Política de Privacidade
Última atualização: julho de 2026
A Trilhar Brasil ("Trilhar", "nós") leva a sua privacidade a sério. Esta Política descreve quais dados coletamos, por que coletamos e como você pode exercer seus direitos sob a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
1. Quem somos
Trilhar Brasil é uma plataforma que conecta praticantes de trilhas ("trilheiros") entre si e a guias certificados pelo Cadastur (Ministério do Turismo), incluindo encontros presenciais em grupo. Operamos via aplicativos móveis para Android/iOS e este site.
Controlador dos dados: Fortis Tecnologia LTDA, CNPJ 66.802.285/0001-92. Contato do encarregado (DPO): privacidade@trilharbrasil.com.br
2. Dados que coletamos
2.1 Dados de cadastro
- Nome completo
- Senha (armazenada com hash bcrypt; nunca temos acesso à senha em texto puro)
- Data de nascimento (para confirmar que você tem 18 anos ou mais — o app é exclusivo para maiores de 18)
- Foto de perfil (opcional)
- Telefone (opcional, usado em emergências)
- Região / cidade e estado (opcional)
- Biografia e gênero (opcionais)
- Idioma preferido
- Ao entrar com o Google (login social): nome, e-mail e foto públicos da conta usada
2.2 Dados específicos de guias
- Número de Cadastur (Ministério do Turismo)
- Foto de crachá (obtida via API pública do Cadastur)
- Selfie para verificação biométrica facial (dado pessoal sensível — art. 11 LGPD)
- CPF, data de nascimento e endereço (para recebimento de repasses)
- Dados bancários: banco, agência, conta e/ou chave Pix
2.3 Galeria de fotos do perfil ("experiências")
Você pode, opcionalmente, adicionar fotos ao seu perfil para que os participantes do mesmo encontro conheçam você. Essas fotos:
- São visíveis apenas para pessoas que participam do mesmo encontro que você (não são públicas).
- Passam por moderação automatizada por inteligência artificial para bloquear conteúdo impróprio (nudez/sexual) antes de ficarem visíveis. Trata-se de decisão automatizada (art. 20 LGPD) — você pode solicitar revisão humana pelo e-mail do encarregado.
- Podem ser removidas por você a qualquer momento; são apagadas (banco e arquivo) na exclusão da conta.
- Metadados de localização (EXIF) são removidos no envio.
2.4 Dados de uso
- Localização GPS durante as trilhas: usada para rastreamento de progresso, segurança em emergências e cálculo de distância. Coletada apenas enquanto o app está aberto e uma trilha está ativa (não coletamos localização em segundo plano). Durante o encontro, sua posição é compartilhada em tempo real com os demais participantes e o guia daquele encontro. Pode ser pausada ou cancelada a qualquer momento.
- Histórico de eventos: trilhas inscritas, concluídas, canceladas
- Avaliações e comentários sobre guias e trilhas
- Mensagens trocadas em chats de grupo dos eventos
- Fotos da trilha (apenas se você optar por compartilhar)
- XP, nível, conquistas e ranking
2.5 Dados técnicos e de análise
- ID do dispositivo Expo Push (para notificações)
- Versão do app e do sistema operacional
- Endereço IP em logs de segurança e auditoria
- Eventos de uso do app (telas visitadas, buscas, cliques e tempo de uso) para melhorar o produto
- Identificadores de dispositivo e dados de diagnóstico coletados pelo SDK de anúncios (ver seção 4)
- Cookies de autenticação (apenas no painel web)
2.6 Dados de pagamento
- Dados do cartão (número, CVV, validade) não passam pelos nossos servidores.São enviados diretamente ao Mercado Pago, que retorna um token. Nós armazenamos apenas: os 4 últimos dígitos, a bandeira e um identificador (token) do cartão para recompras com sua autorização.
- Histórico de pagamentos: data, valor, método (Pix ou cartão), status
- CPF do pagador (exigência fiscal)
- Assinatura Premium (via Google Play): o pagamento é processado pelo Google; recebemos apenas a confirmação e o identificador da compra para validar seu status.
2.7 Contatos de emergência
Se você cadastrar um contato de emergência (nome, telefone, grau de parentesco), usaremos esses dados apenas em situações de SOS durante uma trilha — enviando SMS ou notificação via Twilio. Ao cadastrar, você declara ter ciência/autorização dessa pessoa. Não usamos esse contato para outros fins.
3. Por que coletamos (base legal LGPD)
- Execução de contrato (art. 7º, V): conta, eventos, encontros, pagamentos.
