1. Quem somos
A RECORDX é a controladora dos dados pessoais coletados nesta plataforma para o serviço de geração de figurinha digital personalizada.
2. Dados que coletamos
- Dados do quiz: nome da criança, data de nascimento, clube, peso, altura, jogador favorito.
- Foto da criança: imagem enviada como referência para a IA.
- Contato: email (obrigatório) e WhatsApp (opcional).
- Dados de tráfego: UTM, fbclid, gclid, IP mascarado (/24), user-agent, página de origem.
- Dados de pagamento: processados pelo gateway OnProfit, não armazenamos números de cartão ou CPF completo (apenas últimos 4 dígitos para auditoria).
3. Base legal (LGPD Art. 7 e 11)
- Consentimento (Art. 7, I e Art. 11, I): para o uso da imagem da criança, declarado expressamente no quiz.
- Execução de contrato (Art. 7, V): para processar pagamento e entregar a figurinha.
- Legítimo interesse (Art. 7, IX): para tracking de atribuição publicitária (sem identificação direta).
4. Tratamento da foto da criança
A foto enviada é uma categoria de dado pessoal sensível (LGPD Art. 11) por se tratar de menor de idade. Por isso aplicamos cuidados específicos:
- É usada apenas como referência para a IA gerar a figurinha (modelo fal-ai/flux-pulid).
- Não é compartilhada com terceiros além do provider de IA estritamente para a geração.
- Não é usada para treinamento de modelos.
- É apagada do nosso storage em até 7 dias após a entrega da figurinha.
- O consentimento é registrado com data, IP mascarado, user-agent e versão do texto aceito.
5. Retenção
| Dado | Retenção |
|---|---|
| Foto enviada (criança) | 7 dias pós-entrega |
| Figurinha gerada | 1 ano pós-entrega |
| Email e dados do quiz | Indefinido (titular pode solicitar exclusão) |
| IP mascarado e tracking | 90 dias |
| Registro de consentimento | 5 anos pós-revogação (evidência regulatória) |
| Dados de pagamento (OnProfit) | Conforme política da OnProfit |
6. Direitos do titular (LGPD Art. 18)
O titular dos dados (ou seu responsável legal) pode, a qualquer momento:
- Confirmar o tratamento dos dados.
- Acessar os dados (endpoint
/api/lgpd/export-me). - Corrigir dados incompletos, inexatos ou desatualizados.
- Excluir os dados (endpoint
/api/lgpd/delete-me). - Portar os dados em formato estruturado (JSON via export).
- Revogar o consentimento (endpoint
/api/lgpd/revoke-consent).
Para exercer qualquer direito, acesse /minha-area ou envie email para lgpd@recordx.com.br.
7. Compartilhamento com terceiros
Compartilhamos dados estritamente necessários com:
- OnProfit: processamento do PIX (CPF, email, valor).
- fal-ai: foto da criança para gerar a figurinha (não é mantida no provider).
- Resend: email transacional (apenas email + conteúdo da entrega).
- Vercel Blob: armazenamento das imagens (servidor BR/US).
- Utmify: atribuição de campanha (UTMs + email parcial).
8. Segurança
Aplicamos medidas técnicas e organizacionais para proteger os dados: criptografia em trânsito (HTTPS), criptografia em repouso (Neon/Vercel Blob), controle de acesso baseado em roles, log de auditoria das operações administrativas, anti-bot (Vercel BotID) e rate limiting.
9. Encarregado (DPO)
Encarregado de Proteção de Dados: a designar.
Email: lgpd@recordx.com.br
10. Alterações
Esta política pode ser atualizada. Versões anteriores ficam disponíveis sob solicitação. Alterações materiais serão comunicadas por email aos titulares cadastrados.