DraftKlub

Política de Privacidade

Como cuidamos dos seus dados

Versão 2026-04-29-v1. Em vigor a partir de 29/04/2026.

1. Quem somos

DraftKlub é uma plataforma de gestão de clubes esportivos, condomínios, escolas e espaços públicos. Esta política descreve como tratamos seus dados pessoais conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018, LGPD).

2. Encarregado (DPO)

Dúvidas, exercício de direitos ou denúncias relacionadas a dados pessoais devem ser enviadas para nosso Encarregado pelo e-mail dpo@draftklub.com. Respondemos em até 15 dias úteis.

3. Dados que coletamos

  • Identidade: nome, e-mail, telefone, data de nascimento, gênero, foto de perfil.
  • Documentos fiscais: CPF (necessário pra emissão de nota fiscal e fluxos de pagamento). Armazenado cifrado em repouso.
  • Endereço: CEP, logradouro, número, complemento, bairro, cidade, UF. Armazenado cifrado em repouso (exceto cidade/UF, usados em busca de Klubs).
  • Localização aproximada: latitude/longitude derivadas do CEP via BrasilAPI, pra recurso "Klubs próximos".
  • Atividade esportiva: reservas de quadra, inscrições em torneios, resultados de partidas, ranking.
  • Dados técnicos: logs de acesso, IP, user-agent, eventos de auditoria (quem fez o quê).

4. Bases legais (Art. 7º LGPD)

  • Consentimento(Art. 7º I): coletamos via aceite explícito no cadastro. Pode ser revogado a qualquer momento via “Excluir conta”.
  • Execução de contrato (Art. 7º V): pra te entregar o serviço de reservas, torneios, ranking.
  • Cumprimento de obrigação legal (Art. 7º II): emissão de notas fiscais (CPF), retenção de logs por prazos legais.
  • Legítimo interesse (Art. 7º IX): segurança da plataforma, prevenção a fraude, melhoria do produto.

5. Compartilhamento

  • Firebase Authentication (Google): autenticação de login. Política de privacidade do Google aplicável.
  • Firebase Storage: armazenamento de fotos de perfil e do Klub.
  • BrasilAPI: consulta pública de CEP e CNPJ (sem envio de dados pessoais sensíveis).
  • Resend: envio de e-mails transacionais (confirmações, lembretes).
  • Google Cloud (Brasil): hospedagem da API e banco de dados em região brasileira.
  • Sentry: rastreamento de erros (sem dados pessoais, payloads são redatados).

Não vendemos seus dados a terceiros. Nunca. Compartilhamento publicitário não faz parte do nosso modelo de negócio.

5.1. Transferência internacional de dados (Art. 33 LGPD)

A nossa infraestrutura principal (API, banco de dados e armazenamento de arquivos) roda no Google Cloud em região brasileira (São Paulo, southamerica-east1). Ainda assim, alguns dos fornecedores acima são serviços globais e podem tratar parte dos seus dados fora do Brasil (tipicamente nos Estados Unidos e/ou na União Europeia):

  • Firebase Authentication (Google): credenciais e identificadores de login podem ser processados em infraestrutura global da Google, incluindo os EUA.
  • Resend: o conteúdo dos e-mails transacionais (incluindo o seu e-mail e nome) é processado pelo fornecedor, sediado nos EUA, para a entrega da mensagem.
  • Sentry: a telemetria de erros (com payloads redatados, sem dados pessoais sensíveis) pode ser processada em infraestrutura fora do Brasil.

Essa transferência ocorre quando é necessária para a execução do contrato com você (Art. 33, IX combinado com Art. 7º, V: login, envio de e-mails, operação segura da plataforma). Selecionamos fornecedores que oferecem salvaguardas contratuais e técnicas de proteção de dados (cláusulas-padrão de proteção e compromissos de segurança dos respectivos contratos de tratamento). Não realizamos transferência internacional para fins publicitários ou de venda de dados.

6. Cookies e armazenamento local

Não usamos cookies de rastreamento, de publicidade nem de terceiros. Não há Google Analytics, pixels de redes sociais ou qualquer ferramenta de perfilamento publicitário no DraftKlub. O que o app guarda no seu navegador:

  • 1 cookie funcional próprio (dk_last_klub_slug): lembra o último Klub que você visitou, por até 30 dias, só pra te levar de volta mais rápido. Não identifica você nem é compartilhado.
  • Sessão de login (Firebase Auth): os tokens de autenticação ficam no armazenamento local do navegador (IndexedDB/localStorage). Sem eles, não dá pra manter você logado.
  • Preferências de interface em localStorage: ex. quantas quadras exibir por página, se você dispensou o aviso de instalação do app, e o rascunho do formulário de criação de Klub (apagado automaticamente após 24h).
  • Cache do aplicativo (PWA): o service worker guarda arquivos estáticos (ícones, telas) pra carregamento rápido e instalação como app.
  • Métricas de produto próprias: eventos de uso (ex. cadastro, reserva criada) são enviados pra nossa própria API e armazenados no nosso banco de dados no Brasil, sem fornecedor externo de analytics.
  • Telemetria de erros (Sentry): apenas quando ocorre um erro técnico, conforme a seção 5.

Você pode limpar tudo isso nas configurações do navegador (limpar dados do site); a única consequência é precisar fazer login de novo e perder preferências de exibição.

7. Seus direitos (Art. 18 LGPD)

Você tem direito de:

  • Confirmar e acessar os dados que temos sobre você, disponível no perfil e via GET /me/export.
  • Corrigir dados incompletos ou inexatos, disponível no perfil.
  • Anonimizar/excluirdados desnecessários, botão “Excluir conta” em /profile/access.
  • Portabilidade em formato JSON, endpoint /me/export.
  • Informação sobre compartilhamentos, listados na seção 5.
  • Revogar consentimento a qualquer momento.

8. Retenção

Mantemos seus dados enquanto sua conta estiver ativa. Após exclusão, anonimizamos campos de identidade pessoal (CPF, e-mail, nome, telefone, endereço) mas preservamos o registro mínimo necessário pra integridade de reservas, torneios e ranking (exigência de outros usuários que dependem desses históricos).

Logs de auditoria de eventos sensíveis são mantidos por 5 anos (forensics + obrigação legal) e apagados automaticamente depois disso.

Inscrições de notificação push (dispositivos cadastrados pra receber avisos) sem uso há mais de 180 dias são removidas automaticamente.

9. Segurança

  • Comunicação 100% via HTTPS com HSTS.
  • CPF e endereço cifrados em repouso (AES-256-GCM).
  • Senhas armazenadas pelo Firebase Auth (nunca pelo DraftKlub).
  • Audit log estruturado de todas as ações sensíveis.
  • Rate limiting + Helmet + CSP em todas as rotas.
  • Backup do banco com retenção de 30 dias e PITR.

10. Crianças e adolescentes

O DraftKlub é destinado a maiores de 18 anos. No cadastro, o usuário declara ter 18 anos ou mais, ou ser o responsável legal do titular da conta (LGPD, Art. 14). Quando um responsável cria a conta em nome de um menor, ele atua como titular dos dados e responde pelo consentimento. O e-mail dpo@draftklub.com recebe pedidos de remoção imediatos.

11. Mudanças nesta política

Quando alterarmos materialmente esta política, a versão muda (ex.: 2026-04-29-v2) e todos os usuários ativos são notificados por e-mail e precisam aceitar a nova versão na próxima sessão.

12. Autoridade de proteção

Reclamações também podem ser enviadas à ANPD (Autoridade Nacional de Proteção de Dados): gov.br/anpd.