Política de Privacidade

1. Introdução

A Cenkle Digital ("Empresa", "nós", "nos" ou "nosso"), uma empresa estabelecida na Turquia, opera o aplicativo móvel Tapstice (o "App" ou "Serviço") e o site em tapstice.com. Esta Política de Privacidade explica como coletamos, usamos, divulgamos e protegemos suas informações quando você utiliza nosso App e site.

Ao baixar, instalar ou usar o Tapstice, você concorda com a coleta e o uso de informações de acordo com esta Política de Privacidade. Se você não concordar com os termos desta Política de Privacidade, por favor não acesse nem use o App.

Reservamo-nos o direito de alterar esta Política de Privacidade a qualquer momento e por qualquer motivo. Informaremos sobre mudanças atualizando a data de "Última atualização" desta Política de Privacidade. Recomendamos que você revise esta Política periodicamente para se manter informado.

Esta Política de Privacidade se aplica a usuários no mundo todo, incluindo usuários no Espaço Econômico Europeu (EEE), Reino Unido (UK), Estados Unidos (incluindo Califórnia), Brasil, Canadá, Turquia e todas as demais jurisdições. Disposições específicas por jurisdição são detalhadas nas seções relevantes abaixo.

2. Informações que coletamos

2.1 Informações fornecidas diretamente por você

• Informações da conta: quando você cria uma conta, coletamos seu endereço de email, nome de exibição e foto de perfil (se fornecida via login social).
• Dados de perfil: nome de usuário, seleção de avatar e preferências de personalização definidas no App.
• Comunicações: quando você entra em contato com nosso suporte, coletamos as informações que você fornece nas mensagens.
• Conteúdo do usuário: fotos de perfil que você envia, sujeitas a moderação automatizada e manual.
• Registros de consentimento: registros do seu consentimento aos nossos Termos de Serviço, Política de Privacidade e preferências de cookies, incluindo números de versão e carimbos de data/hora.
• Dados de indicação: se você participar do programa de indicação, coletamos o uso do seu código e o identificador de dispositivo associado para evitar indicações duplicadas.

2.2 Informações coletadas automaticamente

• Informações do dispositivo: tipo de dispositivo, fabricante, modelo, versão do sistema operacional, identificadores únicos do dispositivo (ex.: IDFA no iOS, Android Advertising ID), resolução de tela e configurações de idioma.
• Dados de uso: pontuações, conquistas, progresso, duração de sessão, recursos usados, ações no app, padrões de interação, preferências de modos de jogo e uso de power-ups.
• Dados de log: endereço IP, horários de acesso, falhas do app e dados de diagnóstico, atividade do sistema e URLs de referência.
• Dados de localização: localização geográfica geral baseada no IP (apenas nível país/região). Não coletamos localização GPS precisa.
• Dados de sensores do dispositivo: dados de acelerômetro e giroscópio usados para mecânicas de jogo e verificação anti-cheat.
• Informações de bateria: nível de bateria e status de carregamento, usados para otimizar desempenho e reduzir consumo.
• Informações de rede: status de conectividade (Wi‑Fi, celular, offline) para otimizar sincronização de dados.
• Dados de integridade do dispositivo: status de detecção de root/jailbreak e sinais de integridade, usados para segurança e anti-cheat.
• Tokens de notificações push: tokens criptografados do Firebase Cloud Messaging (FCM) para envio de notificações.
• Dados de performance: tempo de inicialização do app, desempenho de renderização de telas e métricas de latência de rede.

2.3 Informações biométricas

Se você optar por usar autenticação biométrica (Face ID, Touch ID ou impressão digital) para proteger sua conta, os dados biométricos são processados integralmente no seu dispositivo pelo sistema operacional. Nós não coletamos, armazenamos nem temos acesso aos seus dados biométricos. Recebemos apenas um sinal de sucesso/falha do enclave seguro do seu dispositivo.

