📞 (45) 3559-8000
Painel da Diocese
Santuário
Documentos legais

Política de Privacidade

Versão 4.0 — vigente a partir de 06 de junho de 2026

Versão 4.0 — vigente a partir de 06 de junho de 2026 — em conformidade com LGPD (Lei 13.709/18), GDPR (UE 2016/679 quando aplicável), Apple App Store Privacy Guidelines + App Tracking Transparency + Privacy Manifests, Google Play Data Safety + Sensitive App Permissions.

Atualização 4.0: inclui Carros de Apoio e Modo Motorista (equipe), mapa de cobertura de sinal/zonas de sombra (dados anônimos), Caravanas (grupos por código), mapa offline (OpenStreetMap) e Vela Virtual (pagamento via PIX).

1. Quem é o Controlador dos seus dados

O Controlador dos dados pessoais coletados pelo Aplicativo "Peregrinação em Itaipulândia" e pelo Site santuariodeitaipulandia.org é a Diocese de Foz do Iguaçu, pessoa jurídica de direito eclesiástico inscrita no CNPJ sob nº 75.795.291/0001-21, com sede na Av. Paraná, nº 3528, Centro, Foz do Iguaçu/PR — CEP 85852-000, responsável pelo Santuário Diocesano de Nossa Senhora Aparecida em Itaipulândia/PR.

Encarregado de Proteção de Dados (DPO): dpo@santuariodeitaipulandia.org

2. O que coletamos e por quê

2.1 Dados de Identificação (cadastro)

  • Nome completo, email, senha (hash bcrypt cost 12) — para criar e autenticar sua conta. Base legal: execução de contrato (LGPD §7º, V).
  • Cidade, UF, paróquia de origem, data de nascimento (opcionais) — para a Diocese conhecer o perfil dos peregrinos e segmentar avisos. Base legal: consentimento (§7º, I), revogável a qualquer momento em "Perfil → Meus dados".

2.2 Login social (Apple Sign-In e Google Sign-In)

  • Sign in with Apple (iOS) — Apple devolve apenas seu nome (opcional) e email (real ou anonimizado ...@privaterelay.appleid.com). Não recebemos seu Apple ID, senha ou outros dados da Apple. Base legal: execução de contrato.
  • Google Sign-In (Android e iOS) — solicitamos apenas os escopos email e profile (nome e foto pública). Não acessamos seus contatos, agenda, Drive ou outros serviços Google. Base legal: execução de contrato.
  • Em ambos os casos, criamos uma conta local vinculada ao email retornado. A senha bcrypt é gerada aleatoriamente — você pode definir uma própria depois em "Perfil → Trocar senha".

2.3 Localização

  • Localização aproximada (quando o app está aberto) — para mostrar postos de apoio próximos no mapa. Base legal: execução de contrato.
  • Localização precisa em tempo real (Modo Família e SOS ativo, em background se autorizado) — para que seus contatos de família e/ou a Polícia Militar e equipe da Diocese te encontrem em emergência. O compartilhamento em background termina automaticamente quando o chamado de SOS é marcado como resolvido. Base legal: proteção da vida (§7º, IV) e execução de contrato.
  • Pings GPS coletados durante SOS — eliminados automaticamente 30 dias após o chamado ser resolvido (LGPD §16).
  • Localização anonimizada (k-anonimidade k≥10) para mapa de calor — agregada em blocos de 30 metros, sem vinculação ao seu ID. Usada pela Diocese e PM para planejamento de fluxo durante a romaria. Base legal: legítimo interesse (§7º, IX).
  • iOS: localização rege-se pelas chaves NSLocationWhenInUseUsageDescription, NSLocationAlwaysAndWhenInUseUsageDescription e NSLocationAlwaysUsageDescription declaradas no Info.plist.
  • Android: ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION e ACCESS_BACKGROUND_LOCATION com foregroundServiceType="location" (obrigatório a partir do Android 14 / SDK 34) — uso apenas durante SOS ativo, com notificação persistente visível.

