Política de Privacidade

GBBOT v1.6 · Última atualização: 8 de Junho de 2026

O GBBOT está comprometido com a transparência e a proteção dos seus dados. Esta política descreve quais informações coletamos, como as utilizamos e quais são seus direitos conforme a LGPD (Lei nº 13.709/18).

1. Identificação do Controlador

Esta Política se aplica a todos os usuários do GBBOT, incluindo administradores de servidor, membros, titulares de assinatura e compradores em lojas virtuais operadas no ecossistema. Ao usar o serviço, você toma conhecimento do tratamento de dados descrito aqui.

Controlador de Dados (LGPD art. 5º, VI)
GAMING BUNKER

CNPJ
49.379.608/0001-68

Sede
Foz do Iguaçu — Paraná, Brasil

O GBBOT atua como Controlador em relação aos dados que coleta diretamente (cadastro, painel, pagamento da licença) e como Operador (LGPD art. 5º, VII) em relação aos dados de membros tratados em nome dos administradores de servidor — incluindo, no contexto da Loja Virtual, os dados dos compradores em lojas de terceiros (ver seção 4).

2. Dados Coletados

Coletamos apenas os dados estritamente necessários para o funcionamento do serviço:

Identificadores Discord

· ID do servidor (Guild ID)
· ID do proprietário (Owner ID)
· IDs de canais, cargos e categorias configurados
· ID e username do usuário que acessa o painel (via OAuth2)

Configurações de Módulos

· Parâmetros de boas-vindas, saída, tickets, sorteios, auto-mod, logs, XP e alertas
· Mensagens e embeds personalizados pelo administrador
· Configurações de auto-mensagens e auto-clear

Dados de Assinatura e Cobrança

· Plano ativo (Recruta, Operador, Elite, Comandante)
· Data de expiração da licença
· ID de cliente e pagamento no Asaas
· CPF do contratante (necessário para emissão de cobrança PIX via Asaas — armazenado criptografado e nunca exibido em logs)
· Email institucional informado no checkout
· Histórico de dias já notificados (7, 3 e 1 dia)

Dados de Uso

· Contagem de comandos executados (sem conteúdo)
· Pontos de XP e nível de membros (quando o módulo estiver ativo)
· Logs de moderação (banimentos, kicks, mutes)

Dados de Acesso ao Painel

· Endereço IP do último acesso (para auditoria de segurança e detecção de fraude — mascarado em logs após Fase 2.36)
· Data e horário do último login
· Token de sessão seguro (cookie HttpOnly — ver seção 9)
· Logs de auditoria do painel administrativo (ações executadas, IP, timestamp)

Programa de Indicação (opcional, opt-in)

· Código de indicação único (gerado quando o usuário acessa o link de referral pela primeira vez)
· ID Discord do indicador (referredBy) quando vinculação ocorre via consentimento
· Conversões e dias bonificados creditados — para fins de auditoria do programa

Newsletter (opcional, opt-in)

· Endereço de e-mail informado voluntariamente nos formulários de newsletter ou de contato Enterprise
· Origem da inscrição (rodapé, pop-up, página Enterprise) — para fins estatísticos
· No formulário Enterprise: nome, empresa e tamanho da comunidade informados voluntariamente

Webhooks de Eventos (configurado pelo admin)

· URL externa de destino configurada pelo administrador do servidor
· Secret de assinatura (gerado pelo sistema, armazenado para validação HMAC)
· Estatísticas de entrega (sucessos, falhas, última tentativa)

Marketplace de Templates (opcional, opt-in)

· Snapshot da configuração do servidor — apenas quando o admin publica voluntariamente um template (dados sensíveis como senha de painel, plano e proprietário NÃO são incluídos)
· Nome de usuário Discord do autor do template publicado

Perfil Público e Recursos do Bot

· Username e avatar Discord exibidos na página de perfil público (/u/username) — dados que o Discord já torna públicos
· Dia e mês de aniversário (sem o ano), quando o membro cadastra voluntariamente via /aniversario
· Texto e horário de lembretes criados via /lembrar (armazenados até o disparo)
· Códigos de recuperação 2FA (armazenados como hash — nunca em texto plano)

Backup de Servidor (planos Elite e Comandante)