2.4 Informações de terceiros

• Provedores de login social: se você entrar com Google ou Apple, recebemos seu nome, email e foto de perfil desses provedores.
• Serviços de jogos: Apple Game Center e Google Play Games podem nos fornecer seu perfil de jogo, conquistas e dados de ranking.
• Processadores de pagamento: Apple App Store e Google Play Store processam compras no app e nos fornecem confirmações de transação, IDs de pedido e status de assinatura (não recebemos nem armazenamos dados do seu cartão de pagamento).
• Parceiros de publicidade: nossos parceiros de rede de anúncios (Google AdMob, Meta Audience Network) podem fornecer insights agregados de audiência.

3. Como usamos suas informações

Usamos as informações que coletamos para as seguintes finalidades:

• Fornecer e manter o Serviço: operar o App, autenticar usuários, salvar progresso e sincronizar dados entre dispositivos.
• Personalização: personalizar sua experiência, lembrar preferências e fornecer conteúdo personalizado.
• Recursos sociais: exibir rankings, habilitar desafios entre amigos, duelos PvP e facilitar interações sociais.
• Comunicações: enviar notificações push (com seu consentimento), mensagens no app, lembretes de recompensas diárias e responder solicitações de suporte.
• Análises: entender como os usuários interagem com nosso App, identificar tendências e melhorar nossos serviços. Dados analíticos podem ser exportados para o Google BigQuery para análise agregada.
• Publicidade: exibir anúncios relevantes (que podem ser removidos por compra no app). Usamos o User Messaging Platform (UMP) do Google para gerenciamento de consentimento de anúncios.
• Segurança e anti-cheat: detectar e prevenir fraude, trapaça, manipulação de pontuação, acesso não autorizado e outras atividades proibidas. Isso inclui verificação de pontuação no servidor, validação de tokens de sessão e detecção automatizada de violações.
• Moderação de conteúdo: revisar e moderar conteúdo gerado por usuários (fotos de perfil, nomes de usuário) usando ferramentas automatizadas (Google Cloud Vision API) e revisão manual para garantir conformidade com nossas políticas de conteúdo.
• Verificação de compras: verificar compras no servidor, prevenir transações duplicadas, gerenciar assinaturas e processar reembolsos.
• Conformidade legal: cumprir leis, regulamentos e processos legais aplicáveis.

4. Base legal para o tratamento (usuários do EEE/UK)

Se você estiver no Espaço Econômico Europeu (EEE) ou no Reino Unido (UK), tratamos seus dados pessoais com base nas seguintes bases legais do Regulamento Geral de Proteção de Dados (GDPR):

• Execução de contrato (Art. 6(1)(b)): tratamento necessário para fornecer o App e seus recursos, incluindo gestão de conta, progresso do jogo e compras no app.
• Interesses legítimos (Art. 6(1)(f)): tratamento para análises, segurança, prevenção a fraudes, medidas anti-cheat, moderação de conteúdo e melhoria de serviços, quando esses interesses não forem superados pelos seus direitos. Nossa avaliação de interesse legítimo está disponível mediante solicitação.
• Consentimento (Art. 6(1)(a)): tratamento com base no seu consentimento explícito, como para notificações push, publicidade personalizada e cookies não essenciais. Você pode retirar o consentimento a qualquer momento, sem afetar a legalidade do tratamento realizado antes da retirada.
• Obrigação legal (Art. 6(1)(c)): tratamento necessário para cumprir exigências legais, como manutenção de registros fiscais de transações de compra.

5. Serviços de terceiros e compartilhamento de dados

Compartilhamos suas informações com as seguintes categorias de terceiros. Exigimos que todos os provedores de serviço terceiros respeitem a segurança dos seus dados pessoais e os tratem de acordo com a lei aplicável.

5.1 Provedores de serviços

5.2 Nós não vendemos seus dados

Não vendemos, alugamos nem comercializamos suas informações pessoais com terceiros para fins de marketing próprios. Isso se aplica sob todas as leis de privacidade aplicáveis, incluindo a CCPA/CPRA, LGPD e KVKK.

5.3 Transferências empresariais

Em caso de fusão, aquisição, reorganização, falência ou venda de todos ou parte de nossos ativos, seus dados pessoais podem ser transferidos à entidade adquirente. Notificaremos você por notificação no app e/ou por email antes que seus dados pessoais passem a estar sujeitos a uma política de privacidade diferente.

