Voltar para o Blog
Quest Log

LGPD em Jogos: O Que Você Precisa Saber Sobre Dados

Tela de política de privacidade e consentimento de dados em um jogo

LGPD em jogos na prática: que dados do jogador seu game coleta, quando a lei se aplica ao indie e o que fazer para ficar em ordem.

LGPD em Jogos: O Que Você Precisa Saber Sobre Dados

Se você faz jogos e publica para gente no Brasil, a LGPD em jogos é um assunto que já bate na sua porta, mesmo que você nunca tenha pensado nisso. A LGPD é a Lei 13.709/2018, a Lei Geral de Proteção de Dados, e ela fala sobre como qualquer um trata dados pessoais de pessoas no Brasil. Jogo é software, software coleta dados, e é aí que a conversa começa.

Antes de qualquer coisa, um aviso honesto: este texto não é consultoria jurídica. É um panorama prático para você entender o terreno e tomar decisões com bom senso. Para casos específicos, contrato importante ou dúvida séria, vale conversar com um advogado ou profissional de proteção de dados. O objetivo aqui é que você pare de operar no escuro.

A boa notícia é que a maior parte disso é organização, não bicho de sete cabeças. Você não precisa virar especialista em direito. Precisa saber o que o seu jogo faz com os dados do jogador e agir de acordo. Vamos por partes.

Que dados do jogador o seu jogo coleta (muitas vezes sem você perceber)

A primeira surpresa para muito dev é descobrir a quantidade de dados que o próprio jogo movimenta. Você abriu o projeto para fazer um platformer bonitinho e, sem perceber, montou uma pequena máquina de coletar informação. Veja os suspeitos mais comuns.

Analytics de comportamento. Aquela ferramenta que te mostra quanto tempo o jogador ficou na fase 3, onde ele morreu mais, quando desinstalou. Útil demais para melhorar o jogo, e cheia de dados sobre o comportamento de uma pessoa. Se você quer entender o lado bom dessa prática, vale ver o que medir com telemetria e analytics no jogo. Mas lembre: medir é ótimo, coletar sem controle é problema.

Relatórios de crash. Quando o jogo trava, muitos frameworks enviam automaticamente um relatório com informações do dispositivo, versão do sistema, e às vezes bem mais que isso. É um dado que sai do celular do jogador e vai parar num servidor. Você provavelmente ativou isso num clique, sem ler o que ia junto.

Anúncios. Se o seu jogo mobile exibe propaganda, a rede de anúncios precisa de dados para escolher o que mostrar. Isso costuma incluir identificadores, e às vezes localização e perfil de uso. É o ponto mais sensível da lista, e por isso vale entender direito como funciona anúncios em jogo mobile antes de sair plugando SDK.

Contas e login. Se o jogador cria uma conta, faz login com e-mail, Google ou uma rede social, você passa a guardar informação que identifica aquela pessoa diretamente. Nome, e-mail, foto de perfil. Isso é dado pessoal no sentido mais claro possível.

Compras. Loja dentro do jogo, itens pagos, assinatura. Além do valor comercial, aí trafega histórico de consumo e, dependendo do fluxo, dados de pagamento. Você pode não guardar o número do cartão, mas guarda o histórico de compras ligado a uma pessoa.

ID de dispositivo. Aquele identificador único do aparelho, usado por analytics e anúncios para saber que é o mesmo jogador voltando. Parece técnico e inofensivo, mas serve justamente para acompanhar uma pessoa ao longo do tempo, e por isso entra na conversa de dados pessoais.

O ponto que quero cravar: quase nada disso você adicionou de propósito pensando em dados. Foi tudo entrando junto com ferramentas que resolvem outros problemas. E é exatamente por ser invisível que costuma ser esquecido.

Quando a LGPD se aplica ao seu jogo

A regra é mais simples do que parece. A LGPD se aplica quando você trata dados pessoais de pessoas no Brasil. Tratar quer dizer coletar, guardar, usar, compartilhar, praticamente qualquer coisa que você faça com o dado. E dado pessoal é qualquer informação que identifique ou possa identificar alguém.

Repare que não há uma linha escrita "isso só vale para empresa grande". Se você é indie, se é um projeto de hobby que roda um anúncio para pagar o café, se é um estúdio de uma pessoa só, a lei continua valendo quando você mexe com dado de gente no Brasil. O tamanho do seu projeto muda o que é razoável esperar de você, mas não desliga a lei.

