POLÍTICA DE PRIVACIDADE

Data de vigência: 8 de dezembro de 2025

Esta Política de Privacidade explica como a Veska Games s.r.o. ("nós", "nosso", "nos", "Veska Games") coleta e usa dados pessoais quando você usa o Manabies, um jogo educacional para crianças, professores e pais.

Nossos objetivos:

  • ser transparentes
  • ser simples
  • coletar apenas o necessário
  • proteger dados de estudantes
  • facilitar tudo para as escolas

Aplicabilidade (UE/EEE/Reino Unido, EUA, mundial): Esta Política de Privacidade aplica-se globalmente, incluindo na União Europeia (UE), no Espaço Econômico Europeu (EEE), no Reino Unido e nos Estados Unidos. Para usuários na UE/EEE/Reino Unido, todo o processamento de dados pessoais é realizado em conformidade com o GDPR (Regulamento Geral de Proteção de Dados).

1. Quem somos

Veska Games s.r.o.
Endereço: Lidická 700/19, Veveří 60200 Brno, República Tcheca
CNPJ/ID: 21401373
VAT ID: CZ21401373
Contato de privacidade: [email protected]
Não nomeamos um Encarregado de Proteção de Dados.
Como empresa estabelecida na UE, não somos obrigados a nomear um representante na UE ou no Reino Unido.

2. Terminologia (direito da UE vs. direito dos EUA)

Para evitar confusão:

GDPR (UE/EEE/Reino Unido)

Os termos "Controlador de Dados" e "Processador de Dados" usados nesta Política seguem as definições do GDPR:

  • Controlador de Dados (GDPR Art. 4(7)): a entidade que determina os fins e os meios do processamento de dados pessoais.
  • Processador de Dados (GDPR Art. 4(8)): a entidade que processa dados pessoais em nome do controlador.

Na UE/EEE, o consentimento dos pais é necessário para crianças menores da idade definida pela lei nacional (geralmente 13–16 anos; 15 na República Tcheca). Usuários da UE também podem apresentar reclamação à autoridade local de proteção de dados.

Equivalentes nos Estados Unidos

Os EUA não usam "controlador/processador". Papéis equivalentes:

FERPA:

  • Escolas = proprietárias dos "registros educacionais"
  • Fornecedores (como Veska Games) = Funcionários Escolares

COPPA:

  • Veska Games = "Operador"
  • O pai dá o consentimento (ou a Escola por meio da exceção escolar)

Leis estaduais de privacidade (ex.: CCPA/CPRA da Califórnia):

  • "Empresa"
  • "Provedor de Serviços"

Esses conceitos dos EUA aplicam-se apenas a usuários e escolas localizados nos Estados Unidos. Quando esta Política usa termos do GDPR, eles se aplicam especificamente a usuários da UE/EEE/Reino Unido e são mapeados para seus equivalentes nos EUA conforme descrito acima.

3. Como o Manabies funciona

O Manabies não inclui campos de texto abertos ou ferramentas de comunicação que permitam que crianças enviem informações pessoais.

O Manabies tem dois modos legalmente distintos:

A) Modo Escola (uso em sala de aula)

Quando um professor ou escola cria contas de estudantes:

Para escolas na UE/EEE/Reino Unido:
Escola = Controlador de Dados (GDPR)
Veska Games = Processador de Dados (GDPR)

Para escolas nos Estados Unidos:
A Veska Games atua como "Funcionário Escolar" sob o FERPA, pois presta serviços institucionais à Escola e está sob o controle direto da Escola quanto ao uso e manutenção dos registros educacionais dos estudantes.

Processamos dados de estudantes apenas para fins educacionais e somente sob as instruções da Escola. Não usamos dados de estudantes para publicidade ou marketing.

Exceção escolar COPPA (EUA)
Nos Estados Unidos, as escolas podem autorizar o uso do Manabies para fins educacionais sob a exceção escolar do COPPA sem coletar assinaturas dos pais.
Os professores nos Estados Unidos NÃO precisam obter o consentimento dos pais quando o Serviço é usado estritamente para uso em sala de aula.
Isso aplica-se estritamente ao uso em sala de aula nos Estados Unidos.

B) Modo Casa (uso gerenciado pelos pais)

O Manabies é gratuito para jogar. Uma assinatura desbloqueia recursos premium opcionais. Quando um pai cria a conta de um filho:

  • Veska Games = Controlador de Dados

Consentimento dos pais:

  • Obrigatório por lei quando aplicável (por exemplo, sob o COPPA nos EUA e sob as regras de consentimento de menores do GDPR na UE/EEE/Reino Unido),
  • Gratuito,
  • Não vinculado ao pagamento.