5.4 Exigências legais

Podemos divulgar suas informações se exigido por lei, ordem judicial ou solicitação governamental, ou se acreditarmos, de boa-fé, que a divulgação é necessária para: (a) proteger nossos direitos ou propriedade; (b) proteger a segurança de nossos usuários ou do público; (c) prevenir fraude ou outras atividades ilegais; ou (d) cumprir uma obrigação legal.

5.5 Dados agregados

Podemos compartilhar dados agregados e desidentificados que não possam, de forma razoável, ser usados para identificar você, para fins de pesquisa, análises ou negócios. Esses dados agregados não são considerados dados pessoais sob as leis de privacidade aplicáveis.

6. Publicidade

Nosso App exibe anúncios fornecidos pelo Google AdMob e Meta Audience Network. Esses serviços podem coletar e usar dados sobre você para exibir anúncios personalizados.

6.1 Consentimento para anúncios

Antes de exibir publicidade personalizada, obtemos seu consentimento quando exigido por lei. Usamos o User Messaging Platform (UMP) do Google para conformidade com GDPR/ePrivacy e o App Tracking Transparency (ATT) da Apple no iOS 14.5 e superior.

6.2 Publicidade personalizada

Redes de anúncios podem usar identificadores de dispositivo, cookies e tecnologias similares para entregar anúncios com base em seus interesses e comportamento em apps e sites. Se você recusar anúncios personalizados, ainda verá anúncios, mas eles não serão adaptados aos seus interesses.

6.3 Como desativar

• iOS: Ajustes > Privacidade e Segurança > Rastreamento e desative "Permitir que apps solicitem rastrear"
• Android: Ajustes > Google > Anúncios e ative "Desativar personalização de anúncios" ou exclua seu ID de publicidade
• No app: compre a opção de remover anúncios ou qualquer assinatura VIP para remover todos os anúncios do App
• Configurações de privacidade: use o formulário de Opções de Privacidade nas configurações do App para gerenciar suas preferências de anúncios

6.4 Políticas de privacidade das redes de anúncios

• Política de Privacidade do Google AdMob
• Política de Privacidade da Meta

7. Retenção de dados

Retemos seus dados pessoais pelo tempo necessário para cumprir as finalidades descritas nesta Política de Privacidade, salvo quando um período maior for exigido ou permitido por lei. Os períodos específicos incluem:

• Contas ativas: os dados são retidos enquanto sua conta estiver ativa.
• Contas excluídas: mediante solicitação de exclusão, excluímos ou anonimizamos seus dados pessoais em até 30 dias, incluindo progresso, conquistas, pontuações, entradas de ranking, fotos de perfil e registros associados. Alguns dados podem ser retidos por mais tempo quando necessário para conformidade legal.
• Registros de transações: registros de compra e dados de pedido são retidos por 90 dias para fins operacionais, e registros financeiros resumidos são retidos por 7 anos para conformidade fiscal e legal.
• Logs de atividade suspeita: registros de anti-cheat e pontuações suspeitas são retidos por 30 dias.
• Registros de compra com falha: retidos por 30 dias para recuperação de transações.
• Logs de moderação de conteúdo: decisões e registros de moderação são retidos por até 1 ano.
• Logs de segurança: registros relacionados à segurança são retidos por até 1 ano.
• Dados analíticos: dados agregados e desidentificados (incluindo eventos de assinatura exportados para o BigQuery) podem ser retidos indefinidamente, pois não podem ser usados para identificar usuários individuais.
• Inatividade: contas inativas por um período prolongado podem receber notificações de lembrete. Podemos excluir contas após inatividade prolongada de acordo com nossas práticas de minimização de dados.

