⚽

ÁLBUM COMPLETO

Copa do Mundo 2026 – Troca de Figurinhas

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018)

Versão 1.0 | Vigência a partir de: 05/05/2026

Controlador de Dados: Álbum Completo

Encarregado de Dados (DPO): dpo@albumcompleto.com.br

📋 RESUMO EXECUTIVO – O QUE FAZEMOS COM SEUS DADOS

Esta Política descreve, de forma transparente e acessível, como o Álbum Completo coleta, utiliza, armazena, compartilha e protege seus dados pessoais. Nosso compromisso é simples: coletamos apenas o mínimo necessário para que a plataforma funcione, e nunca vendemos seus dados a terceiros.

1. IDENTIFICAÇÃO DO CONTROLADOR E DO ENCARREGADO DE DADOS

O Álbum Completo, doravante denominado "Plataforma", nesta qualidade atuando como Controladora de Dados, conforme definição constante no art. 5º, VI, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).

O Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO), indicado nos termos do art. 41 da LGPD, é:

Nome: Paulo Henrique de Assis
E-mail: dpo@albumcompleto.com.br

O DPO atenderá os titulares de dados em até 15 (quinze) dias úteis, conforme prazo fixado pelo art. 18, §5º, da LGPD.

2. ÂMBITO DE APLICAÇÃO E DEFINIÇÕES

Esta Política aplica-se a toda pessoa natural (titular de dados) que acesse, se cadastre ou utilize os serviços da Plataforma, independentemente do dispositivo utilizado ou da forma de acesso. Para os fins desta Política, adotam-se as definições da LGPD:

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável (art. 5º, I, LGPD).
Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II, LGPD). A Plataforma declara expressamente NÃO coletar dados pessoais sensíveis.
Tratamento: toda operação realizada com dados pessoais, como coleta, uso, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação ou transferência (art. 5º, X, LGPD).
Controlador: pessoa natural ou jurídica que toma as decisões referentes ao tratamento de dados pessoais (art. 5º, VI, LGPD).
Operador: pessoa natural ou jurídica que realiza o tratamento de dados em nome do controlador (art. 5º, VII, LGPD).
Encarregado (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação com os titulares e com a ANPD (art. 5º, VIII, LGPD).

3. DADOS COLETADOS, FINALIDADES E BASES LEGAIS

A Plataforma coleta dados estritamente necessários à prestação dos serviços de intermediação de trocas de figurinhas, em observância ao Princípio da Minimização previsto no art. 6º, III, da LGPD. A tabela a seguir apresenta o inventário completo de dados tratados:

DADO COLETADO	FINALIDADE	BASE LEGAL (LGPD)
Apelido (Nickname)	Identificação pública do usuário na Plataforma; exibição a outros usuários no processo de matching.	Art. 7º, V – execução de contrato
Endereço de e-mail	Autenticação (login); comunicações transacionais (confirmação de cadastro, recuperação de senha); notificações sobre matches.	Art. 7º, V – execução de contrato
Senha (armazenada com hash criptográfico)	Controle de acesso à conta. Nunca armazenada em texto simples.	Art. 7º, V – execução de contrato
Número de Telefone	Verificação de humanidade (antifraude); liberação controlada para o usuário que obteve match, exclusivamente para fins de contato sobre a troca.	Art. 7º, V – execução de contrato / Art. 7º, IX – legítimo interesse
CEP (Código de Endereçamento Postal)	Cálculo de proximidade geográfica aproximada (radar). O CEP bruto nunca é exibido a terceiros; o sistema exibirá apenas bairro ou distância aproximada.	Art. 7º, V – execução de contrato
Endereço IP e logs de acesso	Segurança da informação; prevenção à fraude; cumprimento de obrigação legal (Marco Civil da Internet – Lei nº 12.965/2014, art. 15).	Art. 7º, II – obrigação legal
Figurinhas cadastradas (inventário)	Operacionalização do sistema de matching entre usuários.	Art. 7º, V – execução de contrato
Denúncias realizadas ou recebidas	Moderação da comunidade; segurança dos usuários; prevenção de infrações.	Art. 7º, IX – legítimo interesse

Nota Jurídica: A Plataforma não coleta dados pessoais sensíveis, conforme art. 5º, II, da LGPD. Não realizamos tratamento de dados de geolocalização em tempo real, apenas o CEP informado voluntariamente pelo usuário para fins de cálculo de proximidade.

