Skip to main content
CryptoCasinoHouse
🔒 Vigente em 22/05/2026 · Em conformidade com GDPR, CCPA e LGPD

Política de Privacidade

Quais dados coletamos, por quê e como protegemos. Explicações em português claro do texto legal, com números concretos para retenção e divulgação.

1. Introdução e escopo

A CryptoCasinoHouse é uma publicação editorial independente. Operamos sob padrões europeus de proteção de dados porque a maior parte do nosso público vive em jurisdições que exigem esse patamar. Esta política se aplica a todos os subdomínios, todas as 14 edições de idioma e qualquer dado que recebemos via formulários, newsletter ou ferramentas de analytics. Revisada pela última vez pela nossa Encarregada de Proteção de Dados em 22/05/2026; a próxima auditoria está agendada para daqui a 90 dias. Para leitores brasileiros, esta política também está alinhada à LGPD (Lei 13.709/2018) que rege tratamento de dados pessoais no Brasil.

Não operamos nenhum cassino, carteira ou serviço de pagamento. Nunca vemos seus depósitos de jogo, sua seed phrase de carteira ou seus documentos de KYC. A prática de privacidade mais forte que conseguimos oferecer é restrição: coletamos menos de 0,1% do que um site típico de e-commerce coleta e mantemos o que coletamos pelo menor prazo de retenção que ainda nos permite depurar o serviço. Se você quiser ler a base europeia contra a qual nos medimos, veja o texto oficial do GDPR e a orientação CCPA do Procurador-Geral da Califórnia. No Brasil, a base é a LGPD (Lei 13.709/2018), fiscalizada pela ANPD (Autoridade Nacional de Proteção de Dados).

2. Quais dados coletamos

Dividimos dados em três baldes para que você veja exatamente o que é automático, o que é opcional e o que nunca tocamos.

2.1 Automáticos (logs de servidor e analytics de borda)

Todo servidor web registra requisições. O nosso armazena: endereço IP truncado (último octeto removido, então 192.168.4.0 em vez de 192.168.4.123), string de user agent, HTTP referrer, URL requisitada, código de status de resposta e timestamp em milissegundos. A Cloudflare, nossa borda CDN, vê o IP completo por 4 horas antes do truncamento, usado apenas para proteção contra DDoS. Não tentamos fingerprinting de navegador, canvas, áudio ou qualquer análise de vínculo cross-device.

2.2 Voluntários (formulários, newsletter, contato)

Se você submete nosso formulário de contato, recebemos seu nome, e-mail e corpo da mensagem. Se assina a newsletter, recebemos seu e-mail e preferência de localização. Se sinaliza uma disputa com cassino, podemos receber capturas de tela ou hashes de transação que você opta por colar. Nada no site exige conexão de carteira, transação assinada ou modal Web3.

2.3 O que não coletamos

Não coletamos: localização GPS precisa, lista de contatos, grafos de redes sociais, cartões de pagamento, extratos bancários, documentos de identidade, selfies de KYC, endereços de carteira que você não tenha colado pessoalmente para nós, ou qualquer "perfil sombra" de data brokers. Não compramos segmentos suplementares de audiência de terceiros.

3. Como usamos os dados

Cada uso abaixo está vinculado a uma base legal específica sob o Artigo 6 do GDPR e o Artigo 7 da LGPD.

