PENDENTE DE REVISÃO JURÍDICA. Rascunho técnico-legal preparado por IA com base na LGPD (Lei nº 13.709/2018), no Marco Civil da Internet, no CDC e nas orientações da ANPD. Revisão por advogado(a) especializado é obrigatória antes de publicar.
Política de Privacidade — Dungeons & Decks
Última atualização: 15 de maio de 2026 — versão 1.0.0
Esta Política descreve como o Dungeons & Decks coleta, usa, compartilha e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e demais normas aplicáveis. Leia com atenção. Em caso de dúvida, contate o encarregado pelos dados (cláusula 11).
Esta Política deve ser lida em conjunto com os Termos de Uso.
1. Quem é o controlador dos seus dados
Para fins do art. 5º, VI, da LGPD, o controlador dos dados pessoais tratados no Dungeons & Decks é:
- Nome: Marcelo Marinho Colchete (pessoa física)
- CPF: [CPF — preencher na publicação]
- Endereço: [ENDEREÇO — preencher na publicação]
- Contato geral: no-reply@mail.dungeonsanddecks.com.br
2. Encarregado pelo tratamento de dados (DPO)
Nos termos do art. 41 da LGPD, o encarregado é:
- Nome: Marcelo Marinho Colchete
- E-mail: privacidade@dungeonsanddecks.com.br (canal a ser configurado; até a sua disponibilidade, utilize o e-mail de contato geral)
Este é o canal para exercer seus direitos de titular (cláusula 8), apresentar reclamações ou tirar dúvidas sobre o tratamento dos seus dados.
3. Quais dados coletamos
3.1 Dados que você nos fornece diretamente
| Categoria | Dados | Quando |
|---|---|---|
| Cadastro | E-mail, nickname, senha (armazenada em forma de hash) | Criação de conta |
| Login social (opcional) | Identificador Discord, e-mail vinculado | Login via Discord |
| Conteúdo gerado | Mensagens de chat in-game, configurações de sala, alterações de nickname | Durante o uso |
| Suporte | Conteúdo das suas mensagens ao suporte, eventuais anexos | Quando você nos contata |
3.2 Dados gerados pelo uso do Serviço
| Categoria | Dados |
|---|---|
| Estatísticas de jogo | ELO, nível, XP, vitórias, partidas jogadas, contagem por herói |
| Carteira virtual | Saldo de moedas Silver e Gemas, histórico de transações in-game |
| Conquistas | Progresso e desbloqueio de conquistas |
| Histórico de partidas | Snapshot ao final de cada partida (deck, posição, duração, ELO) |
| Estado das partidas em andamento | Posição no mapa, cartas, recursos, ações de jogo |
| Inventário | Heróis e skins desbloqueadas, herói/skin ativos |
| Presença | Heartbeat para detectar inatividade |
| Amizades | Vínculos de amizade entre contas |
3.3 Dados técnicos coletados automaticamente
| Categoria | Dados | Origem |
|---|---|---|
| Acesso | Endereço IP, user-agent (navegador, sistema operacional), data/hora | Logs Vercel e Supabase |
| Sessão | Tokens de sessão e refresh (em cookies HttpOnly) | Supabase Auth |
| Preferências locais | Configurações de UI armazenadas no LocalStorage | Seu navegador |
| Logs de ação | Registro de ações de jogo para anti-cheat e debug | game_actions |
3.4 Dados de pagamento (a partir da v0.17.0)
Quando você adquire Gemas, os dados de pagamento (nome, CPF, dados de cartão ou de PIX) são fornecidos diretamente ao Mercado Pago, que processa a transação como controlador independente desses dados (cláusula 6.3). Não recebemos nem armazenamos os dados de cartão. Recebemos apenas:
- Identificador da transação no Mercado Pago
- Valor pago
- Status (aprovado, pendente, rejeitado, estornado)
- Data e hora
- Vínculo com a sua conta no Serviço
3.5 Dados que NÃO coletamos
Não coletamos intencionalmente: dados sensíveis (origem racial, convicção religiosa, opinião política, filiação sindical, dados de saúde ou orientação sexual — art. 5º, II, da LGPD), localização geográfica precisa, biometria ou contatos da sua agenda. Caso esses dados apareçam acidentalmente em campos livres (ex.: chat), aplicaremos a política de retenção e moderação correspondente.
