Política de Privacidade

Última atualização: 22 de maio de 2026.

O Golbum é uma ferramenta gratuita de fã pra controlar o álbum da Copa 2026 (não-afiliada à FIFA ou Panini). Esta política descreve o que coletamos, por que coletamos, com quem compartilhamos e como você exerce seus direitos sob a Lei Geral de Proteção de Dados (LGPD).

Índice

Dados que coletamos
Onde os dados ficam armazenados
Processadores terceirizados
Cloudflare Turnstile (verificação anti-bot)
Retenção de dados
Cookies e armazenamento local
Seus direitos sob a LGPD
Contato

1. Dados que coletamos

Coletamos o mínimo necessário pra operar o app. Em particular:

1.1. Número de celular

Quando você opta por criar conta, pedimos seu celular brasileiro pra enviar um código OTP por SMS. O número é o seu identificador permanente — não pedimos email, senha, nome ou documento. Esse número fica armazenado no provedor de autenticação (Supabase) e nunca é exibido pra outros usuários do app.

1.2. Conteúdo do seu álbum

Quantidades por figurinha, nome do álbum, eventos de histórico (mudanças de quantidade, gestão de editores, ligações/desligamentos do link público) e — quando aplicável — o token do seu link público. Se você convidar um editor, o número de celular dele também é registrado pra vincular as edições à pessoa certa.

1.3. Endereço IP (logs do rate limiter)

Quando você solicita um código OTP, nosso rate limiter (Cloudflare Worker) registra temporariamente seu IP pra evitar abuso de envio de SMS. Esses logs ficam apenas no painel de logs da Cloudflare, são acessados só pra investigar incidentes, e expiram conforme a política da Cloudflare (tipicamente dias, não meses).

1.4. Álbuns anônimos (armazenados localmente)

Se você usa o app sem criar conta, todos os dados do álbum ficam só no seu navegador, em localStorage. Nada disso é enviado pra nossos servidores até você criar uma conta e migrar.

2. Onde os dados ficam armazenados

Conta + álbuns + histórico: banco Postgres operado pelo Supabase. O datacenter exato é o configurado no projeto do Golbum no Supabase; consulte a Política de Privacidade do Supabase pra detalhes sobre regiões disponíveis e transferências internacionais.
SMS de OTP: entregue pelo Twilio (provedor SMS). Veja a Política de Privacidade do Twilio.
Hosting do app + logs do rate limiter: Cloudflare (Pages + Workers). Veja a Política de Privacidade da Cloudflare.
Álbuns anônimos: só no seu navegador (localStorage), nunca trafegam pra nossos servidores.

3. Processadores terceirizados

Os seguintes serviços tratam dados em nosso nome:

Supabase — autenticação, banco de dados, RLS. — Política de Privacidade
Twilio — entrega dos SMS de OTP. — Política de Privacidade
Cloudflare — CDN, hospedagem (Pages) e rate limiter (Workers). — Política de Privacidade

Não usamos serviços de analytics, ads, fingerprinting comportamental, nem ferramentas que criem perfis seus pra fins de marketing.

4. Cloudflare Turnstile (verificação anti-bot)

Pra proteger o envio de SMS contra scripts e enumeração de números, usamos o Cloudflare Turnstile em modo invisível ao solicitar um código OTP. O Turnstile coleta sinais técnicos do navegador (comportamento, características do dispositivo, padrões de interação) sem mostrar um desafio visível, e devolve um token de verificação que nosso rate limiter valida no servidor.

Esse tratamento é coberto pelo Turnstile Privacy Addendum da Cloudflare, que faz parte desta Política por referência. Conforme exigido pela própria Cloudflare ao habilitar o modo invisível, declaramos: ao usar o Golbum para autenticação, você está sujeito ao Turnstile Privacy Addendum.

5. Retenção de dados

Conta + número de celular: enquanto sua conta existir. Você pode pedir a exclusão a qualquer momento (veja seção 7).
Álbuns, quantidades e histórico: enquanto o álbum existir. Se você deletar um álbum, todos os eventos e quantidades associados são removidos junto.
Logs de IP do rate limiter: retidos pela Cloudflare conforme política deles (tipicamente dias). Nós não copiamos esses logs pra nenhum outro lugar.
Álbuns anônimos: ficam só no seu navegador até você limpar o armazenamento local ou trocar de dispositivo.

6. Cookies e armazenamento local

O Golbum não usa cookies de rastreamento, analytics ou publicidade. O que usamos:

localStorage: guarda o estado dos seus álbuns anônimos e flags de UI (banner de instalação dispensado, etc.).
Sessão de autenticação: quando você está logado, o Supabase usa armazenamento local pra manter sua sessão ativa entre visitas. Sem isso, você teria que digitar o OTP toda hora.

7. Seus direitos sob a LGPD

Como titular dos dados, você tem direito a:

Acesso — saber quais dados temos sobre você (todos visíveis no próprio app: seus álbuns, seu histórico, seu número na seção de conta).
Correção — corrigir dados incorretos (renomear álbum, ajustar quantidades, atualizar telefone via novo cadastro).
Exclusão — deletar seus álbuns no app, ou solicitar a exclusão da conta inteira pelo contato abaixo.
Portabilidade — pedir um export dos seus dados em formato legível (JSON), pelo contato abaixo.
Revogação de consentimento — sair da sua conta e parar de usar o app a qualquer momento.

Solicitações de exclusão e portabilidade são atendidas em até 15 dias úteis a contar do recebimento.

8. Contato

Dúvidas, pedidos de acesso, correção, exclusão ou portabilidade: [email protected].

Ao usar o Golbum — em particular ao solicitar o código OTP por SMS — você declara que leu e concorda com esta Política de Privacidade e com o Turnstile Privacy Addendum da Cloudflare.