Política de Privacidade

Vigente desde agosto/2021. Última atualização: maio/2026. Versão 2.0.

1. Quem somos

O RadarFutebol.com (doravante "RadarFutebol", "nós") é uma plataforma de análise esportiva para futebol, operada por Rodrigo Ribeiro. Esta política descreve como tratamos seus dados pessoais conforme a Lei nº 13.709/2018 (LGPD).

2. Encarregado (DPO)

Para exercer seus direitos (Art. 18 da LGPD) ou tirar dúvidas sobre privacidade, entre em contato com nosso Encarregado pelo e-mail dpo@radarfutebol.com.

3. Dados que coletamos

Coletamos apenas o necessário para prestar o serviço:

  • Cadastro: nome e e-mail (obrigatórios); telefone, usuário do Discord e ID do Telegram (opcionais, para receber alertas).
  • Autenticação: senha (armazenada com hash bcrypt) e, opcionalmente, segredo de 2FA.
  • Pagamento: valor, data, método. Dados do cartão são processados diretamente pelo Stripe; nós nunca os armazenamos. Para PIX via WhatsApp, guardamos um hash do comprovante para evitar reuso fraudulento.
  • Anti-fraude trial: endereço IP e fingerprint do navegador, exclusivamente para limitar abusos do teste gratuito. Anonimizados após 7 dias.
  • Telemetria: último IP de login, data do último login, monitoramento de erros (Sentry) com IP truncado.
  • Cookies: ver seção 7.

Não usamos ferramenta de gravação de sessão (session replay).

4. Por que tratamos seus dados (bases legais)

  • Execução de contrato (Art. 7º V): dados de cadastro e pagamento para entregar o serviço contratado.
  • Obrigação legal (Art. 7º II): dados fiscais (NFS-e) mantidos por 5 anos.
  • Interesse legítimo (Art. 7º IX): anti-fraude e telemetria operacional.
  • Consentimento (Art. 7º I): cookies não-essenciais, comunicações de marketing.

5. Compartilhamento com terceiros

Compartilhamos dados estritamente com os operadores abaixo, sempre amparados por contrato de tratamento (DPA):

  • Stripe (EUA) — processamento de pagamentos por cartão. Dados compartilhados: e-mail, seu identificador interno (user.id), valor e plano. Dados do cartão são tokenizados pelo próprio Stripe e nunca passam pelo nosso servidor.
  • Google (EUA) — Google Analytics 4, Tag Manager e AdSense. Sob Consent Mode v2 com defaults negados: sem seu consentimento, apenas sinais agregados/anônimos. Dados: IP truncado pelo Google, eventos de navegação (sem nome/e-mail).
  • Resend (EUA) — envio de e-mails transacionais (verificação, recibos, avisos). Dados: e-mail e nome do destinatário, conteúdo do e-mail enviado.
  • Cloudflare (EUA/global) — CDN e proteção anti-bot (Turnstile no cadastro/login). Dados típicos: IP do visitante, cabeçalhos da requisição, cookie cf_clearance.
  • Sentry (EUA) — monitoramento de erros. Configurado com filtro de PII (before_send): enviamos apenas seu user.id, IP truncado para /24 (IPv4) ou /48 (IPv6), e removemos cabeçalhos Authorization/Cookie/CSRF e parâmetros sensíveis de URL. Sem e-mail, nome, telefone ou conteúdo de formulário.
  • OpenAI (EUA) — usado em três frentes: (a) leitura automática de comprovantes PIX enviados pelo WhatsApp (modelo Vision recebe a imagem do comprovante, que pode conter nome do pagador e valor — necessário para conferência); (b) análises esportivas de jogos (sem dados pessoais no prompt); (c) chat com Analista Virtual para assinantes (apenas sua pergunta e contexto esportivo público). Nunca enviamos e-mail, telefone, senha ou histórico financeiro completo no prompt.
  • FingerprintJS — a biblioteca é carregada do CDN openfpcdn.io apenas em modo cliente; gera um hash identificador do navegador que é enviado ao nosso servidor (não para a FingerprintJS). Uso restrito a prevenção de abuso do teste gratuito.
  • Telegram (Bot API, EUA/UE) — apenas se você optar por vincular o Telegram para receber alertas. Dados: seu chat_id do Telegram e o conteúdo das mensagens que enviamos (alertas de jogos, comunicados).
  • Discord (EUA) — apenas se você optar por vincular Discord para receber cargo de assinante. Dados: seu ID Discord (OAuth) e atribuição/remoção de cargo no nosso servidor.