  • Filtragem geográfica (interesse legítimo, GDPR Art. 6(1)(f) / LGPD Art. 7, IX): Bloqueamos ofertas de cassino em 21 jurisdições restritas para cumprir suas leis de jogo. Isso exige ler o IP truncado no momento da requisição.
  • Atribuição de afiliação (necessidade contratual, GDPR Art. 6(1)(b) / LGPD Art. 7, V): Quando você clica em "Visitar Cassino", o cassino de destino recebe um parâmetro de referência do nosso redirecionador /go/. Não recebem seu IP de nós; recebem o que seu navegador envia quando chega ao domínio deles.
  • Analytics (consentimento, GDPR Art. 6(1)(a) / LGPD Art. 7, I): Google Analytics 4 com anonimização de IP roda apenas após você aceitar o banner de cookies. Tráfego anônimo gera cerca de 92% das nossas visualizações porque a maioria dos usuários recusa.
  • Comunicação (consentimento): Enviamos e-mail apenas após opt-in explícito, com cancelamento em um clique em cada mensagem.
  • Segurança (obrigação legal, GDPR Art. 6(1)(c) / LGPD Art. 7, II): Retemos logs de servidor por 30 dias para investigar tentativas de intrusão e responder a intimações legais.

4. Processadores terceiros

Usamos 5 fornecedores que podem tocar seus dados em nosso nome. Cada um opera sob um Acordo de Processamento de Dados (DPA) assinado e está restrito ao propósito listado.

4.1 Cloudflare (borda e CDN)

A Cloudflare termina TLS, bloqueia bots maliciosos e serve páginas em cache. Eles veem seu IP completo por até 4 horas. Estão em conformidade com CCPA e são o processador certificado para nossa filtragem geográfica na borda. Clientes UE deles se beneficiam de Cláusulas Contratuais Padrão (SCCs).

4.2 Google Analytics 4 (apenas usuários consentidos)

GA4 roda em modo de anonimização de IP (o último octeto é removido antes do armazenamento no Google). Dados são retidos por 14 meses e depois auto-deletados. Não habilitamos Google Signals, não importamos audiências GA4 para Google Ads e não compartilhamos dados com parceiros de publicidade. Se você recusa o banner de cookies, nenhum cookie GA4 é definido.

4.3 Provedor de e-mail (apenas newsletter)

Nosso serviço de e-mail transacional armazena seu e-mail, localização e um token hash de cancelamento de inscrição. Processam sob SCCs para inscritos da UE e sob LGPD para inscritos brasileiros.

4.4 Hospedagem (servidor de origem)

Nosso servidor de origem fica em data center UE Tier-3. Eles veem o mesmo IP truncado que a Cloudflare encaminha. Não acessam dados de aplicação.

4.5 Monitoramento de erros

Um monitor de erros que preserva privacidade captura respostas com status 500 e crashes de JavaScript. Identificadores pessoais em URLs são higienizados antes que qualquer erro chegue ao painel. Retenção é 30 dias.

5. Cookies em detalhe

Classificamos cada cookie em uma de três categorias. O banner de cookies te dá um toggle de opt-in para a segunda e terceira categorias.

5.1 Cookies estritamente necessários

Esses cookies são exigidos para o site funcionar. Não precisam de consentimento sob o GDPR Considerando 30. Usamos 3 deles: cc_age_18 (365 dias, armazena a resposta ao age gate), cc_locale (180 dias, lembra seu idioma) e cc_session (24 horas, usado apenas se você submeter um formulário). Nenhum desses é compartilhado com anunciantes.

5.2 Cookies de performance

Cookies de performance medem tempos de carregamento de página e taxas de erro. Usamos um único cookie primário, cc_perf, com vida útil de 7 dias. Contém um ID de sessão aleatório e nenhum dado pessoal. Você pode recusar essa categoria sem quebrar nenhum recurso.

5.3 Cookies de analytics

Se você optar por aceitar, o Google Analytics define cookies _ga (24 meses) e _ga_* (24 meses). Não rodamos nenhum cookie de publicidade, nenhum Facebook Pixel, nenhum TikTok pixel, nenhum LinkedIn Insight Tag, nenhum cookie de retargeting de qualquer tipo. O fluxo do visitante é canalizado para links de cassino de saída, não para anúncios.

6. Seus direitos sob GDPR

Se você está no Espaço Econômico Europeu, no Reino Unido, na Suíça ou em outra jurisdição com lei similar, você tem 8 direitos específicos. Honramos todos sem custo em 30 dias.

