Touchline by AK Labs
Fazer o Raio-X da Carteira

Política de Privacidade

Última atualização: 14 de maio de 2026.

1. Quem somos

Touchline, produto de AK Labs, é um software que organiza a rotina de agências de futebol. Esta política descreve como tratamos dados pessoais em dois contextos: (a) visitantes do site touchline.soccer que solicitam contato, e (b) clientes que contratam Touchline e cadastram dados de atletas, contatos e contratos no sistema.

Parte A — Visitantes do site

Aplica-se a quem solicita demonstração ou navega no site público, sem contrato ativo.

2. Quais dados coletamos do visitante

  • Nome, e-mail, agência e tamanho da operação informados no formulário.
  • Telefone (opcional) e mensagem livre (opcional).
  • Origem do acesso (UTM e referrer) e user agent do navegador.
  • Hash do IP (não armazenamos o IP em texto), usado apenas para limitar abuso.

3. Por que tratamos esses dados

Base legal: consentimento (LGPD Art. 7º, I) marcado no envio do formulário. Os dados são usados exclusivamente para entrar em contato sobre a demonstração solicitada e para qualificar a oportunidade comercial. Não enviamos newsletter nem compartilhamos seus dados com terceiros.

4. Por quanto tempo guardamos

Mantemos os dados enquanto a oportunidade comercial estiver ativa, ou até que você solicite a remoção. Hash de IP, UTM e referrer são metadados operacionais e podem ser descartados a qualquer momento sem prejudicar o seu pedido.

5. Analytics e medição de uso

Usamos PostHog (instância europeia, hospedada em Frankfurt) para entender o tráfego e a conversão da landing — quantos visitantes chegam, de onde, quais cliques fazem, se completam o formulário. Não enviamos para o analytics nenhum dado pessoal do formulário (nome, e-mail, telefone, mensagem ou nome da agência ficam exclusivamente em nosso banco). O que vai para o PostHog são apenas sinais agregados: tipo de e-mail (pessoal ou corporativo), faixa do tamanho da operação (menos de 10 / 10 a 50 / mais de 50 atletas), e parâmetros de origem (UTM, referrer). Não usamos session replay, não usamos captura automática de cliques e não compartilhamos esses sinais com terceiros.

Parte B — Clientes operacionais

Aplica-se a agências que contrataram Touchline e usam a plataforma como ferramenta operacional. Substitui a Parte A no que diz respeito a dados inseridos no produto.

6. Papéis sob a LGPD

No contexto operacional, o cliente (a agência) é o Controlador dos dados pessoais inseridos na plataforma (atletas, contatos, sócios usuários da agência). Touchline atua como Operador, tratando esses dados em nome e conforme instruções do Controlador, nos limites técnicos descritos nesta política e nas condições contratuais.

7. Quais dados o cliente insere na plataforma

  • Atletas representados: nome civil, nome de jogo, data de nascimento, nacionalidades, posição, histórico de clubes, contratos vigentes, valor de mercado quando informado.
  • Contatos: scouts, dirigentes, agentes parceiros, advogados de atletas, com nome, telefone, e-mail, função, agência associada.
  • Sócios usuários da agência: nome, e-mail, papel (admin, comercial, scout, etc.).
  • Eventos operacionais: registros de conversas, observações de jogos, follow-ups, ofertas inbound/outbound, comissões, valores financeiros.
  • Documentos: contratos, procurações, anexos enviados via upload assistido.

Parte desses dados é classificada como sensível sob a LGPD (dados de menores, dados financeiros, vínculos contratuais). O tratamento segue as bases legais específicas indicadas na próxima seção.

8. Base legal do tratamento

Operamos os dados do cliente sob duas bases:

  • Execução de contrato (LGPD Art. 7º, V) — base principal. A finalidade é entregar as funcionalidades contratadas: gestão de carteira, contratos, ofertas, relatórios.
  • Legítimo interesse (LGPD Art. 7º, IX) — aplicado a métricas agregadas e anônimas de uso da plataforma (não-identificáveis), para evoluir o produto.

9. Subprocessadores (sub-operadores)

Touchline utiliza fornecedores terceiros para entrega da plataforma. Cada um trata apenas o subconjunto estritamente necessário à função descrita.

  • Railway (hospedagem da aplicação e banco de dados) — US.
  • Cloudflare (CDN, DNS, proteção DDoS) — global.
  • BunnyCDN (proxy de imagens públicas de atletas/clubes) — UE.
  • API-Football (api-sports.io) — dados públicos de jogos, transferências, fotos. Nenhum dado do cliente é enviado.
  • Firecrawl (scraping assistido de fontes públicas) — UE. Nenhum dado do cliente é enviado.
  • Google Gemini / OpenAI (LLMs auxiliares em extração de texto) — invocados apenas quando o cliente aciona explicitamente recursos de IA assistida. Conteúdo enviado: texto da fonte específica acionada, sem dados pessoais do cliente fora dessa fonte.
  • PostHog (analytics agregado da landing) — UE. Não trata dados de tenant operacional.

Esta lista pode ser atualizada com aviso prévio de 30 dias. Versão histórica fica registrada em audit log interno.

10. Retenção de dados do cliente

  • Durante a vigência do contrato: indefinidamente, sob controle do cliente.
  • Após cancelamento ou término: 30 dias com acesso a export completo (CSV / JSON). Após esse prazo, dados são deletados em definitivo.
  • Trial não convertido: 30 dias a partir do término do trial, mesmo regime de export. Depois, deleção.
  • Logs operacionais (audit log, métricas agregadas): retidos por 12 meses para fins de auditoria de segurança, sem dados pessoais identificáveis após anonimização.

11. Direitos do titular (LGPD Art. 18)

Qualquer titular de dado pessoal armazenado na plataforma (visitante, sócio usuário, atleta representado, contato da rede) pode solicitar acesso, correção, anonimização, deleção, portabilidade ou oposição ao tratamento. Para titulares cujos dados foram inseridos por um cliente operacional (atletas, contatos), a solicitação deve ser direcionada preferencialmente ao Controlador (a agência cliente), que tem visibilidade direta sobre o uso. Caso indisponível, o titular pode contatar diretamente o DPO indicado na seção 13 — encaminharemos ao Controlador e respondemos em até 15 dias.

12. Segurança técnica

  • Isolamento por tenant via Row-Level Security (RLS) no PostgreSQL — cada cliente acessa exclusivamente seus próprios dados, garantido em camada de banco.
  • Conexões em HTTPS/TLS 1.3, certificado válido em todos os hosts servidos.
  • Backups diários automatizados, retidos por 30 dias.
  • Acesso interno (suporte/founder) restrito a contas explicitamente designadas, registrado em audit log imutável.
  • Senhas armazenadas como hash com algoritmo moderno (bcrypt). Reset de senha por link com token de uso único.

13. Encarregado de Proteção de Dados (DPO)

O Encarregado (LGPD Art. 41) é o canal oficial para solicitações de titulares e comunicações da ANPD. Contato: dpo@touchline.soccer. Respondemos em até 15 dias úteis.

14. Atualizações desta política

Mudanças materiais (novo subprocessador, alteração de base legal, alteração de retenção) são comunicadas a clientes operacionais com 30 dias de antecedência via e-mail cadastrado e aviso na plataforma. Visitantes do site sempre veem a versão vigente nesta página, com a data de última atualização visível no topo.

15. Como exercer seus direitos

Visitantes do site: privacidade@touchline.soccer. Atendemos em até 15 dias.
Clientes operacionais e titulares com dados inseridos por cliente: contate o DPO em dpo@touchline.soccer ou, alternativamente, a agência Controladora.