1. Identificação do Controlador
- Plataforma: Bolão 2026 (futt.site)
- Natureza: Plataforma de bolão esportivo da Copa do Mundo
- DPO: leandromaciel.br@gmail.com
2. Natureza e Finalidade do Tratamento
O tratamento de dados pessoais visa permitir:
- Criação e autenticação de contas de usuário
- Registro de palpites e cálculo de pontuação
- Composição de rankings públicos e bolões privados entre amigos
- Comunicação operacional sobre jogos e resultados
- Comunicações de marketing (apenas com consentimento explícito)
3. Dados Tratados
- Cadastrais: e-mail, nome de exibição, username, avatar (opcional)
- Comportamentais: palpites, pontuação, streaks, badges, participação em bolões
- Técnicos: user-agent, IP (apenas para auditoria de consentimento)
- Consentimentos: registros versionados de aceite de termos, política, cookies, notificações e marketing
Não tratamos: dados sensíveis (Art. 5º, II LGPD), dados de menores de 13 anos, dados financeiros próprios.
4. Bases Legais (Art. 7º LGPD)
- Execução de contrato (VII): conta, palpites, bolões, ranking
- Consentimento (I): cookies analíticos, notificações, marketing
- Cumprimento de obrigação legal (II): registros de consentimento e auditoria
- Legítimo interesse (IX): prevenção a fraude e abuso, integridade do ranking histórico
5. Compartilhamento
- Infraestrutura (Lovable Cloud / Supabase): hospedagem, banco de dados e autenticação, com cláusulas de processamento de dados
- Provedor de IA (Lovable AI Gateway): apenas dados estritamente necessários para gerar insights, sem identificadores pessoais
- Provedor de dados esportivos (API-Football): não recebe dados de usuários
Não vendemos, alugamos ou cedemos dados a terceiros para fins comerciais.
6. Retenção
- Conta ativa: enquanto durar a relação com o usuário
- Exclusão de conta: anonimização imediata + remoção definitiva em 30 dias
- Palpites e ranking histórico: mantidos de forma anonimizada para integridade competitiva
- Registros de consentimento: 5 anos após a revogação, para defesa em eventual fiscalização
7. Medidas de Segurança
- Criptografia em trânsito (TLS) e em repouso
- Row-Level Security (RLS) em todas as tabelas com dados pessoais
- Verificação contra senhas vazadas (HaveIBeenPwned)
- Separação de privilégios entre clientes navegador, autenticado e administrativo
- Princípio do menor privilégio para funções administrativas
- Logs de auditoria de consentimento (versão, IP, user-agent, timestamp)
8. Riscos Identificados e Mitigações
- Exposição de e-mail entre usuários → e-mail nunca é exposto em perfil público nem em ranking
- Convite a bolão sem autorização → entrada em bolão privado requer ação ativa do convidado
- Coleta excessiva → cadastro pede apenas e-mail e username; demais campos são opcionais
- Retenção infinita após inatividade → política de exclusão de 30 dias + cron job automatizado de purga
- Exposição indevida do perfil → opção de perfil privado oculta estatísticas e badges
- Vazamento de credenciais → bloqueio de senhas conhecidamente vazadas no cadastro e troca de senha
9. Direitos dos Titulares (Art. 18)
Todos os direitos podem ser exercidos pela Central de Privacidade ou pelo DPO, com prazo de resposta de até 15 dias.
10. Decisões Automatizadas
Não há decisões automatizadas com efeitos jurídicos relevantes. O cálculo de pontuação e ranking segue regras públicas e determinísticas, descritas nos Termos de Uso.
11. Transferência Internacional
A infraestrutura pode armazenar dados em servidores localizados fora do Brasil, em países com nível de proteção adequado e mediante cláusulas contratuais específicas, conforme Art. 33 da LGPD.
12. Revisão
Este RIPD é revisado a cada mudança significativa no tratamento de dados ou, no mínimo, anualmente. Última revisão: 2026-05-22.