Política de Privacidade

Controlador e canal de privacidade

O Predict The Cup atua como controlador dos dados pessoais usados para disponibilizar contas, palpites, rankings, grupos, perfis, compras, recompensas, suporte e compartilhamentos.

Solicitações de titulares, dúvidas, oposição a tratamento ou relatos de segurança devem ser enviados para support@predicthecup.com ou pelo formulário da página Contato.

Podemos solicitar informações adicionais para confirmar a identidade de quem faz o pedido e evitar que dados sejam entregues ou alterados por terceiros não autorizados.

Quais dados coletamos e para que usamos

• Conta e login: identificador da conta Google, nome, e-mail e foto autorizados pelo usuário. Finalidade: criar e autenticar a conta, recuperar acesso e evitar duplicidade ou fraude.
• Perfil: nome de exibição, username, país, biografia, seleção favorita, avatar, banner, moldura e links sociais informados pelo usuário. Finalidade: personalizar e publicar o perfil e identificar o participante em rankings e grupos.
• Jogo e comunidade: palpites, chaves, grupos, campeão escolhido, pontuação, acertos, XP, emblemas, posição, atividade, convites e interações de respeito. Finalidade: executar as regras do jogo, calcular resultados, exibir rankings e prevenir manipulação.
• Compras: produto, quantidade, valor, moeda, identificadores da sessão de checkout, cliente e pagamento, status e histórico da compra. Finalidade: processar a transação, liberar benefícios, prestar suporte, prevenir fraude e cumprir obrigações contábeis. Dados completos do cartão são coletados diretamente pela Stripe.
• Contato e suporte: nome, e-mail, telefone opcional, categoria, assunto, mensagem, ID e e-mail da conta, username, nome de exibição e endereço IP. Finalidade: responder à solicitação, verificar elegibilidade, limitar abuso e manter histórico de atendimento.
• Convites e recompensas: código de convite, ID de compartilhamento, URL de origem, data de captura, usuário indicador e indicado, IP, user-agent e status de qualificação. Finalidade: atribuir convites, calcular campanhas, auditar elegibilidade e combater cadastros artificiais.
• Notificações push, somente quando autorizadas: endpoint da inscrição, chaves públicas de criptografia, validade, idioma, user-agent, versão das políticas e data do consentimento. Finalidade: entregar avisos no navegador e registrar a escolha do usuário.
• Analytics, somente com consentimento: página, evento, data e hora, propriedades da interação, navegador, dispositivo e dados de uso como cliques e rolagem. Finalidade: medir uso, diagnosticar jornadas e melhorar produto e campanhas.
• Dados técnicos e de segurança: IP, user-agent, idioma, cabeçalhos, identificadores de sessão, registros de acesso, erros e tentativas de uso. Finalidade: operar a infraestrutura, aplicar limites, investigar incidentes, prevenir fraude e proteger contas.

Dados que podem ficar públicos

• Perfis públicos podem mostrar nome de exibição, username, avatar, banner, país, biografia, time favorito, links sociais, nível, XP, emblemas, estatísticas, posição e atividade competitiva.
• Rankings, grupos, páginas de compartilhamento, pôsteres e chaves divulgadas podem ser acessados por outras pessoas, mecanismos de busca e redes sociais escolhidas pelo usuário.
• Não publique no perfil, biografia, links ou imagens informações confidenciais suas ou de terceiros. A remoção da conta não garante apagar cópias já compartilhadas por outras pessoas.

Serviços de terceiros e dados compartilhados

• Google OAuth: recebe a solicitação de login e fornece identificador, nome, e-mail e foto autorizados. O Google trata dados segundo seus próprios termos e políticas.
• Vercel: hospeda o site e, quando Analytics é autorizado, processa dados técnicos e de uso para métricas de acesso e desempenho.
• Microsoft Clarity: somente com consentimento de Analytics, processa interações de navegação, cliques, rolagem, dispositivo e sessões mascaradas para análise de experiência.
• Railway e PostgreSQL gerenciado, ou infraestrutura equivalente contratada: hospedam a API e o banco de dados e processam os dados necessários para contas, sessões, palpites, rankings, compras, suporte e segurança.
• Cloudflare R2: armazena e entrega avatares, banners, imagens de perfil e artes de compartilhamento. Arquivos definidos como públicos podem ser acessados pela URL correspondente.
• Stripe: recebe dados da compra e coleta diretamente os dados do meio de pagamento para checkout, confirmação, prevenção de fraude, estornos e obrigações financeiras.
• Resend: recebe os dados enviados no formulário de contato e os dados de conta e segurança associados para entregar a mensagem à equipe de suporte.
• Serviço de push do navegador ou sistema operacional, como Google, Mozilla ou Apple: recebe o endpoint e os dados técnicos necessários para entregar notificações autorizadas.
• YouTube em modo de privacidade aprimorada e FlagCDN: podem receber IP, navegador e dados técnicos quando vídeos ou bandeiras são carregados. O YouTube pode ativar armazenamento próprio após interação com o vídeo.
• Redes sociais e aplicativos de compartilhamento, como WhatsApp, Facebook e X: recebem dados somente quando o usuário abre o link, compartilha conteúdo ou visita um perfil externo. Esses serviços atuam sob políticas próprias.
• Google AdSense: a metatag de validação da conta está ativa. Depois da aprovação e ativação dos anúncios, o Google poderá usar cookies, web beacons, endereços IP e outros identificadores para veicular, medir e proteger anúncios. Onde exigido, a veiculação dependerá de uma CMP certificada pelo Google.