O que NÃO compartilhamos: seu avatar e demais arquivos enviados ficam armazenados em servidor próprio (não usamos Amazon S3 nem outro provedor de storage externo). Sua senha nunca é compartilhada com ninguém (armazenada em hash bcrypt no nosso banco).

Esses operadores podem realizar transferência internacional dos dados, sempre com base em garantias contratuais conforme o Art. 33 da LGPD e a Resolução CD/ANPD nº 4/2023.

6. Quanto tempo guardamos

  • Dados de pagamento e NFS-e: 5 anos (obrigação fiscal).
  • Cadastro de usuário ativo: enquanto sua conta estiver em uso. Após 2 anos sem login, enviamos aviso por e-mail e, sem resposta em 30 dias, anonimizamos o cadastro.
  • ip_trial e fingerprint_trial: 7 dias.
  • Logs de monitoramento (Sentry): 90 dias.
  • Cookies: ver categoria no banner (sessão, 7 dias, 6 meses ou 1 ano).

7. Cookies

Usamos três categorias de cookies. Você pode ativar/desativar cada uma a qualquer momento pelo rodapé "Gerenciar cookies":

  • Essenciais: sessão Laravel, CSRF, Cloudflare Turnstile, preferências de fuso horário e idioma, monitoramento de erros (Sentry). Sem esses, o site não funciona.
  • Analytics: Google Analytics 4 e Tag Manager. Usados para entender páginas e funcionalidades mais usadas, em base agregada.
  • Marketing: Google AdSense e remarketing.

Abrir gerenciador de cookies

8. Seus direitos (Art. 18 da LGPD)

  • Acesso/portabilidade: exporte seus dados em /conta/exportar-meus-dados (área logada).
  • Correção: atualize seus dados em Meu Perfil.
  • Eliminação: exclua sua conta em /conta/excluir. Dados financeiros são mantidos anonimizados por 5 anos (obrigação fiscal).
  • Revogação de consentimento: pelo gerenciador de cookies no rodapé.
  • Informação sobre compartilhamento: ver seção 5 desta política.

Atendemos pedidos em até 15 dias. Para casos não cobertos pelos endpoints acima, escreva para dpo@radarfutebol.com.

9. Segurança

HTTPS obrigatório com HSTS, TLS 1.2+, senhas com bcrypt, 2FA opcional via TOTP, banco de dados e cache acessíveis apenas pela rede interna do servidor, backup diário criptografado por 30 dias, Content-Security-Policy estrita com nonces, headers de segurança auditados via pentest periódico.

10. Menores de idade

O serviço é destinado a maiores de 18 anos. Não tratamos conscientemente dados de crianças ou adolescentes. Se identificarmos cadastro de menor, a conta é encerrada imediatamente.

11. Incidentes de segurança

Em caso de incidente que possa causar risco relevante aos titulares, comunicamos a Autoridade Nacional de Proteção de Dados (ANPD) em até 72 horas e os titulares afetados conforme o Art. 48 da LGPD.

12. Alterações

Esta política pode ser revisada periodicamente. Mudanças relevantes serão comunicadas por e-mail aos usuários cadastrados com antecedência de 15 dias.

13. Programa de Indicação

Cada usuário pode manter apenas uma conta ativa. A criação de contas duplicadas — inclusive por familiares, amigos ou terceiros com o propósito de se autoindicar, contornar vínculos de indicação existentes ou manipular comissões — é expressamente proibida e sujeita ao cancelamento das contas envolvidas e ao estorno das comissões indevidas.

O vínculo de indicação é definido no momento do primeiro cadastro do usuário indicado e não pode ser alterado posteriormente, mesmo mediante solicitação de ambas as partes.

14. Contato

Controlador: Rodrigo Ribeiro
Encarregado (DPO): dpo@radarfutebol.com
Suporte geral: contato@radarfutebol.com