Política de Privacidade
Versão 2026-05-25 · Conforme LGPD (Lei 13.709/18)
1. Dados que coletamos
| Dado | Finalidade | Base legal |
|---|---|---|
| Login + comunicação | Contrato | |
| Senha (hash argon2) | Autenticação | Contrato |
| Nome completo | Identificação contábil | Contrato / Obrigação legal |
| CPF (armazenado como hash HMAC, NÃO o número) | Validação +18 + prevenção de fraude | Obrigação legal + Legítimo interesse |
| Data de nascimento | Validação +18 | Obrigação legal |
| IP + user-agent (logs de auditoria) | Segurança + prevenção de fraude | Legítimo interesse |
| Histórico de pagamentos | Cobrança + emissão de nota | Contrato + Obrigação legal |
| Cookie de sessão | Manter você logado | Essencial |
2. CPF — como protegemos
Seu CPF nunca é armazenado em texto puro. Aplicamos HMAC-SHA256 com uma chave secreta antes de salvar. Isso permite verificar duplicação e bloquear novo cadastro do mesmo CPF (anti-fraude do programa de garantia), mas torna matematicamente impraticável recuperar o CPF a partir do banco. Para exibir no seu perfil mostramos apenas a versão mascarada (123.***.***-89).
3. Compartilhamento
Compartilhamos dados estritamente necessários com operadores:
- Abacate Pay: processamento de pagamento PIX (recebe nome + email + CPF).
- Resend: envio de emails transacionais (recebe email + conteúdo do email).
Não vendemos, não compartilhamos pra marketing, não passamos pra terceiros sem base legal explícita.
4. Retenção
- Dados de conta ativa: enquanto durar a relação contratual.
- Após exclusão da conta: anonimizamos. Histórico de pagamentos mantido por 5 anos (obrigação contábil).
- Hash de CPF de usuários que pediram reembolso: permanente (anti-fraude — garante que a garantia de 7 dias é usada apenas uma vez por CPF), mesmo após exclusão da conta.
- Logs de auditoria: 1 ano.
5. Seus direitos (LGPD art. 18)
Você pode:
- Confirmar a existência de tratamento dos seus dados;
- Acessar os dados que mantemos sobre você;
- Corrigir dados incompletos ou desatualizados;
- Pedir anonimização ou eliminação (com ressalva: dados de retenção legal e o hash de CPF de refund permanecem);
- Pedir portabilidade dos dados pra outro fornecedor;
- Revogar consentimento.
Pra exercer qualquer direito, entre em contato com o DPO: dpo@oddsradar.com.br
6. Cookies
Usamos apenas cookies essenciais (sessão de autenticação). Sem rastreamento, sem analytics de terceiros.
7. Segurança
Senhas são hasheadas com argon2 (estado da arte). Conexões via HTTPS com HSTS. Backups criptografados. Acesso à infra restrito por SSH key. Em caso de incidente de segurança, notificaremos os afetados e a ANPD conforme exigido pela LGPD.
8. Alterações
Mudanças nesta política são notificadas por email. Continuar usando o serviço após a notificação significa concordância.