Política de Privacidade — Bolão FC

Última atualização: 26 de maio de 2026 Vigência: a partir do aceite no cadastro

Preâmbulo

A presente Política de Privacidade ("Política") tem como objetivo informar, de forma clara, precisa e facilmente acessível, como a plataforma Bolão FC ("Plataforma", "nós", "nosso") trata dados pessoais dos seus usuários ("Usuário", "Titular", "você"), em estrita conformidade com:

A Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD), com destaque ao princípio da transparência (art. 6º, VI) e ao direito de acesso facilitado às informações sobre o tratamento (art. 9º);
O Marco Civil da Internet (Lei nº 12.965/2014), especialmente quanto à guarda de registros de acesso;
A Resolução CD/ANPD nº 15/2024, sobre comunicação de incidentes de segurança;
O Guia Orientativo da ANPD sobre Cookies e Proteção de Dados Pessoais (2022);
Demais diretrizes e regulamentos da Autoridade Nacional de Proteção de Dados (ANPD).

A Plataforma é operada por empresário individual (MEI), inscrito no CNPJ nº 51.532.860/0001-07, com sede em São José do Rio Preto/SP.

Esta Política é parte integrante e complementar dos Termos de Uso da Plataforma. Em caso de conflito entre os dois documentos, prevalece o que oferecer maior proteção ao Titular.

1. Definições

Para os fins desta Política, adotamos as definições do art. 5º da LGPD, com os seguintes destaques:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. A Plataforma NÃO coleta dados pessoais sensíveis.
Titular: pessoa natural a quem se referem os dados pessoais. Neste documento, equivale a "Usuário".
Controlador: Bolão FC, que toma as decisões sobre o tratamento dos dados.
Operador: terceiro contratado pelo Controlador para realizar o tratamento (Supabase, Vercel, Resend, etc.).
Encarregado (DPO): pessoa indicada como ponto de contato entre Controlador, Titulares e ANPD.
Tratamento: toda operação realizada com dados pessoais (coleta, uso, armazenamento, compartilhamento, eliminação, etc.).
Anonimização: processo que torna o dado irreversivelmente desvinculado de um indivíduo.

2. Quais dados coletamos

A Plataforma coleta apenas os dados estritamente necessários para a prestação do Serviço. Os dados são organizados nas seguintes categorias:

2.1 Dados de cadastro (obrigatórios)

Coletados no momento do login via Google OAuth:

Nome completo (do perfil Google);
Endereço de e-mail (do perfil Google);
URL da foto de perfil (do perfil Google, quando disponível);
Identificador único da conta (UUID gerado pela Plataforma);
Identificador Google (sub, usado apenas para autenticação).

2.2 Dados de navegação (automáticos)

Coletados automaticamente quando você acessa a Plataforma:

Endereço IP (anonimizado parcialmente após o uso para análise de segurança);
User Agent (informações do navegador e dispositivo);
Cookies essenciais e cookies de análise (vide Seção 8);
Páginas visitadas, datas e horários de acesso;
Referenciador (de qual link você chegou na Plataforma).

2.3 Dados de uso da Plataforma

Coletados conforme você utiliza o Serviço:

Bolões criados ou nos quais você participa;
Palpites realizados (placares, marcadores de gol);
Mensagens, descrições e conteúdo público que você submete;
Histórico de pontuação e classificação no ranking;
Indicador "pagou / não pagou" (quando o Bolão tem Pote de Cotas habilitado — funcionalidade premium).

2.4 Dados de pagamento (apenas plano premium)

Caso você adquira o plano premium:

Identificador da transação (gerado pelo Mercado Pago);
Valor pago e data;
Status do pagamento (aprovado, pendente, recusado).

Importante: a Plataforma não armazena número de cartão de crédito, dados bancários, chave Pix ou qualquer outra credencial de pagamento. Esses dados são tratados exclusivamente pelo Mercado Pago (vide Seção 5).

2.5 Dados de comunicação opcional

Caso você se cadastre na lista de espera (waitlist) antes do lançamento:

E-mail principal (obrigatório);
Número de WhatsApp (opcional);
Aceite expresso de recebimento de comunicações (consentimento LGPD).

2.6 Dados que NÃO coletamos

A Plataforma não coleta:

Dados pessoais sensíveis (origem racial, religião, política, saúde, etc.);
CPF, RG, CNH ou outros documentos de identificação além do necessário para login;
Localização geográfica precisa (apenas IP, sem geocoding);
Dados biométricos (digital, reconhecimento facial, etc.);
Histórico de navegação fora da Plataforma.

3. Bases legais do tratamento

Cada categoria de dado é tratada com base em uma hipótese específica do art. 7º (dados comuns) ou art. 11 (dados sensíveis, não aplicáveis aqui) da LGPD:

Categoria de dado	Base legal	Artigo LGPD
Dados de cadastro	Execução de contrato	Art. 7º, V
Dados de navegação (IP, user agent)	Cumprimento de obrigação legal (Marco Civil) e legítimo interesse em segurança	Art. 7º, II e IX
Dados de uso da Plataforma	Execução de contrato	Art. 7º, V
Dados de pagamento premium	Execução de contrato e cumprimento de obrigação legal (fiscal)	Art. 7º, V e II
Lista de espera (e-mail e WhatsApp opcional)	Consentimento livre, informado e específico	Art. 7º, I
Cookies essenciais	Execução de contrato (necessários ao funcionamento)	Art. 7º, V
Cookies de análise	Consentimento prévio do Titular	Art. 7º, I

Sempre que utilizamos o consentimento como base legal, você tem direito a revogá-lo a qualquer momento, sem prejuízo das atividades já realizadas com base no consentimento anterior.

4. Finalidade do tratamento

Os dados pessoais são utilizados exclusivamente para as seguintes finalidades:

4.1 Prestação do Serviço

Criar, manter e operar sua conta;
Permitir a criação e participação em Bolões;
Calcular pontuação, ranking e estatísticas;
Enviar e-mails transacionais (confirmações, notificações de partidas, atualizações de Bolão).

4.2 Segurança e prevenção a fraudes

Identificar e bloquear acessos suspeitos;
Detectar contas múltiplas, bots ou tentativas de fraude;
Manter registros de acesso conforme o art. 15 do Marco Civil da Internet.

4.3 Comunicação

Responder a solicitações de suporte;
Comunicar mudanças relevantes nestes documentos;
Enviar e-mails informativos sobre o lançamento (apenas com seu consentimento na waitlist);
Caso autorize, enviar newsletter com novidades (futuramente disponível).

4.4 Melhoria contínua

Analisar padrões agregados de uso (preferencialmente com dados anonimizados);
Identificar bugs, gargalos e oportunidades de melhoria;
Realizar pesquisas e análises estatísticas em base anonimizada.

4.5 Cumprimento de obrigações legais

Atender solicitações judiciais e administrativas legítimas;
Cumprir obrigações fiscais (notas fiscais do plano premium);
Responder a notificações da ANPD ou demais autoridades.

Não realizamos decisão automatizada com efeitos jurídicos significativos sobre o Titular (art. 20 da LGPD). Toda decisão crítica passa por revisão humana ou é baseada exclusivamente em regras explícitas (ex: cálculo de pontuação por fórmula fixa).

5. Compartilhamento de dados (Subprocessadores)

Para operar a Plataforma, compartilhamos dados estritamente necessários com operadores tecnológicos ("Operadores", LGPD art. 5º, VII), contratualmente vinculados à proteção dos dados:

Operador	Finalidade do compartilhamento	Dados compartilhados	Local de processamento
Supabase, Inc.	Banco de dados e autenticação	Dados de cadastro, uso, navegação	Brasil (São Paulo, sa-east-1)
Vercel, Inc.	Hospedagem da Plataforma e funções serverless	Todos os dados (em trânsito e cache)	Estados Unidos (com TII)
Resend, Inc.	Envio de e-mails transacionais	Nome, e-mail	Estados Unidos (com TII)
Google LLC	Autenticação OAuth	Nome, e-mail, foto (via OAuth)	Global (com TII)
MercadoPago.com Representações Ltda.	Processamento de pagamentos premium	Dados de transação	Brasil
Cloudflare, Inc.	DNS, CDN e proteção contra ataques	IP, user agent	Global (com TII)
PostHog, Inc. (previsto, ativado apenas com consentimento de cookies de análise)	Análise de uso, eventos agregados	Dados de evento agregados	Estados Unidos (com TII)
Google Analytics 4 (previsto, ativado apenas com consentimento de cookies de análise)	Análise de uso, eventos agregados	Dados de evento agregados	Global (com TII)

Todos os Operadores são selecionados com critérios de adequação à LGPD e firmamos contratos que exigem:

Tratamento de dados apenas conforme nossas instruções;
Implementação de medidas técnicas e administrativas de segurança;
Notificação imediata em caso de incidente de segurança;
Eliminação ou devolução dos dados ao final do contrato.

5.1 Compartilhamento com autoridades

Podemos compartilhar dados pessoais com autoridades públicas competentes (Poder Judiciário, Ministério Público, autoridades administrativas) mediante:

Ordem judicial fundamentada;
Requisição administrativa com base legal específica;
Investigação criminal em curso, conforme legislação aplicável.

Sempre que possível, comunicaremos o Titular sobre o compartilhamento, salvo vedação legal.

5.2 Compartilhamento entre Usuários

Algumas informações são visíveis publicamente para outros Usuários da Plataforma, especialmente em Bolões:

Nome e foto de perfil (visíveis a outros membros do mesmo Bolão);
Palpites realizados (visíveis após o início da partida);
Pontuação e posição no ranking (visíveis a todos os membros do Bolão).

Esses dados não são compartilhados com Usuários fora dos Bolões em que você participa.

5.3 Compartilhamento NÃO realizado

A Bolão FC NÃO vende, aluga ou comercializa dados pessoais dos Titulares para terceiros para fins de marketing, propaganda direcionada ou enriquecimento de bases de dados.

6. Transferência Internacional de Dados (TII)

Alguns Operadores listados na Seção 5 processam dados em servidores localizados fora do Brasil, especialmente nos Estados Unidos. Essa transferência é realizada com base nas hipóteses do art. 33 da LGPD:

Art. 33, II — necessária para a execução do contrato com o Titular (a Plataforma depende desses Operadores);
Art. 33, V — proteção do crédito e cumprimento de obrigação legal (apenas dados estritamente necessários).

6.1 Garantias de proteção

Para os Operadores nos EUA, exigimos contratualmente:

Cláusulas de proteção equivalentes às da LGPD;
Compromisso com práticas de segurança da informação (SOC 2, ISO 27001 ou equivalente);
Eliminação imediata dos dados após o término da prestação.

6.2 Local prioritário

Sempre que possível, priorizamos Operadores com processamento no Brasil (Supabase São Paulo, Mercado Pago, etc.) para minimizar TII.

7. Tempo de retenção dos dados

Cada categoria de dado possui prazo de retenção específico:

Categoria	Prazo
Conta ativa (cadastro, palpites, Bolões)	Enquanto a conta estiver ativa
Dados após encerramento da conta	Até 30 dias para eliminação completa
Logs de acesso (IP, data, user agent)	6 meses, conforme art. 15 do Marco Civil da Internet
Logs de aplicação (Server Actions, eventos críticos)	6 meses
Dados fiscais (comprovantes de pagamento premium)	5 anos, conforme legislação tributária
Comunicações por e-mail (envio e abertura)	12 meses
Lista de espera (waitlist)	Enquanto o consentimento estiver vigente
Dados anonimizados (estatísticas agregadas)	Indefinidamente (não constituem dados pessoais)

7.1 Eliminação antecipada

Você pode solicitar a eliminação antecipada dos seus dados a qualquer momento, ressalvadas as hipóteses legais de retenção (obrigação fiscal, processos judiciais em curso, segurança). Vide Seção 9 para procedimento.

8. Cookies e tecnologias similares

A Plataforma utiliza cookies (pequenos arquivos armazenados no seu dispositivo) e tecnologias similares para diferentes finalidades.

8.1 Cookies estritamente necessários

Não requerem consentimento prévio, conforme orientação da ANPD (Guia Orientativo sobre Cookies, 2022). Sem eles, a Plataforma não funciona:

Nome do cookie	Finalidade	Duração
`sb-access-token`	Token de autenticação Supabase	Sessão (até logout)
`sb-refresh-token`	Renovação de sessão Supabase	30 dias
`__cf_bm`	Proteção contra bots (Cloudflare)	30 minutos

8.2 Cookies de análise e desempenho (previstos)

Requerem consentimento prévio via banner na primeira visita. Você pode aceitar, recusar ou ajustar preferências a qualquer momento. Esses cookies só serão definidos após o consentimento expresso e após a ativação dos respectivos serviços de análise (atualmente em planejamento):

Nome do cookie	Finalidade	Duração
`_ga`, `_ga_*`	Google Analytics 4 — análise de uso (quando ativado)	2 anos
`ph_*`	PostHog — análise de uso e funcionalidades (quando ativado)	1 ano

Enquanto esses serviços não estiverem ativos, nenhum cookie de análise é definido na Plataforma.

8.3 Cookies de marketing

A Plataforma não utiliza cookies de marketing direcionado, retargeting ou advertising.

8.4 Gerenciamento de cookies

Você pode:

Aceitar ou recusar cookies não essenciais no banner de cookies da Plataforma;
Configurar seu navegador para bloquear ou alertar sobre cookies (vide instruções de cada navegador);
Solicitar a remoção dos seus dados de análise diretamente aos Operadores (Google, PostHog) conforme suas próprias políticas.

Atenção: desativar cookies essenciais impede o funcionamento da Plataforma (você não conseguirá fazer login).

9. Direitos do Titular

Conforme o art. 18 da LGPD, você tem direito a, mediante requisição:

9.1 Confirmação e acesso

Saber se tratamos seus dados pessoais e ter acesso a eles.

9.2 Correção

Solicitar a correção de dados incompletos, inexatos ou desatualizados.

9.3 Anonimização, bloqueio ou eliminação

Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

9.4 Portabilidade

Solicitar a portabilidade dos seus dados para outro fornecedor de serviço, em formato estruturado e interoperável (CSV, JSON), conforme regulamentação da ANPD.

9.5 Eliminação de dados tratados com consentimento

Solicitar a eliminação dos dados tratados com base no seu consentimento, exceto nas hipóteses de retenção previstas em lei.

9.6 Informação sobre compartilhamento

Receber informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados (vide Seção 5).

9.7 Informação sobre a possibilidade de não consentir

Ser informado sobre a possibilidade de não fornecer consentimento e as consequências dessa decisão.

9.8 Revogação de consentimento

Revogar o consentimento a qualquer tempo, sem prejuízo dos tratamentos já realizados com base no consentimento anterior.

9.9 Oposição ao tratamento

Opor-se ao tratamento realizado com base em outras hipóteses legais (legítimo interesse, cumprimento de obrigação legal), apresentando justificativa.

9.10 Revisão de decisões automatizadas

Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados que afetem seus interesses. A Plataforma não realiza esse tipo de decisão atualmente.

9.11 Como exercer seus direitos

Para qualquer solicitação acima:

Envie e-mail para contato@bolaofc.app.br;
Use o assunto: "LGPD - [tipo de solicitação]" (ex: "LGPD - Acesso", "LGPD - Eliminação");
Informe seu e-mail de cadastro;
Descreva sua solicitação.

Prazos de resposta:

Confirmação imediata (em formato simplificado): até 15 dias corridos;
Resposta completa (com dados detalhados ou ações realizadas): até 15 dias corridos prorrogáveis uma única vez por igual período, mediante justificativa.