4. TRATAMENTO DE DADOS DE MENORES DE IDADE

Em atenção ao disposto no art. 14 da LGPD e ao art. 227 da Constituição Federal, o tratamento de dados pessoais de adolescentes (entre 12 e 18 anos) observa as seguintes salvaguardas:

Adolescentes (12 a 17 anos): Podem utilizar a Plataforma mediante autorização e supervisão direta de pais ou responsáveis legais, conforme informado nos Termos de Uso.
Princípio do melhor interesse: Todo tratamento de dados de menores será realizado em seu melhor interesse, conforme determina o art. 14, §1º, da LGPD.
Verificação de idade: A Plataforma adota verificação por WhatsApp para confirmação de que o titular é pessoa real. Em caso de identificação de menor sem autorização parental, a conta será imediatamente suspensa e os dados eliminados.

O responsável legal que identificar cadastro indevido de menor sob sua guarda deverá contatar imediatamente o DPO pelo e-mail dpo@albumcompleto.com.br, solicitando a exclusão dos dados.

5. COMPARTILHAMENTO DE DADOS COM TERCEIROS

A Plataforma não comercializa, não aluga e não cede dados pessoais a terceiros para fins comerciais ou publicitários. O compartilhamento ocorre exclusivamente nas hipóteses abaixo:

5.1 Compartilhamento entre usuários (controlled disclosure)

O número de WhatsApp do usuário é o único dado compartilhado diretamente com outro usuário da Plataforma, e apenas nas seguintes condições cumulativas:

Existência de match perfeito entre os inventários de figurinhas dos dois usuários;
Iniciativa expressa de contato por parte de um dos usuários;
Ambos os usuários estarem com contas ativas e sem restrições.

Fundamento legal: Art. 7º, V (execução de contrato) c/c Art. 6º, I (finalidade) e Art. 6º, III (necessidade) da LGPD.

5.2 Compartilhamento com operadores (fornecedores de tecnologia)

A Plataforma utiliza operadores de dados especializados para prestação de serviços de infraestrutura tecnológica. Todos os operadores são contratualmente obrigados a observar a LGPD e esta Política, mediante cláusulas contratuais padrão (art. 26, §1º, LGPD). O operador principal de infraestrutura é o Google LLC, por meio da plataforma Firebase (Firebase Authentication, Firestore e Firebase Hosting), cujos servidores podem estar localizados nos Estados Unidos ou em outras regiões com nível de proteção de dados adequado, nos termos do art. 33 da LGPD. O Firebase é certificado pelos principais padrões internacionais de segurança (ISO 27001, SOC 2/3) e seus termos de processamento de dados estão disponíveis em firebase.google.com/support/privacy. Os dados de cadastro (e-mail, apelido, CEP e inventário de figurinhas) são armazenados exclusivamente nos servidores do Firebase; a Plataforma não mantém cópias independentes desses dados em servidores próprios.

