Política de Privacidade

Data de vigência: 18 de abril de 2026 · Última atualização: 18 de abril de 2026 · Mega Tickets USA Inc.

1. Introdução

A Mega Tickets USA Inc. ("Mega Tickets", "nós") opera um marketplace global self-service de ingressos em megaticketsusa.com. Esta Política explica quais dados pessoais coletamos, como usamos, com quem compartilhamos e quais direitos você tem sob as leis aplicáveis — em especial a LGPD (Lei 13.709/2018, Brasil), o GDPR (UE/Reino Unido), a CCPA/CPRA (Califórnia), a LFPDPPP (México) e leis análogas na Argentina, Colômbia e Chile.

Ao usar o Serviço, você reconhece ter lido esta Política. Quando o fundamento legal for consentimento (ex.: marketing, cookies não essenciais), solicitamos sua concordância separadamente.

2. Informações que Coletamos

Dados de cadastro e perfil fornecidos por você: nome, e-mail, telefone, senha (armazenada com hash), data de nascimento, foto de perfil, idioma, país.

Dados transacionais: ingressos comprados ou anunciados, detalhes do evento, histórico de pedidos, cobrança e metadados do pagamento. Nunca armazenamos o número completo do cartão em nossos servidores. O dado do cartão é tokenizado e processado pelos nossos parceiros PCI-DSS (Square e Stripe).

Verificação de identidade ("KYC"): para Organizadores, documento de identidade, CNPJ/cadastro empresarial e dados bancários, coletados pela Square ou pela Stripe em cumprimento de leis antilavagem de dinheiro e tributárias.

Dados técnicos e de dispositivo: endereço IP, navegador, sistema operacional, identificadores de dispositivo, logs de erro, localização aproximada derivada do IP.

Cookies e tecnologias similares: ver Política de Cookies.

Localização precisa (latitude/longitude) apenas quando você ativa explicitamente para a verificação no check-in do evento.

Dados de login social (Google, Apple, Facebook): dados básicos de perfil que o provedor compartilha conforme suas preferências.

Comunicações: e-mails, chamados de suporte, respostas de pesquisas, feedback.

3. Como Usamos Seus Dados

• Prestar o Serviço — criar contas, processar compras, gerar QR Codes, repassar valores aos Organizadores, operar o check-in;
• Segurança — prevenir fraudes, abuso de chargeback, invasão de conta e compras por bots (inclusive com QR Codes rotativos assinados com HMAC-SHA256);
• Suporte — responder a chamados, depurar problemas, tratar reembolsos e disputas;
• Análise e melhoria do produto — entender uso, medir desempenho, testes A/B;
• Marketing (com consentimento, quando exigido) — newsletter, recomendações de evento, promoções. Você pode se descadastrar a qualquer momento;
• Cumprimento legal — obrigações fiscais, KYC/antilavagem, sanções, defesa do consumidor, ordens judiciais.

4. Bases Legais para o Tratamento

Para titulares no Brasil (LGPD art. 7) e jurisdições com estrutura análoga (GDPR art. 6):

• Execução de contrato (LGPD art. 7, V) — prestar o Serviço que você contratou;
• Legítimo interesse (LGPD art. 7, IX) — prevenção a fraudes, segurança da informação, análise de produto, defesa de direitos. Fazemos o balanceamento contra seus direitos fundamentais;
• Consentimento (LGPD art. 7, I) — marketing, cookies não essenciais, localização precisa, dados sensíveis;
• Cumprimento de obrigação legal ou regulatória (LGPD art. 7, II) — obrigações tributárias (IRS 1099-K, 1099-NEC nos EUA; Receita Federal no Brasil), KYC/PLD, respostas a autoridades;
• Exercício regular de direitos em processo (LGPD art. 7, VI);
• Proteção da vida / da saúde quando aplicável.

5. Com Quem Compartilhamos

Compartilhamos dados apenas como descrito abaixo e nunca vendemos seus dados no sentido cotidiano. Algumas destas atividades podem ser classificadas como "venda" ou "compartilhamento" sob a CCPA/CPRA da Califórnia — ver Seção 10 para o direito de opt-out.

