Política de Privacidade
Augmento FZCO Última atualização: [DATA] Data de vigência: [DATA]
Aviso de versão preliminar: Este é um rascunho de trabalho para revisão interna. Submeta a revisão por advogado dos Emirados Árabes Unidos (compliance geral), por advogado brasileiro (LGPD , experiências CBF / Seleção Eterna) e por advogado da UE/Reino Unido se houver marketing para EEE/UK.
1. Quem somos
Esta Política de Privacidade explica como a Augmento FZCO ("Augmento", "nós", "nosso(a)") coleta, usa, compartilha e protege dados pessoais quando você interage com nossos sites, apps, App Clips, experiências de RA, painéis, APIs, SDKs e serviços relacionados (os "Serviços").
Controlador dos dados: Augmento FZCO Dubai Silicon Oasis, Dubai, Emirados Árabes Unidos E-mail: privacy@augmento.com Encarregado de Proteção de Dados (DPO): dpo@augmento.com
Para titulares brasileiros (por exemplo, ativações Seleção Eterna / CBF), a Augmento atua como controladora sob a Lei Geral de Proteção de Dados ("LGPD", Lei nº 13.709/2018) e nomeou um Encarregado pelo Tratamento de Dados Pessoais brasileiro, contatável em dpo-br@augmento.com.
Para Clientes (clientes corporativos, patrocinadores, parceiros de marca) que usam nossos Serviços para entregar experiências aos seus próprios usuários finais, a Augmento atua geralmente como operadora em nome desses Clientes. A política de privacidade dos Clientes se aplica a essas interações em adição a esta Política.
2. Escopo
Esta Política se aplica a:
- Visitantes de augmento.com, discover.augmento.com e domínios relacionados.
- Usuários do Augmento Studio (nosso painel SaaS).
- Usuários finais de experiências do Augmento Drops (caças ao tesouro, colecionáveis em RA, rankings).
- Visitantes e participantes de experiências do Augmento ART em galerias, exposições e espaços culturais.
- Participantes de Projetos Sob Medida , experiências de RA/3D personalizadas entregues em eventos, venues, exposições e ativações de marca.
Não se aplica a sites, apps ou serviços de terceiros vinculados aos nossos Serviços, embutidos neles ou para os quais redirecionamos. Leia separadamente as políticas de privacidade desses terceiros.
3. Dados pessoais que coletamos
Coletamos as seguintes categorias de dados pessoais:
3.1 Dados de identificação
Nome, e-mail, número de telefone, data de nascimento (quando há verificação de idade), foto de perfil ou avatar, nome de usuário, país de residência.
3.2 Dados de autenticação
Senhas com hash, tokens OAuth (por exemplo, Apple, Google) e identificadores de sessão.
3.3 Dados comportamentais
Interações com experiências de RA: itens coletados, níveis alcançados, posição no ranking, tempos de conclusão, eventos de clique e rolagem, páginas visitadas, duração da sessão, pontos de abandono, eventos de conversão.
3.4 Dados de afinidade e preferência
Preferências declaradas, interesses opt-in (por exemplo, time de futebol, gênero artístico, bairro), respostas a pesquisas, respostas a quizzes, interações com patrocinadores.
3.5 Dados de grafo social (quando você conecta)
Caso você conecte uma conta social ou compartilhe conteúdo, podemos coletar campos de perfil públicos, listas de amigos que você autorizar e metadados de conteúdo compartilhado.
3.6 Dados de dispositivo e técnicos
Endereço IP (que usamos apenas para inferir localização aproximada), modelo do dispositivo, sistema operacional e versão do navegador, idioma, fuso horário, tamanho de tela, versão do app, registros de falha, traços de desempenho, sinais de capacidade de RA (câmera, giroscópio, disponibilidade de ARKit/ARCore).
3.7 Dados de localização
- Localização aproximada (cidade/região) derivada do IP, usada para análise e localização de conteúdo.
- Localização precisa via GPS apenas quando uma experiência exigir (por exemplo, uma caça ao tesouro com cerca virtual) e somente após o Usuário Final conceder explicitamente a permissão. Localização precisa é processada em tempo real e não é retida além do necessário para validar a ação correspondente, salvo se o Usuário Final optar por funcionalidades adicionais.
3.8 Dados de câmera, sensores e microfone
As experiências de RA processam quadros de câmera, sensores de movimento e (raramente) entrada de microfone no dispositivo. Não transmitimos fluxos brutos de câmera ou microfone aos nossos servidores, salvo quando uma experiência específica exigir e o Usuário Final consentir (por exemplo, uma foto ou vídeo iniciado pelo usuário que ele opte por compartilhar). Quando isso ocorrer, será divulgado dentro da experiência e o consentimento será coletado.