8. Segurança dos dados

Implementamos medidas técnicas e organizacionais apropriadas para proteger seus dados pessoais, incluindo:

• Criptografia de dados em trânsito (TLS/SSL) e em repouso
• Mecanismos de autenticação seguros com atualização proativa de tokens
• Armazenamento criptografado de dados sensíveis (tokens FCM, tokens de sessão) usando armazenamento seguro da plataforma
• Validação de tokens de sessão no servidor usando HMAC-SHA256
• Hash de tokens de compra antes do armazenamento
• Mascaramento de ID de usuário em logs do servidor
• Aplicação do Firebase App Check em todas as funções do servidor
• Limitação de taxa em endpoints sensíveis da API
• Validação e sanitização de entrada em todos os endpoints do servidor
• Controles de acesso e permissões baseadas em funções
• Avaliações e monitoramento de segurança regulares
• Infraestrutura de nuvem segura (Google Cloud Platform)
• Detecção de root/jailbreak para prevenir adulteração
• Detecção de emuladores para fins anti-fraude

No entanto, nenhum método de transmissão pela Internet ou armazenamento eletrônico é 100% seguro. Embora nos esforcemos para usar meios comercialmente aceitáveis para proteger seus dados pessoais, não podemos garantir segurança absoluta.

8.1 Notificação de violação de dados

Em caso de violação de dados que provavelmente resulte em risco aos seus direitos e liberdades, nós iremos:

• Notificar a autoridade supervisora relevante em até 72 horas após tomar conhecimento (conforme exigido pelo Artigo 33 do GDPR)
• Notificar usuários afetados sem demora indevida se a violação provavelmente resultar em alto risco aos seus direitos e liberdades
• Documentar a violação, seus efeitos e as medidas corretivas adotadas
• Notificar por email (se disponível) e/ou por notificação no app

Para usuários em jurisdições com requisitos específicos de notificação (ex.: Califórnia, Brasil), cumpriremos os prazos e procedimentos locais aplicáveis.

9. Transferências internacionais de dados

A Cenkle Digital está estabelecida na Turquia. Suas informações podem ser transferidas e processadas em países diferentes do seu país de residência, incluindo os Estados Unidos e outros países onde nossos provedores de serviços (Google, Meta, Apple) operam data centers.

Para transferências a partir do EEE/UK, utilizamos:

• Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia
• Decisões de adequação quando aplicável
• Seu consentimento explícito quando necessário
• Regras Corporativas Vinculantes dos provedores de serviços, quando disponíveis

Para transferências a partir da Turquia, cumprimos os requisitos da Lei turca nº 6698 (KVKK), incluindo a obtenção de consentimento explícito ou outros mecanismos legais de transferência aprovados.

Para transferências a partir do Brasil, cumprimos os requisitos de transferência da LGPD (Lei Geral de Proteção de Dados).

Você pode solicitar informações sobre as salvaguardas aplicadas entrando em contato em privacy@tapstice.com.

10. Seus direitos

10.1 Direitos para todos os usuários

Independentemente da sua localização, você tem os seguintes direitos:

• Acesso: solicitar uma cópia dos seus dados pessoais
• Correção: solicitar correção de dados imprecisos
• Exclusão: solicitar exclusão da sua conta e dados
• Portabilidade: solicitar seus dados em formato portátil e legível por máquina
• Opt-out: optar por não receber comunicações de marketing e notificações push

10.2 Direitos adicionais para usuários do EEE/UK (GDPR)

Nos termos do GDPR, você também tem o direito de:

• Restrição: solicitar restrição do tratamento dos seus dados pessoais
• Oposição: se opor ao tratamento baseado em interesses legítimos ou marketing direto
• Retirar consentimento: retirar consentimento a qualquer momento, sem afetar a legalidade do tratamento anterior
• Decisões automatizadas: não ficar sujeito a decisão baseada exclusivamente em tratamento automatizado que produza efeitos legais ou similarmente significativos (ver Seção 13)
• Reclamação: apresentar reclamação à sua autoridade local de proteção de dados. Uma lista está disponível em edpb.europa.eu

10.3 Direitos adicionais para usuários da Califórnia (CCPA/CPRA)

Se você é residente na Califórnia, nos termos da CCPA e CPRA, você tem o direito de:

• Saber: saber quais informações pessoais são coletadas, usadas, compartilhadas ou vendidas
• Excluir: solicitar a exclusão de informações pessoais
• Opt-out de venda/compartilhamento: não "vendemos" nem "compartilhamos" informações pessoais conforme definido pela CCPA/CPRA. Não compartilhamos informações pessoais para publicidade comportamental entre contextos.
• Não discriminação: não ser discriminado por exercer seus direitos de privacidade
• Corrigir: solicitar correção de informações pessoais imprecisas
• Limitar uso: limitar uso e divulgação de informações pessoais sensíveis

Categorias de informações pessoais coletadas (últimos 12 meses): identificadores, atividade na internet/eletrônica, dados de geolocalização (aproximados), informações comerciais (compras) e inferências derivadas do exposto.

