Política de privacidade

O Bolão 26 é uma plataforma de bolões privados de futebol mantida por Lucas Aragão Bittencourt (pessoa física), que atua como controlador dos dados aqui descritos. Contato: aragaobittencourt@gmail.com.

A plataforma é o meio técnico onde grupos de amigos rodam seus bolões. Cada bolão tem seu próprio admin, que define regras, aprova membros e gerencia pagamentos. Não somos parte da relação financeira entre admin e participantes.

Coletamos o mínimo necessário pra fazer o bolão funcionar:

• Identificação: email, nome de exibição e foto de perfil — vindos do seu login Google. Você não cria senha aqui.
• Atividade no bolão: seus palpites, palpite de campeão/vice/3º, bolões dos quais você participa, papel (membro/admin) em cada um.
• Pagamentos: status (pendente, aprovado, rejeitado), método (PIX/cartão/manual) e ID gerado pelo Mercado Pago. Não guardamos número de cartão, CPF nem CVV — esses ficam exclusivamente no Mercado Pago.
• Notificações: registro de avisos enviados (jogo fechando, placar lançado, anúncio do admin) e se você marcou como lido.
• Logs técnicos mínimos: data/hora de ações administrativas e webhooks recebidos, pra auditoria e debug.

• Operação do bolão (registrar palpites, calcular ranking, processar pagamento) — base legal: execução de contrato (art. 7º, V, LGPD).
• Comunicação transacional (email confirmando pagamento, lembrete de palpite, jogo finalizado) — base legal: execução de contrato. Você pode silenciar emails individuais nas configurações de perfil.
• Anúncios em bolões de modo grátis — base legal: consentimento. Carregamos por padrão, você pode recusar a qualquer momento (ver seção 6).
• Cumprimento de obrigação legal — registros fiscais de pagamentos, mantidos pelo Mercado Pago e por nós conforme exigências da Receita Federal.

Não vendemos nem alugamos seus dados. Compartilhamos apenas com os processadores estritamente necessários pra rodar o produto (sub-processadores):

• Supabase (banco de dados + auth) — armazena email, perfil, palpites, pagamentos. Servidores em região US.
• Google (autenticação OAuth) — recebe pedido de login e devolve email + nome + foto.
• Mercado Pago (pagamentos) — processa PIX e cartão. CPF e dados financeiros ficam só lá.
• Resend (email transacional) — recebe email + corpo do email pra entregar.
• Vercel (hospedagem) — recebe os requests HTTP.
• Adsterra (rede de anúncios) — só em bolões com modo grátis e se você não recusou. Recebe sinais anônimos do navegador (não passamos seu email nem suas apostas).

Cada um desses tem sua própria política de privacidade. Não há transferência internacional além do necessário pra hospedagem (servidores fora do Brasil).

Conta ativa: mantemos enquanto você usa a plataforma.

Conta deletada: dados pessoais removidos do banco principal em até 30 dias a partir do pedido.

Pagamentos: mantidos por 5 anos após a transação, por exigência fiscal (Receita Federal).

Essenciais (sessão de login, preferência de tema): carregados sempre, sem eles a plataforma não funciona — base legal é legítimo interesse, não há opção de recusar.

Publicidade(Adsterra, só em bolões grátis): carregados por padrão. Recusou? Não carregamos mais. Use o controle abaixo ou clique em "Recusar" no banner que aparece no rodapé.

Você pode, a qualquer momento, exigir:

• Acesso aos seus dados (que temos sobre você)
• Correção de dados incompletos ou desatualizados
• Anonimização ou eliminação de dados desnecessários ou tratados em desacordo com a LGPD
• Portabilidade dos dados pra outro serviço (em formato estruturado)
• Revogação do consentimento (anúncios) — disponível no controle abaixo
• Informação sobre com quem compartilhamos seus dados (já listado na seção 4)

Pedidos de exercício de direitos: envie um email pra aragaobittencourt@gmail.com identificando-se com o email da conta. Resposta em até 15 dias úteis.

Usamos HTTPS em todas as conexões, autenticação OAuth (você nunca digita senha aqui), e o banco aplica isolamento por linha (Row Level Security) — usuários só conseguem ler/escrever seus próprios dados, mesmo se a aplicação tivesse uma falha.

Em caso de incidente que exponha dados pessoais, comunicaremos você e a ANPD conforme exigido pelo art. 48 da LGPD.

Bolões com integração de pagamento (admin cobra via Mercado Pago dentro do app) não exibem anúncios.

Bolões em modo grátis (admin cobra fora do app) exibem anúncios da rede Adsterra pra custear a plataforma. Como dito acima, não compartilhamos seu email, palpites ou identidade com a rede.

Podemos atualizar este texto pra refletir mudanças na plataforma ou na lei. Mudanças relevantes são comunicadas no app (banner de aviso) e a data de "última atualização" abaixo é atualizada.

Encarregado pelo tratamento de dados (DPO): Lucas Aragão Bittencourt.

Email: aragaobittencourt@gmail.com. Para reclamações também é possível recorrer à ANPD.