3.9 Conteúdo gerado pelo usuário
Fotos, vídeos, comentários ou outro conteúdo que você optar por capturar, carregar ou compartilhar.
3.10 Dados de pagamento
Para Assinaturas pagas ou compras dentro da experiência, usamos processadores de pagamento terceirizados (por exemplo, Stripe). Não armazenamos números completos de cartões de pagamento em nossos sistemas. Recebemos metadados da transação (valor, status, últimos 4 dígitos, país de cobrança).
3.11 Dados de comunicação
E-mails, tickets de suporte, mensagens de chat com nossa equipe e feedback que você nos envia.
4. Como coletamos os dados pessoais
- Diretamente de você quando você se cadastra, preenche um formulário, escaneia um marcador, conclui um quiz ou nos contata.
- Automaticamente por meio de cookies, SDKs, telemetria de app e logs de servidor à medida que você usa os Serviços.
- De Clientes e parceiros , por exemplo, um patrocinador ou detentor de direitos pode compartilhar uma lista de participantes ou membros para que entreguemos uma experiência a eles.
- De terceiros , como provedores de autenticação (Apple, Google), fontes públicas ou parceiros de análise.
5. Por que usamos seus dados pessoais (finalidades)
| Finalidade | Exemplos |
|---|---|
| Prestação dos Serviços | Autenticar usuários, entregar experiências de RA, rastrear colecionáveis, renderizar rankings. |
| Gestão de conta | Suporte ao cliente, redefinição de senha, faturamento. |
| Personalização | Mostrar drops relevantes, conteúdo regional, idioma. |
| Análise e melhoria de produto | Compreender engajamento, corrigir bugs, otimizar desempenho de RA. |
| Relatórios para patrocinadores e detentores de direitos | Métricas de atribuição agregadas e (com consentimento) identificadas. |
| Comunicações de marketing | Newsletters, atualizações de produto, convites para eventos , apenas com consentimento ou onde permitido. |
| Segurança e prevenção a fraudes | Detectar abuso, bots, comprometimento de conta. |
| Conformidade legal | Registros tributários, prevenção à lavagem de dinheiro, atendimento a reguladores. |
6. Bases legais de tratamento
Quando aplicáveis a LGPD, GDPR ou leis similares, utilizamos as seguintes bases legais:
- Consentimento , para marketing, localização precisa, funcionalidades opcionais de câmera/microfone e determinados cookies.
- Execução de contrato , para prestar o Serviço pelo qual você se cadastrou.
- Legítimo interesse , para análise, melhoria de produto, segurança e marketing direto limitado a clientes existentes, balanceado contra os seus direitos.
- Cumprimento de obrigação legal ou regulatória , para tributação, contabilidade e demandas de reguladores.
- Proteção da vida ou da incolumidade física , em situações raras de segurança.
- Exercício regular de direitos em processo judicial, administrativo ou arbitral , quando aplicável.
Você pode retirar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento realizado antes da retirada.
6.1 Bases legais sob a LGPD
Para titulares no Brasil, observamos as bases legais previstas no art. 7º da LGPD, em especial: consentimento (I), cumprimento de obrigação legal (II), execução de contrato (V), exercício regular de direitos (VI), proteção da vida (VII), legítimo interesse (IX), proteção ao crédito (X) e cumprimento de obrigação contratual com o titular.
7. Considerações específicas de privacidade em RA
Experiências de realidade aumentada trazem considerações específicas de privacidade. Comprometemo-nos a:
- Processamento no dispositivo por padrão. Dados de câmera, movimento e microfone são processados localmente pelo ARKit, ARCore ou pelo motor WebXR/WebAR do navegador.
- Permissões explícitas e contextuais. Solicitamos permissões de câmera e localização apenas quando a experiência exigir, com explicação clara em contexto.
- Sem gravação silenciosa. Nunca gravamos áudio ou vídeo sem ação explícita do usuário (por exemplo, ao tocar em "Capturar").
- Sem reconhecimento facial. Não executamos algoritmos de reconhecimento facial ou identificação biométrica de pessoas no campo da câmera.
- Sem retenção de quadros brutos. Quadros brutos da câmera usados para rastreamento não são retidos nem transmitidos, exceto como parte de mídia que você opte por capturar e compartilhar.
8. Cookies e tecnologias similares
Usamos cookies, armazenamento local e identificadores de SDK para operar, proteger e melhorar os Serviços. Categorias incluem:
- Estritamente necessários , autenticação, segurança, balanceamento de carga.
- Funcionais , lembrar preferências e configurações.
- Análise , Mixpanel, logs de servidor, monitoramento de desempenho.
- Marketing , apenas com consentimento e somente em propriedades aplicáveis (por exemplo, landing pages de campanha).
Você pode gerenciar cookies não essenciais por meio do nosso banner de cookies (quando exibido) e das configurações do seu navegador. Uma lista completa de cookies é mantida em augmento.com/cookies (ou disponível mediante solicitação).
9. Compartilhamento e divulgação
Compartilhamos dados pessoais com:
9.1 Suboperadores e provedores de infraestrutura
- Amazon Web Services , hospedagem, computação, armazenamento (regiões: UE, EUA, ME-Central).
- Supabase , Postgres gerenciado, autenticação, armazenamento.
- Cloudflare , CDN, segurança, armazenamento de objetos R2.
- Bunny CDN , entrega de vídeo e ativos.
- Mixpanel , análise de produto.
- Stripe , processamento de pagamentos (quando aplicável).
- Apple e Google , distribuição de apps e entrega de App Clip / Instant App.
Lista atual de suboperadores disponível em augmento.com/subprocessors.
9.2 Clientes (detentores de direitos e patrocinadores)
Quando você participa de uma experiência operada por um Cliente (por exemplo, uma federação de futebol como a CBF, marca de hospitalidade, galeria de arte, organizador de evento), dados agregados e (com seu consentimento) identificados podem ser compartilhados com esse Cliente, conforme a política de privacidade do Cliente e nosso Acordo de Tratamento de Dados.
9.3 Assessores profissionais
Advogados, contadores, auditores e assessores de M&A, sob obrigação de confidencialidade.
9.4 Em uma transação corporativa
Caso a Augmento seja adquirida, fundida ou venda substancialmente todos os seus ativos, dados pessoais podem ser transferidos ao sucessor, sujeitos a esta Política (ou a uma substancialmente equivalente).
9.5 Cumprimento legal e regulatório
Quando exigido por lei, ordem judicial, regulador, ou para proteger direitos, propriedade ou segurança da Augmento, de seus usuários ou do público.
Não vendemos dados pessoais no sentido convencional e não realizamos publicidade comportamental cross-context para benefício próprio. Os Clientes podem executar campanhas com atribuição a patrocinadores em nossa infraestrutura, e quando isso for caracterizado como "venda" ou "compartilhamento" sob a legislação da Califórnia, oferecemos controles de opt-out (ver Seção 12).
10. Transferências internacionais
A Augmento é sediada nos Emirados Árabes Unidos. Dados pessoais podem ser transferidos para e processados em países diferentes do seu, incluindo Estados Unidos, União Europeia e Reino Unido, onde nossos suboperadores e regiões de nuvem operam.
Quando exigido, recorremos a:
- Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (para transferências do EEE/UK).
- Mecanismos de transferência conforme a LGPD para transferências do Brasil, em particular cláusulas contratuais específicas e/ou outras garantias previstas no art. 33 da LGPD.
- Salvaguardas contratuais e medidas de segurança com todos os suboperadores.
Uma lista de países onde os dados podem ser tratados e as salvaguardas aplicadas está disponível mediante solicitação em dpo@augmento.com.
11. Retenção dos dados
Mantemos dados pessoais apenas pelo tempo necessário às finalidades descritas, depois excluímos ou anonimizamos.
| Categoria | Retenção padrão |
|---|---|
| Dados de conta e identificação | Enquanto a conta estiver ativa + 24 meses |
| Dados comportamentais e de análise | 25 meses em forma identificada, depois agregados |
| Comunicações de marketing | Até o cancelamento da inscrição + 12 meses |
| Tickets de suporte e comunicações | 36 meses |
| Faturamento, notas fiscais, registros tributários | 7 anos (compliance EAU/UE) |
| Logs de servidor e segurança | 12 meses |
| Dados de sessão de RA (transitórios) | Apenas em tempo real, não retidos |
| Dados de localização identificados | Não retidos além da sessão, salvo opt-in expresso |
Podemos manter dados por mais tempo quando exigido por lei, para defender pretensões judiciais ou para investigar suspeitas de violação.
12. Seus direitos
A depender de onde você reside, você pode ter os seguintes direitos:
- Confirmação e acesso , solicitar confirmação de tratamento e cópia dos dados pessoais que mantemos sobre você.
- Correção , corrigir dados imprecisos ou incompletos.
- Eliminação / "direito ao esquecimento" , sujeito a limites legais.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.
- Portabilidade , receber seus dados em formato estruturado e legível por máquina.
- Oposição , opor-se a tratamento baseado em legítimo interesse, inclusive marketing direto.
- Revogação do consentimento , a qualquer momento, quando o tratamento for baseado em consentimento.
- Informação sobre compartilhamento , obter informações sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
- Revisão de decisões automatizadas , solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.