4. Para que usamos seus dados (finalidades)
| Finalidade | Categorias usadas | Base legal LGPD |
|---|---|---|
| Permitir cadastro, autenticação e uso do Serviço | Cadastro, sessão, IP | Execução de contrato (art. 7º, V) |
| Operar partidas e funcionalidades de jogo | Cadastro, gameplay, comunicação | Execução de contrato (art. 7º, V) |
| Manter ranking, ELO e histórico | Estatísticas, histórico | Execução de contrato (art. 7º, V) e legítimo interesse na integridade competitiva (art. 7º, IX) |
| Anti-cheat, moderação, segurança da rede | Logs de ação, IP, conteúdo de chat | Legítimo interesse (art. 7º, IX) |
| Processar compras e prevenir fraudes | Cadastro, pagamento, IP | Execução de contrato (art. 7º, V) e cumprimento de obrigação legal (art. 7º, II — CDC) |
| Atender solicitações de suporte | Cadastro, conteúdo da solicitação | Execução de contrato (art. 7º, V) |
| Cumprir obrigações legais e fiscais | Pagamento, cadastro | Cumprimento de obrigação legal (art. 7º, II) |
| Comunicações operacionais (recuperação de senha, alteração de Termos) | Execução de contrato (art. 7º, V) | |
| Telemetria e analytics opcionais | Eventos de uso anonimizados | Consentimento (art. 7º, I) — quando aplicável |
5. Como usamos cookies e armazenamento local
5.1 Cookies essenciais (não dependem de consentimento — base legal: execução de contrato)
| Item | Finalidade | Origem | Duração |
|---|---|---|---|
sb-*-auth-token |
Manter você logado | Supabase | Conforme sessão |
sb-*-refresh-token |
Renovar sessão expirada | Supabase | Conforme sessão |
5.2 LocalStorage (não é cookie — armazenamento próprio do navegador)
| Item | Finalidade |
|---|---|
dnd_* (preferências) |
Persistir filtros, sons, escolhas de UI |
| Consentimento de cookies | Memorizar suas escolhas |
5.3 Cookies opcionais (dependem do seu consentimento)
Hoje não utilizamos cookies de terceiros para analytics ou marketing. Caso passemos a utilizar, faremos isso somente após o seu opt-in explícito por meio de banner de consentimento, e atualizaremos esta Política.
Para mais detalhes, consulte a página de cookies.
6. Com quem compartilhamos seus dados
6.1 Operadores (processam dados em nosso nome)
| Operador | Função | Dados envolvidos | País de processamento |
|---|---|---|---|
| Supabase, Inc. | Banco de dados, autenticação, realtime | Todos os dados de cadastro e gameplay | Brasil (região sa-east-1, São Paulo) |
| Vercel Inc. | Hospedagem, edge functions, logs de acesso | IP, user-agent, requisições | Global (rede de borda); origem deploy: EUA |
6.2 Controladores independentes (tratam dados sob políticas próprias)
| Terceiro | Quando | O que recebem | Política deles |
|---|---|---|---|
| Mercado Pago | Quando você compra Gemas | Nome, CPF, e-mail, dados de cartão ou PIX | https://www.mercadopago.com.br/ajuda/politica-privacidade_299 |
| Discord Inc. | Quando você usa login via Discord | E-mail, identificador Discord | https://discord.com/privacy |
6.3 Autoridades públicas
Poderemos compartilhar dados em cumprimento a ordem judicial, requisição administrativa fundamentada ou obrigação legal, observado o devido processo legal e os limites do art. 7º, II e VI, da LGPD.
6.4 Não vendemos dados
Não vendemos, alugamos nem trocamos seus dados pessoais com terceiros para fins comerciais.
7. Transferência internacional de dados
O banco de dados principal (Supabase) opera em região brasileira (São Paulo / sa-east-1), de modo que os dados de cadastro e gameplay ficam armazenados em território nacional.
A camada de hospedagem e entrega (Vercel) utiliza rede de borda global, o que pode envolver tráfego (cache, logs operacionais, métricas de performance) por servidores fora do Brasil. Essa transferência ocorre quando necessária para a execução do contrato com o titular (art. 33, VIII, da LGPD) e é limitada ao mínimo necessário para entregar o Serviço.
Selecionamos provedores que adotam padrões internacionalmente reconhecidos de segurança e proteção de dados, e priorizamos regiões brasileiras sempre que disponíveis.
