Política de Privacidade

Controlador dos dados: [Razão Social — Gesso Azevedo], CNPJ [CNPJ], sede em [endereço completo].

Encarregado de Proteção de Dados (DPO): [nome do DPO ou equipe responsável], contato [privacidade@dominio].

Coletamos somente o necessário para operar a campanha:

• Cadastro: nome completo, e-mail, telefone, senha (armazenada com hash bcrypt — nunca em texto puro).
• Opcionais: CPF (para vincular compras presenciais), cidade e UF (estatística da campanha).
• Atividade na Plataforma: palpites enviados, pontos acumulados, prêmios resgatados, indicações.
• Compras presenciais: número da venda, loja (Benfica/Caxias), data e valor — informados pelas lojas para crédito de pontos.
• Técnicos: endereço IP, user-agent do navegador e timestamps das ações, registrados em log de auditoria imutável.

• Operar a mecânica de palpites, pontuação e ranking.
• Validar elegibilidade e entregar prêmios.
• Permitir recuperação de senha e comunicações transacionais (e-mail).
• Detectar e prevenir fraude (multi-conta, bots, exploração de falhas).
• Cumprir obrigações legais e fiscais decorrentes da promoção comercial.
• Responder a solicitações de titulares (LGPD art. 18).

• Consentimento (art. 7º, I) — coletado ao aceitar estes Termos no cadastro.
• Execução de contrato/oferta (art. 7º, V) — para operar a mecânica da campanha.
• Cumprimento de obrigação legal/regulatória (art. 7º, II) — fiscal e SEAE/Caixa quando aplicável.
• Legítimo interesse (art. 7º, IX) — log de auditoria para integridade da disputa e prevenção a fraude.

• Lojas Benfica e Caxias (Gesso Azevedo) — para validar compras e creditar pontos. Compartilhamos apenas o necessário (telefone/e-mail/CPF) para a casamento da venda.
• Amazon Web Services (AWS) — operador de infraestrutura (hospedagem, banco de dados, e-mail transacional). Veja item 6.
• Autoridades competentes — quando exigido por lei, ordem judicial ou para proteger direitos da Promotora ou de terceiros.

Não vendemos seus dados a terceiros e não os usamos para publicidade fora desta campanha.

A infraestrutura da Plataforma é hospedada na AWS — região us-east-1 (Norte da Virgínia, EUA). Isso significa que seus dados pessoais são transferidos internacionalmente para fins de armazenamento e processamento. A AWS, como operadora, atende a padrões internacionais de segurança e privacidade (incluindo a LGPD em seus contratos para clientes brasileiros).

Base legal da transferência: artigo 33 da LGPD (transferência necessária para execução de contrato e por garantias da operadora).

• Dados de cadastro e atividade da campanha: durante a vigência da campanha + 6 meses para resgates e contestações.
• Dados fiscais (relacionados a prêmios entregues): 5 anos, conforme legislação tributária brasileira.
• Log de auditoria: retido enquanto necessário para integridade da disputa e prevenção a fraude.
• Backups de banco de dados: retenção limitada conforme política operacional, criptografados em repouso.
• Após esses prazos, os dados são eliminados ou anonimizados.

Você pode, a qualquer momento, solicitar:

• Confirmação de tratamento dos seus dados.
• Acesso aos dados que mantemos sobre você.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
• Portabilidade dos dados a outro fornecedor, conforme regulamentação da ANPD.
• Eliminação dos dados pessoais tratados com base em consentimento.
• Informação sobre com quem compartilhamos seus dados.
• Revogação do consentimento a qualquer momento.

Para exercer qualquer direito, contate o DPO em [privacidade@dominio]. Responderemos em até 15 dias.

Usamos um cookie de sessão (httpOnly, SameSite=lax, criptografado) com finalidade exclusiva de manter o login enquanto você navega. Não usamos cookies de publicidade nem rastreamento de terceiros. Você pode limpar cookies a qualquer momento nas configurações do navegador — fará logout automaticamente.

• Senhas armazenadas com hash bcrypt (cost 12).
• Tráfego HTTPS com TLS 1.3 ponta a ponta.
• Banco de dados e backups criptografados em repouso (KMS).
• Acesso administrativo segregado por papel (RBAC) e auditável.
• Rate-limit em rotas críticas, headers de segurança (CSP, HSTS, X-Frame-Options).
• Monitoramento de segurança contínuo (GuardDuty).

Nenhum sistema é 100% imune. Em caso de incidente envolvendo seus dados, comunicaremos a ANPD e os titulares afetados conforme art. 48 da LGPD.

A Plataforma destina-se exclusivamente a maiores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes. Se identificarmos cadastro de menor, removeremos os dados.

Esta Política pode ser atualizada para refletir mudanças legais, regulatórias ou operacionais. A versão e a data sempre constam no topo do documento. Alterações materiais serão comunicadas por aviso na Plataforma e/ou por e-mail.

Encarregado de Proteção de Dados (DPO): [privacidade@dominio].
Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd.