Legal

Política de Privacidade

Que dados o WebCupid guarda, por que guarda, com quem compartilha e como você manda neles. Escrito para ser lido, não para se esconder atrás de jargão.

Última atualização: 14 de julho de 2026

⚠️ Documento incompleto

A identificação do responsável (razão social e CNPJ/CPF) ainda não foi preenchida em src/lib/legal.ts. Sem ela este documento não tem validade e o Mercado Pago não aprova a conta de produção.

01Quem é o controlador

O responsável pelo tratamento dos seus dados (o controlador, no vocabulário da LGPD — Lei 13.709/2018) está identificado no rodapé desta página. Para qualquer assunto ligado a dados pessoais, escreva para gabrieltramontin.dev@gmail.com.

02Que dados coletamos

Da sua conta: nome, e-mail e uma senha — que nunca é guardada como você digitou, apenas o resultado de um hash bcrypt. Se você entrar com o Google, recebemos nome e e-mail e não guardamos senha nenhuma.

Do seu presente: tudo que você mesmo coloca — fotos, carta, datas, música escolhida, linha do tempo.

Da compra: plano, valor, forma de pagamento e o identificador da transação no Mercado Pago. Os dados do seu cartão nunca chegam até nós: eles vão do seu navegador direto para o Mercado Pago.

De quem visita seu presente: para contar as visualizações, guardamos data/hora, navegador, a origem do acesso e um hash do endereço IP. O IP em si nunca é gravado — o hash não permite voltar ao número original.

03Por que coletamos (base legal)

  • Executar o contrato (art. 7º, V da LGPD) — criar sua conta, publicar o presente, processar o pagamento e mandar o link e o QR Code por e-mail.
  • Cumprir a lei (art. 7º, II) — guardar os registros fiscais das compras pelo prazo que a legislação exige.
  • Legítimo interesse (art. 7º, IX) — a contagem de visualizações e a segurança da plataforma, sempre com o mínimo de dado possível (daí o IP virar hash).

Não vendemos seus dados. Não fazemos publicidade comportamental e não repassamos nada a corretores de dados.

04Com quem compartilhamos

Só com os fornecedores necessários para o serviço funcionar, e apenas com o dado que cada um precisa:

  • Mercado Pago — processa o pagamento.
  • Cloudflare R2 — armazena as fotos do presente.
  • Resend — envia os e-mails (confirmação, link do presente, recuperação de senha).
  • Vercel — hospeda a aplicação.
  • Spotify / YouTube — busca e reprodução da música.

Alguns desses fornecedores processam dados fora do Brasil. A transferência é feita com base no art. 33 da LGPD e limitada ao que é necessário para prestar o serviço.

05Seu presente é privado

O link do presente termina em um código sorteado e único, que não dá para adivinhar. As páginas de presente são bloqueadas no robots.txt e marcadas com noindex — elas nunca aparecem no Google. Se quiser outra camada, dá para proteger a página com senha.

06Por quanto tempo guardamos

  • Conta e presentes — enquanto sua conta existir.
  • Registros de compra — pelo prazo legal (fiscal e contábil), mesmo que a conta seja apagada.
  • Tokens de recuperação de senha — valem 1 hora, são de uso único e só o hash SHA-256 vai para o banco.

07Cookies

Usamos apenas o cookie de sessão que mantém você logado, e uma preferência local para lembrar se você escolheu o tema claro ou escuro. Não há cookies de rastreamento nem de publicidade, e por isso não existe banner de consentimento — não há nada a consentir.

08Seus direitos (LGPD, art. 18)

Você pode, a qualquer momento:

  • Confirmar que tratamos seus dados e pedir acesso a eles.
  • Corrigir dados incompletos ou desatualizados.
  • Pedir a exclusão dos dados desnecessários ou tratados sem base legal.
  • Pedir a portabilidade dos seus dados.
  • Revogar consentimento e pedir a exclusão da conta.
  • Saber com quem compartilhamos seus dados.

Escreva para gabrieltramontin.dev@gmail.com e respondemos em até 15 dias.

Ao pedir a exclusão, apagamos sua conta, seus presentes e suas fotos. Os registros fiscais das compras são mantidos porque a lei nos obriga.

09Segurança

Senhas são guardadas com bcrypt. O tráfego é todo em HTTPS. Tokens de recuperação vão para o banco apenas como hash, com validade curta e uso único. Endereços IP de visitantes viram hash antes de serem gravados.

Nenhum sistema é infalível. Se ocorrer um incidente de segurança que possa gerar risco relevante a você, avisaremos você e a ANPD, como manda o art. 48 da LGPD.

10Mudanças nesta Política

Se algo mudar de forma relevante, avisaremos por e-mail ou no site. A data da última atualização fica sempre no topo desta página.

Veja também os Termos de Uso.

Responsável

(a preencher)

Contato: gabrieltramontin.dev@gmail.com