Política de Privacidade
Almanaque do Leilão
Última atualização: 31 de maio de 2026
Conformidade: Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018)
1. Quem é o controlador dos seus dados
- Controlador: Jhonatan Sousa de Oliveira (pessoa física, na qualidade de operador do serviço Almanaque do Leilão)
- Endereço: Av. Armando Mariano da Ponte, 10 — Vila Rio Branco, Jundiaí/SP — CEP 13215-424
- Encarregado pelo Tratamento de Dados (DPO): Jhonatan Sousa de Oliveira
- Canal de contato exclusivo LGPD: contato@almanaquedoleilao.com
Pedidos relativos aos seus direitos (acesso, correção, exclusão, portabilidade) serão respondidos no prazo legal de até 15 dias contados do recebimento.
2. Quais dados coletamos
2.1 Dados que VOCÊ nos fornece (cadastro)
- Email (obrigatório — usado para login, recuperação de senha e notificações de conta)
- Senha (armazenada criptografada via hash; não temos acesso ao texto original)
- Nome (opcional, se você preencher na conta)
2.2 Dados que coletamos automaticamente (uso do site)
- Endereço IP — utilizado durante a sessão para prevenção de abuso e limitação de taxa de requisições. Não armazenamos IP vinculado à conta do usuário no nosso banco de dados. Logs técnicos dos provedores de hospedagem (Cloudflare/Lovable) podem reter IPs por até 6 meses, conforme art. 15 do Marco Civil da Internet
- Tipo de navegador e sistema operacional (apenas pra fins estatísticos agregados)
- Páginas visitadas e ações no site (via Plausible Analytics — ver Seção 4)
- Termos buscados — ficam vinculados à sua conta para você poder ver seu próprio histórico de buscas. Para análise agregada de relevância e melhoria do produto, agrupamos os termos por frequência sem identificar quem buscou
- Data e hora de acesso
2.3 Dados que NÃO coletamos
- Não coletamos CPF, RG, comprovante de renda, dados bancários ou cartão de crédito (o serviço é gratuito — não há processamento de pagamento)
- Não fazemos profiling avançado nem decisões automatizadas com efeito jurídico
- Não pedimos consentimento pra dados sensíveis (saúde, orientação sexual, biometria, etc.) — não coletamos
- Não usamos cookies de rastreamento de terceiros (Google Analytics, Facebook Pixel, etc.)
3. Por que coletamos (bases legais — LGPD art. 7º)
| Dado | Finalidade | Base legal |
|---|---|---|
| Email + senha | Autenticação, gestão da conta | Execução de contrato (art. 7º, V) |
| Comunicações sobre a conta (confirmação, redefinição de senha, fatura) | Execução de contrato (art. 7º, V) | |
| Comunicações comerciais (novidades, dicas) | Consentimento (art. 7º, I) — você pode descadastrar a qualquer momento | |
| IP, browser, ações no site | Estatísticas agregadas de uso, prevenção de fraude | Legítimo interesse (art. 7º, IX) |
| Termos buscados (anonimizados) | Melhorar relevância da busca, identificar lacunas no catálogo | Legítimo interesse (art. 7º, IX) |
4. Cookies e tecnologias similares
Usamos apenas cookies essenciais e first-party:
| Tipo | Finalidade | Pode desativar? |
|---|---|---|
| Sessão de login (Supabase Auth) | Manter você autenticado entre páginas | Não — sem isso, login não funciona |
| Plausible Analytics (first-party) | Estatísticas agregadas anônimas (page views, dispositivo, país) sem identificar você individualmente | Sim — via configurações do navegador ou DoNotTrack |
Não usamos:
- Cookies de terceiros (Google Analytics, Facebook Pixel, Hotjar etc.)
- Fingerprinting de dispositivo
- Cookies de publicidade ou remarketing
Por isso não exibimos banner de consentimento de cookies — não coletamos dados que exijam isso sob a LGPD ou ePrivacy.
