Legal
Política de Privacidade
Que dados o WebCupid guarda, por que guarda, com quem compartilha e como você manda neles. Escrito para ser lido, não para se esconder atrás de jargão.
Última atualização: 14 de julho de 2026
⚠️ Documento incompleto
A identificação do responsável (razão social e CNPJ/CPF) ainda não foi preenchida em src/lib/legal.ts. Sem ela este documento não tem validade e o Mercado Pago não aprova a conta de produção.
01Quem é o controlador
O responsável pelo tratamento dos seus dados (o controlador, no vocabulário da LGPD — Lei 13.709/2018) está identificado no rodapé desta página. Para qualquer assunto ligado a dados pessoais, escreva para gabrieltramontin.dev@gmail.com.
02Que dados coletamos
Da sua conta: nome, e-mail e uma senha — que nunca é guardada como você digitou, apenas o resultado de um hash bcrypt. Se você entrar com o Google, recebemos nome e e-mail e não guardamos senha nenhuma.
Do seu presente: tudo que você mesmo coloca — fotos, carta, datas, música escolhida, linha do tempo.
Da compra: plano, valor, forma de pagamento e o identificador da transação no Mercado Pago. Os dados do seu cartão nunca chegam até nós: eles vão do seu navegador direto para o Mercado Pago.
De quem visita seu presente: para contar as visualizações, guardamos data/hora, navegador, a origem do acesso e um hash do endereço IP. O IP em si nunca é gravado — o hash não permite voltar ao número original.
03Por que coletamos (base legal)
- Executar o contrato (art. 7º, V da LGPD) — criar sua conta, publicar o presente, processar o pagamento e mandar o link e o QR Code por e-mail.
- Cumprir a lei (art. 7º, II) — guardar os registros fiscais das compras pelo prazo que a legislação exige.
- Legítimo interesse (art. 7º, IX) — a contagem de visualizações e a segurança da plataforma, sempre com o mínimo de dado possível (daí o IP virar hash).
Não vendemos seus dados. Não fazemos publicidade comportamental e não repassamos nada a corretores de dados.
04Com quem compartilhamos
Só com os fornecedores necessários para o serviço funcionar, e apenas com o dado que cada um precisa:
- Mercado Pago — processa o pagamento.
- Cloudflare R2 — armazena as fotos do presente.
- Resend — envia os e-mails (confirmação, link do presente, recuperação de senha).
- Vercel — hospeda a aplicação.
- Spotify / YouTube — busca e reprodução da música.
Alguns desses fornecedores processam dados fora do Brasil. A transferência é feita com base no art. 33 da LGPD e limitada ao que é necessário para prestar o serviço.
05Seu presente é privado
O link do presente termina em um código sorteado e único, que não dá para adivinhar. As páginas de presente são bloqueadas no robots.txt e marcadas com noindex — elas nunca aparecem no Google. Se quiser outra camada, dá para proteger a página com senha.
06Por quanto tempo guardamos
- Conta e presentes — enquanto sua conta existir.
- Registros de compra — pelo prazo legal (fiscal e contábil), mesmo que a conta seja apagada.
- Tokens de recuperação de senha — valem 1 hora, são de uso único e só o hash SHA-256 vai para o banco.
07Cookies
Usamos apenas o cookie de sessão que mantém você logado, e uma preferência local para lembrar se você escolheu o tema claro ou escuro. Não há cookies de rastreamento nem de publicidade, e por isso não existe banner de consentimento — não há nada a consentir.
08Seus direitos (LGPD, art. 18)
Você pode, a qualquer momento:
- Confirmar que tratamos seus dados e pedir acesso a eles.
- Corrigir dados incompletos ou desatualizados.
- Pedir a exclusão dos dados desnecessários ou tratados sem base legal.
- Pedir a portabilidade dos seus dados.
- Revogar consentimento e pedir a exclusão da conta.
- Saber com quem compartilhamos seus dados.
Escreva para gabrieltramontin.dev@gmail.com e respondemos em até 15 dias.
Ao pedir a exclusão, apagamos sua conta, seus presentes e suas fotos. Os registros fiscais das compras são mantidos porque a lei nos obriga.
09Segurança
Senhas são guardadas com bcrypt. O tráfego é todo em HTTPS. Tokens de recuperação vão para o banco apenas como hash, com validade curta e uso único. Endereços IP de visitantes viram hash antes de serem gravados.
Nenhum sistema é infalível. Se ocorrer um incidente de segurança que possa gerar risco relevante a você, avisaremos você e a ANPD, como manda o art. 48 da LGPD.
10Mudanças nesta Política
Se algo mudar de forma relevante, avisaremos por e-mail ou no site. A data da última atualização fica sempre no topo desta página.
Veja também os Termos de Uso.