- Consentimento (art. 7º, I): localização durante a trilha, notificações de marketing, fotos de perfil/galeria, anúncios personalizados (quando aplicável).
- Consentimento específico e destacado (art. 11): verificação biométrica facial dos guias (dado sensível).
- Obrigação legal (art. 7º, II): emissão de NF, logs financeiros, verificação de idade (18+).
- Legítimo interesse (art. 7º, IX): segurança em emergências, prevenção a fraudes, moderação de conteúdo, análise de uso para melhorar o app.
4. Com quem compartilhamos
- Mercado Pago (Mercado Pago Pagamentos LTDA): processamento de pagamentos de eventos. Política
- Google (Play Billing): processamento da assinatura Premium.
- Google AdMob: exibição de anúncios no app. O SDK coleta identificadores de dispositivo, IP e dados de diagnóstico. Por padrão usamos anúncios não-personalizados; anúncios personalizados só mediante seu consentimento. Política do Google
- Supabase (PostgreSQL Inc.): armazenamento de dados (São Paulo, sa-east-1).
- Expo (650 Industries Inc.): notificações push.
- Twilio (Twilio Inc.): SMS de emergência (só quando você aciona SOS).
- Modal Labs: processamento de reconhecimento facial (guias) e moderação de imagens por IA. Fotos são processadas e não retidas após o resultado.
- Cadastur / Ministério do Turismo: validação pública da credencial do guia.
- Google: autenticação (login social) e identificadores de dispositivo para notificações.
Nunca vendemos seus dados. Compartilhamos identificadores com o provedor de anúncios (Google AdMob) exclusivamente para exibir os anúncios que sustentam a versão gratuita — você pode remover os anúncios assinando o Premium.
5. Onde armazenamos e transferência internacional
Os dados pessoais ficam primariamente em servidores da Supabase em São Paulo (sa-east-1). Fotos de trilhas ficam em CDN da Cloudflare. Dados de pagamento ficam com Mercado Pago (PCI-DSS).
Alguns processamentos ocorrem em servidores fora do Brasil (EUA) — art. 33 LGPD: Modal Labs (reconhecimento facial de guias e moderação de imagens), Twilio (SMS), Google/AdMob (anúncios e notificações), Expo (push) e provedores de login social. Essas transferências ocorrem para a execução do contrato e/ou com base em cláusulas e salvaguardas contratuais adequadas exigidas pela LGPD.
6. Por quanto tempo guardamos
- Conta ativa: enquanto você usar o app
- Após exclusão de conta: dados (incluindo fotos da galeria e arquivos no storage) apagados ou anonimizados em até 30 dias, exceto dados fiscais (mantidos por 5 anos conforme legislação)
- Logs de pagamento: 5 anos (obrigação fiscal)
- Mensagens de chat: 1 ano após o evento
- Localização GPS detalhada: 90 dias após a trilha
7. Seus direitos (LGPD)
Você pode, a qualquer momento:
- Acessar seus dados (no app, em "Perfil")
- Corrigir dados incorretos ("Editar perfil")
- Solicitar a portabilidade dos dados (envie e-mail)
- Excluir sua conta e todos os dados associados (Configurações > Excluir conta)
- Revogar consentimento para notificações, localização ou anúncios (Configurações)
- Solicitar revisão humana de decisões automatizadas (ex.: moderação de foto)
- Obter informação sobre com quem compartilhamos seus dados
- Apresentar reclamação à ANPD (gov.br/anpd)
8. Segurança
- Conexões criptografadas com HTTPS/TLS
- Senhas hasheadas com bcrypt
- Tokens JWT com expiração curta
- Row Level Security (RLS) no banco — cada pessoa só acessa os próprios dados sensíveis
- Dados de cartão não tocam nossos servidores (tokenizados pelo Mercado Pago)
- Moderação automatizada de imagens antes da publicação
- Auditoria de acessos administrativos
9. Idade mínima (18+)
O Trilhar Brasil é exclusivo para maiores de 18 anos — o serviço envolve encontros presenciais entre pessoas e conteúdo gerado por usuários. Coletamos a data de nascimento no cadastro e bloqueamos o acesso de menores de 18. Se identificarmos uma conta de menor de idade, ela será removida. Em conformidade com a Lei nº 15.211/2025 (ECA Digital) e o art. 14 da LGPD.
10. Atualizações desta política
Podemos atualizar esta política. A versão vigente sempre estará neste endereço. Mudanças relevantes serão notificadas no app.
11. Contato
Dúvidas ou solicitações: privacidade@trilharbrasil.com.br
Versão 2.0 — julho de 2026 · Fortis Tecnologia LTDA, CNPJ 66.802.285/0001-92