  • Direito de acesso (Art. 15): Solicitar cópia de todos os dados que mantemos sobre você. Entregamos em arquivo JSON portátil.
  • Direito de retificação (Art. 16): Corrigir informação inexata, tipicamente seu e-mail ou preferências de newsletter.
  • Direito ao apagamento (Art. 17): Deletar seus dados a menos que tenhamos obrigação legal de reter.
  • Direito à restrição (Art. 18): Congelar processamento enquanto uma disputa é investigada.
  • Direito à portabilidade (Art. 20): Receber seus dados em formato legível por máquina.
  • Direito de objeção (Art. 21): Parar processamento por interesse legítimo.
  • Direito contra decisões automatizadas (Art. 22): Não tomamos decisões automatizadas que afetem você legalmente; esse direito é garantido por padrão.
  • Direito de retirar consentimento: Desativar cookies, cancelar inscrição em e-mail ou fechar seu fio de contato a qualquer momento.

Para exercer qualquer direito, escreva à nossa DPO via página de contato. Registramos a solicitação, verificamos sua identidade usando o e-mail em arquivo e respondemos em 30 dias corridos. Solicitações complexas podem levar 60 dias adicionais sob o Artigo 12(3); notificaremos por escrito se essa extensão se aplicar.

6.1 Seus direitos sob LGPD (Brasil)

Para residentes brasileiros, a LGPD (Lei 13.709/2018) garante direitos análogos sob o Art. 18: confirmação da existência de tratamento, acesso aos dados, correção de dados incompletos/inexatos/desatualizados, anonimização/bloqueio/eliminação de dados desnecessários ou tratados em desconformidade com a LGPD, portabilidade dos dados, eliminação dos dados tratados com consentimento, informação sobre entidades públicas e privadas com as quais o controlador realizou uso compartilhado, informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, e revogação do consentimento. Honramos esses direitos em 15 dias corridos do recebimento da requisição. Reclamações podem ser dirigidas à ANPD (Autoridade Nacional de Proteção de Dados) em anpd.gov.br.

7. Seus direitos sob CCPA e CPRA

Residentes da Califórnia têm 5 direitos adicionais sob o California Consumer Privacy Act e sua emenda de 2023, o California Privacy Rights Act. Não "vendemos" nem "compartilhamos" informação pessoal como esses termos são definidos sob §1798.140. Mesmo assim, fornecemos:

  • Direito de saber qual informação pessoal mantemos e de onde veio.
  • Direito de deletar informação pessoal que coletamos.
  • Direito de corrigir informação inexata.
  • Direito de opt-out de qualquer venda ou compartilhamento futuro (já desabilitado por padrão).
  • Direito de limitar o uso de informação pessoal sensível.

Não discriminamos residentes da Califórnia que exercem esses direitos. Não exigimos criação de conta para abrir requisição CCPA; e-mail de qualquer endereço verificado é suficiente.

8. Como sair de analytics

Você tem três camadas independentes de opt-out. Qualquer camada única é suficiente.

  1. Banner de cookies: Clique em "Recusar" ou "Personalizar" na primeira visita. Nenhum código GA4 carrega.
  2. Do Not Track ou Global Privacy Control no navegador: Honramos o cabeçalho GPC do Brave, Firefox e builds recentes do Safari. Quando GPC está presente, tratamos sua visita como opt-out independentemente do estado do banner.
  3. Add-on de opt-out do Google: Instale o opt-out oficial do Google Analytics para recusa em todo o site na web.

9. Períodos de retenção de dados

Classes diferentes de dados têm janelas diferentes de retenção. Qualquer coisa não listada abaixo é purgada em 24 horas.

