Voltar para a home

Política de Privacidade

Última atualização: 24 de maio de 2026 · Em conformidade com a Lei nº 13.709/2018 (LGPD).

Esta Política de Privacidade descreve como a GoAventura coleta, utiliza, armazena, compartilha e protege os dados pessoais de seus usuários, sejam eles clientes finais ou empresas parceiras, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD"), com o Código de Defesa do Consumidor e demais normas aplicáveis.

1. Controlador dos dados

A GoAventura ("GoAventura", "nós") figura como controladora dos dados pessoais coletados diretamente no âmbito da plataforma para as finalidades descritas nesta Política. Para o tratamento realizado pelas empresas cadastradas em sua relação direta com o cliente final (por exemplo, comunicação posterior à reserva, execução da atividade contratada ou marketing próprio da empresa), a respectiva empresa atua como controladora independente de seus próprios dados.

Razão social e CNPJ serão divulgados nesta seção após a constituição formal da pessoa jurídica responsável.

2. Dados que coletamos

  • Dados de cadastro do cliente final: nome completo, e-mail, telefone, CPF, e — quando necessário — endereço (somente em atividades que exigem coleta no local).
  • Dados de cadastro da empresa parceira: nome empresarial, slug público, e-mail de contato, telefone/WhatsApp, documento (CPF/CNPJ), endereço, dados bancários para repasse, informações de KYC exigidas pela legislação financeira (data de nascimento, profissão/ocupação, renda/faturamento, nome da mãe do representante legal). Esses campos atendem a obrigação legal imposta pelo Banco Central por meio da Circular Bacen 3.978/2020 e são compartilhados exclusivamente com a instituição de pagamento (Pagar.me).
  • Dados transacionais: informações sobre as reservas realizadas (atividade, data, número de participantes, valor, forma de pagamento, status), gift cards, pacotes e os dados mínimos necessários ao processamento do pagamento. Dados completos de cartão de crédito (PAN, CVV) não são armazenados pela GoAventura: a tokenização é feita diretamente pelo Pagar.me, dentro do navegador do cliente.
  • Dados sensíveis (excepcionais): quando a empresa parceira solicita questionário de saúde para fins de aptidão física à atividade (alergias, medicamentos, condições preexistentes, contato de emergência), tais informações são coletadas apenas mediante consentimento expresso e específico do titular (art. 11 da LGPD), e tratadas exclusivamente para essa finalidade. São automaticamente anonimizadas após 15 dias da realização da experiência.
  • Provas do aceite contratual: ao aceitar termo de responsabilidade de uma atividade, registramos a versão do texto, o carimbo de data/hora, o endereço IP e o user-agent do navegador, como prova de manifestação de vontade — exigência derivada do Código de Defesa do Consumidor e do art. 7º, V da LGPD.
  • Conteúdo de avaliações (reviews): nota, comentário e até 3 fotos enviadas pelo cliente após a experiência. Quando aprovadas pela empresa, são exibidas publicamente na página da atração com o nome informado pelo cliente. O titular pode pedir remoção a qualquer momento.
  • Mensagens de atendimento (bots): conteúdo das conversas trocadas via WhatsApp ou Instagram com os bots de atendimento das empresas parceiras, incluindo identificador do remetente (telefone ou IGSID) e histórico para contextualização.
  • Dados de uso e dispositivo: endereço IP, tipo de navegador, sistema operacional, páginas acessadas, e cookies essenciais — detalhados na seção 10.
  • Dados de origem (UTM/referer): quando o cliente chega ao link público da empresa via campanha ou indicação, registramos a origem (ex.: instagram, google, whatsapp) para relatórios de canal disponibilizados à empresa parceira.

