Política de Privacidade – Tatame Master

O Tatame Master fornece um software como serviço (SaaS) voltado à gestão de academias. Na maioria dos cenários, a academia contratante é a Controladora dos dados pessoais de seus alunos e colaboradores, decidindo as finalidades e os meios de tratamento. O Tatame Master atua como Operador, processando os dados conforme as instruções da academia para executar os serviços contratados.

Em algumas situações tratamos dados como Controladores, por exemplo: cadastro do responsável pela academia, registros de acesso à plataforma, informações de cobrança e dados utilizados para o relacionamento comercial direto com o Tatame Master.

3.1 — Biometria facial e reconhecimento por imagem

O tratamento de imagens faciais ou dados biométricos poderá ocorrer quando a funcionalidade for habilitada pela academia, para controle de acesso por catraca, validação de presença, validação de identidade ou reconhecimento por imagens enviadas no aplicativo. A habilitação é feita a critério da academia, podendo operar por envio ativo de imagem pelo aluno via aplicativo mobile, por captura realizada pela própria academia via painel administrativo, ou por dispositivo de controle de acesso (catraca) com reconhecimento facial. O Tatame Master não coleta imagens faciais de forma autônoma ou independente da operação configurada pela academia. Para o processamento, o Tatame Master pode utilizar serviços de infraestrutura em nuvem de provedores especializados. Quando habilitada pela academia:

• Finalidade: identificação do aluno para controle de acesso por catraca, registro de presença, validação de identidade ou reconhecimento por imagens enviadas no aplicativo. Os dados biométricos não são usados para qualquer outra finalidade — não há monitoramento comportamental, marketing ou compartilhamento com terceiros além dos fornecedores de infraestrutura necessários ao processamento.
• Base legal: o tratamento de dados biométricos ocorre conforme a base legal aplicável definida pela academia na qualidade de Controladora, em conformidade com o art. 11 da LGPD. A academia é responsável por garantir a adequação da base legal adotada e, quando aplicável, pela obtenção do consentimento do titular antes de habilitar a funcionalidade. O Tatame Master atua como Operador, processando os dados estritamente conforme as instruções da academia.
• Menores de idade: para alunos menores de 18 anos, o consentimento deve ser fornecido pelo responsável legal (pai, mãe ou tutor). A academia é integralmente responsável pela obtenção dessa autorização.
• Retenção e exclusão: os dados biométricos são armazenados enquanto o aluno estiver ativo e a funcionalidade habilitada. A exclusão desses dados ocorrerá, em regra, quando o aluno for removido do sistema pela academia, quando a funcionalidade for desabilitada, ou quando houver solicitação da academia controladora ao Tatame Master, com prazo de até 30 dias corridos para conclusão do processo.
• Segurança: dados transmitidos via conexão criptografada e processados por fornecedores de infraestrutura com práticas de segurança reconhecidas. O Tatame Master não comercializa nem compartilha dados biométricos com terceiros além dos fornecedores de infraestrutura necessários ao processamento.

3.2 — Dados de saúde (fichas médicas e anamnese)

Dados de saúde ou informações médicas poderão ser inseridos pelo próprio aluno ou responsável no aplicativo, quando a funcionalidade estiver disponível e habilitada pela academia, para fins de cadastro, acompanhamento e segurança na prática esportiva. Fichas médicas e informações de anamnese são dados de saúde — categoria sensível nos termos do art. 11 da LGPD.

• Controladora: a academia, que define a finalidade, os meios e as condições de inserção e tratamento desses dados;
• Operador: o Tatame Master, que armazena e processa esses dados exclusivamente conforme as instruções da academia e para fins de gestão interna (acompanhamento de saúde, limitações físicas, autorizações para prática esportiva);
• Esses dados não são utilizados pelo Tatame Master para fins comerciais, estatísticos identificados ou compartilhados com terceiros sem autorização da academia, exceto quando exigido por lei ou ordem judicial;
• O acesso é restrito aos usuários da academia com permissão adequada no sistema (gestores e instrutores autorizados).