8. Seus direitos como titular dos dados
A LGPD (art. 18) garante os seguintes direitos, exercíveis a qualquer momento mediante solicitação ao encarregado:
| Direito | O que significa |
|---|---|
| Confirmação | Saber se tratamos seus dados |
| Acesso | Obter cópia dos seus dados |
| Correção | Solicitar correção de dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | Pedir que dados desnecessários, excessivos ou tratados em desconformidade sejam removidos |
| Portabilidade | Receber seus dados em formato estruturado para transferi-los a outro fornecedor |
| Eliminação dos dados tratados com seu consentimento | Pedir a exclusão dos dados cuja base legal seja consentimento |
| Informação sobre compartilhamento | Saber com quais terceiros compartilhamos seus dados |
| Informação sobre não consentir | Conhecer as consequências de não fornecer consentimento |
| Revogação do consentimento | Retirar consentimento a qualquer momento, sem efeito retroativo |
| Oposição | Opor-se a tratamento realizado com base em hipóteses dispensadas de consentimento, em caso de descumprimento da LGPD |
Como exercer: envie um e-mail para privacidade@dungeonsanddecks.com.br informando seu nome, e-mail cadastrado e o direito que deseja exercer. Responderemos no prazo legal de 15 dias (art. 19, §1º).
Limitações: alguns direitos não são absolutos. Por exemplo, o direito de eliminação não alcança dados que precisamos manter por obrigação legal (registros de pagamento — 5 anos), nem dados pseudoanonimizados em registros de partidas que envolvam adversários (art. 18, §4º, e art. 16 da LGPD).
9. Por quanto tempo guardamos seus dados
| Categoria | Prazo de retenção | Motivo |
|---|---|---|
| Dados de cadastro | Enquanto a conta estiver ativa | Execução do contrato |
| Conta excluída | Anonimização em até 30 dias | Permitir recuperação acidental |
| Mensagens de chat | 90 dias | Reduzir exposição de dados pessoais |
| Logs de ação de jogo | 180 dias | Anti-cheat e auditoria |
| Histórico de partidas | Indefinido — pseudoanonimizado após exclusão da conta | Integridade do produto e direitos de terceiros |
| Registros de pagamento | 5 anos | Obrigação legal (CDC art. 27 + CC art. 206) |
| Logs de acesso (IP, user-agent) | Conforme retenção dos provedores Vercel/Supabase | Operacional |
Após o término dos prazos, os dados são excluídos ou anonimizados de forma irreversível.
10. Como protegemos seus dados
Adotamos medidas técnicas e administrativas razoáveis para proteger seus dados, incluindo:
- Criptografia em trânsito (TLS) e em repouso quando provido pela infraestrutura do Supabase;
- Senhas armazenadas com algoritmos de hash criptográfico (não em texto puro);
- Row Level Security (RLS) no banco de dados, garantindo que cada usuário só acesse seus próprios dados;
- Arquitetura server-authoritative: a lógica sensível roda no servidor e o cliente nunca escreve diretamente no banco;
- Princípio do menor privilégio nas chaves de acesso à infraestrutura;
- Monitoramento de logs e versionamento otimista para detecção de manipulação.
Nenhuma medida elimina por completo o risco de incidentes. Em caso de incidente que possa acarretar risco ou dano relevante, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, nos termos do art. 48 da LGPD.
11. Crianças e adolescentes
O Serviço é destinado a usuários com 13 anos ou mais. Usuários entre 13 e 17 anos só podem utilizá-lo com consentimento prévio, específico e destacado de um dos detentores do poder familiar, nos termos do art. 14 da LGPD.
Compras dentro do Serviço são restritas a maiores de 18 anos.
Caso identifiquemos cadastro de menor de 13 anos sem o devido consentimento, a conta será bloqueada e os dados serão tratados conforme exigido pela legislação. Se você é responsável por uma criança ou adolescente e identificou tratamento sem o devido consentimento, contate-nos imediatamente.
12. Notificação de incidentes de segurança
Caso ocorra incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, descrevendo a natureza dos dados envolvidos, os titulares afetados, as medidas técnicas e de segurança adotadas, os riscos relacionados e as medidas adotadas para reverter ou mitigar os efeitos do prejuízo (art. 48, §1º, da LGPD).
13. Alterações nesta Política
Esta Política pode ser atualizada periodicamente. Alterações materiais serão comunicadas por e-mail cadastrado e por aviso in-game com antecedência mínima de 30 dias da entrada em vigor, exceto quando a alteração decorrer de exigência legal que imponha prazo menor.
O histórico de versões está disponível em HISTORICO_VERSOES.md.
14. Reclamações à ANPD
Se você entender que seus direitos foram violados e não obteve resposta satisfatória pelo nosso canal, pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) por meio do site oficial: <https://www.gov.br/anpd/pt-br>.
15. Lei aplicável e foro
Esta Política é regida pelas leis da República Federativa do Brasil. Eventuais controvérsias serão dirimidas no foro do domicílio do consumidor, conforme o art. 101, I, do Código de Defesa do Consumidor.
Versão 1.0.0 — vigente desde 15 de maio de 2026.