BRASA

Política de Privacidade

Versão 1.0.0 — vigente desde 01/01/2026

Esta Política descreve, de forma transparente, como a BRASA Sorteios trata os dados pessoais dos participantes, em conformidade com a Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 (LGPD) e a Constituição Federal (art. 5º, X e XII).

1. Quem é o controlador

A BRASA Sorteios atua como controladora dos dados pessoais dos participantes, decidindo sobre as finalidades e os meios do tratamento, nos termos do art. 5º, VI da LGPD.

2. Dados que coletamos

São coletados apenas os dados estritamente necessários:

  • Identificação: nome completo, número de telefone (com DDD) e CPF — informados no checkout.
  • Dados de pagamento: identificadores da cobrança PIX (transaction_uuid, code_sale), valor, data e hora do pagamento, dados do pagador retornados pelo prestador de pagamento (PSP) regulado pelo Banco Central.
  • Dados técnicos: endereço IP, user-agent, versão dos Termos aceitos, data e hora do aceite — registrados para fins de prova jurídica.
  • Dados de uso da plataforma: cotas adquiridas, sorteios participados, histórico de reservas (incluindo expiradas).

Não coletamos dados sensíveis (origem racial, religião, saúde, orientação sexual ou política) nem dados de crianças e adolescentes. A plataforma é destinada a maiores de 18 anos.

3. Bases legais

FinalidadeBase legal LGPD
Cadastro, processamento da reserva, geração de cobrança PIX e confirmação do pagamentoExecução de contrato (art. 7º, V)
Retenção de dados fiscais e contábeisCumprimento de obrigação legal (art. 7º, II)
Conferência de identidade do pagador, prevenção a fraude e disputasLegítimo interesse (art. 7º, IX), com salvaguardas
Comunicações transacionais (confirmação de pagamento, resultado do sorteio)Execução de contrato (art. 7º, V)
Comunicações de marketing/divulgaçãoConsentimento (art. 7º, I) — opt-in expresso e revogável

4. Com quem compartilhamos seus dados

Apenas com operadores essenciais à operação, todos contratualmente vinculados a obrigações de confidencialidade, segurança e tratamento conforme a LGPD:

  • Prestador de pagamento PIX homologado no Sistema de Pagamentos Brasileiro (Bacen): processa a cobrança e retorna a confirmação;
  • Provedor de banco de dados gerenciado: armazenamento de transações, dados de cadastro e logs de auditoria;
  • Provedor de hospedagem em nuvem: infraestrutura do site e dos webhooks;
  • Plataforma de mensageria: envio de comunicações transacionais aos participantes (quando aplicável).

Não vendemos dados pessoais a terceiros para fins comerciais.

5. Retenção

Mantemos os dados pelo período mínimo necessário ao cumprimento das finalidades:

  • Dados de transações e fiscais: 5 (cinco) anos a contar da conclusão do sorteio, observando o prazo prescricional do art. 206, §5º do Código Civil e as exigências fiscais aplicáveis;
  • Logs de auditoria e acesso: mínimo de 12 (doze) meses, recomendado 5 (cinco) anos;
  • Aceite de Termos e Política: mantido enquanto vigorar a relação contratual + 5 anos.

Após o prazo, os dados são anonimizados (mantida apenas a informação estatística agregada) ou eliminados, conforme decisão do Encarregado de Tratamento de Dados.

6. Segurança

Adotamos medidas técnicas e organizacionais proporcionais aos riscos (art. 46 da LGPD):

  • TLS 1.2+ em todo o tráfego entre navegador e servidor;
  • CPF criptografado em repouso no banco de dados (cifra simétrica gerenciada por chave separada);
  • Mascaramento por padrão de CPF nos painéis internos e log de auditoria obrigatório com justificativa para qualquer revelação;
  • Senhas de usuários internos com hash forte e autenticação multifator (TOTP);
  • Segregação de acesso por perfil (administrador, operador, financeiro), com princípio do menor privilégio;
  • Backups criptografados e restore testado periodicamente;
  • Segredos (credenciais de PSP, banco) armazenados em cofre dedicado, nunca em código-fonte.

7. Direitos do titular (arts. 18 a 22 da LGPD)

O titular dos dados pode, a qualquer tempo:

  • obter confirmação da existência de tratamento;
  • acessar seus dados pessoais;
  • corrigir dados incompletos, inexatos ou desatualizados;
  • solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
  • solicitar portabilidade dos dados, mediante requisição expressa;
  • obter informação sobre o uso compartilhado dos dados;
  • revogar consentimento previamente fornecido (para finalidades não obrigatórias);
  • opor-se a tratamento realizado com fundamento em legítimo interesse, em caso de descumprimento da LGPD.

Solicitações são respondidas em até 15 (quinze) dias corridos da data do pedido. Em casos complexos, o prazo pode ser estendido com justificativa. A solicitação deve ser direcionada ao canal indicado abaixo.

8. Encarregado pelo tratamento de dados (DPO)

Em conformidade com o art. 41 da LGPD, dispomos de Encarregado pelo tratamento de dados. Solicitações relativas a direitos do titular ou dúvidas sobre privacidade podem ser enviadas pelo canal informado no aceite dos Termos.

9. Comunicação de incidentes

Em caso de incidente de segurança envolvendo risco ou dano relevante aos titulares, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados serão comunicados em prazo razoável, conforme art. 48 da LGPD, com descrição da natureza dos dados envolvidos, riscos potenciais e medidas adotadas.

10. Cookies

A plataforma utiliza, por padrão, apenas cookies estritamente necessários ao funcionamento do site (sessão e segurança), que não exigem consentimento prévio. Cookies de analytics ou marketing, se eventualmente adotados, serão precedidos de banner de consentimento granular com opção de aceite e recusa por categoria.

11. Transferência internacional

Quando dados forem transferidos para operadores em outros países, garantimos que o destinatário forneça grau adequado de proteção, observando o art. 33 da LGPD (decisão da ANPD, cláusulas contratuais padrão, normas corporativas globais ou consentimento específico, conforme o caso).

12. Alterações desta Política

Esta Política pode ser revisada periodicamente. Alterações materiais são comunicadas com antecedência mínima de 15 (quinze) dias e exigem novo aceite na próxima participação. A versão e a data de vigência ficam sempre publicadas no topo deste documento.

13. Lei aplicável

Esta Política é regida pela legislação brasileira, em especial pela Lei nº 13.709/2018, pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990).