Tratamos dados pessoais com base nas seguintes finalidades principais:

1. Execução do contrato: viabilizar cadastro e gestão da academia, turmas, alunos, planos e presenças; enviar notificações operacionais essenciais (via app, e-mail, SMS e WhatsApp) sobre vencimentos, cobranças, inadimplência e presença — que fazem parte do serviço e não estão sujeitas a opt-out enquanto houver vínculo ativo com a academia; emitir cobranças da assinatura; processar pagamentos por meio de parceiros financeiros certificados, incluindo retentativas automáticas de cobrança em caso de falha.
2. Cumprimento de obrigações legais: emissão de notas fiscais, atendimento a exigências fiscais e contábeis, prevenção à fraude e à lavagem de dinheiro.
3. Melhoria do serviço e legítimo interesse: monitorar o desempenho da plataforma, corrigir erros, implementar recursos e aprimorar a experiência de uso.
4. Comunicações e marketing: enviar avisos importantes, pesquisas de satisfação e, mediante consentimento, campanhas promocionais e newsletters.
5. Segurança: proteger a plataforma, detectar e prevenir atividades fraudulentas ou uso indevido.
6. Prevenção a fraudes e proteção ao crédito: analisar dados financeiros e de transação para identificar riscos, prevenir inadimplência e combater fraudes, nos limites estritamente necessários para essa finalidade, com fundamento no art. 7º, X, da LGPD.

Utilizamos diferentes bases legais, conforme a finalidade de cada tratamento:

• Execução de contrato: quando é necessário fornecer os serviços contratados pela academia.
• Legítimo interesse: para melhorar a plataforma, garantir segurança e realizar análises estatísticas, sempre respeitando os direitos e expectativas dos titulares.
• Cumprimento de obrigação legal: especialmente para obrigações fiscais, contábeis ou de prevenção a fraudes.
• Consentimento: quando enviamos comunicações promocionais ou quando o consentimento for a base legal definida pela academia Controladora para o tratamento de dados sensíveis (biometria facial, dados de saúde), conforme as hipóteses do art. 11 da LGPD.
• Proteção ao crédito (art. 7º, X, LGPD): para análise de risco financeiro, prevenção a inadimplência e combate a fraudes em transações de pagamento processadas pela plataforma.

Não comercializamos dados pessoais. O compartilhamento ocorre apenas nas hipóteses a seguir, com medidas razoáveis de segurança e confidencialidade:

• Parceiros financeiros e de pagamento: compartilhamos dados com instituições de pagamento autorizadas pelo Banco Central do Brasil, responsáveis por processar cobranças via PIX e cartão recorrente, protegidas por mecanismos de tokenização. Os parceiros financeiros operam sob regulação do Banco Central;
• Fornecedores de infraestrutura em nuvem: utilizamos provedores de computação em nuvem para armazenamento de arquivos, imagens e processamento de funcionalidades como reconhecimento facial. Esses fornecedores podem estar localizados fora do Brasil; o compartilhamento ocorre com salvaguardas contratuais adequadas, conforme art. 33 da LGPD;
• Prestadores de serviços de TI e Comunicação: provedores de envio automático de e-mail, mensagens de WhatsApp e ligações telefônicas, atendimento ao cliente e análise de dados;
• Autoridades legais: cumprimento de determinações legais, ordens judiciais ou solicitações de autoridades competentes;
• Academia contratante: os dados de alunos inseridos são disponibilizados à academia responsável por sua base;
• Fornecedores e prestadores de serviço: o Tatame Master poderá utilizar fornecedores e prestadores de serviço necessários à operação da plataforma, observadas medidas razoáveis de segurança e confidencialidade.

• Armazenamento seguro: dados armazenados em servidores no Brasil ou em provedores de infraestrutura em nuvem que adotam salvaguardas contratuais específicas (cláusulas-padrão de proteção de dados) e certificações de segurança reconhecidas internacionalmente, conforme art. 33 da LGPD. Transferências internacionais seguem essas salvaguardas.
• Criptografia e controles de acesso: senhas criptografadas, acesso restrito a colaboradores autorizados, com autenticação multifator e logs de auditoria.
• Isolamento entre academias (multi-tenant): a arquitetura da plataforma garante isolamento lógico dos dados de cada academia contratante. Dados de alunos, históricos financeiros e registros de presença de uma academia não são acessíveis por outras academias. Controles de acesso por perfil garantem que cada usuário acesse apenas os dados correspondentes à sua academia e ao seu nível de permissão.
• Segurança de informações financeiras: informações de pagamento são processadas em ambiente protegido por mecanismos de segurança compatíveis com boas práticas de mercado. O Tatame Master adota princípio de minimização de dados financeiros: coletamos apenas o mínimo necessário para viabilizar as cobranças autorizadas, utilizamos mecanismos de tokenização para reduzir a exposição de informações sensíveis e não armazenamos dados brutos de meios de pagamento em nossa infraestrutura.
• Segurança de dados biométricos: dados biométricos são transmitidos via conexão criptografada e processados por fornecedores de infraestrutura com certificações de segurança reconhecidas. O Tatame Master não compartilha dados biométricos com terceiros além dos fornecedores de infraestrutura necessários ao processamento.
• Monitoramento contínuo: auditorias, testes de segurança e monitoramento constante para identificar e corrigir vulnerabilidades.
• Resposta a incidentes: em caso de incidente de segurança relevante, o Tatame Master adotará as medidas cabíveis conforme a legislação aplicável.

Mantemos os dados apenas pelo tempo necessário para cumprir as finalidades informadas ou as obrigações legais aplicáveis. Após esse período, promovemos a eliminação ou anonimização, salvo quando houver base legal para preservação.

• Dados cadastrais e contratuais: durante a vigência da relação com a academia e até 5 anos após o encerramento.
• Dados financeiros e de cobranças: mantidos por pelo menos 5 anos para fins contábeis e fiscais.
• Dados biométricos (vetores faciais): excluídos em até 30 dias corridos após a remoção do aluno do sistema pela academia, desativação da funcionalidade ou encerramento do contrato com o Tatame Master. A exclusão ocorre, em regra, por ação da academia controladora ou mediante solicitação desta ao Tatame Master.
• Dados de saúde (fichas médicas e anamnese): mantidos enquanto o aluno possuir matrícula ativa com a academia e por até 12 meses após o encerramento formal do vínculo, salvo obrigação legal de retenção mais longa ou solicitação de exclusão antecipada pela academia (controladora) ou pelo titular. Após esse prazo, os dados são eliminados ou anonimizados.
• Fotos dos alunos: armazenadas enquanto o cadastro estiver ativo; excluídas em até 30 dias corridos após a exclusão do cadastro do aluno ou encerramento do contrato.
• Histórico de acesso e cookies: até 12 meses ou conforme configuração do navegador.
• Logs de auditoria e acesso: mantidos por até 24 meses para fins de segurança, investigação de incidentes e cumprimento de obrigações legais. Após esse período, são eliminados ou anonimizados.
• Telemetria, crash reports e métricas de desempenho: mantidos por até 12 meses para fins de melhoria do serviço. Após esse período, são anonimizados ou eliminados.
• Backups: realizados para garantia da continuidade do serviço. Os backups são mantidos por até 90 dias e eliminados automaticamente após esse prazo, salvo obrigação legal ou incidente em investigação.
• Registros de suporte e comunicação: até 2 anos para controle de atendimentos e melhoria do serviço.
• Identificadores de pagamento: eliminados imediatamente após a revogação da autorização pelo titular ou, no máximo, em até 30 dias corridos após o encerramento do contrato entre a academia e o Tatame Master, ressalvada obrigação legal de retenção.
• Contas inativas ou inadimplentes: em caso de inadimplência, a conta da academia poderá ter o acesso bloqueado, suspenso ou limitado, conforme os Termos de Uso. A inadimplência, por si só, não implica exclusão automática dos dados. Contas inativas ou abandonadas por prazo prolongado poderão ter seus dados sujeitos à rotina de retenção aplicável, conforme comunicado ao titular com antecedência.