3. Finalidades do tratamento

  • Viabilizar o cadastro, a autenticação e a operação da conta na plataforma.
  • Processar reservas, gift cards, pacotes, pagamentos e respectivos repasses às empresas parceiras.
  • Cumprir obrigações legais e regulatórias, em especial as exigências do Banco Central (KYC para recebedores) e da legislação fiscal (retenção de dados por 5 anos).
  • Enviar comunicações operacionais (confirmações, lembretes, vouchers, avisos de cancelamento e reagendamento).
  • Enviar comunicações comerciais (upsell, recuperação de carrinho, aniversário da experiência) apenas quando a empresa parceira ativou essas automações e o titular não se opôs.
  • Prevenir fraudes, abusos e atividades ilícitas, inclusive por meio de limites de taxa (rate limiting).
  • Aprimorar a experiência do usuário com análises agregadas e anonimizadas (Vercel Analytics).

4. Bases legais

O tratamento de dados pessoais pela GoAventura observa as bases legais previstas no art. 7º (e, quando aplicável, art. 11) da LGPD, em especial:

  • Execução de contrato — para cadastro, reservas, repasses e comunicações operacionais.
  • Cumprimento de obrigação legal ou regulatória — para KYC (Bacen), retenção fiscal e atendimento a autoridades.
  • Legítimo interesse — para prevenção a fraudes, segurança, métricas agregadas, atribuição de origem.
  • Consentimento — para dados de saúde (art. 11) e comunicações comerciais não-essenciais.
  • Exercício regular de direitos — para preservação de prova do aceite contratual e defesa em processos administrativos ou judiciais.

5. Compartilhamento de dados

A GoAventura não comercializa dados pessoais. O compartilhamento ocorre apenas quando estritamente necessário e limitado a:

  • Empresa parceira contratada — para viabilizar a prestação da atividade reservada (recebe nome, e-mail, telefone, número de participantes, eventual questionário de saúde e informações da reserva).
  • Instituições de pagamento — para o processamento das transações e KYC do recebedor.
  • Operadores e prestadores de serviços — empresas contratadas para tratar dados em nosso nome (hospedagem, banco de dados, envio de e-mails, autenticação, mídia, IA de atendimento, monitoramento de erros, cache, gateway de WhatsApp). A lista atualizada está em Subprocessadores.
  • Autoridades públicas — quando exigido por determinação legal, regulamentar ou ordem judicial.

6. Uso de Inteligência Artificial

Os bots de atendimento (WhatsApp e Instagram) utilizam modelos de linguagem de terceiro (atualmente Claude Haiku, da Anthropic) para gerar respostas automáticas com base no contexto da empresa e na mensagem recebida. As mensagens de clientes são enviadas à API do fornecedor exclusivamente para essa finalidade e, por contrato, não são utilizadas para treinamento de modelos.

  • O atendimento por IA pode ser interrompido a qualquer momento pelo cliente, solicitando explicitamente falar com um atendente humano — a conversa é então transferida ao painel da empresa.
  • Recomendamos não compartilhar dados sensíveis (saúde, financeiros, documentos) pelo chat. Para informações desse tipo, utilize os formulários específicos da plataforma, que possuem coleta segura e fluxo de consentimento.
  • O conteúdo trocado com os bots é armazenado em nosso banco de dados com a retenção descrita na seção 7.

7. Transferências internacionais

Parte significativa dos nossos subprocessadores está sediada fora do Brasil (principalmente nos Estados Unidos). Eventuais transferências internacionais ocorrem para países com grau de proteção adequado ou, na sua ausência, mediante garantias contratuais (Standard Contractual Clauses) e técnicas que assegurem a observância dos princípios e direitos previstos na LGPD (art. 33). A relação completa de fornecedores e seus países está em Subprocessadores.