Você pode designar um agente autorizado para fazer solicitações em seu nome. Podemos exigir verificação da autoridade do agente.

10.4 Direitos para usuários do Brasil (LGPD)

Se você estiver no Brasil, nos termos da LGPD, você tem o direito de:

• Confirmação: confirmar se tratamos seus dados pessoais
• Acesso: acessar seus dados pessoais
• Correção: solicitar correção de dados incompletos, imprecisos ou desatualizados
• Anonimização, bloqueio ou eliminação: solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade
• Portabilidade: solicitar portabilidade a outro fornecedor
• Eliminação: solicitar eliminação de dados tratados com seu consentimento
• Informações: obter informações sobre entidades públicas e privadas com as quais compartilhamos seus dados
• Revogação de consentimento: ser informado sobre a possibilidade e consequências de revogar consentimento
• Oposição: se opor ao tratamento em desconformidade com a LGPD
• Revisão de decisões automatizadas: solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado

As bases legais sob a LGPD incluem: consentimento, interesse legítimo, execução de contrato e conformidade legal/regulatória.

Você pode apresentar reclamação à ANPD em www.gov.br/anpd.

10.5 Direitos para usuários do Canadá (PIPEDA)

Se você estiver no Canadá, nos termos da PIPEDA e legislação provincial aplicável, você tem o direito de:

• Acesso: solicitar acesso às suas informações pessoais mantidas por nós
• Correção: solicitar correção de informações pessoais imprecisas ou incompletas
• Retirar consentimento: retirar consentimento para coleta, uso ou divulgação, sujeito a restrições legais/contratuais
• Reclamação: apresentar reclamação ao OPC em www.priv.gc.ca

Coletaremos, usaremos e divulgaremos suas informações pessoais com seu conhecimento e consentimento, exceto quando permitido ou exigido por lei.

10.6 Direitos para usuários da Turquia (KVKK)

Se você estiver na Turquia, nos termos da KVKK, você tem o direito de:

• Saber: saber se seus dados pessoais são tratados
• Solicitar informações: solicitar informações sobre o tratamento
• Finalidade: saber a finalidade do tratamento e se os dados são usados conforme a finalidade
• Terceiros: saber os terceiros para os quais seus dados são transferidos no país ou no exterior
• Correção: solicitar correção de dados incompletos ou imprecisos
• Exclusão: solicitar exclusão ou destruição de dados conforme Artigo 7 da KVKK
• Notificação: solicitar que correções/exclusões sejam notificadas a terceiros
• Oposição: se opor a resultados decorrentes exclusivamente de análise automatizada
• Indenização: reivindicar indenização por danos decorrentes de tratamento ilícito

Você pode apresentar reclamação à KVKK em www.kvkk.gov.tr.

10.7 Como exercer seus direitos

Você pode exercer seus direitos:

• Usando o recurso "Excluir conta" nas Configurações do App
• Entrando em contato em privacy@tapstice.com
• Incluindo seu ID de usuário (nas Configurações do App) ou email da conta para ajudar a localizar seus dados

Responderemos em até 30 dias (ou conforme a lei aplicável: 15 dias para LGPD, 30 dias para KVKK, 45 dias para CCPA/CPRA). Podemos solicitar verificação de identidade. Se precisarmos de mais tempo, informaremos o motivo e o prazo de extensão.

11. Privacidade de crianças

O Tapstice não é direcionado a crianças menores de 13 anos (ou 16 no EEE/UK). Não coletamos intencionalmente informações pessoais de crianças abaixo dessas idades.

Conformidade com COPPA (Estados Unidos): em conformidade com a COPPA, não coletamos intencionalmente informações pessoais de crianças menores de 13 anos nos Estados Unidos. Se um responsável tomar conhecimento de que uma criança nos forneceu dados pessoais sem consentimento, deve nos contatar. Excluiremos essas informações prontamente.