• Com Organizadores — ao comprar, compartilhamos nome, e-mail, tipo de ingresso e metadados do pedido com o Organizador, que passa a ser controlador independente conforme sua própria política;
• Com processadores de pagamento — Square (Organizadores nos EUA, Canadá, Reino Unido, Austrália, Irlanda, França, Espanha e Japão) e Stripe Connect (demais países) para processar pagamentos, realizar KYC e emitir formulários fiscais;
• Com prestadores de serviço — hospedagem em nuvem (Supabase; futuramente AWS), entrega de e-mail, suporte, prevenção a fraudes e analytics, todos sujeitos a contratos de tratamento de dados ("DPA");
• Com parceiros de mídia/mensuração — Google Analytics e Meta (Facebook) Pixel para análise do site e mensuração de anúncios, conforme suas preferências de cookies;
• Por obrigação legal — intimações, ordens judiciais, pedidos regulatórios, defesa de direitos, prevenção a fraude, segurança;
• Em operações societárias — fusão, aquisição, captação ou venda de ativos, com aviso prévio quando exigido;
• Com seu consentimento explícito — para qualquer outra finalidade.

6. Transferência Internacional de Dados

A Mega Tickets está sediada nos Estados Unidos. Ao usar o Serviço a partir do Brasil ou de qualquer outro país, seus dados serão transferidos e tratados nos EUA e em outros países onde nossos prestadores atuam (principalmente EUA, UE e América Latina).

Para transferências a partir do Brasil, aplicamos as bases da LGPD art. 33 (cláusulas contratuais específicas / padrões aprovados pela ANPD quando disponíveis) e, para UE/Reino Unido, as Cláusulas Contratuais Padrão da Comissão Europeia e o UK IDTA, acrescidas de salvaguardas técnicas como criptografia em trânsito e em repouso.

7. Retenção de Dados

Mantemos seus dados enquanto a conta estiver ativa e pelo tempo necessário para prestar o Serviço. Prazos específicos:

• Dados de conta: até você excluir, com eliminação em até 30 dias, salvo retenção por dever legal;
• Registros transacionais: até 7 anos para fins fiscais, contábeis e antifraude;
• Pings de localização (check-in): eliminados automaticamente em até 48 horas;
• Logs de segurança e auditoria: até 12 meses;
• Dados anonimizados que não permitem sua identificação: podem ser mantidos indefinidamente.

8. Segurança

Usamos salvaguardas de mercado: TLS 1.2+ em trânsito, criptografia em repouso, Row-Level Security no banco de dados, senhas com hash, MFA para administradores e conformidade PCI-DSS pelos nossos processadores. Os QR Codes se renovam a cada 30 segundos e são assinados com HMAC-SHA256, tornando captura de tela inútil.

Nenhum sistema é perfeitamente seguro. Em caso de incidente de segurança, notificaremos você e as autoridades nos prazos exigidos pela lei — no Brasil, em prazo razoável conforme LGPD art. 48; na UE, em 72 horas (GDPR art. 33).

9. Privacidade de Crianças e Adolescentes

O Serviço é destinado a maiores de 18 anos. Não criamos contas conscientemente para menores, e regras adicionais se aplicam por jurisdição:

• Brasil (LGPD art. 14): o tratamento de dados de crianças (menores de 12 anos) requer consentimento específico e destacado de pelo menos um dos pais ou do responsável legal. Para adolescentes (12 a 18 anos), o tratamento observa o melhor interesse;
• Estados Unidos (COPPA): não coletamos dados de crianças menores de 13 anos;
• UE / Reino Unido (GDPR art. 8): o tratamento baseado em consentimento exige autorização dos pais se o titular tiver menos de 16 anos (ou a idade mínima definida pelo Estado-membro, entre 13 e 16);
• México e demais países da América Latina: regras locais análogas de consentimento parental.

