Política de Privacidade — App CR Church
Plataforma: ChurchGether (powered by Horebe Tech) Versão: 1.0 Data de vigência: 2026-05-20 Última atualização: 2026-05-20
Este documento descreve, em linguagem clara, como tratamos seus dados pessoais quando você usa o app CR Church (ChurchGether v1). Lê-lo é importante — ao se cadastrar, você está confirmando que entendeu e aceitou estas regras.
Em caso de divergência entre o que está aqui e o que o app faz na prática, prevalece o uso real. Se identificar inconsistência, fale com nosso Encarregado (Seção 13).
1. Quem somos
O app CR Church é mantido em controladoria conjunta por:
- Horebe Tech, responsável pela operação técnica da plataforma ChurchGether.
- Igreja Cidade de Refúgio (CR Church), responsável pelas decisões pastorais, conteúdo institucional e moderação da comunidade.
Ambas figuram como controladoras conjuntas dos seus dados, nos termos do art. 5º, VI, da LGPD. Você pode exercer seus direitos perante qualquer uma delas — preferencialmente pelo canal do Encarregado indicado na Seção 13.
2. A quem esta Política se aplica
Esta Política se aplica:
- A toda pessoa maior de 18 anos que se cadastre e use o app CR Church. O wizard de cadastro bloqueia idades inferiores.
- A todo dado pessoal coletado pelo aplicativo móvel (iOS e Android) e pelo painel administrativo web utilizado pela liderança da igreja.
Não cobre:
- Sites institucionais (
churchgether.com,cidadederefugio.com.br), que possuem políticas próprias quando aplicável. - Serviços de terceiros que você abra a partir do app (ex.: WhatsApp da igreja, app do banco para PIX).
3. Quais dados tratamos
Tratamos apenas os dados estritamente necessários para o funcionamento do app. Não usamos analytics, não rastreamos você entre apps ou sites, não coletamos localização, microfone, contatos, agenda ou histórico de navegação.
3.1 Dados que você fornece no cadastro
| Dado | Finalidade | Obrigatório? |
|---|---|---|
| Nome completo | Identificação na comunidade e nos rankings | Sim |
| Data de nascimento | Verificar idade mínima (18 anos) e personalizar mensagens | Sim |
| CPF | Identificação única e impedir re-cadastro de pessoas banidas pela liderança da igreja por violação grave das regras da comunidade. Não é compartilhado com terceiros para qualquer outra finalidade | Sim |
| Login e recuperação de senha | Sim | |
| Senha | Acesso autenticado. Armazenamos apenas o hash; a senha em si nunca chega ao nosso banco. Validamos contra base pública de senhas vazadas (Have I Been Pwned), usando técnica criptográfica que não envia sua senha (k-anonymity por prefixo SHA-1) | Sim |
| Código de convite | Vincular sua conta à organização e unidade da igreja | Sim |
3.2 Dados que você fornece ao usar o app
| Dado | Onde aparece | Visibilidade |
|---|---|---|
| Foto de perfil (avatar) | Tela de perfil, feed, ranking | Pública dentro do app |
| Foto de check-in de presença | Tela do check-in, histórico "Minhas Memórias" | Privada (apenas você) |
| Reflexão escrita no check-in (até 500 caracteres) | Histórico "Minhas Memórias" | Privada (apenas você) |
| Pedidos de oração (até 500 caracteres) | Mural de oração | Visível à comunidade. Você pode marcar como "anônimo" — neste caso, seu nome e foto ficam ocultos para outros membros, mas o vínculo interno é preservado para auditoria de denúncia |
| Reações no feed (amen 🙏 / fire 🔥 / love ❤️) | Feed | Quem reagiu é visível na lista de reações |
| Denúncias de conteúdo | Painel Admin | Vista apenas pela liderança autorizada e pelo nosso time |
| Silenciamentos (mutes) | Apenas você | A pessoa silenciada não fica sabendo |
| Motivo opcional ao excluir conta (até 500 caracteres) | Registro de auditoria | Vista apenas pelo Encarregado e equipe técnica autorizada |
Antes de chegar à comunidade, todo texto livre e toda imagem passam por moderação automática (Seção 5).
3.3 Dados gerados pelo sistema
| Dado | Para quê |
|---|---|
| Sementes, nível, sequência (streak), data do último check-in | Mecânica de gamificação e jornadas |
| Histórico de participação em jornadas | Acompanhar progresso espiritual no app |
| Registros de check-ins (presença e espiritual) | Histórico "Minhas Memórias" + base de sementes |
| Token de notificação (FCM/APNs) | Enviar avisos da liderança e lembretes opcionais. É um identificador técnico do seu aparelho, não um identificador de pessoa |
| Plataforma (iOS/Android) | Entrega correta das notificações |
| Marcadores de qual aviso você leu | Evitar reabrir avisos já lidos |
| Preferências (lembrete diário, push ligado/desligado) | Atender às suas escolhas |
3.4 Dados gerados por moderação e auditoria
Quando um conteúdo seu é reprovado pela moderação automática ou quando ocorrem ações administrativas relevantes, registramos:
moderation_logs— autor, tipo de conteúdo, resultado da moderação, trecho de texto reprovado (quando aplicável) e resposta crua do provedor. Retenção: 90 dias (a partir do registro), após o que é eliminado.admin_audit_log— ação executada, autor da ação, tabela/registro alvo e metadados. Inclui exclusões de conta, denúncias e envios de push pela liderança. Retenção: 5 anos, contados da data do registro, para fins de compliance LGPD (art. 37) e defesa em incidentes.
Atenção: o trecho de texto que ativou a moderação é preservado pelos 90 dias mesmo que o conteúdo não tenha sido publicado. Isso é necessário para defesa em caso de denúncia ou contestação. Se o texto reprovado contiver dados sensíveis (saúde, sofrimento), eles permanecem nesse log pelo prazo declarado.
3.5 Dado sensível por inferência
Pela natureza do app (uma plataforma da igreja CR Church / Cidade de Refúgio), o simples fato de você possuir uma conta e usar o produto revela seu vínculo a uma organização religiosa. Isso configura, sob a LGPD (art. 5º, II), um dado pessoal sensível por inferência.
Tratamos esses dados com base no art. 11, II, "b" da LGPD — "tratamento necessário pela organização de caráter religioso, em relação aos seus membros, sob garantia de não-discriminação fora da organização". Em outras palavras: o vínculo com a CR Church é a razão de existir do app; sem ele, o produto não funciona. Esses dados não são compartilhados com terceiros para fins comerciais, de marketing ou estatísticos fora do contexto da organização.
3.6 O que NÃO tratamos
Para deixar claro, no app CR Church v1 não há:
- Coleta de localização (GPS) — sua presença é validada pela janela de horário do evento, não por geolocalização.
- Coleta de áudio, contatos, calendário, lembretes, Bluetooth, ID de tracking publicitário ou biometria.
- Processamento de pagamento dentro do app. A tela "Dízimos e Ofertas" é puramente informativa: exibe a chave PIX, QR Code e dados bancários da igreja para que você transfira fora do app. Não coletamos número de cartão, valor doado, comprovante ou qualquer dado financeiro.
- Analytics comportamental (Google Analytics, Meta Pixel, Mixpanel, Amplitude, AppsFlyer, etc.).
- Cookies de marketing, retargeting ou perfilamento publicitário.
- Compartilhamento de dados com anunciantes ou corretores de dados.