· Estrutura do servidor: nomes/posições de cargos, categorias, canais e permissões
· Configuração da dashboard do servidor (boas-vindas, auto-mod, tickets, XP, etc — NÃO inclui dados de pagamento/identidade do dono)
· Finalidade: recuperação de desastre (restaurar o servidor após ataque, exclusão acidental ou para migração). Retenção: até 5 snapshots por servidor, por 90 dias

Backup de Membros (plano Comandante, opcional, opt-in por membro)

· ID Discord e username do membro que VERIFICOU voluntariamente
· Autorização OAuth2 do Discord (escopo identify + guilds.join) — tokens de acesso/refresh armazenados CRIPTOGRAFADOS, nunca exibidos
· Nomes dos cargos que o membro tinha (para re-aplicar na restauração)
· Finalidade: recuperação de desastre — re-adicionar os membros ao SEU próprio servidor recriado após ataque/invasão ou exclusão. Base legal: consentimento explícito de cada membro (clique em "Verificar"). O membro pode revogar a qualquer momento (no dashboard do dono ou removendo a autorização nas configurações do Discord). Não é usado para mover membros entre servidores

✓ Não coletamos

✗ Conteúdo de mensagens privadas (DMs) enviadas por membros;
✗ Conteúdo de mensagens em canais (exceto o necessário para auto-moderação, processado em memória e não armazenado);
✗ Dados bancários, números de cartão ou senhas;
✗ Localização geográfica;
✗ Dados biométricos ou de saúde.

3. Finalidades e Base Legal

Cada tratamento de dados está fundamentado em uma base legal específica da LGPD (arts. 7º para dados gerais e 11 para dados sensíveis):

Prestação do serviço: Executar automações, moderação, boas-vindas, sorteios, tickets e demais funcionalidades contratadas.
Base legal: Execução de contrato (art. 7º, V)
Persistência de configurações: Salvar e restaurar configurações entre reinicializações do bot.
Base legal: Execução de contrato (art. 7º, V)
Gerenciamento de licenças e cobrança: Ativar, suspender e renovar planos. Coletar CPF e enviar à Asaas para emissão de PIX.
Base legal: Execução de contrato (art. 7º, V) + Cumprimento de obrigação legal/regulatória fiscal (art. 7º, II)
Notificações de vencimento por DM: DMs automáticas 7, 3 e 1 dia antes da expiração da licença.
Base legal: Execução de contrato (art. 7º, V)
Segurança, auditoria e antifraude: Logs de IP, 2FA, audit log do painel administrativo, blacklist de fraude.
Base legal: Legítimo interesse (art. 7º, IX) — proteger o sistema e demais usuários
Suporte técnico via tickets: Resolução de problemas reportados pelo titular.
Base legal: Execução de contrato (art. 7º, V)
Métricas agregadas/anônimas: Estatísticas de uso para evolução do produto. Dados anonimizados antes da agregação.
Base legal: Legítimo interesse (art. 7º, IX) — melhoria do produto
Programa de indicação: Tracking de referral via cookie gbb_ref e atribuição de bônus.
Base legal: Consentimento explícito (art. 7º, I) — captado via banner LGPD
Comunicações de marketing: Não realizadas no momento. Caso passem a existir, serão sempre opt-in.
Base legal: Consentimento explícito quando aplicável

4. Dados da Loja Virtual (Multi-tenant)

Servidores com plano Elite podem habilitar uma loja virtual em subdomínio próprio (ex: <slug>.gbbot.com.br). Nesse contexto, os papéis LGPD mudam:

Controlador

O administrador (lojista) da guild Elite é o Controlador dos dados dos compradores da loja dele. Ele decide o que vende, como entrega e como trata reclamações.

Operador

O GBBOT é o Operador (art. 5º, VII LGPD) — provê a infraestrutura técnica (banco, hospedagem, gateway de tickets) mas não decide pelas finalidades.

Dados de compradores tratados na infraestrutura GBBOT incluem:

· ID Discord, username e avatar
· Email e CPF (quando o lojista solicita para emissão de cobrança pela conta Asaas dele)
· Histórico de pedidos, status (pendente/pago/entregue/reembolsado) e snapshot do produto comprado
· Mensagens trocadas em tickets de suporte com o lojista
· IP e timestamp de acesso à loja (logs de segurança)

Compradores: seus direitos LGPD (acesso, correção, eliminação) devem ser exercidos primariamente junto ao lojista. Caso o lojista esteja inacessível ou omisso, o GBBOT pode atuar como ponto de escalada via canal LGPD (seção 13).

