CraqueIA · Legal

Política de Privacidade

LGPD · Lei 13.709/2018

Política de Privacidade

Última atualização: 11 de junho de 2026Versão 1.0

Resumo prático

A CraqueIA coleta o mínimo necessário pra funcionar (email, senha hash, data de nascimento, palpites, IP, device). Não vendemos seus dados. Compartilhamos com Kiwify, Asaas, Anthropic, Vercel e Neon para entregar o serviço — todos sob contrato e LGPD. Você pode acessar, corrigir, exportar e excluir seus dados quando quiser. Dúvidas: dpo@craqueia.com.br.

1.Quem é o Controlador

[RAZÃO SOCIAL], inscrita no CNPJ sob nº [CNPJ], com sede em [ENDEREÇO], é a Controladora dos dados pessoais coletados pela plataforma CraqueIA, nos termos do art. 5º VI da LGPD.

2.O que coletamos

2.1 Dados que você fornece

DadoQuandoPor quêBase legal
EmailSignupAutenticação, comunicaçãoExecução de contrato
Senha (hash bcrypt)SignupAutenticaçãoExecução de contrato
NicknameOnboardingExibição em rankingExecução de contrato
Data de nascimentoSignupValidação 18+Obrigação legal (LGPD art. 14 + ECA)
CPFNo payout PixObrigação fiscal (DIRF), KYC PLDObrigação legal
Chave PixNo payoutPagamento de prêmioExecução de contrato
Foto de perfil (opcional)CustomizaçãoExibição em rankingConsentimento
EndereçoResgate de prêmio físicoLogística de envioExecução de contrato

2.2 Dados gerados pelo seu uso

DadoPor quêBase legal
Palpites e resultadosPontuação, ranking, apuraçãoExecução de contrato
Histórico de torneiosRanking, comprovação fiscalContrato + obrigação legal
Transações coins/PixAuditoria, antifraudeContrato + obrigação legal
Conversas com Coach IAGerar resposta + qualidadeContrato + legítimo interesse
Dados PvPMatchmaking, anti-cheatExecução de contrato

2.3 Dados coletados automaticamente

DadoPor quêBase legal
Endereço IPSegurança, Marco CivilObrigação legal + legítimo interesse
Device / SO / versãoCompatibilidade, anti-abuseLegítimo interesse
Push tokenEnviar notificaçãoConsentimento
Geo-IP aproximadoConteúdo regional, antifraudeLegítimo interesse
Logs de erroDiagnosticar bugLegítimo interesse

2.4 Dados que NÃO coletamos

  • Dados sensíveis (origem racial, religião, opinião política, saúde, vida sexual, biometria — exceto selfie KYC opcional acima de R$ 5k, processada e descartada)
  • Dados de menores de 18 anos (age gate bloqueia o cadastro)
  • GPS contínuo ou localização precisa
  • Conteúdo de mensagens privadas (não há DM nesta versão)
  • Contatos do telefone, microfone, câmera ou galeria (exceto upload voluntário de foto)

3.Por que tratamos seus dados

FinalidadeBase legal LGPD
Criar e manter sua contaExecução de contrato (art. 7 V)
Apurar palpites e distribuir prêmiosContrato + obrigação legal (RFB)
Cobrar Premium e coins (Kiwify)Execução de contrato
Pagar prêmios via Pix (Asaas)Contrato + obrigação legal
Gerar análise com Coach IAContrato + legítimo interesse
Prevenção a fraude, multi-conta, PLDLegítimo interesse + obrigação legal
Notificações de jogo/torneioConsentimento (push) + contrato
Marketing e ofertasConsentimento (opt-in claro)
Analytics e melhoriaLegítimo interesse (dados agregados)
Cumprir ordem judicialObrigação legal
Não tratamos seus dados para finalidades incompatíveis com as acima, a menos que tenhamos consentimento específico novo.

4.Com quem compartilhamos

Compartilhamos somente o estritamente necessário, sob contrato com cláusulas LGPD (operadores):

ParceiroFinalidadeSedeDados
KiwifyPagamento Premium/coinsBrasilEmail, CPF, pagamento
AsaasPayouts PixBrasilNome, CPF, chave Pix
Anthropic (Claude)Coach IAEUAPergunta + contexto (sem PII)
VercelHospedagemEUALogs de acesso
NeonBanco de dadosEUADados do usuário
Email transacionalRecibos, recuperaçãoEUAEmail
api-footballEstatística de jogoVariávelNenhum dado pessoal
Autoridade públicaRequisição formalBrasilApenas o exigido
Não vendemos seus dados. Não compartilhamos com data brokers. Não autorizamos uso secundário pelos operadores.