2.4 Modo Família

  • Nome, telefone e email dos seus contatos de família (até 3 contatos) — para que possam ser notificados em caso de SOS. Ao cadastrar, você declara ter o consentimento expresso de cada contato.
  • Telefones são criptografados em repouso (AES-256-CBC) e não são exibidos em listagens administrativas.
  • Cada contato recebe um token público secreto (ULID de 128 bits, não-enumerável) que dá acesso a uma página pública de acompanhamento durante a peregrinação. O token é revogado se você remover o contato. Base legal: consentimento + proteção da vida.
  • Cada contato cadastrado recebe automaticamente um email da Diocese informando que foi adicionado, explicando seus direitos e oferecendo a opção de solicitar remoção.

2.5 Fotos compartilhadas no Feed da Peregrinação

  • Aceitamos imagens JPG, PNG, WebP e HEIC. SVG é bloqueado por risco de XSS.
  • Os metadados EXIF (incluindo GPS embutido pela câmera) são REMOVIDOS no servidor antes de qualquer publicação, conforme orientação da ANPD.
  • Imagens são redimensionadas para no máximo 1600px no maior lado e re-encodadas como JPEG progressivo.
  • Apenas fotos aprovadas pela moderação da Diocese ficam visíveis a outros peregrinos. Fotos recusadas são apagadas em até 7 dias.
  • Você pode deletar suas fotos a qualquer momento. Base legal: consentimento.

2.6 Notificações Push

  • FCM Device Token (Firebase Cloud Messaging — Google) — identificador opaco do seu aparelho, fornecido pelo Firebase. Não permite identificar você pessoalmente. Usado para entregar avisos da romaria e alertas de SOS da sua família. Base legal: execução de contrato.
  • Você pode desativar notificações a qualquer momento em "Perfil → Notificações" no app, ou nas configurações do sistema operacional (Ajustes → Notificações → Peregrinação no iOS; Configurações → Apps → Notificações no Android).
  • Respeitamos "horário silencioso" (quiet hours) definido por você — só recebe notificações URGENTES nesse período.

2.7 Áudio neural (Text-to-Speech)

  • Liturgia, orações e Bíblia são narradas por voz humana sintetizada pelo Google Cloud Text-to-Speech (voz pt-BR-Neural2-C).
  • A síntese acontece no servidor da Diocese, não no seu aparelho. Cada áudio é gerado uma única vez por texto e cacheado por hash SHA-1.
  • O Google recebe apenas o texto a ser sintetizado (orações públicas, capítulos da Bíblia, leituras litúrgicas) e devolve o MP3. Nenhum dado pessoal seu é enviado.
  • Quando offline ou o servidor está indisponível, o app cai automaticamente para o TTS nativo do aparelho (AVSpeechSynthesizer no iOS / TextToSpeech no Android), 100% local.

2.8 Mapas (Apple Maps no iOS, Google Maps no Android)

  • iOS — Apple Maps (MapKit nativo) — sua localização é processada pelo sistema operacional da Apple, com Privacidade Diferencial aplicada pela própria Apple.
  • Android — Google Maps via google_maps_flutter — o tile de mapa é fornecido pelo Google. Aplica-se a Política de Privacidade do Google para a interação com o serviço de mapas.
  • Em nenhum dos casos compartilhamos sua identidade com Apple ou Google — apenas a interação do app com o serviço de mapa.
  • Mapa offline — OpenStreetMap: ao baixar o mapa do trajeto para usar sem internet, os "tiles" (quadradinhos do mapa) são obtidos do OpenStreetMap e guardados localmente no seu aparelho. Nenhum dado pessoal é enviado ao OpenStreetMap além da requisição técnica do tile.
  • Rota até o Santuário — Google Directions: o traçado é calculado por um serviço do Google a partir da cidade de partida e do destino, intermediado pelo nosso servidor. Não enviamos a sua identidade.

2.9 Telemetria e diagnóstico

  • Logs de erro do servidor (Laravel Telescope) — guardados por 48h, sem dados pessoais sensíveis. Apenas stack traces para correção de bugs.
  • Atividade administrativa (quem aprovou cada intenção/foto/caravana) — via Spatie Activity Log, mantido por 5 anos para auditoria pastoral.
  • Não usamos Google Analytics, Facebook Pixel ou qualquer SDK de analytics comercial.

2.10 Carros de apoio e "Modo Motorista" (equipe de apoio)

  • Membros da equipe de apoio (motoristas de carros de apoio, ambulâncias e viaturas) cujo aparelho foi vinculado a um carro podem ativar o Modo Motorista, que compartilha a localização do veículo em tempo real com a central de operação (Polícia/Diocese) enquanto estiver ligado.
  • O compartilhamento é voluntário e controlado pelo próprio motorista (liga/desliga quando quiser) e serve apenas à coordenação do socorro durante a romaria. Base legal: execução de contrato e proteção da vida (§7º, IV).
  • Esse recurso aparece somente para contas vinculadas a um carro de apoio; o peregrino comum não o vê.

2.11 Mapa de cobertura de sinal / zonas de sombra (dados anônimos)

  • Para mapear os trechos da rodovia sem sinal de celular, o app pode registrar pontos com coordenada + indicação "com/sem sinal" + nome da operadora (Vivo/Claro/TIM), enviados ao servidor quando a conexão volta.
  • Esses registros são ANÔNIMOS: não contêm nome, e-mail nem qualquer identificador de conta — apenas o ponto geográfico e o estado do sinal. Não é possível identificar quem coletou. Base legal: legítimo interesse (§7º, IX) sobre dados anonimizados (§12).
  • A "Vistoria de Sinal" feita pela equipe antes do evento segue a mesma lógica anônima.

2.12 Caravanas (grupos)

  • Você pode criar ou entrar em uma caravana (grupo da sua paróquia/cidade) com um código de convite. Guardamos apenas o vínculo entre a sua conta e a caravana, para organização e comunicação do grupo. Base legal: execução de contrato.
  • O líder da caravana e a organização podem ver os membros (nome). Você pode sair da caravana a qualquer momento.

2.13 Vela Virtual e pagamentos (PIX)

  • Ao acender uma Vela Virtual com oferta, o pagamento é processado por PIX através de um provedor de pagamento. Recebemos apenas a confirmação e o status do pagamento (valor, data). Não coletamos nem armazenamos dados de cartão.
  • A intenção da vela, quando você escolhe torná-la pública no mural, é exibida sem expor seus dados de contato. Base legal: execução de contrato e consentimento.

2.14 O que NÃO coletamos

O Aplicativo NÃO coleta, NÃO armazena e NÃO compartilha:

  • Lista de contatos do seu telefone
  • Histórico de navegação fora do nosso domínio
  • Conteúdo de mensagens de outros aplicativos
  • Sua identidade biométrica (Face ID / Touch ID são processados localmente pelo sistema operacional, nunca chegam ao nosso servidor)
  • Dados publicitários — não vendemos dados, não fazemos perfilamento comercial, não há anúncios de terceiros, não fazemos retargeting
  • Tracking entre apps (no iOS declaramos NSPrivacyTracking=false no PrivacyInfo.xcprivacy — não solicitamos o pop-up de App Tracking Transparency porque NÃO fazemos cross-app tracking)
  • Identificador único de publicidade (IDFA no iOS / Advertising ID no Android)

3. Compartilhamento com Terceiros

Compartilhamos dados estritamente com:

  • Polícia Militar do Paraná (1º Batalhão de Foz do Iguaçu) — exclusivamente sua localização durante um SOS ativo, conforme convênio formal com a Diocese.
  • Google (Firebase Cloud Messaging) — apenas tokens opacos do dispositivo, para entregar notificações push. Acordo de processamento de dados (DPA) celebrado conforme art. 9º da LGPD.
  • Google (Cloud Text-to-Speech) — apenas textos públicos (orações, leituras, Bíblia) para síntese de áudio. Nenhum dado pessoal é transmitido.
  • Hostinger Brasil (provedor de infraestrutura) — armazenamento criptografado dos bancos de dados em servidor localizado no Brasil.
  • OpenStreetMap Foundation — apenas requisições técnicas de tiles de mapa para o modo offline, sem qualquer dado pessoal.
  • Provedor de pagamento PIX — apenas os dados necessários para processar a oferta da Vela Virtual. Não recebemos nem guardamos dados de cartão.
  • Polícia Rodoviária Federal (PRF) e SAMU — em um SOS na rodovia, a localização e a natureza do chamado podem ser repassadas ao órgão competente para o socorro.

