Política de privacidade

Para fins da Lei Geral de Proteção de Dados Pessoais, o controlador é o operador do Bolão da Galera, responsável por definir as finalidades e os meios principais de tratamento dentro da plataforma.

Canal de privacidade: privacidade@bolaodagalera.app. Enquanto a operação estiver em beta, esse contato também recebe pedidos de acesso, correção, exportação e exclusão.

• Dados de conta: nome, email, foto, apelido, identificador do provedor de login e status da conta.
• Dados de autenticação: sessões, tokens técnicos, eventos de login e, quando ativado, telefone verificado por OTP.
• Dados do bolão: bolões criados, convites, participações, papéis, personalização, palpites, apostas especiais, pontos e ranking.
• Dados de pagamento: plano, compra, status, valor, identificador da cobrança, link ou QR de Pix e metadados retornados pelo provedor. Não armazenamos dados completos de cartão.
• Dados técnicos: IP, user agent, logs, erros, auditoria de ações sensíveis, rate limits e eventos de segurança.
• Dados de comunicação: email, telefone ou token de push quando o usuário habilitar notificações, suporte ou lembretes.

• Criar conta, manter sessão e permitir login sem senha quando os provedores estiverem configurados.
• Criar bolões, permitir entrada por convite, registrar palpites e aplicar a trava temporal no servidor.
• Calcular pontuação, ranking, estatísticas, cards compartilháveis e histórico do usuário.
• Processar upgrades Premium, registrar compras, liberar benefícios e atender suporte financeiro.
• Prevenir abuso, fraude, spam, duplicidade suspeita, manipulação de ranking e uso indevido da plataforma.
• Cumprir obrigações legais, contábeis, regulatórias e responder solicitações de titulares ou autoridades.
• Melhorar estabilidade, desempenho, acessibilidade e experiência do produto.

Dependendo do contexto, tratamos dados com base na execução de contrato ou procedimentos preliminares, cumprimento de obrigação legal ou regulatória, legítimo interesse, prevenção à fraude e segurança, exercício regular de direitos e consentimento quando a lei exigir uma autorização específica, como comunicações opcionais.

Compartilhamos dados somente quando necessário para operar a plataforma, cumprir a lei ou proteger o serviço. Os principais destinatários podem incluir:

• Provedores de autenticação, como Google, Firebase ou serviço equivalente, quando habilitados.
• Gateway de pagamento, como ASAAS, para gerar e confirmar cobranças Premium.
• Infraestrutura, banco de dados, hospedagem, observabilidade e logs, como Railway e Sentry quando configurados.
• Provedores de email, SMS ou push, como Resend, Zenvia, Firebase ou Web Push quando ativados.
• Autoridades públicas, se houver obrigação legal, ordem válida ou necessidade de defesa de direitos.

Dados de partidas fornecidos por provedores de futebol normalmente não exigem compartilhamento de dados pessoais dos usuários.

• Conta e perfil: mantidos enquanto a conta estiver ativa ou enquanto necessários para suporte, auditoria e obrigações legais.
• Palpites, pontuação e ranking: podem ser preservados de forma identificada, pseudonimizada ou anonimizada para manter a integridade histórica dos bolões.
• Pagamentos: mantidos pelo prazo exigido por obrigações fiscais, contábeis, antifraude e defesa de direitos.
• Logs e auditoria: retidos pelo prazo operacional necessário, com referência inicial de até 12 meses, salvo obrigação ou incidente que exija prazo maior.
• OTPs e códigos temporários: quando implementados, devem expirar rapidamente e ser removidos conforme a política técnica vigente.

O usuário pode solicitar exclusão pelo perfil. A conta entra em revisão para evitar quebra de rankings, auditoria ou obrigações legais. Quando possível, os dados são removidos, anonimizados ou dissociados do usuário.

A LGPD permite que titulares solicitem confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informações sobre compartilhamento, revogação de consentimento e revisão de decisões automatizadas quando aplicável.

No app, o usuário pode exportar seus dados em JSON pelo perfil e solicitar exclusão da conta. Também é possível entrar em contato pelo canal de privacidade para exercer outros direitos.

Usamos cookies e armazenamento local necessários para sessão, segurança, preferências de interface, PWA e funcionamento do app. Cookies analíticos, marketing ou rastreamento não essencial devem ser ativados apenas com consentimento quando forem adicionados.

Adotamos medidas técnicas e organizacionais proporcionais ao risco, incluindo HTTPS, variáveis de ambiente para segredos, validação no servidor, ORM, logs de auditoria, rate limit em ações sensíveis e controle de acesso por papel. Nenhum sistema é imune a falhas, mas incidentes serão tratados com prioridade e comunicação adequada quando exigido.

Alguns provedores de infraestrutura, autenticação, pagamento, observabilidade ou comunicação podem processar dados fora do Brasil. Quando isso ocorrer, buscamos utilizar fornecedores com práticas de segurança e proteção de dados compatíveis com a LGPD.

O Bolão da Galera é voltado para bolões recreativos entre famílias, amigos e grupos sociais. Menores de idade devem usar a plataforma com ciência e supervisão de responsável legal, especialmente quando houver pagamento de plano Premium pelo organizador.

A plataforma não opera apostas de quota fixa, não intermedeia dinheiro entre participantes, não guarda saldo, não distribui prêmios e não promete ganho financeiro. Qualquer premiação externa combinada fora da plataforma é responsabilidade exclusiva do organizador e dos participantes.

Podemos atualizar esta política para refletir mudanças no produto, nos provedores, na legislação ou nas práticas de segurança. Alterações relevantes serão comunicadas por meios razoáveis dentro do app ou por canais de contato cadastrados.