Política de privacidade do Duel Casino: curta, honesta e direta

Esta página não é letra miúda burocrática, mas uma explicação clara de como o Duel Casino trata as informações sobre você. Ela descreve exatamente o que recebemos, para que usamos, por quanto tempo guardamos e o que você pode fazer com isso a qualquer momento. Nosso princípio é simples: pegamos apenas o que o jogo, os pagamentos e a lei exigem, e nem uma linha a mais.

Estas regras se baseiam no Regulamento Geral de Proteção de Dados da UE (GDPR, Regulamento UE 2016/679), nos requisitos das jurisdições de jogo licenciadas e nos padrões do GAFI contra a lavagem de dinheiro. Ao se cadastrar e usar o site, você concorda com o procedimento aqui descrito. Se algum ponto gerar dúvidas, o melhor é esclarecê-lo conosco antes de começar a jogar – você pode nos escrever a qualquer momento.

Em resumo:

• a operadora do Duel Casino atua como controladora dos seus dados nos termos do GDPR;
• coletamos o mínimo – apenas o que o serviço e a lei exigem;
• os dados nunca são vendidos nem alugados a anunciantes;
• na transmissão e no armazenamento, as informações são criptografadas;
• acesso, cópia, correção, exclusão ou reclamação podem ser solicitados por e-mail para privacy@duel.com.

✓ O que sempre fazemos

explicar quais dados pegamos e por quê;
criptografar o tráfego, os bancos de dados e os backups;
responder às solicitações sobre seus direitos no prazo estabelecido;
excluir as informações assim que a base legal para mantê-las deixa de existir.

✗ O que nunca fazemos

vender ou repassar dados para fins publicitários;
armazenar senhas em texto puro;
coletar informações sobre menores;
pedir documentos «por via das dúvidas», sem um motivo baseado em risco.

Quem é responsável pelo tratamento

A controladora dos dados pessoais, no sentido do artigo 4(7) do GDPR, é a operadora da marca Duel Casino (doravante «nós» ou «a operadora»). Os dados jurídicos completos da empresa constam no bloco «Licença» da página inicial. Pessoas e canais específicos cuidam de qualquer dúvida relacionada a dados:

encarregado de proteção de dados (DPO) – dpo@duel.com;
equipe de privacidade – privacy@duel.com;
chat de suporte ao vivo na sua conta, 24 horas por dia.

Quais informações recebemos

O conjunto de dados depende de como exatamente você usa a plataforma. Para maior clareza, nós os agrupamos por tipo:

Dados de cadastro. O e-mail como login principal, um apelido exibido (visível em chats e rankings), um hash da senha (a senha em si não é guardada – usa-se bcrypt), a confirmação de maioridade e a data e o IP do cadastro.
Informações de pagamento e cripto. Endereços de carteiras para depósitos e saques, identificadores de transações na blockchain (txid), redes e moedas, valores e marcas de tempo; para pagamentos fiduciários – dados mascarados e país de emissão do cartão.
Dados técnicos. Endereço IP e a região aproximada derivada dele, tipo de dispositivo e sistema operacional, navegador, idioma e fuso horário, registros das páginas visitadas e das sessões, identificadores online (cookies, armazenamento local) e sinais de segurança, incluindo indícios de VPN ou proxy.
Comportamento de jogo. Histórico de apostas, ganhos e perdas, bônus e cashback ativados, movimentações do saldo e os limites de jogo responsável que você definiu.
Correspondência e solicitações. O conteúdo dos tickets de suporte, as conversas por chat e e-mail, as gravações de chamadas (quando realizadas – com aviso) e o status dos seus consentimentos de marketing.

Quando a verificação é acionada (KYC/AML)

Um ponto importante: não solicitamos documentos de identidade de todos por padrão. A verificação é acionada caso a caso – quando indicadores de risco disparam, quando um regulador exige ou quando surgem sinais de atividade suspeita. É o que determinam as diretivas da UE (4ª, 5ª e 6ª AMLD) e as recomendações do GAFI. Nessa situação, podemos solicitar:

um documento de identidade (passaporte, RG ou CNH);
um comprovante de endereço residencial;
um comprovante da origem dos recursos e do patrimônio;
uma prova de titularidade de uma carteira ou meio de pagamento;
os resultados da checagem em listas de sanções e bases de pessoas politicamente expostas (PEP).

Mais detalhes sobre como funcionam os limites de verificação e quando você pode jogar sem ela estão explicados na página Sem verificação.

