1. Quem trata seus dados

[ENTITY_NAME] ([ENTITY_CNPJ]), sediada em [ENTITY_ADDRESS], é a controladora dos dados pessoais coletados pelo Bingol. Contato: privacidade@bingol.app.

2. Dados que coletamos

Coletamos o mínimo necessário pra você jogar:

• Identidade: e-mail, nome de exibição, data de nascimento, país (opcional).
• Comportamento de jogo: cartelas, palpites, cartas geradas, lances míticos.
• Liga e social: ligas que você cria ou entra, ranking dentro delas.
• Pagamento (quando assinar Pro): metadados do Stripe — não armazenamos número de cartão.
• Operacional: endereço IP em logs de auditoria, retidos por 90 dias.
• Analytics: eventos de uso anônimos, só com consentimento explícito.

3. Para que usamos

Executar o serviço de palpites e cartas (base contratual), manter seu ranking nas ligas, processar pagamentos do plano Pro, enviar comunicações operacionais (recuperação de senha, recibos), e — só com seu consentimento — analytics e marketing.

4. Bases legais

LGPD art. 7 e GDPR art. 6: execução de contrato (jogo + Pro), interesse legítimo (segurança, logs), consentimento (analytics, marketing, compartilhamento de lance com a liga) e cumprimento de obrigação legal (retenção fiscal de transações).

5. Sub-processadores

Para operar o Bingol, compartilhamos dados com:

• Supabase (PostgreSQL, Auth, Storage) — sa-east-1, sem transferência internacional.
• Vercel (hosting Next.js + analytics agregados sem PII) — gru1 (São Paulo).
• Inngest (worker de polling) — US-East, com cláusulas contratuais padrão.
• Stripe (pagamentos) — global, com DPA + SCC.
• Resend (e-mail transacional) — US, só endereço e conteúdo da mensagem.
• API-Football (estatísticas esportivas) — global, sem dado pessoal.
• Cloudflare (DNS/CDN) — global, DPA padrão.
• Sentry (rastreio de erros e performance) — US/UE, stack traces e métricas técnicas — sem PII deliberada.
• Google (provedor opcional de login social) — US, recebe somente seu e-mail + nome se você escolher entrar com Google.

6. Transferência internacional

Quando dados saem do Brasil/UE (Inngest, Stripe, Resend, Cloudflare), aplicamos cláusulas contratuais padrão (SCC) e minimização de dados. Listamos cada sub-processador na seção 5 pra você saber pra onde os dados vão.

7. Seus direitos

Você pode, a qualquer momento:

• Acessar e exportar — baixar um JSON com tudo em /settings.
• Retificar — editar perfil em /settings/profile (mudanças entram em audit log).
• Eliminar — apagar a conta com 30 dias de carência (período pra cancelar).
• Revogar consentimento — desligar analytics e marketing sem afetar o jogo.
• Reclamar — entrar com pedido junto à ANPD (Brasil) ou autoridade local equivalente.

8. Cookies

Usamos 3 categorias: essenciais (login + segurança, sempre ativos), analytics (opt-in) e marketing (opt-in). O banner aparece na primeira visita; você pode mudar a escolha em /settings a qualquer momento.

• Essenciais — bingol_session (autenticação), bingol_consent (registro da sua escolha).
• Analytics — só com opt-in; eventos sem PII.
• Marketing — só com opt-in; preferência salva em user_consents.

9. Idade mínima

13 anos é o mínimo para o plano Free, seguindo o padrão de Discord/TikTok/Instagram. Pro requer 18+. Em alguns países europeus o mínimo Free é elevado por lei local (Alemanha 16, Países Baixos 16, França 15, Espanha 14). Menores de 13 não conseguem criar conta — nenhum dado é coletado.

10. Privacidade de menores (13–17)

Para perfis de 13 a 17 anos: visibilidade padrão é 'só pra liga' (perfil não aparece em busca pública), marketing e-mails desligados por padrão, Lance Mítico só visível nas próprias ligas (nunca em destaque global). Configurações herdam dos pais/responsáveis se exigido por lei local.

11. Retenção

Conta ativa + 30 dias de carência após pedido de exclusão; logs operacionais 90 dias; dados fiscais (pagamentos) 5 anos por exigência legal; analytics 13 meses.

12. Segurança

PostgreSQL com criptografia em repouso (Supabase), TLS 1.3 em todas as conexões, RLS em todas as tabelas com dados pessoais, senhas com bcrypt, secrets fora do código e com rotação a cada 90 dias, backup diário com 30 dias de retenção.

13. Incidentes

Se houver vazamento ou violação, notificamos a ANPD (Brasil) em até 72h e os titulares afetados sem demora indevida. Mantemos endpoint /api/security/report com chave PGP pública para reports responsáveis.

14. Mudanças nesta política

Quando atualizarmos a política, avisamos por e-mail (se você optou por receber comunicações) e a versão atual fica sempre acessível em /privacidade. A data da última atualização aparece no topo desta página.

15. Contato

Dúvidas, pedidos ou reclamações: privacidade@bingol.app. Responsável pelo tratamento: [ENTITY_NAME].