8. Retenção

  • Dados de reservas, financeiros e KYC: 5 anos após a última transação, por exigência fiscal (LC 105/2001 e art. 27 do CDC) e regulatória (Bacen).
  • Dados cadastrais do cliente: enquanto vinculados a uma reserva ativa ou histórica nesse prazo.
  • Dados de saúde: 15 dias após a sessão (purgados automaticamente por rotina diária); o marcador de anonimização fica preservado para auditoria.
  • Conversas de bots (WhatsApp/Instagram): 12 meses após a última interação. Conversas associadas a reservas seguem o prazo das reservas.
  • Reviews aprovadas: mantidas enquanto a atração existir; o titular pode solicitar remoção do nome ou da review inteira.
  • Registros técnicos, logs e trilhas de auditoria administrativa: 5 anos, conforme exigência regulatória e governança.
  • Contas excluídas (empresa parceira): soft-delete imediato com anonimização do nome, e-mail, foto e textos. Dados fiscais (CPF/CNPJ, chave Pix, reservas pagas, saques) são preservados pelos 5 anos exigidos por lei.

9. Direitos do titular

Nos termos do art. 18 da LGPD, o titular pode, a qualquer momento, exercer os seguintes direitos:

  • Confirmação da existência de tratamento e acesso aos dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.
  • Portabilidade dos dados a outro fornecedor de serviço, observada a regulamentação da ANPD. Empresas parceiras podem exportar seus dados a qualquer momento em /dashboard/conta/exportar. Clientes finais podem solicitar a portabilidade pelo canal abaixo; atendemos em até 15 dias.
  • Eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses legais de conservação.
  • Informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
  • Revogação do consentimento, quando aplicável.
  • Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento.
  • Remoção de avaliação pública: peça a retirada do seu nome ou do conteúdo da review pelo canal abaixo, identificando a empresa e a data da experiência.

As solicitações podem ser dirigidas ao endereço privacidade@goaventura.app. As respostas são fornecidas em até 15 dias corridos, conforme orientação da ANPD.

Donos de empresa também podem solicitar a exclusão integral da conta em /dashboard/conta/excluir.

10. Cookies e tecnologias similares

A plataforma utiliza um conjunto enxuto de cookies, listados a seguir. Não utilizamos cookies de publicidade comportamental nem compartilhamos identificadores com redes de ad-tech.

  • Sessão e autenticação (Clerk): indispensáveis para manter o usuário logado e proteger a sessão. Sem eles, o painel não funciona.
  • CSRF / segurança: tokens de proteção contra ataques de falsificação de requisição entre sites.
  • goa_origem: cookie de atribuição de campanha. Guarda a origem (UTM) por 30 minutos para vincular a reserva ao canal de aquisição (relatório agregado para a empresa). Não identifica o indivíduo.
  • Vercel Analytics / Speed Insights: medição agregada e anonimizada (IP truncado, sem identificador persistente). Não envolve cookie de terceiros.

11. Crianças e adolescentes

A plataforma é destinada a maiores de 18 anos. Reservas que envolvam menores de idade devem ser realizadas pelo responsável legal, que responde pela veracidade das informações prestadas e pela autorização da participação do menor na atividade. A empresa parceira pode exigir documentos comprobatórios no momento da experiência.

12. Segurança da informação

A GoAventura adota medidas técnicas e organizacionais aptas a proteger os dados pessoais contra acessos não autorizados, perdas, alterações ou tratamentos inadequados. Tokens de bot e credenciais sensíveis armazenados em repouso são protegidos por criptografia adicional (AES-256-GCM). Mais informações estão disponíveis na página de Segurança.

13. Encarregado pelo tratamento de dados (DPO)

O encarregado pode ser contatado pelo endereço dpo@goaventura.app para esclarecimentos sobre o tratamento de dados pessoais ou para o exercício de direitos previstos em lei. O nome e qualificação do encarregado serão publicados nesta seção em conformidade com a orientação vigente da ANPD.

14. Comunicação de incidentes

Caso identifiquemos um incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme exige o art. 48 da LGPD, informando a natureza dos dados envolvidos, os riscos identificados e as medidas adotadas.

15. Alterações desta Política

Esta Política poderá ser atualizada para refletir mudanças legais, regulatórias ou operacionais. Alterações materiais serão comunicadas com antecedência razoável pelos canais oficiais da plataforma e a versão vigente será sempre identificada pela data de "Última atualização" no topo desta página.