Não cobramos taxa para o exercício dos seus direitos.

10. Medidas de segurança

Adotamos medidas técnicas e administrativas razoáveis e proporcionais aos riscos para proteger seus dados pessoais.

10.1 Medidas técnicas

HTTPS obrigatório em todas as comunicações (TLS 1.3);
Senhas e tokens armazenados com hash criptográfico forte (gerenciado pelo Supabase Auth);
Row Level Security (RLS) no banco de dados, isolando dados de cada Usuário;
Criptografia em repouso dos backups e bancos de dados;
Tokens de sessão com prazo limitado e renovação automática;
Proteção contra ataques comuns (CSRF, XSS, SQL injection, brute force) via frameworks modernos (Next.js + Supabase);
Monitoramento de erros (Sentry) e logs de auditoria.

10.2 Medidas administrativas

Princípio do menor privilégio no acesso aos dados pelos sistemas internos;
Treinamento contínuo do operador da Plataforma em proteção de dados;
Revisão periódica das políticas e contratos com Operadores;
Backups periódicos com retenção limitada;
Auditorias internas e externas conforme aplicável.

10.3 Limitações

Nenhuma medida de segurança é absoluta. Apesar dos nossos esforços, não podemos garantir 100% de proteção contra ataques cibernéticos sofisticados, vazamentos de Operadores ou comportamento negligente do próprio Titular (ex: compartilhamento de senha, acesso em rede pública insegura).

11. Resposta a incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares (vazamento, acesso não autorizado, perda de dados, etc.), a Bolão FC adotará os seguintes procedimentos:

11.1 Comunicação à ANPD

Notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) no prazo de até 3 (três) dias úteis da ciência do incidente, conforme art. 48 da LGPD e art. 5º da Resolução CD/ANPD nº 15/2024.

Prazo dobrado para pequeno porte: como a Bolão FC se enquadra como agente de tratamento de pequeno porte (operada por MEI), nos termos do art. 13 da mesma Resolução, o prazo é dobrado para 6 (seis) dias úteis, mediante declaração formal dessa condição à ANPD.

Informações complementares poderão ser fornecidas em até 20 (vinte) dias úteis após a notificação inicial.

11.2 Comunicação aos Titulares

Comunicaremos os Titulares afetados por e-mail registrado na Plataforma, descrevendo:

A natureza do incidente;
Os dados envolvidos;
O risco potencial;
As medidas tomadas para conter o incidente;
As medidas recomendadas ao Titular (alteração de senha, monitoramento, etc.).

11.3 Investigação e mitigação

Investigaremos a causa-raiz do incidente;
Adotaremos medidas corretivas para evitar recorrência;
Manteremos registro do incidente e das ações tomadas para fins de auditoria.

11.4 Registro obrigatório de incidentes

Conforme art. 8º da Resolução CD/ANPD nº 15/2024, manteremos registro interno de TODOS os incidentes de segurança envolvendo dados pessoais, incluindo aqueles não comunicados à ANPD por baixa relevância de risco. Este registro é mantido por período mínimo de 5 (cinco) anos, contendo:

(a) descrição do incidente; (b) categoria e quantidade aproximada de Titulares afetados; (c) categoria e quantidade aproximada de dados envolvidos; (d) consequências do incidente; (e) medidas adotadas para conter, mitigar e prevenir recorrência.

12. Tratamento de dados de crianças e adolescentes

A Bolão FC é destinada exclusivamente a pessoas com 18 (dezoito) anos ou mais. Não tratamos intencionalmente dados pessoais de menores de 18 anos, conforme art. 14 da LGPD.

12.1 Procedimento em caso de identificação

Se identificarmos, a qualquer momento, cadastro de menor de idade:

A conta será encerrada imediatamente, sem aviso prévio;
Os dados pessoais coletados serão eliminados no menor prazo técnico possível, ressalvadas hipóteses legais de retenção (logs de acesso, obrigações fiscais);
Notificaremos o responsável legal, quando identificado.

12.2 Denúncia

Se você é responsável legal de menor cujos dados estão na Plataforma, ou identifica uso indevido por menor, envie e-mail para contato@bolaofc.app.br com o assunto "Menor de idade - [descrição]".

13.1 E-mails transacionais

Enviamos e-mails operacionais necessários para a prestação do Serviço (confirmações, notificações de Bolão, alertas de segurança). Esses e-mails são necessários ao contrato e não podem ser desabilitados sem encerramento da conta.

13.2 E-mails informativos (lista de espera)

Caso você se cadastre na waitlist antes do lançamento, enviaremos comunicações sobre:

Atualizações do lançamento;
Novidades relevantes da Plataforma;
Convite para o uso após o lançamento.

Esses e-mails são enviados com base no consentimento expresso marcado no momento do cadastro. Você pode revogar o consentimento a qualquer momento, clicando em "Cancelar inscrição" no rodapé do e-mail ou enviando solicitação para contato@bolaofc.app.br.

A Plataforma pode, futuramente, oferecer uma newsletter opcional. O cadastro será opt-in (você precisa marcar para se inscrever) e o cancelamento sempre disponível.

13.4 Comunicações de marketing direcionado

A Plataforma não envia mensagens de marketing direcionado com base em segmentação de dados pessoais (ex: "ofertas baseadas no seu comportamento"). Não fazemos profiling para fins publicitários.

14. Encarregado pelo Tratamento de Dados (DPO)

Conforme art. 41 da LGPD, indicamos o Encarregado de Proteção de Dados Pessoais como ponto de contato entre o Controlador, os Titulares e a ANPD:

E-mail: contato@bolaofc.app.br
Forma de contato: e-mail com o assunto "DPO - [tipo de solicitação]"
Prazo de resposta: até 15 dias corridos

O Encarregado é responsável por:

Atender solicitações de Titulares e da ANPD;
Orientar sobre práticas de proteção de dados internamente;
Acompanhar incidentes e auditorias;
Atualizar esta Política conforme a evolução regulatória.

15. Atualizações desta Política

Esta Política pode ser atualizada a qualquer tempo para refletir mudanças na legislação, em decisões da ANPD, ou na operação da Plataforma.

15.1 Notificação

Em caso de alteração material, comunicaremos:

Por e-mail registrado na Plataforma;
Por aviso destacado na Plataforma, com antecedência mínima de 15 (quinze) dias.

15.2 Versionamento

Mantemos histórico das versões anteriores desta Política. Mediante solicitação por e-mail, fornecemos a versão vigente em determinada data.

15.3 Aceite continuado

O uso continuado da Plataforma após a entrada em vigor da nova versão configura aceite tácito. Caso não concorde com as alterações, você pode encerrar sua conta antes da vigência.

16. Reclamações e Autoridade competente

Caso você considere que seus direitos sob a LGPD não foram adequadamente atendidos pela Bolão FC, pode:

16.1 Recorrer ao DPO

Primeira instância — envie e-mail para contato@bolaofc.app.br detalhando a reclamação.

16.2 Reclamar à ANPD

Você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):

Site: https://www.gov.br/anpd/pt-br
Canal de atendimento: https://www.gov.br/anpd/pt-br/canais_atendimento

16.3 Recurso ao Poder Judiciário

Independentemente dos canais acima, você pode recorrer ao Poder Judiciário. Foro de eleição: São José do Rio Preto/SP, ressalvado o direito do consumidor de optar pelo foro do seu domicílio, conforme CDC.

17. Contato

Para dúvidas sobre esta Política, exercício de direitos LGPD, ou qualquer outra questão relacionada à privacidade:

E-mail principal: contato@bolaofc.app.br
Endereço: São José do Rio Preto/SP
CNPJ: 51.532.860/0001-07
Plataforma: https://bolaofc.app.br

Ao criar uma conta na Plataforma ou se cadastrar na lista de espera, você confirma que leu, entendeu e concorda integralmente com esta Política de Privacidade, em complementação aos Termos de Uso.