4. Por que tratamos cada dado (bases legais)
| Finalidade | Base legal (LGPD) |
|---|---|
| Criar e manter sua conta no app | Art. 7º, V (execução de contrato) + Art. 11, II "b" |
| Identificar você de modo único e impedir re-cadastro de banidos (CPF) | Art. 7º, IX (legítimo interesse, com balanceamento documentado) |
| Validar idade mínima de 18 anos | Art. 7º, II (cumprimento de obrigação legal — LGPD art. 14) |
| Operar check-ins, gamificação, jornadas, mural de oração, feed | Art. 7º, V + Art. 11, II "b" |
| Moderar conteúdo (Sightengine para imagem, OpenAI para texto) | Art. 7º, IX + Art. 11, II "f" (exercício regular de direitos, proteção da comunidade) |
| Enviar notificações da liderança e lembretes | Art. 7º, V + consentimento concedido na permissão do sistema operacional |
| Registrar ações administrativas e de moderação | Art. 7º, II (LGPD art. 37) + Art. 11, II "a" |
| Atender pedidos do titular (acesso, correção, exclusão) | Art. 7º, VI |
| Atender exigências de Apple App Store e Google Play (exclusão de conta, denúncia, bloqueio) | Art. 7º, II + Art. 11, II "a" |
Sempre que invocamos legítimo interesse, mantemos internamente o respectivo balanceamento (LIA) à disposição da ANPD e do titular.
5. Com quem compartilhamos seus dados
Compartilhamos apenas com operadores estritamente necessários para o funcionamento do app. Nenhum deles usa seus dados para fins próprios.
| Operador | Função | Dados que recebem | Local de processamento |
|---|---|---|---|
| Supabase | Banco de dados, autenticação, armazenamento de arquivos, tempo real | Todos os dados do app (operador principal) | Estados Unidos |
| Firebase Cloud Messaging (Google) | Entrega de notificações push | Token do aparelho, conteúdo da notificação | Google Cloud (global) |
| Apple Push Notification service (APNs) | Entrega de push no iOS, via Firebase | Token APNs | Estados Unidos |
| OpenAI | Moderação de texto (omni-moderation-latest) | Texto pleno da reflexão ou pedido de oração | Estados Unidos |
| Sightengine | Moderação de imagem (nudity-2.1) | Foto enviada (buffer completo) | França (União Europeia) |
| Have I Been Pwned | Verificar se sua senha aparece em vazamentos públicos | Apenas o prefixo SHA-1 (5 caracteres) — sua senha real nunca é enviada (técnica de k-anonymity) | Cloudflare (global) |
| Bugsnag | Rastreamento de erros do servidor (BFF) | Identificador interno e e-mail do usuário associados ao erro, dados da requisição | Estados Unidos |
| Provedor de hospedagem do BFF | Execução do servidor que liga o app ao banco | Todos os dados em trânsito | [Vercel/AWS/outro] |
Compartilhamento interno da igreja. A liderança da CR Church (papéis NETWORK_ADMIN e UNIT_LEADER) tem acesso, pelo painel Admin, a: lista de membros da sua unidade, métricas de gamificação para segmentar avisos (sem identificar nominalmente quem está em cada faixa — apenas contagem numérica), conteúdo do feed para moderação, pedidos de oração não-ocultos e relatórios de envio de notificações.
Não vendemos seus dados. Não compartilhamos com anunciantes, parceiros de marketing, gestores de mídia social ou corretores de dados.
5.1 Transferência internacional
Vários dos nossos operadores estão fora do Brasil. Essa transferência é realizada com base no art. 33 da LGPD, simultaneamente em três fundamentos:
- Art. 33, V — necessária à execução do contrato com o titular (sem esses operadores, o app não funciona);
- Art. 33, II — garantias contratuais via DPA (Data Processing Addendum) assinado com cada operador, com cláusulas equivalentes às da LGPD;
- Art. 33, VIII — você é informado da transferência por esta Política e a aceita conscientemente ao usar o app.
6. Armazenamento e segurança
6.1 Como protegemos
- Conexões cifradas em trânsito (TLS 1.2+).
- Senhas armazenadas em hash (bcrypt, padrão Supabase Auth) — nunca em texto plano.
- Sessões via JWT com expiração de 1 hora e renovação automática controlada pelo SDK do Supabase.
- Tokens armazenados no aparelho usando armazenamento seguro do sistema operacional (Keychain no iOS, EncryptedSharedPreferences no Android).
- Controle de acesso a nível de linha (RLS — Row Level Security) no banco, garantindo que cada pessoa só enxergue dados aos quais tem direito.
- Validação de senha contra base pública de senhas vazadas (Have I Been Pwned).
- Registro de auditoria para ações sensíveis (exclusão de conta, moderação, envio de push).
6.2 O que você precisa saber sobre as fotos
As fotos de avatar e fotos de check-in ficam armazenadas em buckets públicos do Supabase Storage. Isso significa que qualquer pessoa que conheça a URL da foto pode abri-la, mesmo sem estar logada no app.
Como mitigamos esse risco:
- A URL contém o seu identificador (UUID) e um timestamp, o que torna a URL difícil de adivinhar, mas não impossível se ela vazar.
- Não publicamos suas URLs em nenhum site, rede social ou índice público.
- Conteúdo passa por moderação automática antes de chegar ao bucket.
Compromisso técnico: vamos migrar esses buckets para acesso autenticado por URL assinada com tempo de expiração curto em release próxima. Até lá, essa é a realidade — e estamos sendo transparentes sobre ela em vez de esconder.
6.3 Limitações
Nenhum sistema é 100% seguro. Apesar das medidas, incidentes podem ocorrer. Em caso de vazamento que represente risco relevante a você, comunicaremos o evento, suas dimensões e as ações tomadas, conforme exige a LGPD (art. 48).
7. Por quanto tempo guardamos seus dados
| Categoria | Tempo de retenção |
|---|---|
| Conta ativa e dados do perfil | Enquanto a conta existir |
| Check-ins, jornadas, sementes, conteúdo do feed e oração | Enquanto a conta existir; eliminados na exclusão da conta (com as exceções abaixo) |
| Pedidos de oração após a exclusão da conta | O conteúdo do pedido permanece visível para a comunidade, mas o vínculo com você é apagado (anonimização — LGPD art. 16, I). Você passa a constar como autor desconhecido |
| Transações de sementes históricas | Anonimizadas após exclusão da conta — mantemos o número, removemos o vínculo com você |
| Logs de moderação (incluindo trecho de texto reprovado) | 90 dias |
| Logs de auditoria administrativa (incluindo motivo opcional informado na exclusão) | 5 anos, contados da data do registro |
| Tokens de notificação inativos | Até 90 dias após o token ser marcado como inválido |
| Sessões de login (JWT) | 1 hora (renovação automática) |
| Tokens de redefinição de senha | 1 hora |
| Backups operacionais do banco | Até 30 dias (política do provedor — point-in-time recovery do Supabase) |
| Logs técnicos de erro (Bugsnag) | 30 dias (política do provedor) |
Após o prazo, eliminamos ou anonimizamos o dado conforme o caso.
8. Seus direitos como titular
A LGPD garante a você (art. 18), e você pode exercer pelo canal indicado na Seção 13:
| Direito | Como funciona hoje |
|---|---|
| Confirmar que tratamos seus dados | Solicite ao Encarregado |
| Acessar os dados que temos sobre você | Parte é visível dentro do próprio app (perfil, check-ins, sementes, jornadas). Para um relatório consolidado, solicite ao Encarregado — atenderemos em até 15 dias úteis |
| Corrigir dados incompletos, inexatos ou desatualizados | Foto de perfil e data de nascimento: editáveis no app. Nome, e-mail e CPF: solicite ao Encarregado, que validará sua identidade antes de aplicar a correção |
| Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade | Solicite ao Encarregado |
| Portabilidade dos dados a outro fornecedor | Atualmente não disponibilizamos exportação self-service dentro do app. Solicite ao Encarregado — geraremos um arquivo em formato estruturado (JSON) e enviaremos ao seu e-mail cadastrado, em até 15 dias úteis. Estamos implementando exportação self-service em release próxima |
| Eliminar dados tratados com base em consentimento | Disponível no app: menu Perfil → "Excluir conta". A exclusão é imediata, com hard delete dos seus dados e anonimização das exceções listadas na Seção 7. Não há período de carência ou desfazimento. Antes de confirmar, exigimos sua senha + a palavra "EXCLUIR" digitada |
| Informação sobre as entidades com quem compartilhamos seus dados | Lista pública na Seção 5 desta Política |
| Informação sobre a possibilidade de não consentir e suas consequências | Veja a Seção 9 |
| Revogar o consentimento | Disponível: exclusão da conta. Granularmente: pode desligar notificações push no próprio sistema operacional do seu aparelho. Outras revogações granulares estão em estudo para release próxima |
Como pedir. Envie um e-mail para o canal do Encarregado (Seção 13). Para confirmar sua identidade e proteger sua conta, podemos pedir documento + selfie segurando o documento — esse material é usado exclusivamente para validar o pedido e é eliminado após o atendimento.
