Política de Privacidade

1. Quem somos

Open Air Brasil

CNPJ: 05.320.143/0001-02

Rua Pacheco Leão, 674 · Jardim Botânico · Rio de Janeiro/RJ · CEP 22460-030 · Brasil

Somos uma empresa de produção de eventos culturais especializada em sessões de cinema ao ar livre, em parceria com o Nubank, com atuação nas cidades de Salvador (BA), Brasília (DF), São Paulo (SP) e Rio de Janeiro (RJ).

Esta Política de Privacidade descreve como tratamos os dados pessoais coletados em nossas operações: venda de ingressos, comunicação com público, operação dos eventos, e análise interna de performance.

Estamos comprometidos com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD) e seguimos os princípios do art. 6 da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.

2. Quais dados coletamos

Coletamos diferentes categorias de dados pessoais de acordo com o seu relacionamento conosco:

2.1 Dados de compradores (via Sympla)

  • Identificação: nome completo, e-mail, CPF
  • Contato: telefone (WhatsApp)
  • Endereço de cobrança: cidade, estado
  • Histórico de compra: sessões compradas, valor, método de pagamento, data
  • Dados de marketing: parâmetros UTM da campanha que originou a compra
  • Acessibilidade: se você se identifica como PCD (opcional)

2.2 Dados de participantes (acompanhantes em ingresso comprado por terceiro)

Nome, e-mail, CPF e telefone, informados pelo comprador via formulário Sympla.

2.3 Dados de check-in (no evento)

Horário de check-in registrado automaticamente pela Sympla quando você passa pela catraca/portaria.

2.4 Dados de consumo cashless (A&B)

Quando você usa a pulseira ZIG: CPF, gênero, data de nascimento (informados na ativação), histórico de consumo, valores, horários, ponto de venda.

2.5 Dados de feedback (NPS via Typeform)

Score NPS (0-10), comentário aberto opcional, e-mail (para vincular ao histórico).

2.6 Dados de leads pré-venda

E-mail e telefone (via formulário do site), handle do Instagram e dados públicos (quando você se inscreve via Laylo).

2.7 Dados técnicos (automáticos)

Endereço IP, navegador, sistema operacional, idioma (logs de servidor), cookies (ver seção 11).

3. Como coletamos esses dados

FonteO que coletaQuando
Sympla (parceira oficial de bilheteria)Dados de compra + participantes + check-inCompra do ingresso + check-in no evento
Site openairbrasil.com.brLeads pré-vendaInscrição em formulário "Avise-me"
Instagram + LayloInscrição via DM/bioQuando você opta por receber atualizações
ZIG (parceira cashless)Consumo A&B + dados demográficosAtivação da pulseira no evento
Typeform (pesquisa NPS)Avaliação pós-eventoResposta voluntária do e-mail enviado D+1
Brevo (CRM)Recebe e consolida dados das fontes acimaSincronização automática diária

4. Para que usamos seus dados (finalidades)

Usamos seus dados para:

  • Entregar ingressos comprados e validar acesso ao evento — base legal: execução de contrato (Art. 7º, V LGPD)
  • Comunicar lembretes do evento (D-7 e-mail, D-1 WhatsApp com seu OPT_IN explícito) — execução de contrato + interesse legítimo
  • Enviar pesquisa de satisfação (NPS) e comunicações pós-evento — interesse legítimo
  • Comunicar próximas temporadas e edições — consentimento (revogável a qualquer momento)
  • Análise interna de vendas, audiência e performance de marketing — interesse legítimo (dados agregados ou pseudonimizados)
  • Recuperação de vendas perdidas (carrinho abandonado, no-show follow-up) — interesse legítimo
  • Custom Audiences para anúncios direcionados (Meta e Google Ads — apenas dados hashed) — interesse legítimo
  • Análise de cumprimento de cota PCD — cumprimento de obrigação legal
  • Cumprimento de obrigações fiscais e contábeis — cumprimento de obrigação legal
⚠️ Nunca vendemos seus dados pessoais a terceiros. Compartilhamos apenas com os processadores listados na seção 6, e apenas o necessário para cada finalidade.

5. Por quanto tempo guardamos seus dados (retenção)

  • Dados de compra (Sympla): enquanto você for cliente ativo + 5 anos (obrigações fiscais)
  • Histórico de compra no CRM (Brevo): mesmo critério acima
  • Leads sem compra: 24 meses sem interação, então automaticamente anonimizados ou excluídos
  • Respostas NPS: 24 meses
  • Logs de consumo cashless (ZIG): conforme política da ZIG
  • Logs técnicos (IP, navegador): 90 dias
  • Cookies não essenciais: conforme escolha no banner de cookies

Você pode solicitar a exclusão de seus dados a qualquer momento (ver seção 8), salvo nos casos em que somos obrigados a manter por força de lei.

6. Com quem compartilhamos seus dados (operadores)

Trabalhamos com fornecedores especializados que tratam dados em nosso nome. Todos foram avaliados quanto à sua conformidade e mantemos acordos formais com cada um:

FornecedorFinalidadePaís
Sympla · DPAVenda de ingressos e gestão de participantesBrasil
Brevo · DPACRM, e-mail marketing, WhatsApp transacionalFrança
Meta · DPAAnúncios direcionados (e-mail/phone hashed)Estados Unidos
Google · DPAAnúncios direcionados (e-mail hashed)Estados Unidos
ZIGCashless A&B nos eventosBrasil
Typeform · DPAColeta de NPS pós-eventoEspanha
Vercel · DPAHospedagem da plataforma internaEstados Unidos
Anthropic · DPAGeração de relatórios via IA (sem PII individual, zero-retention)Estados Unidos
Laylo · DPACaptura de leads via InstagramEstados Unidos

Conforme art. 33 da LGPD, garantimos que países sediados fora do Brasil oferecem grau de proteção adequado ou que o tratamento ocorre conforme cláusulas contratuais padrão.

7. Segurança dos dados

  • Criptografia em trânsito (HTTPS) em todas as plataformas
  • Criptografia em repouso pelos fornecedores certificados (Brevo, Sympla, Vercel)
  • Hashing SHA-256 para envio de e-mails e telefones a plataformas de anúncio
  • Autenticação com cookies HttpOnly + tokens rotativos
  • Princípio do menor privilégio — apenas pessoas autorizadas acessam o CRM
  • Modo de privacidade na interface interna (mascara CPF)
  • CPF nunca é persistido em nossos sistemas internos — vai direto da Sympla para o Brevo, server-side
  • Opt-in obrigatório antes de qualquer disparo de WhatsApp

8. Seus direitos como titular de dados (Art. 18 LGPD)

Você tem os seguintes direitos, exercíveis gratuitamente a qualquer momento:

  1. Confirmação da existência de tratamento de seus dados
  2. Acesso aos seus dados
  3. Correção de dados incompletos, inexatos ou desatualizados
  4. Anonimização, bloqueio ou exclusão de dados desnecessários ou tratados em desconformidade
  5. Portabilidade dos dados a outro fornecedor (mediante requisição expressa)
  6. Eliminação dos dados tratados com base em seu consentimento
  7. Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados
  8. Informação sobre a possibilidade de não fornecer consentimento e suas consequências
  9. Revogação do consentimento a qualquer momento
Como exercer seus direitos

Envie um e-mail para openairbrasil@gmail.com (assunto começando com [LGPD]) com:

  • Seu nome completo
  • E-mail usado em nossas plataformas
  • CPF (para confirmação de identidade)
  • O direito que deseja exercer
  • Descrição clara do pedido

Responderemos em até 15 dias corridos, conforme art. 19 da LGPD.

9. Em caso de incidente de segurança

  1. Em até 72 horas notificaremos a ANPD (Autoridade Nacional de Proteção de Dados), conforme art. 48 da LGPD
  2. Comunicaremos diretamente os titulares afetados caso o risco seja relevante
  3. A comunicação incluirá: natureza do incidente, dados envolvidos, riscos, medidas técnicas adotadas e como você pode se proteger

10. Decisões automatizadas

Algumas comunicações (D-1 WhatsApp, lembretes pré-evento) são disparadas automaticamente com base em critérios objetivos (data da sessão, status da compra, opt-in WhatsApp). Você pode pedir revisão humana de qualquer decisão automatizada que afete seus interesses, conforme art. 20 da LGPD.

Nosso assistente de análise interna usa IA generativa (Claude/Anthropic) somente sobre dados agregados — nunca toma decisões automatizadas sobre indivíduos específicos.

11. Cookies

TipoFinalidadePode ser desativado?
EssenciaisAutenticação, manter sua sessãoNão
AnalíticosEntender uso da plataforma (agregado)Sim — banner de cookies
MarketingAnúncios direcionados (Meta Pixel, Google Tag)Sim — banner de cookies

12. Crianças e adolescentes

Nossos eventos são livres para todas as idades, mas a compra de ingressos é restrita a maiores de 18 anos (responsáveis). Caso você seja menor de 18 anos e tenha dados nossos sem autorização do responsável legal, peça ao seu responsável que entre em contato com openairbrasil@gmail.com (assunto começando com [LGPD]) para solicitar a remoção.

13. Encarregado de Proteção de Dados (DPO)

Nosso Encarregado pelo Tratamento de Dados Pessoais (Art. 41 LGPD) é:

  • Nome: Renato Byington Leite de Castro
  • E-mail: openairbrasil@gmail.com (use assunto começando com [LGPD] para priorização)
  • Função: Receber comunicações da ANPD, dos titulares, e orientar internamente sobre LGPD

14. Mudanças nesta política

Esta política pode ser atualizada para refletir mudanças em nossos serviços ou na legislação. A versão atual sempre está disponível em openairbrasil.com.br/privacidade com a data de última atualização.

Mudanças materiais serão comunicadas por e-mail aos titulares ativos com 30 dias de antecedência.

15. Lei aplicável e foro

Esta política é regida pela legislação brasileira, especialmente:

  • Lei 13.709/2018 (LGPD)
  • Lei 12.965/2014 (Marco Civil da Internet)
  • Lei 8.078/1990 (Código de Defesa do Consumidor)

Fica eleito o foro da Comarca do Rio de Janeiro/RJ para dirimir quaisquer controvérsias.

16. Contato

Última atualização: 22 de maio de 2026 · v1.0