Muita gente se agarra na ideia de que "meu jogo é pequeno, ninguém vai olhar". Talvez. Mas essa é uma aposta, não uma estratégia. E o mais importante: fazer o certo aqui é barato. Organizar a coleta de dados de um jogo indie dá muito menos trabalho do que a maioria imagina, e te deixa dormir tranquilo. Levar a sério não é medo, é profissionalismo.

Vale também lembrar que, quando o dinheiro entra em cena, o jogo passa a ser tratado como coisa séria em vários aspectos, não só na proteção de dados. Se você monetiza, provavelmente já precisa pensar em impostos ao vender jogo no Brasil também. Proteção de dados e organização financeira andam juntas: são as duas pernas de quem quer viver de jogo sem susto.

Próximo nível
Quer aprender isso na prática?

No CursoGame.Dev você sai dos tutoriais soltos e constrói jogos publicáveis, com trilha progressiva, quests práticas e feedback real.

Conhecer a plataforma
+500 alunos4.9/5Garantia 7 dias

SDKs de terceiros: eles coletam por você, mas a responsabilidade continua sua

Este é o ponto que mais pega dev desprevenido, então vale um H2 só para ele. Quando você adiciona um SDK de anúncios, de analytics ou de qualquer serviço externo, aquele código passa a coletar dados dentro do seu jogo. Você não escreveu a coleta, mas ela acontece no seu produto, no dispositivo do seu jogador, por causa de uma decisão sua.

E aí vem a parte que muita gente não gosta de ouvir: a responsabilidade não some porque o dado foi coletado por outra empresa. Você escolheu incluir aquele SDK. Você respondeu por ter colocado ele ali. A rede de anúncios ou a plataforma de analytics tem obrigações próprias, claro, mas isso não é um passe livre para você. Não dá para apontar para o fornecedor e dizer "o problema é dele".

Na prática, isso significa uma tarefa concreta e chata, mas necessária: saber o que cada SDK do seu jogo coleta. A maioria tem uma página de privacidade ou documentação explicando os dados que trata. Leia. Anote. Se um SDK coleta muito mais do que você precisa, considere trocar por outro mais enxuto ou ajustar as configurações dele. Muitos permitem reduzir a coleta, desligar recursos de rastreamento, ou operar em um modo mais restrito.

Regra de bolso: se você não sabe explicar o que uma biblioteca do seu jogo faz com dados, você não deveria estar usando ela em produção sem descobrir primeiro. Não é sobre paranoia, é sobre saber o que está acontecendo dentro da sua própria casa.

Dados de crianças e adolescentes: cuidado redobrado

Se o seu jogo é voltado para o público infantil, ou se você sabe que crianças e adolescentes jogam, o nível de atenção sobe bastante. Dados de menores recebem proteção especial, e o padrão de cuidado esperado de você é mais alto.

O ponto central é o consentimento. Para tratar dados de crianças, normalmente é preciso o consentimento de pelo menos um dos pais ou responsável, e sempre no melhor interesse da criança. Isso complica fluxos que foram feitos pensando em adulto, como login rápido, coleta agressiva de analytics ou anúncios personalizados.

Aqui a estratégia mais inteligente costuma ser a mais simples: coletar o mínimo possível. Um jogo infantil que quase não coleta dados tem quase nada com que se preocupar nesse ponto. Muitas redes de anúncios e ferramentas de analytics oferecem um modo específico para público infantil, com coleta reduzida e sem rastreamento personalizado. Se o seu jogo pode ter crianças jogando, procure e ative esses modos. E desconfie de qualquer SDK que não ofereça uma opção assim, porque ele provavelmente não foi pensado para esse público.

Não trate isso como detalhe. É justamente na área de dados de crianças que a tolerância a erro é menor, e onde uma coleta descuidada chama mais atenção negativa, tanto legal quanto de reputação.

O que fazer na prática

Chega de mapa do problema. Vamos ao que dá para você fazer ainda esta semana, sem virar advogado. Encare como uma checklist de higiene do seu jogo.

Tenha uma política de privacidade clara e acessível. Ela precisa dizer, em português que dá para entender, quais dados o jogo coleta, para quê, e com quem eles são compartilhados (incluindo os tais SDKs). Coloque um link fácil de achar, dentro do jogo e na página da loja. Nada de esconder no rodapé de um site que ninguém visita. Uma política honesta e legível vale mais do que um texto jurídico gigante que ninguém lê.