Finalidades do tratamento e bases legais

Cada operação com dados está ligada a uma base específica do artigo 6 do GDPR – não tratamos nada «por via das dúvidas»:

Execução de um contrato (Art. 6(1)(b)). Criação e gestão da conta, operações de jogo, depósitos e saques, crédito de cashback, histórico de ações e suporte aos usuários.
Obrigação legal (Art. 6(1)(c)). Verificações KYC/AML, triagem de sanções, monitoramento de transações duvidosas, relatórios em matéria de jogo e tributária, respostas a reguladores e exclusão de menores.
Interesse legítimo (Art. 6(1)(f)). Combate a fraudes, detecção de multicontas e conluio, proteção da infraestrutura contra ataques, análises anonimizadas e defesa de nossos direitos em disputas.
Consentimento (Art. 6(1)(a)). E-mails de marketing, notificações push, cookies analíticos e publicitários opcionais. O consentimento pode ser retirado a qualquer momento – isso não afeta o serviço principal.

Cookies e tecnologias semelhantes

Cookies são pequenos arquivos que o navegador salva ao visitar um site; eles ajudam a reconhecê-lo em visitas posteriores e a entender como a plataforma é usada. Nós os dividimos em quatro grupos:

Estritamente necessários. Responsáveis pelo login, pela sessão, pela proteção CSRF e pelo formulário de pagamento. Sem eles o serviço não funciona, por isso não podem ser desativados na janela de consentimento.
Funcionais. Memorizam idioma, moeda e configurações da interface; não identificam você pessoalmente.
Analíticos. Fornecem estatísticas de visita anonimizadas e só são ativados após o seu consentimento.
De segurança. Ajudam a identificar comportamentos anômalos, multicontas e tentativas de burlar restrições.

Você pode gerenciar os cookies diretamente no navegador: bloqueá-los, excluí-los ao sair ou receber avisos. Observe que desativar os cookies estritamente necessários tornará o login e as operações impossíveis.

Com quem e para onde os dados são compartilhados

Não comercializamos as informações dos usuários. O compartilhamento ocorre estritamente na medida necessária e apenas para as seguintes categorias de destinatários:

serviços de pagamento e processadores de cripto – para realizar um depósito ou saque;
serviços de verificação e triagem (por exemplo, Sumsub, Onfido, ComplyAdvantage) – para KYC e cruzamento com listas;
provedores de conteúdo de jogo – um conjunto mínimo de dados no âmbito de uma sessão de jogo específica;
infraestrutura em nuvem e sistemas de monitoramento – como operadores que agem segundo nossas instruções, vinculados por acordos de tratamento de dados (DPA);
reguladores, autoridades policiais e fiscais – mediante solicitação legal;
advogados, auditores e contrapartes em possíveis operações societárias – preservando o nível de proteção e notificando os usuários.

Parte dos operadores pode estar localizada fora do Espaço Econômico Europeu. Nesse caso, baseamo-nos nos mecanismos do capítulo V do GDPR: decisões de adequação da Comissão Europeia, cláusulas contratuais padrão (SCC, Decisão UE 2021/914) com garantias adicionais e regras corporativas vinculantes dentro de grupos de empresas. Uma cópia das garantias aplicáveis pode ser solicitada em dpo@duel.com.

Prazos de conservação

A vida útil de cada categoria de dados é determinada pela sua finalidade e pelos requisitos legais. Assim que as informações deixam de ser necessárias, nós as excluímos ou anonimizamos de forma irreversível. As referências básicas:

Categoria de dados	Por quanto tempo guardamos
Dados de cadastro de uma conta ativa	enquanto a conta existir
Documentos e registros KYC/AML	pelo menos 5 anos após o encerramento da conta, até 10 anos durante uma investigação
Pagamentos e transações	pelo menos 5 anos a partir da data da operação (requisitos AMLD)
Histórico de jogo e apostas	pelo menos 5 anos após o encerramento da conta
Logs técnicos e de segurança	de 90 dias a 12 meses
Correspondência com o suporte	até 24 meses após o encerramento do ticket
Consentimentos de marketing	até a retirada do consentimento
Registros de autoexclusão	por tempo indeterminado – para impedir um novo cadastro

Como funciona a proteção

Garantimos a segurança dos dados por meio de uma combinação de medidas técnicas e organizacionais:

o tráfego entre você e os servidores é criptografado por TLS (mínimo 1.2, 1.3 por padrão) com HSTS ativado;
bancos de dados e backups são armazenados criptografados (AES-256), e os dados mais sensíveis são protegidos por gerenciamento de chaves via HSM;
as senhas existem apenas como hash bcrypt, e a autenticação de dois fatores (2FA) está disponível e é recomendada;
o acesso dos funcionários é concedido segundo o princípio do menor privilégio, e todos os acessos aos dados são registrados;
auditorias externas e testes de invasão são realizados regularmente, e a produção é isolada do ambiente de desenvolvimento;
há monitoramento 24/7 (SIEM); em um incidente que ameace seus direitos, notificamos os usuários e a autoridade de controle em até 72 horas (Art. 33–34 do GDPR).