  • Logs de servidor truncados: 30 dias
  • Logs de borda Cloudflare (IP completo): 4 horas
  • Eventos do Google Analytics 4: 14 meses
  • Submissões de formulário de contato: 12 meses, depois anonimizadas
  • Lista de inscritos da newsletter: até você cancelar, mais 30 dias para reconfirmação
  • Eventos de monitoramento de erro: 30 dias
  • Cookies de referenciador de afiliação (definidos pelo cassino no domínio dele): 30 a 90 dias, por política do cassino
  • Backups: 35 dias rolantes, criptografados em repouso com AES-256

10. Segurança e notificação de vazamento

O tráfego entre você e o site usa TLS 1.3 com suites de cifra fortes. Submissões de formulário são armazenadas criptografadas em repouso com AES-256-GCM. Acesso de administrador exige autenticação de dois fatores com chave de hardware; rotacionamos chaves a cada 90 dias. Não armazenamos cartões de pagamento porque não aceitamos pagamentos.

Se um dia experimentarmos vazamento de dados que afete informação pessoal, seguimos a linha do tempo do Artigo 33 do GDPR: notificar a autoridade supervisória principal em 72 horas da descoberta e depois notificar usuários afetados sem demora indevida se o vazamento representa risco alto a seus direitos. No Brasil, sob o Art. 48 da LGPD, notificamos a ANPD e os titulares afetados em prazo razoável. Nosso runbook de resposta a incidente é revisado trimestralmente. Não experimentamos vazamento reportável desde o lançamento do site.

11. Transferências internacionais

Alguns dos nossos processadores operam fora do EEE. Transferências aos Estados Unidos se apoiam em Cláusulas Contratuais Padrão (SCCs) e, quando aplicável, no EU-US Data Privacy Framework. Realizamos uma Avaliação de Impacto de Transferência para cada novo processador que lida com dados pessoais do EEE. A lista completa de destinos de transferência está disponível sob pedido. Para dados de titulares brasileiros sob LGPD, transferências internacionais seguem o Art. 33 da LGPD, que exige garantias específicas.

12. Privacidade de crianças

Este site é destinado a adultos com 18 anos ou mais (21+ em certos estados dos EUA e outras jurisdições). No Brasil, a maioridade civil de 18 anos da Lei 14.790/2023 também se aplica a apostas online. Não coletamos conscientemente informação pessoal de menores. Se você é pai ou responsável e acredita que seu filho interagiu conosco, escreva à nossa DPO e deletaremos os dados em 7 dias.

13. Perguntas frequentes

13.1 Vocês vendem meus dados?

Não. Não vendemos, alugamos, arrendamos ou trocamos informação pessoal. O termo "venda" definido pela CCPA é mais amplo que o uso comum; mesmo sob a definição mais ampla, não vendemos.

13.2 Cassinos veem meu IP quando clico num link "Visitar Cassino"?

Veem o que seu navegador envia quando chega ao domínio deles, o que inclui seu IP. Não transmitimos seu IP a eles do nosso servidor. Se quiser privacidade máxima, use uma VPN reputada antes de clicar, mas cheque os termos do cassino primeiro, pois alguns restringem tráfego VPN.

13.3 Posso usar o site sem cookies?

Sim. Você pode recusar cada cookie não essencial via banner e ainda navegar livremente. O cookie do age gate vai reaparecer uma vez por dispositivo até você confirmar que tem 18 anos ou mais. Veja nossa página sobre para o workflow editorial.

13.4 Como faço reclamação de privacidade?

Primeiro escreva à nossa DPO via página de contato. Se não pudermos resolver, você pode reclamar à sua autoridade supervisora local. Residentes da UE encontram a deles no diretório do European Data Protection Board. Residentes da Califórnia podem reclamar ao Procurador-Geral da Califórnia. Residentes brasileiros podem reclamar à ANPD (Autoridade Nacional de Proteção de Dados) em anpd.gov.br ou ao Procon estadual.

13.5 E se vocês atualizarem esta política?

Atualizações materiais são destacadas no topo da página por 30 dias, e inscritos da newsletter recebem resumo por e-mail. Edições menores (correções de digitação, formatação) são registradas no nosso changelog interno. A versão atual está datada 22/05/2026.

