Política de Privacidade

O Korra é uma plataforma brasileira de venda de fotos esportivas que usa reconhecimento facial e integração com aplicativos de atividade física (como Strava) para conectar atletas às suas fotos em eventos esportivos e sociais.

O Korra está disponível como site e como aplicativo móvel (iOS e Android). No app, a busca por selfie usa a câmera do seu dispositivo. Você controla seus dados diretamente no app: pode apagar sua selfie salva e excluir sua contaa qualquer momento, na tela “Minha Conta”.

Para qualquer questão relacionada a privacidade, exercício de direitos ou denúncias, entre em contato pelo email fotofacil@palmasnet.com.br.

Coletamos apenas os dados necessários para a operação da plataforma:

2.1 Dados fornecidos por você

• Cadastro de atleta: CPF, data de nascimento, nome, e-mail, WhatsApp, foto de perfil (selfie usada na busca por reconhecimento facial).
• Cadastro de fotógrafo/organizador: nome, e-mail, WhatsApp, CPF/CNPJ, chave Pix.
• Pedidos de compra: nome, e-mail, WhatsApp e dados de pagamento processados pelo Mercado Pago.

2.2 Dados gerados pelo uso

• Selfies enviadas para busca: processadas para gerar embeddings faciais (vetores numéricos) usados para comparar seu rosto com as fotos do evento. Para segurança e prevenção de uso indevido — impedir que uma pessoa localize as fotos de outra — guardamos também uma cópia da selfie usada na busca em um repositório de auditoria de acesso estritamente interno, por até 90 dias (ver item 6). Essa cópia nunca é pública, nunca é compartilhada com outros usuários, atletas ou organizadores, e é acessível apenas à equipe administrativa por meio de links temporários e assinados.
• Registro de auditoria de buscas: para fins de segurança, registramos cada busca por fotos com a identificação de quem buscou, data/hora, evento, tipo de busca, número de peito pesquisado e a quantidade de resultados. Esses registros permitem detectar e investigar tentativas de localizar fotos de terceiros.
• Fotos de eventos: armazenadas em servidores AWS S3, com versões reduzidas para preview e versões originais entregues após compra.
• Logs de uso: endereço IP, navegador, data/hora de acesso para fins de segurança e prevenção de fraude.

2.3 Dados de integrações de terceiros (opcional)

Quando você opta por conectar contas externas, recebemos:

• Strava: nome, ID do atleta no Strava e dados das atividades esportivas (distância, tempo, ritmo, frequência cardíaca, calorias, elevação, cadência). Não acessamos rotas/GPS, contatos, mensagens ou dados privados além das atividades públicas que você autoriza.
• Google: nome, e-mail e foto de perfil quando você opta por login com Google.

• Reconhecimento facial: comparar sua selfie com fotos de eventos para retornar apenas as fotos onde você aparece. Os embeddings faciais são armazenados em coleções restritas por evento e excluídos quando o evento é encerrado.
• Personalização de imagens: dados Strava são usados para gerar imagens compartilháveis (Stories/Feed) com seu tempo, distância e outros dados, exibidos apenas a você.
• Processamento de pagamentos: intermediado pelo Mercado Pago, que tem política de privacidade própria.
• Comunicação transacional: enviar links de download via e-mail ou WhatsApp após compra confirmada.
• Segurança e auditoria de buscas: prevenção de fraude e abuso e conformidade com obrigações legais. Registramos e monitoramos as buscas por fotos para impedir que alguém localize as fotos de outra pessoa — incluindo um limite na quantidade de números de peito que cada usuário pode pesquisar por evento — e mantemos uma cópia da selfie usada na busca para investigação de uso indevido. Esse tratamento se baseia no legítimo interesse de proteger você e os demais usuários.

Não fazemos nenhuma das seguintes ações:

• ❌ Vender ou alugar seus dados a terceiros para fins de marketing.
• ❌ Republicar dados Strava (atividades, rotas) em painéis públicos ou perfis de terceiros.
• ❌ Compartilhar suas selfies com outros usuários ou organizadores.
• ❌ Usar seus dados pessoais para treinar sistemas externos de terceiros.

Compartilhamos dados apenas com prestadores de serviço necessários para a operação:

• AWS (Amazon Web Services): hospedagem de fotos (S3) e reconhecimento facial (Rekognition). Dados ficam em região São Paulo (sa-east-1).
• Strava Inc. (EUA): apenas quando você autoriza explicitamente via OAuth. Sujeito à política de privacidade do Strava.
• Google LLC (EUA): apenas quando você opta por login Google. Sujeito à política de privacidade do Google.
• Mercado Pago (Mercado Libre): processamento de pagamentos. Sujeito à política de privacidade do Mercado Pago.
• Railway / hospedagem: infraestrutura técnica. Não acessam dados de aplicação diretamente.

⚠ Transferência internacional: alguns serviços (Strava, Google) operam fora do Brasil. Esses provedores possuem cláusulas contratuais e padrões de proteção compatíveis com a LGPD.

Como titular dos dados, você tem direito a:

• Confirmação e acesso — saber se tratamos seus dados e ter cópia deles.
• Correção — atualizar dados incompletos, inexatos ou desatualizados.
• Anonimização ou exclusão — apagar dados desnecessários ou tratados em desacordo com a lei.
• Portabilidade — receber seus dados em formato estruturado.
• Revogação do consentimento — desconectar Strava/Google a qualquer momento. Excluir sua conta de atleta na página Minha Conta.
• Oposição — questionar tratamento que viole a LGPD.

Para exercer qualquer destes direitos, envie e-mail para fotofacil@palmasnet.com.br. Respondemos em até 15 dias.

• Dados de cadastro: mantidos enquanto sua conta estiver ativa.
• Embeddings faciais (selfies): excluídos quando o evento é encerrado ou em até 90 dias.
• Registro de auditoria de buscas e selfie usada na busca: mantidos por até 90 dias e então apagados automaticamente — a imagem é removida do armazenamento e o registro é excluído.
• Tokens Strava/Google: mantidos enquanto a conexão estiver ativa. Você pode desconectar a qualquer momento.
• Pedidos e dados fiscais: mantidos por até 5 anos para fins fiscais e legais.
• Logs de segurança: mantidos por até 6 meses.

Usamos cookies estritamente necessários para:

• Manter sua sessão ativa após o login.
• Lembrar preferências (cor de destaque, layout escolhido).
• Prevenção de fraude e ataques (rate limiting).

Não usamos cookies de marketing ou rastreamento de terceiros.

Aplicamos medidas técnicas e administrativas razoáveis:

• Conexões HTTPS (TLS 1.2+) em toda a aplicação.
• Senhas armazenadas como hash bcrypt (não reversível).
• Tokens OAuth criptografados em repouso.
• Acesso aos dados restrito por função (apenas pessoal autorizado da equipe).
• Rate limiting e detecção de abuso em endpoints sensíveis.
• Auditoria periódica de permissões IAM nos provedores cloud.

O Korra não é destinado a menores de 13 anos. Adolescentes (13-17 anos) podem usar a plataforma apenas com consentimento dos pais ou responsáveis legais. Se identificarmos cadastro de criança sem consentimento, excluiremos imediatamente.

Podemos atualizar esta política a qualquer momento. Mudanças relevantes serão comunicadas pelo e-mail cadastrado e/ou notificação na plataforma com antecedência mínima de 15 dias antes da entrada em vigor.

A data da última atualização aparece no topo desta página.

Email do encarregado: fotofacil@palmasnet.com.br

Você também pode exercer seus direitos diretamente junto à Autoridade Nacional de Proteção de Dados (ANPD).