NÃO vendemos seus dados. NÃO compartilhamos com anunciantes, data brokers ou qualquer terceiro com finalidade comercial.

4. Segurança dos Dados

  • Comunicação app↔servidor sempre via HTTPS/TLS 1.3, sem fallback inseguro
  • Senhas com hash bcrypt cost 12 + salt único por usuário (impossível de reverter)
  • Telefones de contatos de família criptografados em repouso (AES-256-CBC com IV aleatório)
  • Tokens de autenticação (Laravel Sanctum) com expiração de 90 dias e revogação automática em troca de senha
  • Rate limiting em endpoints sensíveis: SOS (60/min), login (6/min), upload de foto (10/min)
  • Headers de segurança: X-Frame-Options=DENY, X-Content-Type-Options=nosniff, HSTS, Referrer-Policy=strict-origin-when-cross-origin, Permissions-Policy
  • Validação rigorosa de upload (whitelist de MIME: jpg/png/webp/heic — SVG bloqueado contra XSS)
  • Strip de EXIF + redimensionamento server-side de toda imagem
  • Sanctum tokens revogados automaticamente em password reset
  • Backup diário criptografado, rotação 30 dias
  • Monitoramento contínuo de tentativas de acesso anômalas

5. Retenção de Dados

DadoPrazo de retenção
Conta do peregrinoEnquanto a conta estiver ativa + 30 dias após exclusão
Pings GPS de SOS30 dias após o chamado ser resolvido (LGPD §16)
Registro de chamado de SOS (sem GPS)5 anos — auditoria pastoral e responsabilidade civil
Fotos não-aprovadas7 dias após recusa
Fotos aprovadasAté o peregrino deletar OU encerramento da conta
FCM Token (push)Revogado em logout ou desinstalação
Logs de erro (Telescope)48 horas
Activity Log administrativo5 anos
Backups criptografados30 dias (rotacionados)
Exports JSON solicitados7 dias após geração
Pontos de cobertura/zona de sombra (anônimos)Mantidos de forma anônima e agregada — não vinculados a você
Posições do Modo Motorista (equipe)Durante o uso + histórico operacional do evento
Vínculo de caravana (grupo)Enquanto você for membro / conta ativa
Vela Virtual (oferta/PIX)Registro contábil conforme exigência legal/fiscal

6. Seus Direitos (LGPD §18 e equivalentes GDPR Art. 12-22)

Você pode, a qualquer momento, exercer os seguintes direitos enviando email ao DPO ou pelas opções dentro do Aplicativo em "Perfil → Meus dados":

  • Confirmar a existência de tratamento dos seus dados
  • Acessar seus dados (exportação completa em ZIP/JSON em "Perfil → Exportar meus dados")
  • Corrigir dados incompletos, inexatos ou desatualizados
  • Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade
  • Portar seus dados a outro fornecedor (formato JSON estruturado)
  • Eliminar seus dados tratados com base em consentimento (em "Perfil → Excluir minha conta" — processamento real via Job ProcessAccountDeletion)
  • Revogar consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior
  • Obter informação sobre entidades públicas e privadas com as quais a Diocese compartilhou seus dados
  • Reclamar à ANPD — Autoridade Nacional de Proteção de Dados — em www.gov.br/anpd

Respondemos solicitações em até 15 dias úteis conforme art. 19 §1º da LGPD.

7. Transferência Internacional de Dados

Os dados pessoais ficam armazenados em servidor da Hostinger localizado em território brasileiro.

Transferências internacionais ocorrem exclusivamente para:

  • Firebase Cloud Messaging (Google LLC, EUA) — apenas tokens opacos de dispositivo, sem dados pessoais. Google possui certificações ISO 27001/27017/27018 e SOC 2/3, e mantém Cláusulas Contratuais Padrão (SCC) aprovadas pela ANPD.
  • Google Cloud Text-to-Speech (Google LLC, EUA) — apenas texto público para síntese, sem dados pessoais.
  • Apple Push Notification Service (Apple Inc., EUA) — quando o app é instalado em iOS, apenas o token opaco de push.