5.3 Processamento de Pagamentos – Mercado Pago (Isenção Total de Dados Financeiros)

A Plataforma não realiza cobranças, não intermedia transações financeiras e não armazena dados de pagamento dos usuários. Quando aplicável, o processamento de pagamentos é realizado exclusivamente pelo Mercado Pago (Mercado Libre S.R.L. e suas afiliadas brasileiras), por meio de QR Code gerado diretamente no ambiente seguro e certificado PCI-DSS daquela instituição de pagamento. A Plataforma Álbum Completo:

NÃO armazena números de cartão de crédito, dados bancários, CPF para fins financeiros ou qualquer outro dado sensível de pagamento;
NÃO processa qualquer transação financeira internamente; todo o fluxo financeiro é operado integralmente pelo Mercado Pago em seu próprio ambiente seguro;
NÃO tem acesso aos dados inseridos pelo usuário na interface do Mercado Pago após o redirecionamento ao QR Code.

Responsabilidade do Mercado Pago: O tratamento dos dados financeiros fornecidos durante o pagamento é regido exclusivamente pela Política de Privacidade do Mercado Pago, disponível em www.mercadopago.com.br/privacidade. A Plataforma não possui qualquer responsabilidade por incidentes de segurança ocorridos no ambiente do Mercado Pago. Fundamento legal: Art. 7º, V (execução de contrato) c/c Art. 6º, III (necessidade) e Art. 46 (segurança) da LGPD.

5.4 Compartilhamento por determinação legal ou judicial

Em cumprimento ao Marco Civil da Internet (Lei nº 12.965/2014) e à LGPD, a Plataforma poderá compartilhar dados com autoridades públicas, policiais ou judiciais, mediante:

Ordem judicial fundamentada;
Requisição de autoridade policial no bojo de inquérito policial;
Determinação da Autoridade Nacional de Proteção de Dados (ANPD).

Nestes casos, o compartilhamento se limitará ao mínimo necessário para atendimento da demanda, observando-se o sigilo dos dados não requisitados.

6. RETENÇÃO E ELIMINAÇÃO DE DADOS (CICLO DE VIDA)

Os dados pessoais serão retidos pelo período necessário ao cumprimento das finalidades para as quais foram coletados e das obrigações legais aplicáveis, observando os seguintes prazos:

CATEGORIA DO DADO	PRAZO DE RETENÇÃO	FUNDAMENTO LEGAL
Dados de cadastro e inventário	Enquanto a conta estiver ativa + 60 dias após exclusão	Art. 7º, V c/c Art. 16, I, LGPD
Logs de acesso (IP e registros)	Mínimo de 6 meses a partir do acesso	Art. 15, Marco Civil da Internet
Registros de denúncias	5 anos após resolução	Art. 16, II, LGPD – prevenção de fraude
Dados de menores de idade	Eliminação imediata após solicitação do responsável ou constatação de cadastro irregular	Art. 14, LGPD – proteção da criança e do adolescente

Após o transcurso dos prazos de retenção, os dados serão eliminados de forma segura ou anonimizados, de modo que não seja mais possível identificar o titular, observando-se o disposto no art. 16 da LGPD.

7. DIREITOS DO TITULAR DOS DADOS (ART. 18, LGPD)

A LGPD garante ao titular de dados pessoais um conjunto de direitos que podem ser exercidos a qualquer tempo mediante solicitação ao DPO. A Plataforma se compromete a responder toda solicitação em até 15 (quinze) dias úteis:

① Confirmação e acesso (art. 18, I e II): Direito de confirmar se seus dados são tratados e de acessar cópia completa dos dados que mantemos sobre você.
② Correção (art. 18, III): Direito de corrigir dados incompletos, inexatos ou desatualizados.
③ Anonimização, bloqueio ou eliminação (art. 18, IV): Direito de solicitar que dados desnecessários, excessivos ou tratados em desconformidade com a LGPD sejam anonimizados, bloqueados ou eliminados. Este direito inclui o Direito ao Esquecimento: o usuário pode solicitar a exclusão definitiva de sua conta e de todo o seu inventário de figurinhas do banco de dados da Plataforma, bastando enviar mensagem a partir do e-mail cadastrado na conta para dpo@albumcompleto.com.br com o assunto “SOLICITAÇÃO DE EXCLUSÃO DE DADOS”. A exclusão será processada em até 15 dias úteis, ressalvados os dados cuja retenção seja legalmente obrigatória (como logs de acesso, conforme art. 15 do Marco Civil da Internet).
④ Portabilidade (art. 18, V): Direito de solicitar a transmissão de seus dados a outro fornecedor de serviço, respeitados os segredos comercial e industrial.
⑤ Eliminação por revogação do consentimento (art. 18, VI): Quando o tratamento se basear em consentimento, você pode revogá-lo a qualquer tempo, com eliminação dos dados, salvo quando necessários para outra hipótese legal.
⑥ Informação sobre compartilhamento (art. 18, VII): Direito de saber com quais entidades públicas ou privadas seus dados foram compartilhados.
⑦ Informação sobre a possibilidade de não consentir (art. 18, VIII): Direito de ser informado sobre as consequências de não consentir com o tratamento.
⑧ Revogação do consentimento (art. 18, IX): Direito de revogar o consentimento, nos casos em que o tratamento se basear nessa hipótese.
⑨ Oposição (art. 18, §2º): Direito de se opor ao tratamento realizado com fundamento em outras hipóteses legais que não o consentimento, em caso de descumprimento da LGPD.

Para exercer qualquer desses direitos, o titular deverá encaminhar solicitação ao DPO pelo e-mail dpo@albumcompleto.com.br, com identificação suficiente para comprovação da titularidade. A Plataforma poderá solicitar informações adicionais para verificação de identidade, como medida de segurança.

O titular também tem o direito de peticionar à Autoridade Nacional de Proteção de Dados (ANPD), caso considere que seus direitos não foram devidamente atendidos (art. 18, §1º, LGPD).

8. SEGURANÇA DA INFORMAÇÃO E MEDIDAS TÉCNICAS

A Plataforma adota medidas técnicas e administrativas adequadas para proteger os dados pessoais de acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, nos termos do art. 46 da LGPD. São adotadas, entre outras, as seguintes salvaguardas:

8.1 Medidas técnicas

Armazenamento de senhas com algoritmos de hash criptográfico de última geração (bcrypt/Argon2), com salt individual por usuário;
Transmissão de dados protegida por protocolo TLS 1.2 ou superior (HTTPS);
Acesso restrito ao banco de dados por VPN e autenticação multifator para administradores;
Pseudonimização dos dados de CEP no banco de dados, armazenando apenas o hash geográfico necessário ao cálculo de proximidade;
Registro de logs de acesso com retenção mínima de 6 (seis) meses, conforme exigido pelo art. 15 do Marco Civil da Internet;
Monitoramento contínuo de tentativas de acesso indevido e ataques de força bruta.

8.2 Medidas administrativas

Política de controle de acesso baseada em privilégio mínimo (need-to-know);
Acordo de confidencialidade (NDA) com todos os colaboradores e operadores com acesso a dados pessoais;
Programa de conscientização em privacidade e segurança para a equipe;
Plano de Resposta a Incidentes de Segurança, com procedimento de notificação à ANPD e aos titulares em caso de incidentes de segurança relevantes, nos termos do art. 48 da LGPD.

9. INCIDENTES DE SEGURANÇA – PROCEDIMENTO DE NOTIFICAÇÃO

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, a Plataforma adotará o seguinte procedimento, em conformidade com o art. 48 da LGPD e as Resoluções da ANPD:

Identificação e contenção: isolamento imediato do incidente pela equipe de segurança;
Avaliação de impacto: análise da natureza dos dados afetados, número de titulares impactados e riscos potenciais;
Notificação à ANPD: comunicação em prazo razoável, não superior ao prazo regulamentado pela ANPD (atualmente fixado em 3 dias úteis para casos graves, conforme orientações da Autoridade);
Notificação aos titulares: comunicação aos titulares afetados, por e-mail cadastrado, com descrição clara do incidente, dados comprometidos e medidas adotadas para mitigação;
Registro: documentação completa do incidente e das medidas adotadas para fins de responsabilização e melhoria contínua.