5.Transferência internacional

Anthropic, Vercel, Neon e Sentry possuem servidores fora do Brasil (predominantemente EUA). A transferência é amparada por:

  • Cumprimento de obrigação contratual com o titular (LGPD art. 33 II)
  • Cláusulas contratuais específicas com cada provedor (ANPD Resolução CD/ANPD 19/2024)
  • Pseudonimização sempre que viável (Coach IA recebe contexto sem nome/email vinculado)

6.Cookies e tecnologias similares

CategoriaPode desligar?Consequência
Essenciais (sessão, CSRF)NãoSem ele o app não funciona
Funcionais (tema, preferências)SimReverá banners, perde preferências
Analytics (pseudonimizado)SimNão nos ajuda a melhorar
Marketing (pixel)SimNão veremos eficácia de campanha

Um banner de consentimentoaparece no primeiro acesso (“Aceitar todos”, “Apenas essenciais”, “Personalizar” — sem dark pattern). Você pode reabrir o gerenciador a qualquer momento em /cookies ou pelo rodapé.

7.Por quanto tempo guardamos

CategoriaPrazoBase
Conta ativaEnquanto existirExecução de contrato
Após encerramento5 anosObrigação fiscal (IN RFB 1.500)
Logs de acesso6 meses (mín.) / 24 mesesMarco Civil art. 15 + segurança
Conversas Coach IA12 mesesLegítimo interesse
Email marketing (pós opt-out)Imediato + metadado 12 mesesConsentimento revogado
BackupsAté 90 dias após exclusãoRecuperação de desastre

8.Seus direitos (art. 18 LGPD)

Como titular, você tem direito a:

  1. Confirmação de que tratamos seus dados
  2. Acesso aos dados (cópia gratuita até 2x/ano)
  3. Correção de dados incompletos ou desatualizados
  4. Anonimização, bloqueio ou eliminação de dados desnecessários
  5. Portabilidade (formato estruturado, JSON)
  6. Eliminação dos dados tratados com base em consentimento
  7. Informação sobre com quem compartilhamos
  8. Informação sobre a possibilidade de não consentir
  9. Revogação do consentimento (efeito prospectivo)
  10. Revisão de decisões automatizadas (incluindo Coach IA)
  11. Oposição a tratamento por legítimo interesse
  12. Reclamação à ANPD (gov.br/anpd)

Como exercer

  • Canal preferencial: dpo@craqueia.com.br
  • Auto-serviço: /profile/conta (exportar JSON, corrigir dados, encerrar conta)
  • Prazo: até 15 dias úteis (art. 18 §3º) · Custo: zero

9.Como protegemos seus dados

  • Senhas com hash bcrypt (nunca em texto claro)
  • Comunicação criptografada (HTTPS/TLS 1.2+)
  • Banco de dados em rede privada (Neon Postgres em VPC isolada)
  • Tokens JWT com expiração curta + refresh revogáveis
  • Princípio do menor privilégio em logs e acessos
  • Backup criptografado diário (retenção 90 dias)
  • Auditoria de acesso a tabelas sensíveis

Política de incidentes

  1. Contenção imediata da brecha
  2. Avaliação de escopo e impacto em até 48h
  3. Comunicação à ANPD em prazo razoável (até 72h)
  4. Comunicação aos titulares afetados com medidas adotadas
  5. RCA e plano de remediação publicados

10.Crianças e adolescentes

A CraqueIA é destinada exclusivamente a maiores de 18 anos. Não coletamos dados de menores deliberadamente. Se identificarmos que um titular é menor:

  1. Suspendemos imediatamente o acesso
  2. Excluímos os dados em até 7 dias
  3. Notificamos o responsável legal pelo email cadastrado
  4. Valores em coins, Premium ou prêmios pendentes são devolvidos ao responsável legal mediante comprovação de relação parental

Para denunciar suposta conta de menor: denuncia@craqueia.com.br.

11.Inteligência Artificial (Coach IA)

Atendendo ao Mapa de Temas Prioritários da ANPD 2026-2027 (IA e tecnologias emergentes), informamos:

  • Tipo de IA: modelo de linguagem (Claude da Anthropic) com prompt engineering customizado
  • Dado processado: pergunta do usuário + contexto da partida (sem PII vinculável)
  • Decisão automatizada? Não. Respostas são análises probabilísticas, nunca vinculantes
  • Direito de revisão (art. 20): revisão humana ou opt-out completo a qualquer momento
  • Treinamento: não usamos suas conversas para retreinar modelos; a Anthropic também não (zero data retention API)

DPIA (Relatório de Impacto) do Coach IA disponível mediante requisição em dpo@craqueia.com.br (art. 38 LGPD).

12.Atualizações desta Política

Mudanças relevantes (novas finalidades, novos compartilhamentos, redução de direitos) serão comunicadas com 30 dias de antecedência por email e banner, com novo consentimento quando aplicável. A versão atual está sempre publicada em craqueia.com.br/privacidade com data de última atualização.

13.Como falar sobre privacidade

Documento oficial CraqueIA · Versão 1.0 · Vigente a partir de 11 de junho de 2026.

Dúvidas sobre este documento: dpo@craqueia.com.br (proteção de dados) ou suporte@craqueia.com.br (geral).

Jogo de habilidade · Skill-based · Não é casa de aposta · 18+