Todas as transferências respeitam o art. 33 da LGPD (transferência para país com nível adequado ou mediante garantias contratuais específicas).

8. Crianças e Adolescentes (LGPD §14 e Estatuto da Criança e do Adolescente)

O Aplicativo não é dirigido a menores de 13 anos. O cadastro exige confirmação de idade ≥13 anos, validada no servidor (LGPD §14 §1º).

Para menores entre 13 e 18 anos, exige-se consentimento expresso do responsável legal, manifestado fisicamente no momento do cadastro ou por declaração assinada enviada ao DPO.

Em caso de cadastro indevido detectado, contate o DPO para exclusão imediata sem necessidade de justificativa adicional.

9. Cookies e tecnologias similares

Veja nossa Política de Cookies dedicada. O Aplicativo móvel NÃO usa cookies — armazena preferências localmente via SharedPreferences (Android) / NSUserDefaults (iOS), sem acesso à sua atividade fora do app.

10. Conformidade com Apple App Store e Google Play

O Aplicativo atende integralmente às diretrizes de privacidade das lojas oficiais:

10.1 Apple App Store

  • Privacy Manifest (PrivacyInfo.xcprivacy) declarando todos os tipos de dados coletados e finalidades
  • NSPrivacyTracking=false — não fazemos cross-app tracking, portanto não solicitamos pop-up de App Tracking Transparency (ATT)
  • NSPrivacyTrackingDomains=[] — array vazio, sem domínios de tracking
  • Todas as APIs sensíveis (Camera, Photos, Location, Motion) com NSUsageDescription explicativo no Info.plist
  • Required Reasons API declaradas conforme orientação da Apple a partir de 1º maio 2024 (UserDefaults, FileTimestamp, DiskSpace, SystemBootTime)
  • Sign in with Apple oferecido em paridade com Google Sign-In, conforme requisito da Apple Guideline 4.8

10.2 Google Play

  • Data Safety form preenchido declarando coleta de localização, fotos e identificadores opacos
  • Sem compartilhamento com terceiros para fins comerciais
  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256 para dados sensíveis)
  • Mecanismo claro de exclusão de conta via app (Google Play Account Deletion Requirement, vigente desde 2024)
  • foregroundServiceType="location" declarado para uso em SDK 34+ — apenas durante SOS ativo
  • Permissão ACCESS_BACKGROUND_LOCATION com justificativa clara no formulário de Sensitive Permissions
  • POST_NOTIFICATIONS com opt-in explícito (Android 13+)

11. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (LGPD §48):

  • Comunicaremos a ANPD em até 2 dias úteis, conforme Resolução CD/ANPD nº 15/2024
  • Comunicaremos os titulares afetados via email cadastrado e dentro do Aplicativo
  • Modelo de comunicação preparado em template (Mailable DataBreachNotification)
  • Manteremos registro do incidente conforme art. 38 da LGPD

12. Atualizações desta Política

Esta política pode ser atualizada para refletir mudanças no Aplicativo, nas regras das lojas Apple/Google, ou na legislação. Mudanças materiais serão comunicadas:

  • Dentro do Aplicativo na próxima abertura após a atualização
  • Por email para usuários cadastrados
  • Via aviso no banner do site público por no mínimo 30 dias

A versão vigente está sempre disponível em santuariodeitaipulandia.org/privacidade. Versões anteriores podem ser solicitadas ao DPO.

13. Contato

Encarregado de Proteção de Dados (DPO):

Email: dpo@santuariodeitaipulandia.org
Diocese de Foz do Iguaçu — Av. Paraná, nº 3528, Centro — Foz do Iguaçu/PR — CEP 85852-000
CNPJ 75.795.291/0001-21

Histórico de versões

Mantemos histórico de todas as versões anteriores. Para receber por e-mail uma versão específica deste documento, contate dpo@santuariodeitaipulandia.org.