POLITICA DE PRIVACIDADE

Esta politica descreve como o canal M80TV coleta, usa, armazena e protege seus dados pessoais, em conformidade com a Lei Geral de Protecao de Dados (Lei 13.709/2018 — LGPD).

1. Dados coletados

• E-mail — identificador de login e canal de comunicacao.
• CPF — identificador unico por conta. Usado exclusivamente para prevenir cadastros duplicados e fraude. Armazenado no banco de dados, nunca exposto em logs ou telemetria externa.
• Nome de exibicao — como voce aparece no sistema.
• Data de nascimento — usada para verificacao de idade (18+) e bloqueio de conteudo adulto a menores.
• Pais — atualmente apenas Brasil.
• Senha — armazenada sempre no formato protegido (argon2id com pepper HMAC). A senha em claro nao e conhecida nem armazenada pela equipe M80TV em momento algum.
• Endereco IP e informacoes do navegador (User-Agent) — coletados a cada request para seguranca, auditoria e prevencao de abuso. Logados em sistemas internos e em plataforma de observabilidade (Axiom), com e-mail hasheado (HMAC-SHA256) nunca em claro.
• Geolocalizacao aproximada (pais, regiao, cidade) — derivada do IP via MaxMind GeoLite2 local. Nao usamos GPS nem geolocalizacao precisa.
• Sinais do dispositivo para verificacao anti-bot — processados pelo Cloudflare Turnstile (fingerprint de navegador, padroes de mouse/teclado, cabecalhos HTTP). Usados somente para validar que o acesso vem de pessoa, nao de bot. O Cloudflare nao compartilha esses sinais conosco alem do resultado "humano aprovado".
• Identificador de dispositivo confiavel — UUID gerado pelo M80TV e salvo no cookie __Host-m80tv_device (ver secao Cookies). Usado para reconhecer seus dispositivos e alertar por e-mail quando detectamos login em aparelho novo.
• Historico de eventos de autenticacao — logins, tentativas, sessoes ativas e revogadas, detecoes de anomalia geografica.

2. Bases legais (LGPD Art. 7)

• Execucao de contrato (V): dados necessarios para prestar o servico do canal (e-mail, CPF, nome, DOB, pais, senha).
• Legitimo interesse (IX): dados de seguranca e prevencao de fraude (IP, UA, geolocalizacao, sinais anti-bot Turnstile, historico de auth, identificador de dispositivo).
• Consentimento (I): opt-in para comunicacoes (newsletter, avisos). Voce pode revogar a qualquer momento em seu perfil.

3. Como usamos

• Autenticar seu acesso ao canal (senha + codigo OTP por e-mail).
• Verificar idade para cumprir a legislacao sobre conteudo adulto.
• Prevenir cadastros duplicados (checagem de CPF).
• Detectar e bloquear atividade suspeita (brute force, roubo de sessao, anomalia geografica que dispara revogacao automatica).
• Reconhecer dispositivos confiaveis e avisar quando um dispositivo novo acessa sua conta.
• Enviar e-mail de boas-vindas ao completar o cadastro.
• Enviar comunicacoes, apenas se voce marcou o opt-in no cadastro.

4. Compartilhamento (operadores LGPD Art. 5 VII)

Nao vendemos nem cedemos seus dados. Operacionalmente, trabalhamos com:

• Oracle Cloud Infrastructure — hospedagem da infraestrutura (Brasil/SP).
• Cloudflare — DNS, protecao de rede e anti-bot (Turnstile). O Turnstile processa sinais do navegador mencionados na secao 1 para distinguir pessoa de bot.
• Resend — envio transacional de e-mails (OTP, boas-vindas, alertas de seguranca).
• Axiom — agregacao de logs de seguranca e operacionais (com e-mail hasheado, nunca em claro).
• MaxMind — base de geolocalizacao por IP (lookup offline; seu IP nao sai da nossa infraestrutura).

Nao enviamos CPF, nome, DOB, senha ou conteudo de e-mails para nenhum desses operadores, exceto o proprio e-mail para o Resend no ato do envio.

5. Retencao

• Dados de perfil (e-mail, CPF, nome, DOB, senha protegida): enquanto sua conta existir.
• Logs de autenticacao (Axiom): 30 dias.
• Registros de dispositivos confiaveis: enquanto sua conta existir ou ate voce revogar manualmente em GET /auth/devices.
• Backup do banco (criptografado GPG, Object Storage OCI): 30 dias.
• Apos deletar sua conta: dados zerados em ate 30 dias. Logs agregados anonimizados (sem e-mail em claro, IP mascarado) podem permanecer ate 90 dias para auditoria de seguranca.

6. Seus direitos (LGPD Art. 18)

Voce pode, a qualquer momento:

• Confirmar o tratamento dos seus dados via GET /auth/profile.
• Acessar todos os dados associados a sua conta.
• Corrigir dados incompletos ou desatualizados via POST /auth/profile.
• Revogar consentimento de comunicacoes desmarcando o opt-in no perfil.
• Revogar dispositivos em GET /auth/devices (listar) e DELETE /auth/devices/{id} (revogar especifico). Links 1-click em e-mail de alerta tambem funcionam.
• Encerrar sessoes ativas em POST /auth/sessions/revoke-all.
• Eliminar sua conta via DELETE /auth/me — elimina e-mail, CPF, nome, DOB, senha, dispositivos e sessoes. Logs anonimizados podem permanecer para auditoria.

7. Seguranca

• Senhas armazenadas sempre com argon2id (parametros OWASP 2024) + pepper HMAC aplicado antes do hash. Nao e possivel reverter o hash para obter a senha em claro, nem mesmo pela equipe M80TV.
• CPF armazenado em banco de dados com acesso restrito a localhost da infraestrutura; nunca loga em sistemas externos.
• Comunicacao cliente-servidor sempre em HTTPS/TLS com HSTS preload.
• Tokens de sessao rotacionados a cada uso; reuso detectado revoga toda a familia de sessoes automaticamente.
• Detecao de anomalia geografica: se detectarmos sua sessao mudando de pais em menos de 1 hora, revogamos automaticamente + avisamos por e-mail.
• Chaves criptograficas (JWT, peppers, senhas de banco) guardadas em cofre (Bitwarden), nao em codigo. Backups do banco sao criptografados com GPG antes de sair da infraestrutura.

8. Cookies

Usamos cookies apenas tecnicos, essenciais para manter sua sessao e reconhecer dispositivos:

• m80tv_access — token de autenticacao de curta duracao (15 min). HttpOnly, Secure, SameSite=Lax.
• __Host-m80tv_refresh — token de renovacao (30 dias). HttpOnly, Secure, SameSite=Lax, prefixo __Host- (forca dominio exato + path raiz).
• __Host-m80tv_device — identificador do seu dispositivo (1 ano). HttpOnly, Secure. Usado para reconhecer quando voce volta e para alertar quando um dispositivo NOVO acessa sua conta. Voce pode revogar qualquer dispositivo em GET /auth/devices.

Nenhum desses cookies e acessivel por JavaScript do navegador. Nao usamos cookies de rastreamento, publicidade ou analytics de terceiros. O Cloudflare Turnstile pode setar cookies proprios de curta duracao em challenges. cloudflare.com para prevenir replay do token anti-bot.

9. Alteracoes

Esta politica pode ser atualizada. Em alteracao material, voce sera solicitado a aceitar a nova versao antes de continuar. A versao atual fica no seu perfil em privacy_version. O historico de versoes vive na tabela auth.policy_versions.

10. Contato (Encarregado de Dados)

Duvidas sobre privacidade ou exercicio de direitos: [email protected]. Resposta em ate 15 dias corridos conforme LGPD Art. 19.