Seus direitos e como exercê-los

O GDPR e leis locais comparáveis concedem a você um conjunto específico de direitos sobre seus dados:

Acesso (Art. 15) – saber quais dados tratamos e obter uma cópia deles.
Correção (Art. 16) – corrigir imprecisões; grande parte está disponível diretamente na sua conta.
Exclusão (Art. 17) – o «direito ao esquecimento», se não houver motivo legal para manter os dados por mais tempo. Registros obrigatórios sob o direito AML e de jogo só são excluídos após o vencimento de seus prazos.
Limitação (Art. 18) – «congelar» temporariamente o tratamento em situações controversas.
Portabilidade (Art. 20) – receber os dados em formato legível por máquina (JSON/CSV) ou transferi-los para outro controlador.
Oposição (Art. 21) – ao tratamento baseado no interesse legítimo; para marketing, a oposição é aceita sem condições.
Retirada do consentimento – a qualquer momento, sem afetar a licitude do tratamento já realizado.
Reclamação a uma autoridade de controle – no seu local de residência ou da suposta infração.

Para exercer qualquer direito, escreva para dpo@duel.com a partir do e-mail vinculado à sua conta. Respondemos em até 30 dias corridos; para solicitações complexas, o prazo pode se estender a 90 dias com aviso prévio. Para confirmar sua identidade, podem ser exigidos dados adicionais.

Idade 18+ e proteção de crianças

O Duel Casino é destinado exclusivamente a adultos e não coleta conscientemente dados de menores. A idade é confirmada no cadastro. Se você é pai, mãe ou responsável e descobriu que uma criança deixou seus dados conosco, escreva para privacy@duel.com – após a verificação, excluiremos esses dados e encerraremos a conta. As ferramentas de controle parental e filtragem estão descritas na página Jogo responsável.

Decisões sem intervenção humana

Alguns processos são executados automaticamente: antifraude, triagem de transações segundo critérios AML e de sanções, e recomendações de jogos (estas últimas apenas com consentimento para a análise). Se uma decisão automatizada o afetar de forma significativa – por exemplo, um bloqueio acionado por sinais de fraude –, nos termos do artigo 22 do GDPR você tem o direito de contestá-la, expor sua posição e exigir uma revisão por um operador humano. A solicitação é enviada para dpo@duel.com.

Revisão e atualizações da política

Podemos atualizar este documento quando a legislação ou os processos internos mudarem – a versão atual está sempre publicada nesta página. Avisaremos com antecedência sobre mudanças relevantes que afetem seus direitos (por e-mail e/ou com uma mensagem no login) com pelo menos 14 dias de antecedência. Continuar usando o serviço significa concordar com a nova versão; se ela não lhe convier, você pode encerrar a conta e solicitar a exclusão dos dados.

Contatos para solicitações

Para qualquer questão de privacidade e para exercer seus direitos, escolha o canal mais conveniente:

encarregado de proteção de dados (DPO) – dpo@duel.com;
questões gerais de privacidade – privacy@duel.com;
equipe de suporte – support@duel.com;
chat ao vivo na sua conta, 24 horas por dia.

Aceitamos solicitações em português, inglês e em qualquer outro idioma da interface. O prazo padrão de resposta é de até 30 dias corridos, e de até 90 dias para solicitações complexas com aviso prévio.

Respostas rápidas a perguntas frequentes

Preciso concluir a verificação logo após o cadastro?

Não. O KYC é acionado caso a caso – quando indicadores de risco disparam, um regulador solicita ou há sinais de atividade suspeita. Muitos jogadores vão do depósito ao saque sem verificação. Os detalhes estão na página «Sem verificação».

Vocês vendem meus dados para anunciantes?

Não. Os dados não são vendidos nem alugados. O compartilhamento só é possível com os destinatários listados na seção «Com quem e para onde os dados são compartilhados», e estritamente na medida necessária.

Como solicito uma cópia ou a exclusão dos meus dados?

Escreva para dpo@duel.com a partir do e-mail vinculado à sua conta. Responderemos em até 30 dias. Observe que registros obrigatórios sob o direito AML e de jogo só são excluídos após o vencimento dos prazos de conservação estabelecidos.

De que forma minha senha é armazenada?

Apenas como hash bcrypt – ela não existe em texto puro nem do nosso lado. Além disso, recomendamos ativar a autenticação de dois fatores (2FA) nas configurações de segurança.

O que acontece com meus dados após o encerramento da conta?

Parte das informações é excluída de imediato, mas registros de pagamento, histórico de apostas e documentos KYC/AML são mantidos por pelo menos 5 anos por exigências legais. Ao vencerem os prazos, são excluídos ou anonimizados de forma irreversível.

🔞 O acesso ao Duel Casino é restrito estritamente a maiores de 18 anos. Se você precisa de informações sobre jogo seguro, limites e ajuda em caso de vício em jogos, dê uma olhada na página Jogo responsável.

← Voltar ao início