- Apresentar reclamação à autoridade de controle (no Brasil, a ANPD; no Reino Unido, a ICO; nos países da UE, a respectiva DPA).
Para exercer direitos, envie e-mail para privacy@augmento.com ou dpo@augmento.com. Responderemos no prazo de 15 dias para titulares brasileiros (conforme o art. 19 da LGPD para pedido de confirmação e acesso) e em 30 dias para titulares de outras jurisdições, prorrogáveis por 60 dias adicionais para pedidos complexos, mediante aviso.
12.1 Titulares brasileiros (LGPD)
Você tem os direitos previstos no art. 18 da LGPD, incluindo: confirmação da existência de tratamento, acesso, correção, anonimização/bloqueio/eliminação de dados desnecessários ou excessivos, portabilidade, eliminação de dados tratados com consentimento, informação sobre compartilhamento, informação sobre a possibilidade de não fornecer consentimento e suas consequências, e revogação do consentimento.
Encarregado pelo Tratamento de Dados Pessoais (DPO Brasil): dpo-br@augmento.com.
Se sua solicitação não for atendida adequadamente, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.
12.2 Residentes da Califórnia (CCPA/CPRA)
Você pode solicitar conhecer, excluir ou corrigir informações pessoais e optar por sair de "vendas" ou "compartilhamentos". Envie solicitações para privacy@augmento.com com o assunto "California Privacy Request". Não discriminaremos você pelo exercício dos seus direitos.
12.3 Residentes do EEE / Reino Unido (GDPR / UK GDPR)
Você possui os direitos listados acima. Você também pode apresentar reclamação à sua DPA local. Atualmente não temos representante na UE; designaremos um se exigido pelo art. 27 do GDPR.
13. Privacidade de crianças e adolescentes
Nossos Serviços não são direcionados a crianças com menos de 16 anos (ou a idade de consentimento digital equivalente no seu país). Não coletamos conscientemente dados pessoais de crianças abaixo dessa idade sem consentimento verificável dos pais ou responsáveis. Se você acreditar que coletamos esses dados, contate privacy@augmento.com e os excluiremos.
Para experiências que possam ser jogadas por menores com consentimento dos pais (por exemplo, experiências familiares de fãs de futebol), aplicamos salvaguardas adicionais: coleta mínima de dados, ausência de publicidade comportamental e controles parentais quando exigidos.
Brasil: o tratamento de dados pessoais de crianças e adolescentes observa o art. 14 da LGPD , será realizado em seu melhor interesse e, no caso de crianças, mediante consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.
14. Segurança
Implementamos medidas técnicas e organizacionais razoáveis para proteger dados pessoais, incluindo:
- Criptografia em trânsito (TLS 1.2+) e em repouso para datastores sensíveis.
- Controles de acesso, permissões baseadas em função, MFA em contas administrativas.
- Segmentação de rede, WAF e proteção contra DDoS (Cloudflare, AWS).
- Varreduras regulares de dependências, vulnerabilidades e testes de invasão.
- Plano de resposta a incidentes com notificação de violação em até 72 horas às autoridades competentes (incluindo ANPD, quando exigido) e aos titulares afetados, conforme o caso.
- Suboperadores são avaliados e contratualmente vinculados a padrões equivalentes.
Nenhum sistema é 100% seguro. Em caso de suspeita de incidente, escreva para security@augmento.com.
15. Decisões automatizadas e perfilamento
Podemos usar tratamento automatizado para detectar fraudes, prevenir abuso, pontuar engajamento e personalizar conteúdo. Não tomamos decisões que produzam efeitos jurídicos ou similarmente significativos sobre você unicamente por meios automatizados sem revisão humana. Você pode solicitar revisão humana de qualquer decisão dessa natureza, conforme o art. 20 da LGPD para titulares brasileiros.
16. Alterações nesta Política
Podemos atualizar esta Política de Privacidade de tempos em tempos. Alterações relevantes serão notificadas por aviso no produto ou e-mail com pelo menos 14 dias de antecedência da entrada em vigor. A data de "Última atualização" no topo reflete a versão mais recente. Versões anteriores estão disponíveis mediante solicitação.
17. Contato
Augmento FZCO Dubai Silicon Oasis, Dubai, Emirados Árabes Unidos
| Assunto | |
|---|---|
| Privacidade geral | privacy@augmento.com |
| Encarregado de Proteção de Dados (global) | dpo@augmento.com |
| Encarregado Brasileiro (LGPD) | dpo-br@augmento.com |
| Incidentes de segurança | security@augmento.com |
| Contato geral | hello@augmento.com |
Autoridade Nacional de Proteção de Dados (ANPD , Brasil) Site: www.gov.br/anpd