Lojinha Pokémon

Política de Privacidade

Última atualização: 15 de maio de 2026

Esta política descreve como o Lojinha Pokémon coleta, usa e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018).

Aviso de marca: Pokémon e suas respectivas propriedades são copyright THE POKÉMON COMPANY. O Lojinha Pokémon é um marketplace independente C2C de cartas usadas; NÃO possui afiliação, parceria, endosso ou licença oficial com a The Pokémon Company, Nintendo, Game Freak ou Creatures Inc.

1. Quem é o controlador dos dados

Bruno Cavalcanti (CNPJ a definir mediante abertura de MEI), operando o serviço sob a marca Lojinha Pokémon.

Encarregado de Proteção de Dados (DPO): Bruno Cavalcanti — contato via email dpo@lojinha pokémon.com.br.

2. Dados que coletamos

Coletamos apenas o estritamente necessário pra prestar o serviço. Os dados variam conforme você seja vendedor (titular de uma lojinha) ou comprador.

2.1. Vendedores

  • Nome completo, email, senha (hash bcrypt — nunca em texto plano)
  • WhatsApp (E.164)
  • Cidade e estado
  • Chave Pix (cpf, cnpj, email, telefone ou aleatória)
  • Pokémon favorito (sem PII; usado apenas pra identidade visual da lojinha)
  • Dados da assinatura (plano, datas de cobrança, status)

2.2. Compradores

  • Nome, email, WhatsApp
  • Endereço de entrega (apenas se a opção de frete escolhida exigir)
  • Endereço IP e user agent (segurança contra fraude e abuso)
  • Histórico de pedidos feitos

2.3. Cookies e analytics (opt-in)

  • Essenciais (sempre ativos): sessão de login, carrinho de compras, tracking_token de pedido. Sem isso o site não funciona.
  • Analytics (PostHog) — opt-in: apenas se você consentir explicitamente no banner de cookies. Mascaramos automaticamente todos os campos de input. Pode revogar a qualquer momento.

3. Bases legais (LGPD Art. 7º)

  • Execução de contrato: dados necessários pra criar conta, manter loja e processar pedidos.
  • Consentimento: uso de analytics opcional via cookie banner.
  • Legítimo interesse: coleta de IP pra prevenção de fraude e segurança do serviço.
  • Cumprimento de obrigação legal: retenção de pedidos por 5 anos (compliance fiscal — Receita Federal).

4. Finalidades do uso

  • Operação do serviço (cadastro, autenticação, processamento de pedidos)
  • Comunicação transacional (confirmações, status de pedido, recuperação de senha)
  • Melhoria contínua (analytics opt-in)
  • Segurança (anti-fraude, anti-abuso)
  • Cumprimento de obrigações legais e fiscais

5. Retenção

  • Dados de conta (perfil, loja, catálogo): enquanto sua conta estiver ativa. Excluídos imediatamente quando você solicitar exclusão.
  • Pedidos finalizados: retidos por 5 anos (obrigação fiscal). Após sua exclusão da conta, todos os campos pessoais (buyer_name, buyer_email, buyer_whatsapp, buyer_address, buyer_ip, pix_key_snapshot) são anonimizados. Apenas dados não-pessoais (datas, totais, snapshots de itens) ficam retidos pra Receita.
  • Logs operacionais: 30 dias, com PII mascarada automaticamente.

6. Direitos do titular (LGPD Art. 18)

Você tem direito a:

  • Acessar todos os seus dados (botão "Exportar meus dados" em Conta)
  • Corrigir dados incorretos (a maior parte editável diretamente no painel; o que não for, pode pedir ao DPO)
  • Excluir seus dados (botão "Excluir minha conta" em Conta — efeito imediato, exceto retenção fiscal de pedidos com PII anonimizada)
  • Portabilidade (export em JSON)
  • Revogar consentimento de analytics (banner de cookies, link abaixo)
  • Saber com quem compartilhamos (ver seção 8) e se opor a usos não baseados em consentimento

7. Segurança

  • HTTPS obrigatório em todas as conexões
  • Senhas armazenadas com hash bcrypt (Supabase Auth)
  • Criptografia em repouso no banco (gerenciada pela Supabase)
  • Logs de aplicação NÃO contém PII em texto plano (mascaramento automático)
  • Acesso administrativo restrito ao operador (Bruno) com 2FA

8. Subprocessadores e compartilhamento

Pra operar o serviço, compartilhamos dados estritamente necessários com:

  • Vercel (hosting; EUA com SCC) — todos os dados em trânsito e execução
  • Supabase (banco de dados, autenticação, storage; AWS São Paulo) — todos os dados em repouso
  • Resend (envio de emails transacionais; EUA) — apenas email + conteúdo da mensagem
  • PostHog (analytics; opt-in apenas) — eventos sem PII, com mascaramento automático
  • Sentry (monitoramento de erros; SCC) — stack traces e contexto técnico, com mascaramento de PII
  • Asaas (gateway de assinatura; futuro) — apenas dados de cobrança do vendedor

APIs externas (Pokémon TCG API, PokéAPI) NÃO recebem dados pessoais.

9. Alterações nesta política

Mudanças relevantes serão notificadas por email com pelo menos 15 dias de antecedência. A versão atual fica sempre disponível em /privacidade.

10. Contato

Reclamações, dúvidas ou exercício de direitos: envie email pra dpo@lojinha pokémon.com.br. Resposta em até 15 dias úteis.

Você também pode reclamar diretamente à Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd.