Política de Privacidade

O Bounty WorkFlow é operado de forma autônoma por Ed. Para fins da LGPD, Ed atua como controlador dos dados pessoais tratados neste Serviço. Contato: cryptolairbr@gmail.com.

Coletamos o mínimo possível. Dividimos em três categorias:

2.1 Dados de cadastro

• Email
• Nome (se fornecido via Google/X durante o OAuth)
• Foto de perfil (opcional, via OAuth)
• Senha, armazenada de forma criptografada (bcrypt + salt pelo Supabase)

2.2 Dados de uso do app

• Campanhas de bounty que você cadastra (título, protocolo, deadline, notas)
• Tarefas, anexos e comentários criados por você
• Endereços de carteira cripto que você optar por adicionar — são dados públicos, mas ficam associados ao seu perfil só pra sua própria organização

2.3 Dados técnicos

• Endereço IP (logs de segurança, retidos por até 30 dias)
• User-Agent do navegador
• Cookies de sessão (para manter você logado — não usamos cookies de rastreio)

O que NÃO coletamos: dados bancários (pagamento é feito diretamente no Mercado Pago), localização precisa, contatos do seu dispositivo, dados de comportamento de navegação fora do nosso app.

• Autenticação e segurança: manter sua sessão ativa, prevenir fraudes e acessos indevidos.
• Prestação do serviço: exibir suas campanhas, disparar lembretes por email, gerar exports CSV.
• Comunicação operacional: avisos importantes sobre a conta (cobrança, mudança de termos, incidentes de segurança).
• Melhoria do produto: análise agregada e anônima de uso, sem cruzamento com sua identidade.
• Cumprimento legal: responder a ordens judiciais ou obrigações legais quando aplicável.

Bases legais (art. 7º da LGPD): execução de contrato (o próprio Serviço), legítimo interesse (segurança e melhoria) e cumprimento de obrigação legal. Nunca vendemos dados e não usamos seus dados pra publicidade direcionada.

Compartilhamos dados apenas com operadores essenciais pra fazer o Serviço funcionar. Cada um tem sua própria política de privacidade:

• Supabase (banco de dados e autenticação) — supabase.com/privacy
• Vercel (hospedagem) — vercel.com/legal/privacy-policy
• Resend (envio de email) — resend.com/privacy
• Mercado Pago (processamento de pagamento) — mercadopago.com.br/ajuda/politica-privacidade
• Google e X (Twitter) — apenas se você escolher logar via OAuth; recebemos email, nome e avatar.

Nunca compartilhamos seus dados com terceiros pra fins de marketing. Todo compartilhamento é estritamente operacional.

Alguns dos operadores listados acima (Vercel, Supabase, Resend) armazenam dados em servidores fora do Brasil (principalmente EUA e UE). Todos eles oferecem garantias compatíveis com a LGPD e GDPR. Ao usar o Serviço, você concorda com essa transferência.

• Conta ativa: mantemos enquanto você usa o Serviço.
• Conta encerrada: export CSV fica disponível por 30 dias; depois, todos os dados pessoais são excluídos em até 90 dias (exceto o que a lei obriga a reter — ex: registros fiscais).
• Logs técnicos (IP, User-Agent): 30 dias.
• Registros fiscais/contábeis: 5 anos (obrigação legal).

A LGPD te garante — e nós respeitamos — os seguintes direitos:

• Confirmação e acesso: saber se tratamos seus dados e pedir cópia.
• Correção: atualizar dados incompletos ou desatualizados.
• Anonimização, bloqueio ou eliminação: de dados excessivos ou tratados em desconformidade.
• Portabilidade: receber seus dados em formato estruturado (CSV).
• Eliminação: pedir exclusão dos dados pessoais tratados com base no consentimento.
• Informação sobre compartilhamento: saber com quem compartilhamos.
• Revogação do consentimento: quando aplicável.

Pra exercer qualquer direito, mande email para cryptolairbr@gmail.com com o assunto "LGPD — [seu pedido]". Respondemos em até 15 dias.

Aplicamos medidas técnicas e organizacionais razoáveis pra proteger seus dados:

• Tráfego 100% sobre HTTPS (TLS 1.2+).
• Senhas armazenadas com hash bcrypt + salt (nunca em texto puro).
• Row-level security (RLS) no banco: cada usuário só acessa seus próprios dados.
• Tokens de API criptografados, rotação periódica.
• Logs de auditoria pra acessos administrativos.

Apesar disso, nenhum sistema é 100% à prova. Se detectarmos um incidente de segurança que afete seus dados, notificaremos você e a ANPD (Autoridade Nacional de Proteção de Dados) conforme a LGPD.

O Serviço é destinado a maiores de 18 anos. Não coletamos conscientemente dados de menores. Se identificar que uma criança nos forneceu dados, entre em contato que excluiremos imediatamente.

Usamos apenas cookies estritamente necessários para manter sua sessão logada e lembrar sua preferência de tema (claro/escuro). Não usamos cookies de rastreamento, nem compartilhamos cookies com terceiros. Não precisa de banner de consentimento porque esses cookies são considerados essenciais.

Esta política pode ser atualizada periodicamente. Quando houver mudanças relevantes, notificaremos por email e atualizaremos a data "Última atualização" no topo desta página.

Como projeto autônomo, a função de encarregado de dados (DPO) é exercida pelo próprio operador, Ed. Para qualquer questão relacionada a privacidade ou LGPD:

cryptolairbr@gmail.com