Prazo de resposta: até 15 dias úteis a partir da confirmação da sua identidade (LGPD art. 19).
9. Se você não quiser consentir
O cadastro e o uso do app são all-or-nothing no v1: para criar a conta, você precisa fornecer nome, data de nascimento, CPF, e-mail, senha e código de convite. Sem esses dados, o cadastro não pode ser concluído — porque cada um deles é necessário para uma função essencial do app (identificação, idade mínima, prevenção de fraude, autenticação, vínculo institucional).
Se você não concorda com algum tratamento específico, não recomendamos criar a conta. Esta Política e os Termos de Uso estarão sempre disponíveis para revisão antes do cadastro.
Após o cadastro, você pode a qualquer momento:
- Excluir sua conta (revogação total do consentimento — exclui dados e anonimiza referências);
- Desligar notificações push pelo sistema operacional do seu aparelho;
- Não publicar conteúdo no feed ou no mural de oração;
- Não fazer check-in (gamificação é opcional).
10. Crianças e adolescentes
O app CR Church v1 é destinado a maiores de 18 anos. O wizard de cadastro bloqueia idades inferiores com base na data de nascimento informada. Não direcionamos conteúdo, publicidade ou recursos a crianças e adolescentes.
Caso identifiquemos, posteriormente, que uma conta foi criada por pessoa abaixo de 18 anos, a conta será encerrada e os dados eliminados, salvo retenção exigida por lei.
Estamos avaliando, para release futura, uma jornada com consentimento parental adequado para a faixa etária de 13–18 anos (LGPD art. 14). Quando isso ocorrer, esta Política será atualizada e republicada antes da disponibilização da funcionalidade.
11. Cookies e tecnologias semelhantes
No app móvel — não usamos cookies. A sessão é mantida por token (JWT) guardado em armazenamento seguro do aparelho.
No painel administrativo web (usado pela liderança da igreja, não pelo usuário comum), os únicos cookies utilizados são:
| Cookie | Função | Tipo |
|---|---|---|
sb-<projeto>-auth-token | Manter a sessão autenticada do administrador | Essencial |
sb-<projeto>-auth-token-code-verifier | Fluxo seguro de autenticação (PKCE) | Essencial |
Não usamos cookies de marketing, analytics, retargeting ou perfilamento.
12. Mudanças nesta Política
Podemos atualizar esta Política para refletir mudanças na lei, novas funcionalidades do app, mudanças em operadores ou correções de redação. Quando a mudança for materialmente relevante (ex.: nova categoria de dado coletada, novo operador, mudança de finalidade, ativação de funcionalidades dormentes hoje desativadas — como formulário pastoral, carteirinha digital, login social, segmentação por ministério, comentários no feed), avisaremos:
- Por e-mail no endereço cadastrado;
- Por banner no app na próxima abertura;
- Solicitando novo aceite quando legalmente exigido.
A data da última atualização sempre aparece no topo deste documento.
13. Encarregado (DPO) e contato
Para qualquer assunto envolvendo seus dados pessoais, esta Política ou os direitos da Seção 8, fale com nosso Encarregado:
- Nome / Razão Social: Horebe Tech
- E-mail: privacidade@churchgether.com
- Tempo de resposta: até 15 dias úteis após confirmação da identidade
Você também pode contatar a Autoridade Nacional de Proteção de Dados (ANPD): anpd.gov.br.
15. Disposições finais
- Se qualquer cláusula desta Política for declarada inválida ou inexequível, as demais permanecem em vigor.
- Tolerância a infrações isoladas não implica renúncia a direitos.
- Esta Política prevalece sobre comunicações verbais ou informais em sentido contrário.