a eliminação dos dados tratados com base no consentimento;
• • Informação sobre compartilhamento: saber com quais entidades seus dados são compartilhados;
• • Revogação do consentimento: revogar o consentimento a qualquer momento, sem afetar a licitude do tratamento anterior;
• • Oposição: opor-se ao tratamento realizado com base em hipóteses que não o consentimento, caso haja descumprimento da LGPD;
• • Revisão de decisões automatizadas: solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado (ver seção 11).

Como exercer seus direitos:

• • Pela plataforma: acesse as Configurações de Privacidade na sua conta para gerenciar consentimentos, exportar dados, desativar notificações push e solicitar exclusão da conta;
• • Por e-mail: envie sua solicitação para privacidade@deevo.live com identificação suficiente para verificação da titularidade.

As solicitações serão atendidas em até 15 dias, conforme previsto na LGPD. Em caso de impossibilidade de atendimento imediato, enviaremos resposta fundamentada no mesmo prazo. Caso considere que o tratamento de seus dados viola a LGPD, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

10. Dados de Menores

A DEEVO trata dados de crianças e adolescentes em conformidade com o Art. 14 da LGPD e a Lei nº 15.211/2025 (Estatuto da Criança e do Adolescente no Ambiente Digital).

Idade mínima: a plataforma DEEVO é destinada a usuários com idade igual ou superior a 14 (quatorze) anos.

Adolescentes (14 a 17 anos): o cadastro e o uso da plataforma por adolescentes entre 14 e 17 anos requer o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, conforme Art. 14, § 1º da LGPD. O consentimento pode ser fornecido durante o processo de cadastro.

Crianças (menores de 14 anos): não coletamos, de forma intencional, dados pessoais de crianças menores de 14 anos. Caso tomemos conhecimento de que dados de uma criança foram coletados sem o devido consentimento parental, procederemos à eliminação imediata desses dados.

Minimização: para usuários menores de 18 anos, coletamos apenas os dados estritamente necessários para a prestação do serviço, em observância ao princípio da minimização e ao melhor interesse da criança e do adolescente.

Pais ou responsáveis legais podem exercer os direitos dos titulares menores de idade entrando em contato pelo e-mail privacidade@deevo.live.

11. Decisões Automatizadas

A DEEVO utiliza processamento automatizado de dados para as seguintes finalidades:

Recomendação de conteúdo: algoritmos de recomendação analisam seu histórico de eventos, preferências musicais, localização e interações na plataforma para sugerir eventos, artistas e estabelecimentos que possam ser do seu interesse. Essas recomendações são informativas e não restringem o acesso a nenhum conteúdo da plataforma.

Detecção de fraude: sistemas automatizados monitoram transações e atividades na plataforma para identificar comportamentos suspeitos, como tentativas de compra fraudulenta, uso indevido de carteira digital ou criação de contas falsas. Transações sinalizadas podem ser bloqueadas ou submetidas a verificação adicional.

Verificação de identidade: processos automatizados auxiliam na validação de documentos e informações de organizadores e estabelecimentos durante o cadastro (KYC — Know Your Customer).

Moderação de conteúdo: sistemas automatizados podem auxiliar na identificação de conteúdo inadequado em chats e avaliações.

Conforme o Art. 20 da LGPD, você tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir seu perfil pessoal, profissional, de consumo ou de crédito. Para solicitar a revisão, entre em contato pelo e-mail privacidade@deevo.live.

12. Segurança

Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais contra acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento inadequado, incluindo:

• • Criptografia TLS/SSL em todas as comunicações entre seu dispositivo e nossos servidores;
• • Criptografia em repouso para dados armazenados em banco de dados e backups;
• • Hashing seguro e irreversível de senhas (bcrypt) e PIN de pagamento da carteira;
• • Criptografia ponta a ponta das notificações push (protocolo Web Push / VAPID);
• • Controle de acesso por função (RBAC — Role-Based Access Control);
• • Segregação de ambientes (desenvolvimento, staging, produção);
• • Monitoramento de acessos e logs de auditoria;
• • Backups automatizados e criptografados em infraestrutura AWS;
• • Revisão periódica de vulnerabilidades e atualizações de segurança;
• • Processamento de pagamentos delegado a parceiro regulado (Asaas) — dados de cartão de crédito nunca transitam por nossos servidores.