5. Com quem compartilhamos
Compartilhamos apenas o estritamente necessário:
| Operador | O que recebe | Finalidade | País |
|---|---|---|---|
| Supabase (backend) | Email, senha hash, atividade de busca | Hospedagem do banco e autenticação | EUA (com SCC) |
| Lovable / Cloudflare (hosting) | Logs técnicos (IP anonimizado, requisições) | Hospedagem do site | EUA |
| Brevo (email transacional) | Email do usuário | Enviar emails de confirmação, redefinição de senha | França (UE — GDPR adequado) |
| Plausible (analytics) | IP anonimizado, ações no site sem identificação individual | Estatísticas agregadas | UE (Alemanha — GDPR) |
Nunca vendemos seus dados para anunciantes, brokers de dados ou terceiros.
Podemos divulgar dados apenas mediante ordem judicial específica ou requisição de autoridade competente, dentro dos limites da lei.
6. Por quanto tempo guardamos
| Dado | Prazo de retenção |
|---|---|
| Cadastro ativo (email, senha, conta) | Enquanto a conta existir |
| Conta encerrada (excluída por você) | Anonimizada em 30 dias (apagamos email e senha; histórico de buscas vira estatística agregada não-identificável) |
| Logs de acesso (IP anonimizado, ação) | 6 meses (art. 15 do Marco Civil da Internet) |
| Faturas e dados de pagamento | 5 anos (obrigação fiscal/contábil) |
| Comunicações de suporte (emails recebidos em contato@) | 2 anos |
7. Seus direitos (LGPD art. 18)
Você pode, a qualquer momento, solicitar pelo email contato@almanaquedoleilao.com:
- Confirmação de existência de tratamento dos seus dados
- Acesso aos seus dados (exportação em formato legível)
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade dos dados pra outro fornecedor de serviço
- Eliminação dos dados tratados com base em consentimento (exceto quando houver obrigação legal de manter)
- Informação sobre entidades com quem compartilhamos seus dados
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências
- Revogação do consentimento, quando for a base legal
Responderemos em até 15 dias. Em casos excepcionais, podemos prorrogar por mais 15 dias justificadamente.
Se você não ficar satisfeito com nossa resposta, pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.
8. Segurança
Adotamos medidas técnicas e organizacionais razoáveis:
- Senhas armazenadas com função de hash criptográfica robusta padrão da indústria (bcrypt/scrypt/argon2, conforme implementação do Supabase Auth). Não armazenamos o texto original da senha em momento algum
- HTTPS obrigatório (TLS 1.3) em todas as páginas
- Acesso ao banco restrito por Row Level Security (RLS)
- Backups regulares com criptografia em repouso
- Princípio do menor privilégio nos sistemas internos
- Monitoramento de tentativas de acesso suspeitas
Em caso de incidente de segurança que represente risco aos titulares, comunicaremos a ANPD e os usuários afetados conforme determina o art. 48 da LGPD.
9. Crianças e adolescentes
O serviço é destinado a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Se identificarmos cadastro de menor de idade, a conta será encerrada e os dados eliminados, salvo expressa autorização de responsável legal.
10. Transferência internacional de dados
Como descrito na Seção 5, parte do processamento ocorre em servidores fora do Brasil (EUA, UE). Conforme art. 33 e seguintes da LGPD, garantimos que esses operadores oferecem nível adequado de proteção, por meio de:
- Cláusulas Contratuais Padrão (SCC) com operadores nos EUA
- Conformidade com GDPR para operadores europeus
11. Alterações nesta política
Podemos atualizar esta Política. Mudanças relevantes serão comunicadas por email (à conta cadastrada) com 15 dias de antecedência, e a data de atualização no topo do documento será revisada. Versões anteriores ficam disponíveis sob solicitação.
Dúvidas, solicitações ou denúncias: contato@almanaquedoleilao.com