4. Dados pessoais que coletamos

Coletamos apenas o necessário para o Serviço. Não vendemos nem compartilhamos informações pessoais conforme definido na California Consumer Privacy Act (CCPA/CPRA). Não usamos informações pessoais para publicidade direcionada ou comportamental.

4.1 Dados que você fornece

Professores

  • Nome completo
  • E-mail
  • Nomes das turmas criadas no Manabies

Estudantes

  • Nome, nome + inicial ou pseudônimo atribuído pela escola (conforme determinado pela Escola)
  • Turma / série
  • Vínculo escolar

Pais

  • Nome completo
  • E-mail
  • Status da assinatura (pagamento tratado por provedor externo; não armazenamos números de cartão)

4.2 Dados criados durante o uso

Aprendizado e jogo:

  • Respostas, tentativas, resultados
  • Precisão
  • Estimativas de domínio
  • Tempo gasto
  • Frequência de sessões
  • Sinais de aprendizado adaptativo (ex.: intervalos de repetição espaçada)

Contexto de sala de aula:

  • Atribuição de turma
  • Relações professor–estudante

Técnico e dispositivo:

  • Tipo de dispositivo
  • Versão do SO
  • Versão do navegador/app
  • Idioma do app
  • Endereço IP em nível regional (para segurança e localização; não coletamos dados de localização precisos ou nível GPS)
  • Logs de falha (não conectados ao nome do estudante)
  • Diagnósticos de erro
  • Carimbos de tempo, desempenho

Não coletamos dados sensíveis (biometria, saúde, religião, localização precisa).

5. Por que processamos dados

  • Fornecer e melhorar o jogo
  • Acompanhar o progresso de aprendizado
  • Mostrar resultados a professores e pais
  • Garantir segurança
  • Resolver problemas
  • Cumprir obrigações legais

6. Conformidade com o GDPR (UE/EEE/Reino Unido)

6.1 Bases legais (GDPR Art. 6)

  • Necessidade contratual
  • Interesses legítimos (educação, segurança)
  • Consentimento dos pais (Modo Casa)
  • Obrigação legal

6.2 Direitos dos usuários da UE/EEE/Reino Unido (Art. 15–22)

Você pode solicitar:

  • Acesso
  • Correção
  • Exclusão
  • Restrição
  • Portabilidade
  • Oposição
  • Retirada do consentimento

Solicitações: [email protected]

6.3 Transferências internacionais

Nossos servidores estão atualmente hospedados na União Europeia (UE). Para usuários nos Estados Unidos, os dados podem ser transferidos e armazenados na UE. Utilizamos Cláusulas Contratuais Padrão (SCCs) para essas transferências.

6.4 Segurança

Aplicamos salvaguardas administrativas, técnicas e físicas adequadas para proteger dados pessoais, incluindo criptografia, controles de acesso e monitoramento contínuo.

No Modo Escola, nosso processamento de dados de estudantes é regido pelo Acordo de Processamento de Dados (DPA) incluído nesta Política de Privacidade.

6.5 Retenção

  • Contas ativas: mantidas enquanto ativas
  • Inativas > 24 meses: excluídas ou anonimizadas
  • Backups: rotativos de ~35 dias
  • Escolas/pais podem solicitar exclusão a qualquer momento

Respondemos a solicitações de exclusão em até 30 dias.

Se nenhuma conta de professor associada a uma Escola fizer login por 12 meses, notificaremos a Escola. Se a Escola não responder em 30 dias, o espaço de trabalho da Escola será considerado inativo e todos os dados pessoais dos estudantes serão excluídos ou anonimizados em 60 dias, exceto backups rotativos criptografados.

7. Como compartilhamos dados

Acesso automático (lógica educacional principal)

Professores
Os professores veem automaticamente os dados de aprendizado de todos os estudantes atribuídos à sua turma.

Pais
Os pais podem ver os dados básicos de aprendizado de seu próprio filho. Uma assinatura pode desbloquear recursos estendidos para pais.

Provedores de serviço (subprocessadores)

Fornecedores confiáveis (hospedagem, e-mail, relatórios de falha), vinculados por contratos e confidencialidade, estão listados no Anexo A.

Legal e segurança

Podemos divulgar informações se exigido por lei ou necessário para proteger os usuários.

8. Cookies

  • Apenas cookies essenciais (login, segurança)
  • Analytics opcionais apenas com consentimento (UE/Reino Unido)
  • Sem cookies de publicidade
  • Sem pixels de redes sociais

9. Decisões automatizadas

O aprendizado adaptativo ajusta a dificuldade. Não tomamos decisões automatizadas com efeitos significativos nos usuários.