10. COOKIES E TECNOLOGIAS DE RASTREAMENTO

A Plataforma utiliza cookies e tecnologias similares para o funcionamento adequado dos serviços. Os cookies utilizados são classificados da seguinte forma:

Cookies estritamente necessários: Essenciais para o funcionamento da Plataforma (autenticação de sessão, segurança CSRF). Não podem ser desativados sem comprometer o funcionamento.
Cookies de desempenho/análise: Utilizados para análise de tráfego e melhoria dos serviços, de forma anonimizada. Podem ser recusados pelo titular sem prejuízo ao acesso.

A Plataforma não utiliza cookies de publicidade comportamental ou rastreamento cross-site. O titular pode gerenciar suas preferências de cookies nas configurações do navegador ou no painel de privacidade da Plataforma.

11. TRANSFERÊNCIA INTERNACIONAL DE DADOS

A Plataforma utiliza o Firebase (Google LLC) como infraestrutura de armazenamento, cujos servidores podem estar localizados fora do Brasil. Tais transferências internacionais de dados observam as hipóteses previstas no art. 33 da LGPD, por meio das seguintes garantias: (i) o Google LLC é signatário de Cláusulas Contratuais Padrão (Standard Contractual Clauses) reconhecidas como mecanismo adequado de transferência pela Comissão Europeia e pela ANPD; (ii) o Google mantém certificações ISO 27001, SOC 2 Tipo II e SOC 3, garantindo nível de proteção equivalente ou superior ao exigido pela LGPD. O Mercado Pago, operador de pagamentos, também possui sede e operações no Brasil, submetendo-se integralmente à jurisdição brasileira e à LGPD.

Os detalhes sobre os mecanismos de transferência internacional adotados estão disponíveis mediante solicitação ao DPO.

12. ATUALIZAÇÃO DESTA POLÍTICA

Esta Política poderá ser atualizada a qualquer momento pela Plataforma, em razão de alterações legais, novas práticas de tratamento ou melhorias nos processos internos. Toda atualização relevante será comunicada ao titular por meio de notificação no site e por e-mail cadastrado, com antecedência mínima de 15 (quinze) dias da entrada em vigor das alterações.

A versão sempre vigente é aquela publicada na Plataforma, identificada pela data de vigência constante no rodapé deste documento. A continuidade do uso dos serviços após a comunicação das alterações constituirá concordância com os novos termos, exceto nos casos em que a LGPD exigir renovação do consentimento.

13. LEI APLICÁVEL E FORO

Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela Lei nº 13.709/2018 (LGPD), pela Lei nº 12.965/2014 (Marco Civil da Internet) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990), sem prejuízo das demais normas aplicáveis.

Fica eleito o foro da comarca de [Cidade/Estado da sede do Controlador] para dirimir quaisquer controvérsias oriundas desta Política, ressalvado o direito do titular de acionar o juizado especial de seu domicílio ou a ANPD.

14. CANAL DE ATENDIMENTO E CONTATO

Para todas as solicitações relacionadas a dados pessoais, privacidade ou esta Política, o titular deverá contatar o Encarregado de Dados:

E-mail DPO: dpo@albumcompleto.com.br
E-mail Denúncias: denuncia@albumcompleto.com.br
Prazo de resposta: Até 15 (quinze) dias úteis da data do recebimento da solicitação.

O titular também poderá contatar diretamente a Autoridade Nacional de Proteção de Dados (ANPD):

Site: www.gov.br/anpd
Endereço: Setor Comercial Sul – B, Quadra 9, Lote C, Ed. Parque Cidade Corporate, Torre A, 4º andar – Brasília/DF – CEP 70308-200

Álbum Completo – Copa do Mundo 2026

Versão 1.0 | Esta Política entra em vigor na data de sua publicação no site.