LGPD — Compliance

Esta página resume nosso programa de conformidade com a Lei 13.709/2018 — Lei Geral de Proteção de Dados (LGPD). É um documento executivo destinado a equipes jurídicas, compliance e DPO de clientes B2B. A política completa de tratamento de dados está em /legal/privacy.

1. Controlador e Encarregado (DPO)

Controlador: Lucas SR Dev (Brasil).

Encarregado de Dados (DPO): Lucas SR Dev. Canal direto para exercício dos direitos do titular (LGPD art. 41): suporte@lucassrdev.com.br com assunto começando por LGPD —.

Atendimento em até 15 dias úteis (LGPD art. 19).

2. Bases legais (LGPD art. 7)

• Execução de contrato (art. 7, V) — emissão de licença, processamento de pagamento, phone-home, suporte.
• Cumprimento de obrigação legal (art. 7, II) — retenção fiscal, atendimento a ordem judicial.
• Legítimo interesse (art. 7, IX) — segurança, anti-fraude, auditoria interna, logs.
• Consentimento (art. 7, I) — comunicações de marketing (opt-in reversível).

3. Direitos do titular (LGPD art. 18)

Você pode exercer os 10 direitos previstos na lei:

1. Confirmação de tratamento
2. Acesso aos dados
3. Correção de dados incompletos / inexatos
4. Anonimização, bloqueio ou eliminação de dados desnecessários
5. Portabilidade (formato estruturado JSON)
6. Eliminação dos dados tratados com consentimento
7. Informação sobre compartilhamento com operadores
8. Informação sobre negativa de consentimento
9. Revogação do consentimento
10. Oposição ao tratamento por legítimo interesse

Para exercer qualquer direito, envie email a suporte@lucassrdev.com.br com assunto LGPD — [direito] + email da compra.

4. Dados que NÃO coletamos

Por design, o portal e o software self-hosted minimizam coleta. Especificamente NÃO coletamos:

• Dados de cartão de crédito (ficam exclusivamente com Stripe / MercadoPago).
• CPF / CNPJ (gateway coleta, não persistimos no nosso banco).
• Dados dos jogadores do Cliente, chats do jogo, logs de servidor.
• Dados sensíveis (origem racial, orientação política/religiosa, saúde, etc. — LGPD art. 5, II).

5. Operadores e transferência internacional

Compartilhamos com operadores estritamente necessários (Supabase, Stripe, MercadoPago, Resend, Vercel, Cloudflare). Detalhes em /legal/privacy seção 6.

Operadores que processam fora do Brasil estão sob salvaguardas previstas em LGPD art. 33 — cláusulas contratuais padrão + adequação reconhecida (EU-US Data Privacy Framework / certificações ISO 27001 / SOC 2) + execução de contrato com o titular (art. 33, IX).

6. Segurança (LGPD art. 46)

• TLS 1.3 obrigatório em todas as comunicações.
• Senhas hash bcrypt via Supabase Auth.
• HWID armazenado como hash SHA-256 irreversível.
• Chave privada Ed25519 em Vercel Environment Variables (não em código).
• 2FA obrigatório para acesso administrativo.
• Logs de auditoria de todas as ações administrativas.

7. Incidentes (LGPD art. 48)

Em caso de incidente que cause risco ou dano relevante: comunicação à ANPD em prazo razoável + notificação por email aos titulares afetados (natureza dos dados, medidas adotadas, recomendações).

8. Retenção

• Conta ativa — durante o ciclo + 5 anos (obrigação fiscal).
• Logs técnicos — 30 dias.
• Webhooks — 90 dias para auditoria, depois anonimizados.

9. Canais de reclamação

• Direto: suporte@lucassrdev.com.br (assunto LGPD —).
• Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd.

10. Para empresas e procurement

Se sua organização exige DPA (Data Processing Agreement), evidências de conformidade (mapa de tratamento, ROPA, relatório de impacto) ou auditoria de segurança do nosso lado, escreva pra suporte@lucassrdev.com.br com assunto LGPD — DPA / Compliance. Atendemos demandas legítimas em até 5 dias úteis.

Documentos relacionados: Política de Privacidade completa, Termos de Uso, EULA.