Política de
Privacidade

O Arena Manager é uma plataforma de software (SaaS) usada por arenas esportivas no Brasil para gerir suas operações — alunos, instrutores, turmas, agendas, reservas e cobranças — nas modalidades beach tennis, futevôlei, vôlei e padel.

O produto é white-label e multi-arena: cada arena que contrata o Arena Manager é um cliente independente, com seus próprios dados, alunos e instrutores isolados dos demais. A arena define seus preços, sua operação e decide quais informações registra sobre as pessoas que a frequentam.

Quem opera no sistema

• Arena (gestor / arena_manager) — o cliente que contrata o Arena Manager para administrar sua operação.
• Instrutor — profissional vinculado a uma ou mais arenas, que dá aulas e acompanha alunos.
• Aluno — pessoa que pratica esporte em uma ou mais arenas.
• Visitante — quem navega pela parte pública do produto (ex.: páginas de exploração de arenas) sem cadastro completo.
• Arena Manager (plataforma / nós) — quem desenvolve e opera o software.

Os dois papéis da LGPD: controlador e operador

A LGPD distingue dois papéis no tratamento de dados:

• Controlador — quem decide a finalidade do tratamento (por que e como os dados são usados).
• Operador — quem trata os dados em nome do controlador, seguindo suas instruções.

No Arena Manager, esses papéis se dividem assim:

Na prática: quando uma arena cadastra um aluno e registra observações sobre ele, a arena é a controladora desses dados — ela decidiu coletá-los e para quê. Nós apenas guardamos e processamos esses dados em nome dela, como operadores. Já os dados que você nos fornece para criar e manter sua conta (login Google, nome, e-mail) são tratados por nós como controladores.

Isso importa para você exercer seus direitos: dependendo do dado, o pedido vai para a arena (controladora) ou para nós (ver Seção 7).

2.1 Gestor de arena (arena_manager)

• Identidade e conta: nome, e-mail e foto de perfil obtidos via login Google OAuth; identificador interno de usuário.
• Perfil: nome de exibição, foto (avatar), eventual bio/headline.
• CPF: armazenado no perfil quando necessário para emitir cobranças via gateway de pagamento (ver Seção 6). É tratado como dado sensível à fraude — acesso restrito por regras rígidas de banco.
• Dados de cobrança da assinatura: plano contratado, status do período de teste (trial), histórico de cobranças da assinatura da arena.
• Dados operacionais que a arena gera: cadastro de alunos, configuração de turmas, preços, quadras, agenda.

2.2 Instrutor

• Identidade e conta: nome, e-mail e foto via login Google OAuth; identificador interno.
• Perfil profissional: nome de exibição, foto, bio/headline (podem aparecer em páginas públicas de instrutores).
• Vínculos: arenas em que atua, alunos sob seu acompanhamento.
• Apelidos e observações privadas que o instrutor registra sobre seus próprios alunos (ver Seção 4).

2.3 Aluno

• Cadastro feito pela arena ou pelo instrutor: nome completo, telefone e, opcionalmente, e-mail; modalidade praticada.
• Identidade e conta (se o aluno cria login): nome, e-mail e foto via login Google OAuth. Um aluno pode existir no sistema antes de ter login — cadastrado pela arena — e depois reivindicar (claim) esse cadastro ao se autenticar.
• CPF: armazenado no perfil apenas quando o aluno é cobrado por pagamento online via gateway (ver Seção 6).
• Dados operacionais gerados na relação com a arena: turmas, frequência, reservas, mensalidades e pagamentos, evolução/observações pedagógicas (ver Seção 4).
• Memberships: um mesmo aluno pode ter vínculos com várias arenas e vários instrutores.

2.4 Visitante

• Preferências de navegação salvas localmente no seu navegador (ver Seção 8). Não exigimos cadastro para a parte pública de exploração de arenas.

2.5 Dados que NÃO coletamos

• Não coletamos dados de geolocalização precisa.
• Não usamos rastreadores de publicidade nem revendemos perfis para anúncios (ver Seção 8).
• A integração de mensagens com clientes é feita via links diretos de WhatsApp (deep-links) — não usamos a API oficial do WhatsApp e não lemos nem armazenamos o conteúdo das suas conversas no WhatsApp.

A LGPD exige uma base legal para cada tratamento. As nossas:

Quando uma finalidade depender de consentimento, ele será coletado de forma específica e destacada, e poderá ser revogado a qualquer momento sem prejuízo do uso normal do produto.

Uma parte importante do produto é permitir que arenas e instrutores registrem observações operacionais e pedagógicas sobre as pessoas que orbitam a arena — evolução técnica do aluno, histórico de atendimento, conduta, contexto operacional.

Levamos isso a sério do ponto de vista de privacidade. As regras reais do sistema são:

Quem pode escrever

• O gestor da arena pode registrar observações sobre alunos e instrutores da sua arena.
• O instrutor pode registrar observações apenas sobre os seus próprios alunos (aqueles vinculados a ele naquela arena). Um instrutor não anota outros instrutores.

Quem pode ler

• O gestor da arena vê todas as observações da sua arena, incluindo as escritas pelos instrutores — ele é o responsável operacional.
• O instrutor vê somente as observações que ele mesmo escreveu. Um instrutor não vê as anotações de outro instrutor, nem as do gestor, mesmo sobre o mesmo aluno.
• Esse isolamento é imposto tecnicamente no banco de dados (Row-Level Security), não apenas na interface.

A plataforma NÃO acessa o conteúdo

A equipe do Arena Manager (incluindo administradores da plataforma) não tem acesso de leitura ao conteúdo dessas observações. Atuamos como operadores: guardamos os dados em nome da arena, mas não os consultamos. Qualquer acesso excepcional ao conteúdo — por exemplo, em cumprimento de ordem judicial — só ocorreria por um procedimento dedicado, com justificativa registrada e auditável, executado pelo Encarregado/DPO, nunca de forma silenciosa.

Orientação importante: não registre dados sensíveis

As observações destinam-se a contexto operacional e pedagógico. Não registre dados pessoais sensíveis (LGPD art. 5º, II) nesses campos — como informações de saúde, dados biométricos, origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados sobre vida sexual ou dados genéticos. Esses campos não foram desenhados para abrigar dados sensíveis, e seu registro indevido é responsabilidade de quem escreve.

Direito de acesso e eliminação

• As observações são imutáveis em conteúdo após criadas (funcionam como um registro histórico auditável), mas podem ser eliminadas.
• A eliminação é um soft-delete: a observação desaparece imediatamente de todas as telas e leituras, e fica marcada para expurgo físico definitivo conforme a política de retenção (Seção 5).
• Como esses dados têm a arena como controladora, pedidos de acesso ou eliminação de observações devem ser feitos à arena. A arena (gestor) e o autor da observação podem eliminá-la diretamente pelo produto.

Regra geral

Mantemos dados pessoais enquanto durar a relação que os justifica:

• Dados de conta: enquanto sua conta estiver ativa.
• Dados operacionais da arena (turmas, reservas, financeiro): enquanto a arena for cliente e o aluno/instrutor estiver vinculado.
• Dados fiscais e de cobrança: pelo prazo exigido pela legislação fiscal e contábil aplicável, mesmo após o fim da relação.
• Após o encerramento da relação, dados podem ser retidos pelo período necessário para cumprimento de obrigação legal, exercício regular de direitos em processo (art. 16) e prevenção a fraude.

Regra específica das observações (Seção 4)

As observações sobre pessoas seguem uma regra de retenção mais estrita:

• Eliminação definitiva (expurgo físico) em até 30 dias após a eliminação (soft-delete) feita pelo autor ou pelo gestor da arena.
• No máximo 2 anos após o desligamento do aluno daquela arena, as observações associadas a ele são definitivamente expurgadas, mesmo que ninguém as tenha eliminado manualmente.

O expurgo físico definitivo é executado por um procedimento controlado do Encarregado/DPO.

Cópias de segurança (backups)

Backups técnicos podem reter dados por um período adicional limitado, após o qual são sobrescritos no ciclo normal de retenção da infraestrutura. Dados eliminados deixam de ser usados ativamente e são removidos dos backups no ciclo seguinte.

Nós não vendemos dados pessoais. Compartilhamos dados apenas com prestadores de serviço (operadores e suboperadores) estritamente necessários para o funcionamento do produto:

Também poderemos compartilhar dados para cumprir obrigação legal ou ordem judicial, e em caso de reorganização societária (fusão/aquisição), sempre preservando este nível de proteção.

Você tem direito a:

• Confirmação da existência de tratamento;
• Acesso aos seus dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
• Portabilidade dos dados a outro fornecedor;
• Eliminação dos dados tratados com base no seu consentimento;
• Informação sobre com quem compartilhamos seus dados;
• Informação sobre a possibilidade de não consentir e suas consequências;
• Revogação do consentimento.

Como exercer

Por causa do modelo white-label (Seção 1), o caminho depende de quem é o controlador do dado:

• Dados geridos por uma arena (seu cadastro de aluno naquela arena, observações sobre você, seu financeiro com ela): solicite diretamente à arena, que é a controladora. Nós, como operadores, apoiamos a arena a atender o pedido.
• Dados da sua conta e cadastro de usuário (login, perfil, e-mail): solicite a nós pelos canais da Seção 12.

Em qualquer caso, você pode nos contatar e nós o orientaremos sobre o caminho correto. Responderemos no prazo legal aplicável.

O Arena Manager não usa cookies ou rastreadores de publicidade e não monta perfis de você para anúncios.

Usamos apenas o estritamente funcional:

• Cookies de sessão (Supabase): mantêm seu login ativo após a autenticação. São essenciais para o funcionamento — sem eles, você não permanece logado.
• Armazenamento local do navegador (localStorage): guarda preferências e estado funcional do produto (ex.: configurações de exibição), em chaves identificadas com o prefixo arenamanager:. Esses dados ficam no seu navegador. Ao sair (logout), as chaves do Arena Manager são apagadas do navegador — proteção para máquinas compartilhadas.

Como não há cookies não essenciais, não há banner de consentimento de cookies de marketing — porque não fazemos esse tipo de rastreamento.

Adotamos medidas técnicas e organizacionais para proteger seus dados:

• Isolamento multi-arena (Row-Level Security): cada arena só enxerga seus próprios dados; o banco de dados impõe esse isolamento em nível de linha, não só na aplicação. Uma arena nunca acessa dados de outra.
• Princípio do acesso mínimo: instrutores veem apenas seus alunos e suas próprias anotações; gestores veem apenas sua arena; a equipe da plataforma não acessa o conteúdo de observações.
• Criptografia em trânsito: todo o tráfego entre você e o produto é protegido por HTTPS/TLS.
• Autenticação federada (Google OAuth): não armazenamos senhas suas.
• Dados sensíveis à fraude (CPF): sujeitos a regras de acesso mais rígidas e à minimização (uso em trânsito para cobrança).
• Eliminação auditável: observações usam soft-delete e expurgo controlado, preservando rastro de quem fez o quê.

Nenhum sistema é 100% imune. Em caso de incidente de segurança que possa acarretar risco ou dano relevante, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, conforme o art. 48 da LGPD.

Alguns dos nossos prestadores (Supabase, Vercel, Resend, Google) podem processar dados em servidores fora do Brasil.

Essas transferências são feitas com base no art. 33 da LGPD — em especial para fins de execução do contrato e mediante garantias contratuais adequadas de proteção, em níveis compatíveis com a LGPD. Selecionamos prestadores com compromissos contratuais de proteção de dados.

Podemos atualizar esta Política para refletir mudanças no produto, na legislação ou nas nossas práticas. Quando a mudança for relevante, avisaremos pelos canais do produto. A data de vigência no topo indica a versão atual. O uso continuado do produto após a atualização significa ciência das mudanças — sem prejuízo das bases legais que exigem consentimento.

Para exercer direitos, tirar dúvidas ou reportar preocupações sobre privacidade:

• E-mail: andrebasilato@gmail.com
• WhatsApp: +55 31 97359-9250

Responderemos às solicitações nos prazos previstos na LGPD.