Minimize a coleta. Colete só o que você realmente usa. Se você tem um analytics medindo trinta coisas e olha só três, desligue as outras vinte e sete. Cada dado que você não coleta é um dado que você não precisa proteger, explicar ou justificar. Menos coleta é menos risco e menos trabalho, ao mesmo tempo.

Peça consentimento quando for exigido. Em vários casos, principalmente rastreamento para anúncios personalizados, você precisa perguntar antes, de forma clara, e aceitar um "não" como resposta válida. Um pedido de consentimento honesto explica o que vai acontecer e deixa o jogador escolher de verdade, sem truque de interface para empurrar o "sim".

Permita que o jogador recuse rastreamento. Se ele disser não ao rastreamento, o jogo tem que continuar funcionando. Recusar não pode virar castigo. O jogador que negou anúncios personalizados ainda pode ver anúncios não personalizados, por exemplo. O jogo roda, a experiência principal continua de pé.

Saiba o que seus SDKs coletam. Já falei disso, mas repito porque é o item mais esquecido. Faça uma lista das bibliotecas de terceiros do seu jogo e, ao lado de cada uma, escreva o que ela coleta. Essa lista, sozinha, já te coloca à frente da maioria dos indies, e alimenta direto a sua política de privacidade.

Se você fizer só esses cinco itens, com honestidade, você já saiu do escuro e entrou numa postura defensável. Não é perfeição, é responsabilidade proporcional ao seu tamanho, que é exatamente o que se espera.

Conclusão: leve a sério sem entrar em pânico

A LGPD em jogos não é um monstro criado para te punir. É um conjunto de expectativas razoáveis sobre como você lida com informação de outras pessoas, as mesmas pessoas que baixam e jogam o seu jogo. E, no fim, tratar bem os dados do jogador é tratar bem o jogador.

Você não precisa resolver tudo de uma vez, nem contratar um escritório de advocacia no primeiro protótipo. Precisa saber o que seu jogo coleta, coletar menos, escrever uma política honesta, respeitar o "não" do jogador e conhecer seus SDKs. É trabalho de organização, não de heroísmo. Quem faz jogo de forma séria já faz isso naturalmente, porque é parte de tratar o próprio projeto como um negócio de verdade.

Comece pequeno: abra o seu jogo hoje e liste, de verdade, tudo que ele coleta. Só esse exercício já vai te mostrar o caminho. E lembre do aviso do começo, para decisões importantes, procure um profissional. O resto é bom senso aplicado com constância.

Perguntas frequentes

A LGPD se aplica a jogo indie ou hobby?

Sim, se você trata dados pessoais de pessoas no Brasil, a lei se aplica, mesmo sendo indie ou hobby. O que muda é a proporção do que se espera de você, não o fato de a lei valer. Um jogo que monetiza e coleta dados está claramente no radar.

Preciso de política de privacidade no meu jogo?

Na prática, sim. Se o seu jogo coleta qualquer dado pessoal (analytics, login, anúncios, relatório de crash), você precisa de uma política de privacidade clara, acessível e verdadeira. As lojas de aplicativos também costumam exigir isso para publicar.

Um SDK de anúncios coleta dados por mim. A responsabilidade é minha ou da rede?

Continua sua também. Você escolheu incluir aquele SDK no seu jogo, então responde pelo tratamento que ele faz dentro do seu produto. A rede de anúncios tem responsabilidades próprias, mas isso não transfere a sua para ela.

Meu jogo é para crianças. Muda alguma coisa?

Muda bastante. Dados de crianças e adolescentes exigem cuidado redobrado, incluindo consentimento dos pais ou responsáveis quando aplicável. Vale evitar coleta desnecessária e revisar o que os SDKs fazem, já que muitos não foram pensados para público infantil.

Que dados um jogo coleta sem o dev perceber?

Os mais comuns são analytics de comportamento, relatórios de crash, dados usados por anúncios, informações de conta e login, histórico de compras e o ID do dispositivo. Muitos desses vêm de SDKs de terceiros que você adicionou sem ler o que eles coletam.

Este artigo é consultoria jurídica?

Não. Este é um panorama prático para você entender o assunto e agir com bom senso. Para decisões importantes ou casos específicos, procure um advogado ou profissional de proteção de dados.