Se você acredita que um menor criou conta, escreva para privacy@megaticketsusa.com e excluiremos.

10. Seus Direitos

Conforme sua localidade, você tem os direitos abaixo. Para exercê-los, escreva para privacy@megaticketsusa.com. Responderemos em até 30 dias (LGPD/GDPR) ou 45 dias (CCPA), ou em prazo menor exigido pela lei. Podemos precisar confirmar sua identidade antes.

10.1 Brasil (LGPD art. 18)

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
• Portabilidade dos dados a outro fornecedor de serviço ou produto;
• Eliminação dos dados tratados com base no consentimento;
• Informação sobre as entidades públicas e privadas com as quais o controlador compartilhou os dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento (art. 8º, §5º);
• Petição contra o controlador perante a ANPD.

10.2 UE / Reino Unido (GDPR)

• Acesso (art. 15); retificação (art. 16); apagamento / "direito ao esquecimento" (art. 17); limitação de tratamento (art. 18); portabilidade (art. 20); oposição, inclusive a marketing (art. 21); decisões automatizadas (art. 22); revogação de consentimento e reclamação à autoridade.

10.3 Califórnia (CCPA / CPRA)

• Conhecer, excluir, corrigir, opt-out da "venda" ou "compartilhamento" para publicidade comportamental cross-context, limitar uso de dados pessoais sensíveis e não discriminação.

10.4 México (LFPDPPP — "ARCO")

• Acceso, Rectificación, Cancelación e Oposición, além de revogação e limitação de uso.

10.5 Argentina (Ley 25.326)

• Acesso gratuito a cada 6 meses, retificação, atualização e supressão; petição à AAIP.

10.6 Colômbia (Ley 1581/2012)

• Conhecer, atualizar, retificar, revogar autorização, obter prova da autorização; petição à SIC.

10.7 Chile (Ley 19.628)

• Acesso, modificação, eliminação e bloqueio dos dados.

11. Cookies e Rastreamento

Usamos cookies e tecnologias similares no site. A lista completa, incluindo analytics e publicidade (Google Analytics, Meta Pixel), está na Política de Cookies.

12. Do Not Track

A maioria dos navegadores envia um sinal "Do Not Track". Como não há consenso sobre a interpretação do sinal, atualmente não respondemos ao DNT. Honramos, porém, o sinal Global Privacy Control (GPC) como opt-out válido de "venda" ou "compartilhamento" para publicidade comportamental de residentes na Califórnia.

13. Encarregado / Data Protection Officer

Para exercer direitos ou tirar dúvidas, escreva para privacy@megaticketsusa.com.

• Encarregado (LGPD art. 41): designado — contato pelo e-mail acima. [Denis deve confirmar o nome do Encarregado antes da publicação e divulgar conforme o art. 41, §1º.]
• DPO (GDPR art. 37): nomeação formal não é estritamente obrigatória para a escala atual, mas o e-mail é monitorado pelo responsável.

14. Autoridades de Proteção de Dados

Se entender que não tratamos sua solicitação de modo adequado, você pode recorrer à autoridade competente:

• Brasil — ANPD: gov.br/anpd
• Califórnia — California Attorney General / CPPA: oag.ca.gov/privacy · cppa.ca.gov
• Reino Unido — ICO: ico.org.uk
• União Europeia — DPA nacional: lista em edpb.europa.eu
• México — INAI: inai.org.mx
• Argentina — AAIP: argentina.gob.ar/aaip
• Colômbia — SIC: sic.gov.co
• Chile — Consejo para la Transparencia: consejotransparencia.cl

15. Alterações nesta Política

Podemos atualizar esta Política. Se a alteração for material, daremos pelo menos 30 dias de aviso por e-mail ou aviso destacado no Serviço antes de vigorar. Uso continuado após a vigência significa aceitação.

16. Fale Conosco

• Equipe de privacidade: privacy@megaticketsusa.com
• Empresa: Mega Tickets USA Inc., 3334 Concert Ln, Margate, FL 33063, Estados Unidos
• Site: megaticketsusa.com