Embora adotemos medidas robustas de proteção, nenhum sistema é completamente inviolável. Caso identifique qualquer vulnerabilidade ou atividade suspeita, pedimos que nos comunique imediatamente através do e-mail privacidade@deevo.live.

13. Incidentes de Segurança

Em conformidade com o Art. 48 da LGPD, a DEEVO possui procedimentos para tratamento de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados:

Comunicação à ANPD: em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a DEEVO comunicará à Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme definido pela ANPD, contendo no mínimo: a descrição da natureza dos dados afetados, os titulares envolvidos, as medidas técnicas e de segurança adotadas, os riscos relacionados e as medidas tomadas para reverter ou mitigar os efeitos do incidente.

Comunicação aos titulares: quando o incidente puder acarretar risco ou dano relevante, os titulares afetados serão notificados por e-mail e/ou notificação na plataforma, com descrição clara do ocorrido e orientações sobre medidas que podem ser adotadas para sua proteção.

Registro interno: todos os incidentes de segurança, mesmo aqueles que não acarretem risco relevante, são registrados internamente com documentação das medidas adotadas, em conformidade com as boas práticas de governança de dados.

Medidas de contenção: ao identificar um incidente, nossa equipe implementa medidas imediatas de contenção, análise forense, correção da vulnerabilidade e prevenção de recorrência.

14. Papéis no Tratamento de Dados

Para fins de transparência sobre as responsabilidades no tratamento de dados pessoais, esclarecemos os papéis exercidos por cada parte:

DEEVO como controladora: a DEEVO é controladora dos dados pessoais coletados diretamente na plataforma, incluindo dados de cadastro, dados de uso, dados da carteira digital, dados de navegação, dados de chat e dados de geolocalização. A DEEVO toma as decisões referentes ao tratamento desses dados e é responsável por garantir o cumprimento da LGPD.

DEEVO como operadora: em relação a determinados dados de participantes de eventos, a DEEVO atua como operadora em nome do organizador do evento (controlador). Por exemplo, quando um organizador utiliza a plataforma para gerenciar listas de presença, check-in e comunicações com participantes de seus eventos, o organizador é o controlador desses dados e a DEEVO os trata conforme suas instruções.

Organizadores como controladores: organizadores de eventos e estabelecimentos que utilizam a plataforma DEEVO são controladores dos dados de seus participantes, clientes e funcionários. Os organizadores são responsáveis por obter o consentimento adequado, informar seus titulares sobre o tratamento e cumprir suas obrigações sob a LGPD.

Asaas como operadora: a Asaas Gestão Financeira S.A. atua como operadora de pagamentos, processando dados financeiros sob instrução da DEEVO e dos organizadores, em conformidade com as regulamentações do Banco Central do Brasil. Para determinadas finalidades regulatórias, a Asaas também pode atuar como controladora independente.

Brevo como operadora: a Brevo (Sendinblue) atua como operadora para o envio de comunicações por e-mail, processando dados (nome e e-mail) conforme as instruções da DEEVO.

15. Encarregado de Proteção de Dados (DPO)

Nos termos do Art. 41 da LGPD, a DEEVO designou um Encarregado de Proteção de Dados (DPO), que pode ser contatado através do e-mail: privacidade@deevo.live.

O DPO é responsável por:

• • Aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências;
• • Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;
• • Orientar os funcionários e contratados da DEEVO a respeito das práticas de proteção de dados pessoais;
• • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

16. Alterações na Política

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas de tratamento de dados, novos serviços ou alterações na legislação aplicável.

Notificação: em caso de alterações substanciais que afetem a forma como seus dados são tratados, notificaremos você por e-mail e/ou através de aviso em destaque na plataforma com antecedência mínima de 30 dias antes da entrada em vigor das alterações.

Novo consentimento: caso as alterações envolvam novas finalidades de tratamento baseadas em consentimento ou modifiquem significativamente as finalidades existentes, solicitaremos novo consentimento antes de aplicar as mudanças.

Histórico: a data de "Última atualização" no topo desta página sempre refletirá a versão mais recente. Versões anteriores podem ser solicitadas ao DPO.

O uso continuado da plataforma após a data de entrada em vigor das alterações implica a aceitação da Política de Privacidade atualizada, ressalvadas as hipóteses em que novo consentimento for necessário.