Política de Privacidade

Esta Política descreve como a Amor & Café coleta, utiliza, compartilha e protege os dados pessoais dos seus Usuários e dos destinatários de Presentes Digitais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — "LGPD") e demais normas aplicáveis.

1. Quem somos

Amor & Café é a controladora dos dados tratados pela Plataforma. Contato do Encarregado (DPO): dpo@amorecafe.com.br.

2. Dados que coletamos

Dados informados pelo Usuário

• Cadastro: nome, e-mail, senha (armazenada com hash bcrypt).
• Pagamento: CPF/CNPJ e identificador da transação PIX (processados pelo parceiro ValidaPay; não armazenamos chave PIX nem dados bancários completos).
• Conteúdo do Presente: fotos, mensagens, datas, nomes do casal, música escolhida — fornecidos voluntariamente pelo Usuário.

Dados coletados automaticamente

• Endereço IP, agente do navegador, dispositivo, sistema operacional, idioma.
• Eventos de uso (cliques, páginas vistas, A/B testing) — armazenados na tabela interna ab_events, anonimizados após 90 dias.
• Visualizações do Presente Digital (data/hora, IP truncado), na tabela gift_views, exibidas ao dono como "viu pela primeira vez".

3. Finalidades e bases legais

• Execução do contrato (art. 7º, V) — entregar o Presente Digital, processar pagamentos, oferecer suporte.
• Cumprimento de obrigação legal (art. 7º, II) — emissão de nota fiscal, retenção fiscal, atendimento a autoridades competentes.
• Legítimo interesse (art. 7º, IX) — prevenção a fraudes, melhoria do produto, métricas agregadas.
• Consentimento (art. 7º, I) — envio de e-mails de marketing (opt-in explícito) e cookies não essenciais.

4. Compartilhamento de dados

Compartilhamos dados estritamente com os operadores necessários à operação do serviço:

• Supabase / Lovable Cloud — banco de dados, autenticação e armazenamento (servidores na União Europeia e EUA, sob cláusulas-padrão da LGPD/GDPR).
• ValidaPay — processamento de pagamentos PIX (Brasil).
• Resend — entrega transacional de e-mails (EUA).
• Spotify / Deezer / YouTube — embeds e busca pública de músicas/vídeos. Apenas identificadores públicos de faixas/vídeos são compartilhados.

Não vendemos dados pessoais. Não usamos dados do Presente para treinar modelos de IA. Não compartilhamos dados com anunciantes terceiros.

5. Cookies

Utilizamos três categorias de cookies:

• Essenciais — sessão, preferência de tema, carrinho. Não exigem consentimento.
• Analíticos — métricas agregadas e A/B testing. Pseudonimizados.
• Marketing — apenas com opt-in explícito (atualmente desativados por padrão).

6. Retenção

• Conta de Usuário: enquanto ativa + 5 anos após o cancelamento (prazo prescricional consumerista).
• Conteúdo do Presente: conforme o plano contratado (24h no Essencial / vitalício no Para Sempre).
• Logs de pagamento: 5 anos (art. 174 do CTN).
• Eventos de analytics: anonimizados após 90 dias.

7. Seus direitos como titular

Nos termos do art. 18 da LGPD, você pode a qualquer momento solicitar:

• confirmação da existência de tratamento;
• acesso e cópia dos dados;
• correção de dados incompletos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários;
• portabilidade a outro fornecedor;
• eliminação dos dados tratados com base em consentimento;
• informação sobre compartilhamentos realizados;
• revogação do consentimento.

Solicitações devem ser enviadas para dpo@amorecafe.com.br e serão respondidas em até 15 dias.

8. Segurança

• TLS 1.3 em todas as conexões.
• Row-Level Security (RLS) no banco — Usuário só lê o próprio conteúdo; cliente service role restrito a Edge Functions assinadas.
• Senhas armazenadas com bcrypt + salt.
• Backups diários criptografados, com retenção de 30 dias.
• Comunicação de incidentes à ANPD e aos titulares afetados em até 72h, conforme art. 48 da LGPD.

9. Transferência internacional

Alguns operadores hospedam dados fora do Brasil. Todas as transferências são amparadas pelas hipóteses do art. 33 da LGPD, com cláusulas contratuais padrão equivalentes às do GDPR europeu.

10. Crianças e adolescentes

A Plataforma não é direcionada a menores de 18 anos. Se identificarmos cadastro indevido, excluiremos a conta e o conteúdo imediatamente.

11. Alterações

Esta Política pode ser atualizada para refletir mudanças legais ou operacionais. Notificaremos por e-mail sempre que houver alteração relevante.

Dúvidas? Fale com nosso DPO em dpo@amorecafe.com.br.