CopaLive
🔒 LGPD

Política de Privacidade

Versão 1.0.0 • Última atualização: 24 de junho de 2026

Esta Política descreve como o Copa Live trata dados pessoais conforme a Lei nº 13.709/2018 (LGPD), o Marco Civil da Internet e as boas práticas internacionais. Ao utilizar a Plataforma, você reconhece ter lido e compreendido este documento.

1. Quem é o controlador dos dados?

O controlador é o operador da Plataforma Copa Live, pessoa física ou jurídica responsável por decidir como e por que seus dados são tratados. Para qualquer comunicação sobre privacidade, contate nosso Encarregado de Tratamento de Dados Pessoais (DPO):

Encarregado/DPO: dpo@copalive.ancientdragons.com.br

2. Quais dados pessoais coletamos?

2.1. Dados fornecidos por você

  • Login Google: nome, e-mail e foto de perfil retornados pelo Google via OAuth 2.0. Não temos acesso à sua senha.
  • Login mock (apenas desenvolvimento): nome e e-mail informados manualmente.
  • Palpites: placares, vencedor previsto, indicação de prorrogação e pênaltis para cada partida do bolão.
  • Comunicações espontâneas: mensagens enviadas por e-mail ao DPO.

2.2. Dados coletados automaticamente

  • Logs de acesso (backend): endereço IP, timestamp, método HTTP, rota acessada e status code, retidos por até 90 dias para fins de segurança e diagnóstico.
  • Sessão local (frontend): o ID do seu usuário e token JWT ficam armazenados no localStorage do navegador apenas para manter você logado entre visitas. Esses dados nunca são enviados a terceiros.
  • Cookies: a Plataforma não utiliza cookies de rastreamento, analytics ou publicidade. Eventuais cookies de sessão são técnicos e estritamente necessários ao funcionamento.

3. Por que tratamos seus dados? (Base legal)

Cada finalidade abaixo está fundamentada em uma hipótese do art. 7º da LGPD:

  • Execução de contrato (art. 7º, V): cadastro da sua conta, registro dos seus palpites e cálculo da sua pontuação no bolão.
  • Legítimo interesse (art. 7º, IX): exibição pública do seu nome e pontuação no ranking, segurança da aplicação, prevenção a fraudes.
  • Consentimento (art. 7º, I): quando você opta explicitamente por utilizar o login Google e autoriza o compartilhamento dos dados básicos de perfil.
  • Cumprimento de obrigação legal (art. 7º, II): atendimento a ordens judiciais, fiscalizações da ANPD ou requisições de autoridades competentes.

4. Transferência internacional de dados

Ao utilizar o login Google, alguns dados (nome, e-mail, foto) podem ser transferidos e processados pelo Google LLC, sediado nos Estados Unidos. Essa transferência ocorre sob a base legal do consentimento (art. 7º, I) e fundamenta-se em:

  • Cláusulas-padrão contratuais aprovadas pela ANPD (art. 33, III) e decisões de adequação;
  • Garantias de compliance do Google (Data Processing Addendum e ISO 27001);
  • Política de Privacidade do Google, disponível em policies.google.com/privacy.

5. Com quem compartilhamos seus dados?

Não vendemos nem alugamos seus dados pessoais. Compartilhamos informações apenas quando estritamente necessário:

  • Google LLC: para autenticação via OAuth 2.0 e validação do id_token.
  • Hostinger (VPS): provedora de infraestrutura (servidor, banco de dados, backups). Atua como operadora sob contrato de confidencialidade.
  • Ranking público: seu nome e pontuação são visíveis a todos os visitantes da aba "Classificação" no /bolao. E-mails nunca são exibidos publicamente.
  • Autoridades: mediante ordem judicial ou requisição legal fundamentada.

6. Por quanto tempo guardamos seus dados?

CategoriaRetenção
Conta (nome, e-mail, google_id)Enquanto ativa + 24 meses de inatividade
Palpites e pontuaçõesAté 24 meses após a última partida registrada
Logs de acesso (backend)90 dias
Backups do banco de dados7 dias (retenção técnica rotativa)

Após o término do prazo, os dados são anonimizados ou eliminados em até 30 dias (art. 16 da LGPD).

7. Seus direitos (art. 18 da LGPD)

Como titular dos dados, você tem direito a:

  • Confirmação e acesso – saber se tratamos seus dados;
  • Correção – atualizar dados incompletos ou desatualizados;
  • Portabilidade – receber seus dados em formato estruturado (JSON);
  • Eliminação – solicitar a exclusão dos seus dados pessoais;
  • Revogação do consentimento – quando o tratamento se basear nele;
  • Oposição – opor-se a tratamento em desacordo com a LGPD.

📥 Exportar meus dados (art. 18, V): sua conta possui um endpoint que devolve um JSON com tudo o que armazenamos sobre você.

🗑️ Excluir minha conta (art. 18, VI): use o botão "Excluir conta" na página /bolao ou solicite ao encarregado.

8. Medidas de segurança

  • Criptografia em trânsito via TLS 1.3 (Traefik + Let's Encrypt);
  • Senhas e tokens armazenados como hash (JWT HS256) — nunca em texto puro;
  • Painel administrativo protegido por Basic Auth (fail-closed);
  • Headers HTTP de segurança: HSTS, CSP, X-Frame-Options, COOP, X-Content-Type-Options;
  • Backups diários do banco de dados, retidos por 7 dias;
  • CORS restrito em produção aos domínios oficiais.

9. Incidentes de segurança

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos à ANPD e aos Usuários afetados em prazo razoável, conforme art. 48 da LGPD, indicando: (i) natureza do incidente, (ii) dados afetados, (iii) medidas tomadas e (iv) recomendações de mitigação.

10. Alterações desta Política

Esta Política pode ser revisada periodicamente. A versão atual estará sempre disponível nesta URL, com a data da última modificação indicada no topo. Em alterações relevantes, aviso será exibido na própria Plataforma por pelo menos 7 (sete) dias.

11. Contato do Encarregado (DPO)

E-mail: dpo@copalive.ancientdragons.com.br
Prazo de resposta: até 15 (quinze) dias úteis.

Caso considere que tratamos seus dados em desconformidade com a LGPD, você também tem direito de peticionar diretamente à Autoridade Nacional de Proteção de Dados (gov.br/anpd).

Este documento está em conformidade com a Lei 13.709/2018 (LGPD) e o Marco Civil da Internet (Lei 12.965/2014).