Direitos dos responsáveis: responsáveis podem nos contatar para: (a) revisar informações coletadas; (b) solicitar exclusão; (c) recusar coleta adicional. Contate privacy@tapstice.com com o assunto "Child Privacy Request".

Se tomarmos conhecimento de que coletamos dados pessoais de uma criança sem consentimento verificável, tomaremos medidas para excluir as informações em até 48 horas após a descoberta.

12. Sinais "Do Not Track"

Alguns navegadores possuem um recurso "Do Not Track" (DNT) que indica que você não deseja que sua atividade online seja rastreada. Nosso App atualmente não responde a sinais DNT, pois não há um padrão da indústria para lidar com esses sinais em aplicativos móveis.

No entanto, respeitamos o sinal Global Privacy Control (GPC) quando exigido por lei, inclusive sob a CCPA/CPRA. Se detectarmos um sinal GPC, trataremos como um opt-out válido de venda/compartilhamento de informações pessoais.

13. Tomada de decisão automatizada e perfilamento

Usamos certos processos automatizados que podem afetar sua experiência:

• Sistema anti-cheat: nossos servidores analisam automaticamente pontuações e dados de sessão para detectar atividade suspeita. Pontuações sinalizadas podem ser rejeitadas automaticamente ou retidas para revisão. Jogadores que acumulam várias violações podem ser banidos automaticamente (3 violações: banimento de 7 dias; 5+ violações: banimento permanente).
• Moderação de conteúdo: fotos de perfil são verificadas automaticamente pela Google Cloud Vision API para conteúdo impróprio. Fotos que falham nas verificações automatizadas são bloqueadas. Nomes de usuário são verificados por filtros.
• Personalização de anúncios: parceiros de publicidade podem usar perfilamento automatizado para entregar anúncios personalizados com base em padrões de uso e interesses.

Seus direitos sobre decisões automatizadas: nos termos do GDPR (Artigo 22), LGPD e KVKK, você tem o direito de: (a) obter intervenção humana; (b) expressar seu ponto de vista; (c) contestar a decisão. Para exercer, contate privacy@tapstice.com.

14. Links de terceiros

Nosso App pode conter links para sites ou serviços de terceiros que não são operados por nós, incluindo links para Apple App Store, Google Play Store e plataformas de mídia social. Não controlamos e não assumimos responsabilidade pelo conteúdo, políticas de privacidade ou práticas de terceiros. Recomendamos que você revise a política de privacidade de cada site que visitar.

15. Alterações nesta Política de Privacidade

Podemos atualizar esta Política de Privacidade periodicamente. Notificaremos mudanças relevantes por meio de:

• Publicar a nova Política de Privacidade nesta página
• Atualizar a data de "Última atualização"
• Enviar notificação no app e/ou email para mudanças significativas
• Solicitar novo consentimento no App quando necessário para mudanças materiais no tratamento de dados

Seu uso contínuo do App após quaisquer alterações constitui aceitação da Política de Privacidade atualizada. Se você não concordar com as alterações, deve interromper o uso do App e solicitar a exclusão da sua conta.

16. Fale conosco

Se você tiver dúvidas, preocupações ou solicitações sobre esta Política de Privacidade ou nossas práticas, entre em contato:

• Privacidade: privacy@tapstice.com
• Suporte geral: support@tapstice.com
• Assuntos legais: legal@tapstice.com
• Site: tapstice.com

Controlador de dados:

• Empresa: Cenkle Digital
• Endereço: Icerenköy Mah., Atasehir, Istanbul, Turkey
• E-mail: privacy@tapstice.com

Encarregado de Dados (DPO) / Representante na UE (GDPR Artigo 27):

• Nome: Cenk Yagmur
• Endereço: Icerenköy Mah., Atasehir, Istanbul, Turkey
• E-mail: privacy@tapstice.com

Para usuários do Brasil: reclamações podem ser direcionadas à ANPD em www.gov.br/anpd.

Para usuários do Canadá: reclamações podem ser direcionadas à OPC em www.priv.gc.ca.

Para usuários da Turquia: reclamações podem ser direcionadas à KVKK em www.kvkk.gov.tr.