Titulares ou academias podem solicitar a exclusão conforme a LGPD. Em alguns casos, determinados dados poderão ser mantidos para cumprir obrigações legais ou defender direitos em processos administrativos e judiciais.

O Tatame Master pode enviar notificações automáticas em nome da academia por diferentes canais: aplicativo mobile (push), e-mail, SMS e WhatsApp, com as finalidades de informar sobre vencimentos próximos, confirmação ou falha de cobranças, inadimplência, alertas de presença/check-in e comunicados operacionais da academia.

Tipos de notificação e opt-out aplicável

Notificações relacionadas a cobrança, vencimento, inadimplência, presença, segurança e demais comunicações operacionais são parte integrante do serviço e não estão sujeitas a opt-out enquanto o usuário mantiver vínculo ativo com a academia. Notificações promocionais e informativas não essenciais estão sujeitas ao consentimento do titular e podem ser canceladas a qualquer momento, sem prejuízo do recebimento das notificações operacionais.

O Tatame Master disponibiliza aplicativo próprio para alunos nas plataformas Android e iOS. Para o funcionamento de determinadas funcionalidades, o aplicativo pode solicitar permissões no dispositivo. Abaixo explicamos cada permissão, sua finalidade e quem acessa os dados:

• Câmera: utilizada para envio de foto de perfil pelo aluno e, quando habilitado pela academia, para reconhecimento facial (validação de presença, controle de acesso). A câmera é acionada exclusivamente por ação ativa do usuário — nunca em segundo plano. As imagens capturadas são transmitidas em conexão segura e armazenadas conforme os controles descritos na Seção 03 (Biometria Facial e Dados Sensíveis). O acesso às imagens é restrito à academia e ao Tatame Master, na qualidade de Operador.
• Galeria / biblioteca de fotos: utilizada para que o aluno selecione e envie imagem de perfil ou documentos a partir de arquivos já existentes no dispositivo. O acesso à galeria ocorre apenas quando o usuário inicia a ação de upload — o aplicativo não acessa a galeria de forma autônoma. Imagens selecionadas são transmitidas de forma segura e armazenadas nos sistemas do Tatame Master com controle de acesso por academia.
• Biometria do dispositivo (impressão digital / Face ID): utilizada exclusivamente para autenticação local do usuário no próprio dispositivo, substituindo a digitação de senha no login. Nenhum dado biométrico do dispositivo é transmitido ao Tatame Master — o processamento ocorre integralmente no hardware do dispositivo, sem acesso externo.
• Notificações push: utilizadas para envio de avisos operacionais (vencimentos, cobranças, presença) e, mediante consentimento, comunicações promocionais. A permissão de notificações pode ser gerenciada nas configurações do sistema operacional, mas o opt-out de notificações operacionais essenciais só é efetivo após o encerramento do vínculo com a academia (vide Seção 09 — Notificações).
• Documentos e arquivos: quando solicitado pelo fluxo do aplicativo, o aluno pode fazer upload de documentos de identificação (como RG, CNH, CPF) para fins cadastrais ou contratuais definidos pela academia. O acesso ao sistema de arquivos ocorre apenas durante a ação de upload, iniciada pelo usuário. Os arquivos enviados são armazenados com controle de acesso e criptografia, acessíveis apenas pelos usuários autorizados da academia responsável.
• Localização: o aplicativo poderá solicitar acesso à localização do dispositivo exclusivamente para funcionalidades relacionadas ao check-in, quando aplicável. A coleta depende da permissão concedida pelo usuário no próprio dispositivo e será utilizada para validação operacional da presença, conforme regras configuradas pela academia. A localização não é coletada de forma contínua ou em segundo plano.

O aplicativo não acessa contatos, microfone ou qualquer outra permissão além das listadas acima. Permissões que se tornarem desnecessárias serão removidas em atualizações futuras, e este documento será atualizado em conformidade.

