1. Introdução

Esta Política de Privacidade descreve como o riffas.com.br ("Riffas", "nós") coleta, utiliza, armazena e protege os dados pessoais dos usuários ("você") do Software de gestão de campanhas de rifa, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).

O Riffas é um software (SaaS) de gestão de campanhas de rifa em que o organizador opera com seus próprios meios de pagamento. Como consequência direta, dados financeiros sensíveis — saldos, dados bancários completos, números de cartão, comprovantes de transação — não trafegam pelo Riffas: ficam restritos ao gateway de pagamento (Mercado Pago ou PagBank) ou ao app bancário do organizador, conforme o modo de recebimento escolhido.

2. Dados que coletamos

2.1 Dados fornecidos por você

Cadastro: nome completo, e-mail, telefone, senha (armazenada em hash).
Perfil de produtor: nome de exibição, bio, logo, URL personalizada, CPF/CNPJ (quando aplicável).
Compra de números: nome, e-mail e telefone informados no checkout.
ONG: CNPJ, estatuto social, ata de eleição e comprovante de atividade (para verificação).

2.2 Dados coletados automaticamente

Dados de acesso: endereço IP, navegador, sistema operacional, páginas acessadas, data e hora de acesso.
Cookies: utilizamos cookies essenciais para autenticação e funcionamento da Plataforma. Não utilizamos cookies de rastreamento de terceiros para publicidade.

2.3 Dados de terceiros

Gateway de pagamento (modo integrado): ao conectar Mercado Pago ou PagBank via OAuth, recebemos um token de acesso que permite ao Software gerar cobranças em nome do Produtor e consultar o status de pagamento. Não temos acesso a dados bancários, senha do gateway, saldo da conta, extratos nem ao histórico financeiro do Produtor — apenas ao status (pago / pendente / cancelado) das cobranças geradas pela rifa.
Pix manual: no modo de recebimento manual, o Produtor informa apenas a chave Pix e o nome do titular. O Riffas não tem qualquer acesso à conta bancária do Produtor: o Pix é processado integralmente fora do Software, e a confirmação do pagamento é registrada manualmente pelo próprio Produtor no painel.

3. Como utilizamos seus dados

Autenticação e gerenciamento da sua conta.
Processamento e exibição de compras e participações em rifas.
Comunicação transacional (confirmação de compra, resultado de sorteio, notificações por e-mail).
Verificação de ONGs para concessão de isenção de taxa.
Detecção e prevenção de fraudes.
Cumprimento de obrigações legais e regulatórias.
Melhoria da Plataforma e análise de uso agregada (sem identificação individual).

4. Base legal para o tratamento

Execução de contrato (Art. 7º, V, LGPD): tratamento necessário para prestar o serviço contratado.
Consentimento (Art. 7º, I): quando aplicável, como envio de comunicações promocionais.
Obrigação legal (Art. 7º, II): cumprimento de obrigações legais e regulatórias.
Interesse legítimo (Art. 7º, IX): prevenção de fraudes e melhoria da Plataforma.

5. Compartilhamento de dados

Seus dados pessoais podem ser compartilhados com:

Produtores / Organizadores: nome, e-mail e telefone do Participante são exibidos ao Produtor da rifa para fins de contato e entrega de prêmios. O Produtor é controlador independente desses dados, na medida em que opera a campanha com seus próprios meios.
Gateways de pagamento (Mercado Pago, PagBank): quando o Produtor utiliza o modo integrado, dados estritamente necessários para gerar a cobrança são enviados ao gateway (nome, e-mail e CPF quando exigido). O processamento financeiro é integralmente feito pelo gateway — o Riffas não atua como instituição de pagamento nem como custodiante de valores.
Autoridades competentes: quando exigido por lei, ordem judicial ou para cooperar em investigações de fraude.

Não vendemos, alugamos nem compartilhamos seus dados com terceiros para fins de marketing ou publicidade.

6. Armazenamento e segurança

Dados são armazenados em servidores localizados nos Estados Unidos (ver seção 11 — Transferência internacional), com criptografia em trânsito (HTTPS/TLS) e em repouso.
Senhas são armazenadas em hash (bcrypt), nunca em texto puro.
Tokens de gateway de pagamento são armazenados com criptografia do lado do servidor.
Acesso a dados é restrito a colaboradores autorizados, com autenticação de dois fatores (2FA).
Logs de auditoria registram ações administrativas para rastreabilidade.

7. Retenção de dados

Conta ativa: dados são mantidos enquanto a conta estiver ativa.
Conta encerrada: dados pessoais são removidos em até 30 dias após a solicitação de exclusão.
Dados transacionais: registros de compras e sorteios podem ser mantidos por até 5 anos para fins fiscais e de auditoria, conforme legislação vigente.
Dados de ONG: documentos de verificação são mantidos enquanto a ONG estiver ativa na Plataforma.

8. Seus direitos (LGPD)

Você tem direito a:

Confirmação e acesso: saber se tratamos seus dados e acessar uma cópia.
Correção: corrigir dados incompletos, inexatos ou desatualizados.
Anonimização ou eliminação: solicitar a anonimização ou exclusão de dados desnecessários.
Portabilidade: solicitar a transferência de seus dados a outro fornecedor.
Revogação do consentimento: retirar seu consentimento a qualquer momento.
Oposição: opor-se ao tratamento de dados em determinadas situações.

Para exercer qualquer desses direitos, entre em contato pelo e-mail privacidade@riffas.com.br. Responderemos em até 15 dias úteis.

9. Cookies

Utilizamos os seguintes tipos de cookies:

Essenciais: necessários para autenticação e funcionamento básico da Plataforma (token de sessão, preferência de tema).
Analíticos: dados agregados de uso para melhoria da Plataforma, sem identificação individual.

Não utilizamos cookies de publicidade, retargeting ou rastreamento de terceiros.

10. Menores de idade

A Plataforma não se destina a menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso tomemos conhecimento de que dados de um menor foram coletados, faremos a exclusão imediata.

11. Transferência internacional

Seus dados são armazenados em servidores localizados nos Estados Unidos da América, em provedores de infraestrutura em nuvem que aderem a padrões internacionais de segurança e proteção de dados. A transferência internacional é realizada com base no art. 33 da LGPD, e os prestadores de serviço utilizados oferecem garantias contratuais e técnicas de nível adequado de proteção, incluindo criptografia em trânsito e em repouso, controles de acesso e cláusulas-padrão de proteção de dados.

Ao utilizar o Software, você reconhece e consente com a transferência de seus dados pessoais para os Estados Unidos para fins de hospedagem, processamento e armazenamento, observadas as garantias previstas nesta Política e na LGPD.

12. Alterações nesta política

Esta política pode ser atualizada periodicamente. Alterações significativas serão comunicadas por e-mail ou por aviso na Plataforma. A data de última atualização é indicada no topo desta página.

13. Encarregado de proteção de dados (DPO)

Para questões relacionadas à proteção de dados pessoais, entre em contato com o encarregado:

E-mail: privacidade@riffas.com.br

14. Contato

Em caso de dúvidas sobre esta Política de Privacidade, entre em contato pelo e-mail privacidade@riffas.com.br.