Política de Privacidade
The Merchant's Bag
1. Quem somos
Esta Política de Privacidade descreve como Stars Encoding (CNPJ 46.609.057/0001-93), controladora dos dados, trata dados pessoais quando você usa o aplicativo Merchant's Bag, o site (merchantsbag.com) e serviços relacionados (coletivamente, o "Serviço").
Contato:
Stars Encoding · CNPJ 46.609.057/0001-93
admin@merchantsbag.com ·
support@merchantsbag.com
2. Escopo
Esta política se aplica ao Serviço na forma em que existe hoje. Alguns recursos descritos em nosso site (como assinaturas pagas, geração de conteúdo assistida por IA ou notificações push) podem ser adicionados no futuro. Quando isso ocorrer, atualizaremos esta política antes ou no momento em que estiverem disponíveis.
3. Dados que coletamos
3.1 Dados de conta e identidade
Ao criar ou usar uma conta, podemos coletar:
- Endereço de e-mail (e-mail/senha, Google ou Apple)
- Nome de exibição (opcional; você pode definir ou editar no app)
- Tipo de provedor de autenticação (convidado anônimo, e-mail, Google ou Apple)
- Identificador de usuário Firebase (UID)
- Data de criação da conta e do último login
Você pode usar o Serviço como convidado anônimo. Contas de convidado recebem um identificador temporário e um nome de exibição padrão. Você pode vincular depois uma sessão de convidado a uma conta registrada.
3.2 Dados de dispositivo e sessão
No login e durante o uso, podemos coletar:
- Plataforma do dispositivo (Android, iOS ou web)
- Versão do sistema operacional
- Modelo ou nome do dispositivo
- Versão do app
- Preferências de idioma/localidade e fuso horário
3.3 Localização aproximada (baseada em IP)
Nós não acessamos o GPS do seu dispositivo e não solicitamos permissões de localização no seu celular ou tablet. No entanto, quando você faz login ou retorna ao app autenticado, nosso backend atualiza seu perfil de usuário e pode registrar uma localização aproximada derivada do endereço IP da rede naquele momento.
Isso acontece inteiramente em nossos servidores (não no seu dispositivo). Lemos o endereço IP da conexão com nosso serviço de autenticação e consultamos o banco de dados geoip-lite de código aberto. Quando há uma correspondência confiável, podemos armazenar o seguinte no seu perfil na nuvem (Firebase Firestore):
- País (código ISO, quando disponível)
- Região ou código de estado/província
- Nome da cidade
- Latitude e longitude aproximadas (geralmente em nível de cidade, não seu endereço exato)
- Fuso horário associado à consulta de IP
- Data e hora em que a estimativa foi capturada
- Que a origem foi baseada em IP (não GPS)
Endereços de rede local ou privada (por exemplo, 127.0.0.1 ou faixas típicas de Wi‑Fi doméstico) não são geolocalizados. Se não for possível uma consulta confiável, simplesmente não armazenamos localização para aquele login.
Essa estimativa reflete sua última sessão de login e é atualizada quando seu perfil é atualizado após o login — não continuamente em segundo plano. Usamos isso para entender o uso geral por região, detectar padrões incomuns de login e melhorar a segurança. Não usamos para publicidade nem para rastrear seus movimentos em tempo real.
3.4 Conteúdo que você cria no app
Dependendo de como você usa o Serviço, podemos armazenar:
- Nomes de campanhas, sistema de regras e descrições
- Informações de cidades e lojas (nomes, notas, configurações econômicas)
- Nomes de exibição dos jogadores na mesa
- Itens de inventário, quantidades, pesos e saldos da bolsa
- Itens personalizados e entradas da biblioteca pessoal
- Campos de ficha de personagem que você preencher
- Histórico da campanha e notas de transações
- Códigos de convite e registros de participação em campanhas
Dentro de uma campanha, inventário e certos dados do jogo são visíveis para outros membros da mesa. O Mestre (dono da campanha) pode ver dados dos membros relevantes para conduzir a sessão.
Conteúdo sobre outras pessoas: Os campos de texto livre no app (nomes de campanhas e cidades, nomes e descrições de itens, notas, campos de ficha e nomes de exibição) são escritos por você. Você não deve inserir dados pessoais de outra pessoa, informações identificáveis no mundo real, nem nomes, marcas ou textos protegidos por direitos autorais de terceiros sem autorização. Você é responsável pelo conteúdo que digitar, incluindo nomes de terceiros. Consulte nossos Termos de Uso para as regras aplicáveis ao seu conteúdo.
3.5 Armazenamento local no seu dispositivo
O app armazena dados localmente para uso offline, incluindo:
- Dados em cache de campanha e inventário
- Tokens de sessão de autenticação
- Preferências do app, como idioma e tema
- Códigos de convite de campanha pendentes
Em nossa página de convite (/join), seu navegador pode armazenar um código de convite pendente para que você possa retornar após instalar o app.
3.6 O que não coletamos hoje
Atualmente não coletamos nem usamos:
- Localização GPS precisa
- Fotos, contatos, calendário ou dados de microfone
- Dados de cartão de pagamento ou bancários (não há cobrança in-app ativa)
- Identificadores de publicidade ou perfis de analytics comportamental
- Tokens de notificação push
4. Como usamos seus dados
Usamos dados pessoais para:
- Fornecer, operar e manter o Serviço
- Autenticar você e proteger requisições de API (incluindo Firebase App Check)
- Sincronizar seus dados entre dispositivo e nuvem (contas registradas)
- Permitir colaboração em campanhas (convites, participação, inventário compartilhado)
- Aplicar limites de plano (cotas da biblioteca de itens gratuita vs. Premium)
- Responder a solicitações de suporte e proteger contra abuso
- Registrar região aproximada do seu IP no login para segurança e visão agregada de uso (veja seção 3.3)
- Cumprir obrigações legais
Sob a Lei Geral de Proteção de Dados (LGPD) do Brasil, nossas bases legais incluem: execução de contrato (prestação do Serviço solicitado), interesses legítimos (segurança, prevenção a fraudes, melhoria do produto) e consentimento quando exigido (por exemplo, métodos opcionais de login que você escolher).
5. Como compartilhamos dados
5.1 Dentro da sua campanha
Dados que você adiciona a uma campanha podem ser visíveis para outros jogadores e para o Mestre nessa campanha, conforme o design para jogo de mesa.
5.2 Prestadores de serviço (operadores)
Usamos serviços de terceiros para operar o Serviço, incluindo:
- Google Firebase — autenticação, banco de dados na nuvem (Firestore), funções de servidor e hospedagem web
- Google Sign-In — login opcional em Android, iOS e web
- Apple Sign-In — login opcional em iOS e web
- Google Play Integrity / Apple App Attest — verificações de integridade do app via Firebase App Check
- geoip-lite — consulta de IP para localização em nossos servidores
- Google Gemini — recursos opcionais assistidos por IA (geração de itens, retratos, rascunhos de lojas, importação de fichas). Texto e imagens enviados para geração são processados pela API Gemini do Google.
- Google Play Store — distribuição do app (Android)
Esses prestadores processam dados em nosso nome sob seus próprios termos e políticas de privacidade. A infraestrutura Firebase/Google Cloud pode armazenar ou processar dados fora do Brasil.
5.3 O que não fazemos
Não vendemos seus dados pessoais nem os compartilhamos com anunciantes. Não enviamos seu texto no app a provedores de IA de terceiros, a menos que você use um recurso assistido por IA; veja a seção 13 abaixo.
5.4 Exigências legais
Podemos divulgar dados se exigido por lei, ordem judicial ou solicitação governamental, ou para proteger direitos, segurança e integridade dos usuários e do Serviço.
6. Transferências internacionais
Seus dados podem ser processados em servidores operados pelo Google e outros prestadores em países fora do Brasil, incluindo os Estados Unidos. Quando exigido, contamos com salvaguardas apropriadas permitidas pela lei aplicável para essas transferências.
7. Retenção
Retemos dados pessoais enquanto sua conta estiver ativa e conforme necessário para prestar o Serviço, cumprir obrigações legais, resolver disputas e fazer valer nossos acordos. Conteúdo de campanha e do usuário permanece armazenado até que você ou o dono da campanha o exclua ou solicite exclusão. A localização aproximada no seu perfil (seção 3.3) é mantida enquanto sua conta estiver ativa e removida quando você excluir a conta. Logs de servidor com identificadores operacionais (como IDs de usuário) são mantidos por período limitado para segurança e diagnóstico.
8. Segurança
Usamos medidas padrão do setor, incluindo conexões criptografadas (HTTPS/TLS), regras de segurança do Firebase, acesso autenticado à API e atestação App Check. Nenhum método de transmissão ou armazenamento é 100% seguro; não podemos garantir segurança absoluta.
9. Seus direitos sob a LGPD
Se você estiver no Brasil, tem direitos sob a LGPD, incluindo:
- Confirmar se tratamos seus dados
- Acessar seus dados
- Corrigir dados incompletos, inexatos ou desatualizados
- Anonimizar, bloquear ou excluir dados desnecessários ou tratados ilegalmente
- Portar seus dados para outro serviço, quando aplicável
- Revogar consentimento quando o tratamento se basear em consentimento
- Obter informações sobre entidades com as quais compartilhamos dados
- Revogar consentimento e solicitar exclusão, sujeito a retenções legais
Para exercer esses direitos, entre em contato com support@merchantsbag.com. Responderemos nos prazos exigidos por lei.
Exclusão de conta: Usuários registrados podem excluir a conta e os dados na nuvem diretamente no app: Configurações → Sobre → Excluir minha conta. Isso remove permanentemente seu perfil, bibliotecas de itens, campanhas que você possui e sua conta Firebase Authentication. Sair do app remove dados locais do dispositivo. Você também pode enviar e-mail para support@merchantsbag.com pelo endereço vinculado à conta, se precisar de ajuda.
Você também pode registrar reclamação na Autoridade Nacional de Proteção de Dados (ANPD).
10. Seus direitos sob o GDPR (UE/EEE)
Se você estiver na União Europeia ou no Espaço Econômico Europeu (incluindo Alemanha, França e Espanha), tem direitos sob o Regulamento Geral sobre a Proteção de Dados (GDPR), incluindo:
- Acessar os dados pessoais que mantemos sobre você
- Retificar dados inexatos ou incompletos
- Solicitar exclusão dos seus dados ("direito ao esquecimento")
- Restringir ou opor-se a certos tratamentos
- Portabilidade dos dados, quando aplicável
- Revogar consentimento quando o tratamento se basear em consentimento
- Registrar reclamação na autoridade supervisora local
Para exercer esses direitos, use a exclusão de conta no app (Configurações → Sobre) ou entre em contato com support@merchantsbag.com. Responderemos nos prazos exigidos por lei.
11. Crianças
O Serviço não se destina a crianças menores de 13 anos (ou à idade mínima exigida em sua jurisdição). Não coletamos intencionalmente dados pessoais de crianças. Se acreditar que uma criança nos forneceu dados, entre em contato e tomaremos medidas para excluí-los.
12. Analytics, anúncios e notificações
Não usamos redes de publicidade de terceiros nem SDKs de analytics comportamental no app hoje. Não enviamos notificações push hoje. Logs de servidor podem registrar eventos operacionais (como atividade de sync e logins) para confiabilidade e segurança.
13. Geração de conteúdo assistida por IA (Google Gemini)
O Serviço oferece recursos opcionais assistidos por IA com Google Gemini que geram conteúdo de jogo, como estoque de lojas, itens, retratos e descrições de lojas ou cidades. Usuários do plano Premium com conta registrada podem acessar esses recursos dentro de limites mensais de uso.
Ao usar um recurso assistido por IA, o texto que você fornecer — como descrição de campanha, prompt ou contexto do jogo — é enviado a um provedor de IA/modelo de linguagem para gerar o resultado. Para proteger sua privacidade:
- Apenas a entrada enviada para geração, mais o contexto necessário ao resultado, é enviada — não toda a sua conta nem outras campanhas.
- Não inclua dados pessoais de outras pessoas nem informações confidenciais de terceiros nos prompts.
- A saída da IA é gerada automaticamente, pode ser inexata ou repetitiva e deve ser revisada antes do uso na mesa.
- O provedor de IA é o Google Gemini (Google AI). Os dados são processados sob os termos e a política de privacidade do Google e podem ser processados fora do Brasil e da UE/EEE.
Se você não usar recursos assistidos por IA, seu texto no app não é enviado ao Gemini. O uso de recursos de IA e a titularidade do conteúdo gerado também estão cobertos em nossos Termos de Uso.
14. Outros recursos planejados
Nosso site e app podem descrever recursos futuros adicionais, incluindo assinaturas pagas, notificações push e exportação em PDF. Eles não estão ativos na versão atual. Se forem introduzidos, atualizaremos esta Política de Privacidade para descrever nova coleta de dados (por exemplo, dados de pagamento pela loja de apps ou tokens de dispositivo para notificações).
15. Alterações nesta política
Podemos atualizar esta Política de Privacidade periodicamente. Publicaremos a versão revisada nesta página e atualizaremos a data de "Última atualização". Para mudanças relevantes, podemos dar aviso adicional no app ou por e-mail, quando apropriado.
16. Documentos relacionados
Consulte também nossos Termos de Uso.