14. Páginas relacionadas

Leia nossos termos de uso para o framework legal que acompanha esta política, nossa divulgação de afiliação para como ganhamos receita, nossos recursos de jogo responsável para ajuda com jogo problemático, nossa metodologia de 25 passos para como pontuamos cassinos e nossa blacklist de operadores que não podemos recomendar.

15. Contate nossa DPO

Para qualquer pergunta de privacidade, requisição de acesso a dados ou consulta sobre vazamento, escreva pelo formulário de contato e marque o assunto como "DPO". Respondemos a requisições de privacidade em 30 dias corridos como exigido pelo GDPR, em 15 dias para requisições sob LGPD, e mais rápido para notificações urgentes de vazamento.

16. Detalhe do banner de cookies e consentimento granular

O banner de cookies é o ponto primário em que você consegue moldar quais dados o site processa sobre sua visita. Desenhamos para controle granular em vez do padrão "aceitar tudo" usado pela maior parte dos sites afiliados. O estado padrão na chegada é "Recusar tudo"; nada carrega até você conceder consentimento ativamente. O banner separa 3 categorias: cookies estritamente necessários (sem opção de consentimento, pois o Considerando 30 do GDPR os torna lícitos por padrão), cookies de performance (toggle único, por padrão desligado) e cookies de analytics (toggle único, por padrão desligado). Cookies de marketing não existem em parte alguma do site, então não temos toggle a oferecer. Cerca de 92% das nossas visualizações vêm de visitantes que recusam as categorias opcionais.

Consentimento separado para analytics e marketing

Separamos deliberadamente consentimento de analytics de qualquer outra categoria. Tracking de analytics mede comportamento agregado do site (tempos de carregamento de página, cliques em resultados de busca, preferências de localização) e está configurado para expirar 14 meses após cada evento de opt-in. Consentimento de marketing não existe no site porque rodamos zero cookies de publicidade: nenhum Facebook Pixel, nenhum TikTok pixel, nenhum LinkedIn Insight Tag, nenhum remarketing do Google Ads, nenhum cookie de retargeting de qualquer tipo. O teto de 5 cookies que aplicamos em todas as 14 edições de idioma está documentado no inventário de cookies no fim desta página. Se você opta por aceitar apenas analytics, o Google Analytics 4 define os cookies _ga e _ga_* com vida útil de 24 meses; se opta por aceitar apenas performance, nosso cookie primário cc_perf é definido com vida útil de 7 dias.

Como revogar consentimento e cookies de terceiros bloqueados por padrão

Revogar consentimento leva 2 cliques: abra o link de preferências de cookies no rodapé da página (visível em cada página em todas as 14 localizações) e ative ou desative as categorias que quiser desabilitar. O toggle vale imediatamente no próximo carregamento de página, e quaisquer cookies na categoria desabilitada são limpos automaticamente. Preferências de cookies são armazenadas no cookie cc_consent com vida útil de 13 meses; limpar o cookie te devolve ao estado "Recusar tudo" padrão na próxima visita. Cookies de terceiros são bloqueados por padrão na camada de borda independentemente do estado de consentimento, com 4 exceções que permitimos explicitamente (os 4 fornecedores listados na seção 4 acima). Vídeos do YouTube embutidos, cards do Twitter embutidos e widgets de comentários embutidos não são usados em parte alguma do site, então a superfície de risco de cadeia de suprimentos é intencionalmente pequena. Nossa caixa da DPO lida com qualquer questão de revogação de consentimento em 48 horas.

Curaçao Gaming Control Board licence verification badge eCOGRA certified safe and fair gambling badge Gaming Laboratories International (GLI) RNG-tested badge Malta Gaming Authority (MGA) compliance badge GPWA Code of Conduct certified affiliate badge BeGambleAware responsible gambling partner badge GamCare responsible gambling support partner badge 18 plus age restriction badge — must be of legal gambling age