Documento legal

Política de privacidade

Versão 1.0 · Vigência a partir de 26/05/2026

Conformidade LGPD (Lei 13.709/2018).

1. Quem somos

A plataforma Duelar é operada por RE PROPAGANDA LTDA, CNPJ XX.XXX.XXX/XXXX-XX, sediada em São Luís — MA. Esta é a Política de Privacidade que rege como tratamos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).

Encarregado de Dados (DPO): você fala com a gente em dpo@duelar.app.

2. Dados que coletamos

Coletamos somente o necessário pra operar a plataforma. Dividimos em camadas:

2.1 Camada N0 — Cadastro básico

  • Telefone celular brasileiro OU email (escolha do Usuário) — autenticação passwordless via OTP/magic link
  • Nome de exibição (opcional) — apelido no app
  • Dados técnicos: IP, user agent, timestamps de acesso, identificador anônimo de dispositivo (cookie de sessão)

2.2 Camada N1 — Habilitação financeira

  • CPF (validado contra Receita Federal via SERPRO)
  • Nome completo (conforme CPF)
  • Data de nascimento

2.3 Camada N2 — Saque PIX

  • Documento de identificação (RG, CNH ou passaporte) — frente e verso
  • Selfie com prova de vida (biometria facial) — processada pelo nosso parceiro Didit
  • Chave PIX (CPF/email/telefone/EVP) — usada apenas pra creditar saques

2.4 Dados de uso

  • Histórico de duelos (jogos, scores, datas)
  • Histórico financeiro (compras, saques, resgates, transações de Fichas)
  • Padrões de comportamento (frequência de uso, jogos favoritos) — usados anonimamente pra melhorar a plataforma

3. Por que coletamos cada dado

  • Autenticação: telefone/email (login)
  • Comunicação: notificar sobre duelos aceitos, saques processados, alertas de segurança
  • Cumprimento de obrigação legal: CPF + biometria (Lei 9.613/98 antilavagem, regulamentação financeira)
  • Antifraude: IP, dispositivo, padrões — pra detectar multi-conta, conluio, automação
  • Prestação do serviço: histórico de duelos e Fichas (sem isso não tem ledger)
  • Melhoria do produto: métricas agregadas e anonimizadas (DAU, retenção, etc)

4. Bases legais (Art. 7º LGPD)

Cada dado tem uma base legal específica:

DadoBase legal
Telefone/emailExecução de contrato (art. 7º, V)
CPF + biometriaCumprimento de obrigação legal (art. 7º, II)
Histórico de usoExecução de contrato + legítimo interesse (art. 7º, V/IX)
AntifraudeLegítimo interesse (art. 7º, IX) — proteção da plataforma e demais usuários
Métricas anonimizadasNão é dado pessoal pós-anonimização (art. 12)

5. Com quem compartilhamos

Compartilhamos dados pessoais apenas com os parceiros necessários pra operar a plataforma, todos sob contrato de tratamento de dados:

  • Asaas Gestão Financeira S.A. (PSP) — pagamentos PIX entrada e saída. Compartilhamos: CPF, nome, valor, chave PIX
  • Didit Inc. (KYC) — verificação biométrica do N2. Compartilhamos: foto do documento, selfie. Didit processa, devolve aprovado/recusado, e mantém os dados conforme política deles
  • SERPRO (governo federal) — validação de CPF. Recebemos só "válido/inválido"
  • Resend, Inc. (email) — envio transacional (magic link, confirmações)
  • Evolution API (WhatsApp) — envio de OTP
  • Smash Gifts e parceiros de gift cards — apenas o valor do resgate, sem dados pessoais
  • Autoridades públicas: apenas mediante ordem judicial ou requisição legal formal (COAF, Receita Federal, MP, polícia)

Nunca vendemos seus dados. Nunca compartilhamos com terceiros pra fins de marketing.

6. Por quanto tempo guardamos

  • Conta ativa: enquanto você usar a plataforma
  • Conta encerrada (você pediu): dados de cadastro removidos em até 30 dias; histórico financeiro e fiscal retido por 5 anos (obrigação legal — Lei 9.613/98 e tributária)
  • Wallet inativa há 90 dias: saldo de Fichas extingue (item 4.4 dos Termos), mas registros transacionais ficam pelo prazo fiscal
  • Logs de segurança e antifraude: até 5 anos
  • Dados biométricos N2: processados pelo Didit conforme política deles; nós guardamos apenas a confirmação "aprovado/recusado" e o session_id

7. Como protegemos seus dados

  • Servidores no Brasil (Siará VPS) com firewall configurado (UFW)
  • HTTPS obrigatório (Caddy + Let's Encrypt)
  • Senhas e tokens criptografados em repouso
  • Acesso ao banco restrito (sem exposição pública)
  • Backups diários criptografados (restic + Google Drive, retenção 14 dias)
  • Princípio do menor privilégio em todos os acessos internos
  • Logs de auditoria de toda ação administrativa sobre dados de Usuário

Em caso de incidente de segurança que envolva dados pessoais, a ANPD e os Usuários afetados serão notificados em até 72h, conforme art. 48 da LGPD.

8. Cookies e tecnologias similares

Usamos apenas o necessário:

  • Cookie de sessão (essencial): mantém você logado. Não funciona sem ele. Não exige opt-in conforme entendimento da ANPD
  • localStorage: guarda preferências do app (mute toggle, onboarding visto)

Não usamos cookies de tracking de terceiros, pixels de Facebook Ads, Google Analytics ou similares. Métricas internas são server-side e anonimizadas.

9. Menores de idade

Duelar é plataforma para maiores de 18 anos. Não coletamos conscientemente dados de menores. Se identificarmos uma conta de menor, ela é encerrada e os dados deletados conforme art. 14 da LGPD.

Pais/responsáveis que identificarem uso indevido por menor sob sua guarda devem contatar dpo@duelar.app imediatamente.

10. Seus direitos (art. 18 LGPD)

Você tem direito a:

  • Confirmação de que tratamos seus dados
  • Acesso aos dados que temos sobre você
  • Correção de dados incorretos ou desatualizados
  • Anonimização ou exclusão de dados desnecessários (respeitadas obrigações legais)
  • Portabilidade dos dados pra outro serviço
  • Revogação de consentimento (com efeitos prospectivos)
  • Informação sobre com quem compartilhamos seus dados

Pra exercer qualquer desses direitos, mande email pra dpo@duelar.app. Respondemos em até 15 dias.

11. Encarregado de Dados (DPO)

Encarregado: a definir e divulgar
Email: dpo@duelar.app
Tempo de resposta: 15 dias úteis

Se você não tiver resposta satisfatória, pode procurar a ANPD — Autoridade Nacional de Proteção de Dados.

12. Alterações nesta política

Esta política pode ser atualizada. Quando houver mudanças relevantes, notificamos via email ou no app com 15 dias de antecedência. Continuação do uso após esse prazo implica aceitação da nova versão. Histórico de versões disponível mediante solicitação.