Utilizamos cookies e tecnologias similares para melhorar a navegação e garantir o funcionamento da plataforma. Os tipos empregados incluem:

• Essenciais: necessários para login, manutenção de sessão e funcionalidades básicas. Não podem ser desativados sem impactar o funcionamento da plataforma.
• Preferências: armazenam configurações do usuário, como idioma e layout.
• Analíticos: coletam estatísticas agregadas para entender o uso da plataforma e orientar melhorias.

O Tatame Master não utiliza cookies de publicidade, pixels de rastreamento ou tecnologias similares para fins de marketing, remarketing ou segmentação de usuários. Nenhum dado de navegação na plataforma é compartilhado com parceiros de publicidade.

Cookies essenciais são ativados automaticamente. Para cookies analíticos e de preferências, solicitamos consentimento prévio. A revogação do consentimento não afeta o tratamento realizado antes da solicitação.

De acordo com a LGPD, você pode solicitar os seguintes direitos em relação aos seus dados. Alunos do aplicativo devem direcionar essas solicitações (incluindo a exclusão de conta e dados) diretamente à academia, pois ela é a Controladora e responsável pelos dados inseridos no sistema:

1. Confirmação de tratamento e acesso aos seus dados;
2. Correção de dados incompletos, inexatos ou desatualizados;
3. Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
4. Portabilidade a outro prestador de serviço;
5. Eliminação de dados tratados com consentimento;
6. Informação sobre compartilhamento com entidades públicas ou privadas;
7. Revogação do consentimento e oposição ao tratamento, quando cabível.

Como Controladora dos dados de alunos e colaboradores, a academia deve:

• Garantir base legal adequada (ex.: consentimento) para inserir dados pessoais na plataforma;
• Informar seus titulares sobre os tratamentos realizados, alinhando-se a esta política e à LGPD;
• Atender às solicitações de seus alunos em relação a direitos sobre os dados, incluindo a exclusão de conta e informações do sistema;
• Atualizar ou excluir dados quando solicitado e legalmente possível;
• Responsabilidade sobre dados de menores (crianças e adolescentes): caso a academia atenda alunos menores de idade, é sua obrigação exclusiva e legal, como Controladora, colher o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal antes de inserir qualquer dado dessas crianças no sistema — inclusive para uso de biometria facial e fichas médicas;
• Manter sigilo e segurança das credenciais de acesso concedidas.

Nossa plataforma pode incluir links para sites externos ou integrações com serviços de terceiros, como processadores de pagamento ou redes sociais. Não nos responsabilizamos pelas práticas de privacidade nem pelo conteúdo desses serviços. Recomendamos revisar as políticas próprias antes de fornecer dados pessoais.

Esta Política de Privacidade pode ser atualizada para refletir mudanças regulatórias ou aprimoramentos em nossos processos. Alterações materiais — aquelas que ampliem a coleta de dados, modifiquem finalidades ou afetem direitos dos titulares — serão comunicadas com antecedência mínima de 15 dias, por e-mail ou notificação na plataforma. Alterações de menor impacto poderão ser publicadas sem aviso prévio. A versão vigente ficará sempre disponível para consulta nesta página. O uso contínuo após o prazo comunicado implica concordância com os novos termos.

Para dúvidas, solicitações ou reclamações relacionadas a dados pessoais, entre em contato:

• E-mail: contato@tatamemaster.com.br
• WhatsApp: +55 21 99654-7421

Respondemos solicitações de titulares em até 15 dias corridos para confirmação e até 30 dias corridos para atendimento completo.

Esta Política é regida pelas leis da República Federativa do Brasil, especialmente pela LGPD (Lei nº 13.709/2018). Fica eleito o foro da Comarca de Nova Iguaçu, Rio de Janeiro, para dirimir eventuais controvérsias, com renúncia a qualquer outro por mais privilegiado que seja. Para relações envolvendo consumidores finais (alunos), aplica-se o foro do domicílio do consumidor, nos termos do art. 101, I, do Código de Defesa do Consumidor (Lei nº 8.078/1990).