Finalidades e bases legais

• Execução de contrato e procedimentos preliminares: criar conta, autenticar, salvar palpites, calcular ranking, processar compras, entregar itens e prestar suporte solicitado.
• Consentimento: Analytics, Microsoft Clarity, preferências opcionais, marketing e notificações promocionais. O consentimento pode ser recusado ou revogado sem bloquear as funções essenciais.
• Legítimo interesse, após avaliação de necessidade e impacto: segurança, prevenção de fraude e abuso, métricas operacionais estritamente necessárias, defesa do serviço e melhoria sem rastreamento opcional.
• Cumprimento de obrigação legal ou regulatória: registros fiscais, pagamentos, atendimento a autoridades e deveres de proteção de dados.
• Exercício regular de direitos: preservação de registros necessários para responder a reclamações, disputas, auditorias, estornos e processos.

Cookies e tecnologias semelhantes

Cookies necessários mantêm sessão, segurança, consentimento e atribuição temporária de convites. O armazenamento local também registra preferências de interface e versões legais aceitas.

Vercel Analytics e Microsoft Clarity só carregam após consentimento da categoria Analytics. A metatag de validação do Google AdSense não veicula anúncios. Antes de ativar anúncios, informaremos as tecnologias aplicáveis e usaremos uma CMP certificada pelo Google onde exigido.

A Política de Cookies, versão 2026-06-09, lista nomes, finalidades, duração e formas de gerenciamento.

Por quanto tempo mantemos os dados

• Conta, perfil e histórico competitivo: enquanto a conta estiver ativa e depois pelo período necessário para exclusão, cópias de segurança, prevenção de fraude e exercício de direitos.
• Compras e registros financeiros: pelos prazos exigidos por normas fiscais, contábeis, consumeristas, antifraude e de prevenção a disputas.
• Contato e suporte: pelo tempo necessário para resolver e documentar a solicitação e, quando aplicável, preservar prova de atendimento ou defesa.
• Consentimento no navegador: cookie por até 12 meses; registro local até ser apagado, revogado ou invalidado por nova versão das políticas.
• Referência de convite: até 30 dias no navegador. Inscrição push: até cancelamento, expiração do endpoint ou eliminação da conta.
• Quando não houver prazo legal fixo, eliminamos ou anonimizamos os dados após o fim da finalidade, salvo necessidade legítima e documentada de conservação.

Transferência internacional

Google, Vercel, Microsoft, Railway, Cloudflare, Stripe, Resend e provedores de push podem processar dados nos Estados Unidos e em outros países ou regiões onde mantêm infraestrutura e suboperadores.

As transferências devem usar mecanismo válido previsto na LGPD, incluindo cláusulas contratuais e salvaguardas aplicáveis. Limitamos a transferência ao necessário para cada finalidade e avaliamos medidas de segurança dos fornecedores.

Direitos do titular

• Confirmar se tratamos dados pessoais e solicitar acesso.
• Corrigir dados incompletos, inexatos ou desatualizados.
• Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
• Solicitar portabilidade, quando regulamentada e tecnicamente aplicável.
• Obter informação sobre entidades públicas e privadas com as quais houve compartilhamento.
• Revogar consentimento e conhecer as consequências de não fornecê-lo.
• Opor-se a tratamento irregular e solicitar revisão de decisão exclusivamente automatizada, quando aplicável.
• Apresentar petição à ANPD ou aos órgãos de defesa do consumidor após usar o canal do controlador, conforme a legislação.

Crianças e adolescentes

O serviço não é direcionado a crianças e não coletamos conscientemente dados de crianças sem consentimento específico e destacado de responsável legal quando exigido.

Responsáveis podem solicitar verificação e eliminação pelo canal de privacidade. Adolescentes devem usar o serviço com supervisão quando exigido pela legislação aplicável.

Segurança

Aplicamos controles de acesso, sessões protegidas, validação de entradas, criptografia em trânsito, restrição de rotas administrativas, limites de uso e monitoramento de incidentes.

Nenhum sistema é imune a riscos. Incidentes relevantes serão investigados e comunicados aos titulares e à ANPD quando a legislação exigir.

Versões e atualizações

• Política de Privacidade: 2026-06-09.
• Termos de Uso: 2026-06-08.
• Política de Cookies: 2026-06-09.
• Última atualização: 9 de junho de 2026.
• Mudanças relevantes serão destacadas e, quando a base legal for consentimento, uma nova escolha será solicitada.