Política de Privacidade

1. Quem somos

O Portal H-Racer é uma plataforma editorial e SaaS multi-tenant que agrega conteúdo sobre cultura automotiva de performance e oferece para oficinas parceiras um módulo de Resultados de Dinamômetro, Ranking Nacional e integração com WhatsApp.

Para fins desta política, o operador da plataforma atua como Controlador dos dados de visitantes, leitores e usuários administrativos. Para os dados de titulares cadastrados em DynoResult (clientes finais das oficinas), as oficinas parceiras atuam como Controladoras e o Portal H-Racer como Operador nos termos da LGPD.

2. Dados que tratamos

Visitantes do portal público

• Endereço IP e User-Agent — apenas para auditoria e proteção contra abuso.
• Cookies estritamente necessários (sessão).

Usuários administrativos (SUPERADMIN, WORKSHOP_OWNER)

• Email e nome.
• Hash da senha (bcrypt 12 rounds — senha em claro nunca é armazenada).
• Logs de acesso (auditoria operacional).

Titulares cadastrados em DynoResult (clientes das oficinas)

• Nome e telefone.
• CPF — armazenado de forma encriptada com chave AES-256-GCM dedicada (separada da chave que protege credenciais técnicas).
• Dados do veículo (marca, modelo, ano, placa) e resultados do dinamômetro.
• Consentimento explícito do titular para publicação — registramos texto, fonte, IP, data/hora.

3. Bases legais (LGPD Art. 7)

• Consentimento (Art. 7, I) — para publicação de DynoResult e submissão ao Ranking Nacional.
• Execução de contrato (Art. 7, V) — relação operacional com oficinas parceiras.
• Legítimo interesse (Art. 7, IX) — auditoria, segurança e prevenção a fraudes.

4. Direitos do titular (LGPD Art. 18)

O titular pode, a qualquer momento, exercer:

• Confirmação e acesso aos seus dados (export JSON via oficina).
• Correção de dados incorretos.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
• Eliminação dos dados (hard-delete) — apaga PDF do storage e remove do DB.
• Revogação do consentimento a qualquer momento — ato que automaticamente despublica o resultado e o retira do Ranking Nacional.
• Portabilidade a outro fornecedor.
• Informação sobre quem acessou seus dados (PiiAccessLog — registro auditável de cada acesso a PII).

Para exercer qualquer destes direitos, entre em contato com a oficina onde seu dado foi cadastrado, ou diretamente com o Encarregado.

5. Compartilhamento de dados

Não compartilhamos dados pessoais com terceiros, salvo:

• Provedores de infraestrutura (storage, banco, CDN) — apenas como Operadores sob contrato.
• Autoridades competentes — quando obrigatório por lei.
• Consentimento explícito do titular para fins específicos.

6. Segurança

• Toda comunicação por TLS 1.2+.
• CPFs e dados sensíveis encriptados em repouso (AES-256-GCM com chave dedicada).
• Senhas armazenadas como hash bcrypt 12 rounds.
• Sessões via cookies httpOnly + Secure + SameSite=Lax.
• Refresh tokens com rotation atômica e detecção de reuso.
• Audit log de mutações + PiiAccessLog (LGPD Art. 9 e 50).
• Antivírus em uploads (ClamAV) e validação de magic byte.

7. Retenção

• Dados de DynoResult — enquanto consentimento ativo + soft-delete por 30 dias antes do hard-delete automático.
• Audit logs e PiiAccessLog — 2 anos (cron diário de purga).
• Backups encriptados — retenção de 30 dias.

8. Encarregado (DPO)

Para questões de privacidade, contate dpo@hracer.com.br (a definir).

9. Alterações nesta política

Atualizações materiais serão comunicadas com 30 dias de antecedência aos usuários administrativos e titulares cadastrados.