Política de Privacidade
Como cuidamos dos seus dados
Versão 2026-04-29-v1. Em vigor a partir de 29/04/2026.
1. Quem somos
DraftKlub é uma plataforma de gestão de clubes esportivos, condomínios, escolas e espaços públicos. Esta política descreve como tratamos seus dados pessoais conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018, LGPD).
2. Encarregado (DPO)
Dúvidas, exercício de direitos ou denúncias relacionadas a dados pessoais devem ser enviadas para nosso Encarregado pelo e-mail dpo@draftklub.com. Respondemos em até 15 dias úteis.
3. Dados que coletamos
- Identidade: nome, e-mail, telefone, data de nascimento, gênero, foto de perfil.
- Documentos fiscais: CPF (necessário pra emissão de nota fiscal e fluxos de pagamento). Armazenado cifrado em repouso.
- Endereço: CEP, logradouro, número, complemento, bairro, cidade, UF. Armazenado cifrado em repouso (exceto cidade/UF, usados em busca de Klubs).
- Localização aproximada: latitude/longitude derivadas do CEP via BrasilAPI, pra recurso "Klubs próximos".
- Atividade esportiva: reservas de quadra, inscrições em torneios, resultados de partidas, ranking.
- Dados técnicos: logs de acesso, IP, user-agent, eventos de auditoria (quem fez o quê).
4. Bases legais (Art. 7º LGPD)
- Consentimento(Art. 7º I): coletamos via aceite explícito no cadastro. Pode ser revogado a qualquer momento via “Excluir conta”.
- Execução de contrato (Art. 7º V): pra te entregar o serviço de reservas, torneios, ranking.
- Cumprimento de obrigação legal (Art. 7º II): emissão de notas fiscais (CPF), retenção de logs por prazos legais.
- Legítimo interesse (Art. 7º IX): segurança da plataforma, prevenção a fraude, melhoria do produto.
5. Compartilhamento
- Firebase Authentication (Google): autenticação de login. Política de privacidade do Google aplicável.
- Firebase Storage: armazenamento de fotos de perfil e do Klub.
- BrasilAPI: consulta pública de CEP e CNPJ (sem envio de dados pessoais sensíveis).
- Resend: envio de e-mails transacionais (confirmações, lembretes).
- Google Cloud (Brasil): hospedagem da API e banco de dados em região brasileira.
- Sentry: rastreamento de erros (sem dados pessoais, payloads são redatados).
Não vendemos seus dados a terceiros. Nunca. Compartilhamento publicitário não faz parte do nosso modelo de negócio.
5.1. Transferência internacional de dados (Art. 33 LGPD)
A nossa infraestrutura principal (API, banco de dados e armazenamento de arquivos) roda no Google Cloud em região brasileira (São Paulo, southamerica-east1). Ainda assim, alguns dos fornecedores acima são serviços globais e podem tratar parte dos seus dados fora do Brasil (tipicamente nos Estados Unidos e/ou na União Europeia):
- Firebase Authentication (Google): credenciais e identificadores de login podem ser processados em infraestrutura global da Google, incluindo os EUA.
- Resend: o conteúdo dos e-mails transacionais (incluindo o seu e-mail e nome) é processado pelo fornecedor, sediado nos EUA, para a entrega da mensagem.
- Sentry: a telemetria de erros (com payloads redatados, sem dados pessoais sensíveis) pode ser processada em infraestrutura fora do Brasil.
Essa transferência ocorre quando é necessária para a execução do contrato com você (Art. 33, IX combinado com Art. 7º, V: login, envio de e-mails, operação segura da plataforma). Selecionamos fornecedores que oferecem salvaguardas contratuais e técnicas de proteção de dados (cláusulas-padrão de proteção e compromissos de segurança dos respectivos contratos de tratamento). Não realizamos transferência internacional para fins publicitários ou de venda de dados.
6. Cookies e armazenamento local
Não usamos cookies de rastreamento, de publicidade nem de terceiros. Não há Google Analytics, pixels de redes sociais ou qualquer ferramenta de perfilamento publicitário no DraftKlub. O que o app guarda no seu navegador:
- 1 cookie funcional próprio (
dk_last_klub_slug): lembra o último Klub que você visitou, por até 30 dias, só pra te levar de volta mais rápido. Não identifica você nem é compartilhado. - Sessão de login (Firebase Auth): os tokens de autenticação ficam no armazenamento local do navegador (IndexedDB/localStorage). Sem eles, não dá pra manter você logado.
- Preferências de interface em localStorage: ex. quantas quadras exibir por página, se você dispensou o aviso de instalação do app, e o rascunho do formulário de criação de Klub (apagado automaticamente após 24h).
- Cache do aplicativo (PWA): o service worker guarda arquivos estáticos (ícones, telas) pra carregamento rápido e instalação como app.
- Métricas de produto próprias: eventos de uso (ex. cadastro, reserva criada) são enviados pra nossa própria API e armazenados no nosso banco de dados no Brasil, sem fornecedor externo de analytics.
- Telemetria de erros (Sentry): apenas quando ocorre um erro técnico, conforme a seção 5.
Você pode limpar tudo isso nas configurações do navegador (limpar dados do site); a única consequência é precisar fazer login de novo e perder preferências de exibição.
7. Seus direitos (Art. 18 LGPD)
Você tem direito de:
- Confirmar e acessar os dados que temos sobre você, disponível no perfil e via
GET /me/export. - Corrigir dados incompletos ou inexatos, disponível no perfil.
- Anonimizar/excluirdados desnecessários, botão “Excluir conta” em /profile/access.
- Portabilidade em formato JSON, endpoint
/me/export. - Informação sobre compartilhamentos, listados na seção 5.
- Revogar consentimento a qualquer momento.
8. Retenção
Mantemos seus dados enquanto sua conta estiver ativa. Após exclusão, anonimizamos campos de identidade pessoal (CPF, e-mail, nome, telefone, endereço) mas preservamos o registro mínimo necessário pra integridade de reservas, torneios e ranking (exigência de outros usuários que dependem desses históricos).
Logs de auditoria de eventos sensíveis são mantidos por 5 anos (forensics + obrigação legal) e apagados automaticamente depois disso.
Inscrições de notificação push (dispositivos cadastrados pra receber avisos) sem uso há mais de 180 dias são removidas automaticamente.
9. Segurança
- Comunicação 100% via HTTPS com HSTS.
- CPF e endereço cifrados em repouso (AES-256-GCM).
- Senhas armazenadas pelo Firebase Auth (nunca pelo DraftKlub).
- Audit log estruturado de todas as ações sensíveis.
- Rate limiting + Helmet + CSP em todas as rotas.
- Backup do banco com retenção de 30 dias e PITR.
10. Crianças e adolescentes
O DraftKlub é destinado a maiores de 18 anos. No cadastro, o usuário declara ter 18 anos ou mais, ou ser o responsável legal do titular da conta (LGPD, Art. 14). Quando um responsável cria a conta em nome de um menor, ele atua como titular dos dados e responde pelo consentimento. O e-mail dpo@draftklub.com recebe pedidos de remoção imediatos.
11. Mudanças nesta política
Quando alterarmos materialmente esta política, a versão muda (ex.: 2026-04-29-v2) e todos os usuários ativos são notificados por e-mail e precisam aceitar a nova versão na próxima sessão.
12. Autoridade de proteção
Reclamações também podem ser enviadas à ANPD (Autoridade Nacional de Proteção de Dados): gov.br/anpd.