5. Armazenamento e Segurança

Os dados são armazenados em banco de dados MongoDB Atlas com criptografia em repouso e em trânsito (TLS). O acesso ao banco é restrito à equipe técnica autorizada e às APIs internas do GBBOT.

Autenticação 2FA

O painel administrativo exige autenticação de dois fatores (TOTP) para acesso a dados sensíveis.

Comunicação Interna Segura

Bot e backend se comunicam via API interna com chave secreta, sem exposição pública.

Cookies HttpOnly

Sessões são gerenciadas com cookies seguros, imunes a ataques XSS.

Logs de Acesso

Todos os acessos ao painel são registrados com IP e timestamp para auditoria.

6. Transferência Internacional de Dados

Alguns dos serviços de infraestrutura utilizados pelo GBBOT podem armazenar ou processar dados em servidores fora do Brasil. Especificamente:

MongoDB Atlas — banco de dados principal. Pode operar em regiões da América do Norte (EUA) ou da União Europeia, dependendo do cluster.
Discord Inc. — toda interação via Bot trafega pela infraestrutura do Discord, sediada nos Estados Unidos.
Asaas — processador de pagamento brasileiro, opera no Brasil. CPF e email são processados apenas em território nacional.

A transferência internacional ocorre conforme as hipóteses do art. 33 da LGPD: execução de contrato com o titular e/ou cláusulas contratuais padrão firmadas com os provedores. O GBBOT seleciona provedores comprometidos com padrões de proteção compatíveis com a legislação brasileira.

7. Compartilhamento de Dados

Não vendemos, alugamos ou comercializamos seus dados. O compartilhamento ocorre somente nas seguintes situações:

Asaas (Processador de Pagamentos): Nome, CPF e e-mail do contratante são enviados à Asaas para geração de cobranças PIX. A Asaas é responsável por esses dados conforme sua própria política de privacidade.
Discord Inc.: O GBBOT opera sobre a plataforma Discord. IDs e dados de servidores são processados conforme a Política de Privacidade do Discord.
Obrigação Legal: Podemos divulgar dados quando exigido por lei, ordem judicial ou autoridade competente.

8. Notificações por Mensagem Direta (DM)

O GBBOT envia mensagens diretas (DMs) no Discord ao titular da licença nos seguintes eventos:

✓Boas-vindas: Enviada após confirmação de pagamento e ativação do plano.
⚠Aviso de vencimento: Enviada automaticamente 7, 3 e 1 dia antes da expiração da licença. Cada aviso é enviado uma única vez por ciclo.

O conteúdo dessas mensagens pode ser personalizado pelo administrador através do painel. Caso suas DMs estejam desativadas no Discord, as mensagens não serão entregues — o GBBOT não se responsabiliza pela não entrega neste caso.

Base legal: Execução de contrato (Art. 7º, V da LGPD) — as notificações são inerentes à prestação do serviço contratado.

9. Cookies e Armazenamento Local

O GBBOT classifica seus cookies em essenciais (sempre ativos — necessários para o funcionamento) e não-essenciais(opt-in via banner LGPD na primeira visita).

Cookies essenciais

Nome	Tipo	Duração	Finalidade
token	HttpOnly · Secure · SameSite=None	24h	JWT principal — autenticação Discord OAuth2. Compartilhado entre painel.gbbot.com.br e subdomínios de loja.
admin_session_token	HttpOnly · Secure	Sessão	Sessão do painel administrativo do GBBOT após autenticação 2FA (TOTP).
gbb_panel_<guildId>	HttpOnly · Secure	Configurável (default 4h)	Sessão de senha do painel da guild (Fase 2.34) — quando o dono ativa a proteção por senha extra.

Cookies não-essenciais (opt-in)

Nome	Tipo	Duração	Finalidade
gbb_ref	SameSite=Lax · Opt-in	7 dias	Programa de indicação. Captura o código vindo de `?ref=CÓDIGO` e atribui o bônus na primeira compra. Não rastreia comportamento.

Armazenamento Local (localStorage / sessionStorage)

· cookie_consent · cookie_consent_date — registro da sua escolha no banner LGPD (válido 1 ano).
· gbb_ref_pending — armazenamento temporário do código de indicação enquanto aguardando consentimento. Apagado ao recusar ou converter em cookie.

Como revisar seu consentimento: use o botão "Revisar cookies" disponível no rodapé do site, ou limpe a chave cookie_consent do localStorage do seu navegador. Ao recarregar a página, o banner é exibido novamente.

Nenhum cookie de publicidade, analytics de terceiros (Google, Facebook etc) ou análise comportamental é utilizado.

10. Seus Direitos (LGPD)

Conforme a Lei Geral de Proteção de Dados (Lei nº 13.709/18), você tem os seguintes direitos:

Acesso

Solicitar cópia dos dados do seu servidor armazenados por nós.

Correção

Corrigir dados incompletos, inexatos ou desatualizados.

Eliminação

Solicitar exclusão dos dados ao remover o Bot do servidor.

Portabilidade

Exportar configurações em formato estruturado (JSON).

Revogação

Retirar consentimento a qualquer momento, sem penalidade.

Informação

Ser informado sobre com quem compartilhamos seus dados.

✓ Autoatendimento disponível

Você pode exercer dois direitos diretamente pelo painel, sem precisar abrir ticket:

→Portabilidade: baixe todos os seus dados em formato JSON acessando /dashboard/privacidade (endpoint GET /api/me/export).
→Eliminação (RTBF): apague sua conta e todos os dados em cascata em /dashboard/privacidade (endpoint POST /api/me/forget, requer confirmação textual).

Para os demais direitos (correção, oposição, informações sobre compartilhamentos, revogação de consentimento específico), entre em contato pelo email do Encarregado de Dados (seção 13). Responderemos em até 15 dias úteis conforme art. 19, § 4º LGPD.

11. Retenção de Dados

Dados de configuração do servidor: Mantidos enquanto o bot permanecer no servidor. Após remoção, deletados em até 30 dias.
Dados de licença e pagamento: Mantidos por 5 anos para fins contábeis e fiscais, conforme legislação brasileira.
Logs de acesso ao painel: Mantidos por 90 dias para fins de auditoria de segurança.
Dados de XP e níveis: Mantidos enquanto o módulo estiver ativo. Deletados junto com os dados do servidor.
Backup de servidor (snapshots): Até 5 snapshots por servidor, retidos por 90 dias (o mais antigo é removido automaticamente).
Backup de membros (Comandante): Mantido enquanto o plano Comandante estiver ativo e o membro não revogar. Apagado quando o membro revoga, quando o plano é cancelado ou mediante solicitação (LGPD).
notifiedDays (ciclo de notificações): Resetado automaticamente a cada renovação de plano.

12. Crianças e Adolescentes

O GBBOT segue os Termos de Serviço do Discord, que exigem idade mínima de 13 anos para uso da plataforma. Conforme o art. 14 da LGPD e o art. 1º, II do ECA, o tratamento de dados pessoais de crianças e adolescentes deve ser realizado no seu melhor interesse e com consentimento específico dos pais ou responsáveis quando aplicável.

Maiores de 13 e menores de 18: tratamento ocorre exclusivamente para finalidades de execução do serviço (login, configurações, suporte). Nenhum dado sensível ou destinado a marketing é tratado.
Pagamento: compras de licença ou produtos em lojas são restritas a maiores de 18 anos, conforme o Código Civil. CPF é validado pela Asaas no momento da cobrança.
Solicitação de exclusão por responsável: pais ou responsáveis legais podem solicitar a exclusão dos dados de menor sob sua guarda enviando email ao Encarregado (seção 13), com comprovação do vínculo.

13. Encarregado (DPO), ANPD e Canais de Contato

Para dúvidas sobre privacidade ou para exercer seus direitos como titular de dados:

Encarregado de Dados (DPO) · Canal LGPD

suporte@gbbot.com.br

Inclua no assunto: LGPD - [Acesso/Correção/Eliminação/Portabilidade] e o ID do servidor Discord (quando aplicável). Resposta em até 15 dias úteis conforme art. 19, § 4º da LGPD.

Reclamação à Autoridade (LGPD art. 18, IV)

Caso considere que seus direitos não foram adequadamente atendidos, você pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD):

gov.br/anpd →

Tickets de Suporte

Solicitações LGPD em até 15 dias

Servidor de Suporte

discord.gg/3w35SJyZya

Site Oficial

gbbot.com.br