10. Alterações

Podemos atualizar esta Política e notificar os usuários sobre alterações significativas.

ANEXO A – SUBPROCESSADORES E PROVEDORES DE SERVIÇOS TERCEIRIZADOS

Para entregar o serviço Manabies, utilizamos terceiros confiáveis ("Subprocessadores" ou "Provedores de Serviços") que podem processar dados pessoais em nosso nome. Temos um Acordo de Processamento de Dados (DPA) com cada Subprocessador em conformidade com o GDPR.

No contexto do uso escolar, garantimos que todo o processamento de dados no Manabies seja realizado em conformidade com COPPA e FERPA. Essas obrigações aplicam-se principalmente ao nosso relacionamento com a Escola como controladora de dados; nossos Subprocessadores agem sob nossas instruções documentadas e estão vinculados por confidencialidade contratual e compromissos de proteção de dados.

Subprocessadores / Provedores de Serviços atuais

Heroku (Salesforce, Inc.)

Entidade: Salesforce, Inc., 415 Mission Street, 3º andar, San Francisco, CA 94105, EUA
Finalidade: Hospedagem de aplicação, bancos de dados, infraestrutura de backend
Dados processados: Dados de conta, progresso do jogo, logs técnicos
Política de Privacidade: https://www.salesforce.com/company/privacy/

MailerLite

Entidade: MailerLite, 548 Market St PMB 98152, San Francisco, CA 94104-5401, EUA
Finalidade: Entrega de e-mails a professores, pais e usuários
Dados processados: Nome, endereço de e-mail, preferências de comunicação, dados criados durante o uso do Manabies
Nota: Contas de estudantes nunca são adicionadas ao MailerLite.
Política de Privacidade: https://www.mailerlite.com/legal/privacy-policy

Google Workspace (Google Drive)

Entidade: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, EUA
Finalidade: Documentos internos, conjuntos de dados anonimizados, arquivos administrativos
Dados processados: Normalmente dados anonimizados ou pseudonimizados; documentação interna
Nota: Não armazenamos dados pessoais não anonimizados de estudantes no Google Drive. Se isso mudar, esta seção será atualizada.
Política de Privacidade: https://policies.google.com/privacy

Controladores de Dados terceiros independentes (Apple e Google)

Algumas empresas processam certas categorias de dados como controladores de dados independentes, não como nossos Subprocessadores.

Isso se aplica em situações como:

  • instalação do app pela App Store ou Google Play
  • compras no app ou processamento de cobrança
  • envio de relatórios de falha do seu dispositivo

Essas entidades determinam os fins e os meios do processamento de forma independente.

Apple

Entidade: Apple Inc., One Apple Park Way, Cupertino, CA 95014, EUA
Papel: Controlador independente para:
relatórios de falha enviados via iOS
compras e cobrança na App Store
identificadores de dispositivo
Política de Privacidade: https://www.apple.com/privacy/

Google Play / Google Firebase

Entidade: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, EUA
Papel: Controlador independente para:
relatórios de falha via Google Play / Firebase Crashlytics
dados de cobrança e compra do Google Play
Política de Privacidade: https://policies.google.com/privacy

ANEXO B – ACORDO DE PROCESSAMENTO DE DADOS (DPA)

Este DPA aplica-se apenas no Modo Escola.

1. Partes

Controlador: Escola / Instituição de ensino
Processador / Funcionário escolar: Veska Games s.r.o.

2. Finalidade

Processamento de dados de estudantes apenas para fins educacionais.

3. Duração

O processamento continua enquanto a Escola usar o Manabies.

4. Tipos de dados

  • Nome do estudante
  • Turma / série
  • Escola
  • Resultados de aprendizado, domínio, tempo gasto
  • Informações do dispositivo
  • Logs
  • Nome e e-mail do professor

5. Obrigações

A Veska Games irá:

  • Agir apenas sob instruções da Escola
  • Manter confidencialidade
  • Usar segurança apropriada
  • Auxiliar com solicitações de dados
  • Notificar a Escola sem demora indevida e, em todos os casos, em conformidade com a lei aplicável, após tomar conhecimento de um incidente de segurança envolvendo dados pessoais de estudantes.
  • Usar subprocessadores sob salvaguardas equivalentes
  • Excluir/devolver dados ao encerramento
  • Fornecer documentação de conformidade
  • Prestar assistência razoável em Avaliações de Impacto de Proteção de Dados (DPIAs).

6. Transferências

SCCs e salvaguardas equivalentes se aplicam.

7. Rescisão

Os dados são excluídos ou devolvidos mediante solicitação da Escola, a menos que a retenção legal seja exigida.

FIM DA POLÍTICA DE PRIVACIDADE