Política de Privacidade

1. Quem somos

Omatchday é uma plataforma SaaS para gestão de grupos amadores de futebol. Atuamos como controlador dos dados que coletamos diretamente (email do admin) e como operador dos dados de atletas que o admin insere no Serviço em nome do seu grupo.

2. Que dados coletamos

2.1. Dados do Administrador (titular da conta)

• Nome completo e email (obrigatórios para criar conta)
• Senha hash (nunca armazenada em texto puro — usamos bcrypt)
• Slug do grupo, plano contratado, datas de login

2.2. Dados de Atletas (inseridos pelo Admin)

• Nome, apelido, posição, foto opcional
• Notas técnicas (17 atributos de habilidade)
• Telefone WhatsApp (opcional, só se o atleta opted-in)
• Histórico de jogos, convocações, resultados

2.3. Dados técnicos

• Endereço IP (logs do servidor por até 30 dias para fins de segurança)
• User agent do browser
• Timestamps de acesso

3. Para que usamos os dados

• Executar o Serviço: autenticar você, salvar suas listas de atletas, sortear equipas, calcular estatísticas.
• Comunicação operacional: emails de boas-vindas, recuperação de senha, alertas de cobrança.
• Segurança: detectar tentativas de fraude, brute force, multi-tenant breaches.
• Melhoria do produto: métricas agregadas anônimas (nunca individuais).

Não vendemos seus dados a terceiros. Não usamos seus dados para treinar modelos de IA externos. Não compartilhamos com anunciantes.

4. Bases legais (LGPD / RGPD)

• Execução de contrato: dados necessários para entregar o Serviço que você contratou.
• Consentimento: uso de cookies não-essenciais, notificações por email, opt-in WhatsApp.
• Legítimo interesse: logs de segurança, prevenção de fraude.
• Obrigação legal: dados fiscais relacionados a cobranças.

5. Compartilhamento

Compartilhamos dados apenas com operadores essenciais para entregar o Serviço:

• Railway — hospedagem da API e banco de dados (EUA)
• Vercel — hospedagem do frontend (EUA)
• Stripe — processamento de pagamentos (quando aplicável)

Cada operador tem cláusulas contratuais padrão (SCCs) de transferência internacional aprovadas pela Comissão Europeia / ANPD.

6. Cookies

Usamos apenas cookies estritamente necessários (autenticação JWT, preferências de UI). Não usamos cookies de tracking publicitário sem seu consentimento explícito.

7. Seus direitos

Como titular de dados, você pode a qualquer momento:

• Acessar os dados que temos sobre você
• Corrigir dados imprecisos diretamente em Configurações
• Apagar sua conta e todos os dados associados
• Exportar seus dados em formato JSON/CSV
• Revogar consentimento para comunicações
• Reclamar à ANPD (Brasil) ou Autoridade Nacional (UE)

Solicitações são atendidas em até 15 dias úteis. Use a página de Contato com o assunto "Direito do Titular".

8. Retenção

• Dados ativos: enquanto a conta estiver ativa
• Dados após exclusão de conta: até 30 dias para soft-delete, depois remoção definitiva
• Logs de segurança: 30 dias
• Registros fiscais: 5 anos (obrigação legal)

9. Segurança

• Conexões criptografadas via TLS 1.3
• Senhas armazenadas com bcrypt (custo 10)
• JWT com expiração diária
• Multi-tenancy isolado por tenantId em todas as queries
• Backups diários do banco de dados

10. Crianças

O Serviço é destinado a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Se um admin cadastra um atleta menor de idade, é responsabilidade do admin obter consentimento dos responsáveis.

11. Encarregado de Dados (DPO)

Para questões específicas de privacidade, contate o Encarregado de Dados via página de Contato.