Política de Privacidade
Bem-vindo ao Sweet Love Letter (disponível em sweetloveletter.com). Estamos comprometidos em proteger seus dados pessoais e respeitar sua privacidade em plena conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei Federal nº 13.709/2018) do Brasil e com as melhores práticas internacionalmente reconhecidas.
Esta Política de Privacidade explica quais dados pessoais coletamos, por que os coletamos, como os utilizamos e protegemos, e os direitos que você tem como titular dos dados.
1. Quem Somos (Controlador de Dados)
O Sweet Love Letter atua como Controlador de Dados para os dados pessoais de todos os indivíduos que criam contas e utilizam a plataforma diretamente (modelo B2C). Decidimos as finalidades e os meios de tratamento dos seus dados.
- Produto: Sweet Love Letter — Plataforma Digital de Presentes e Memórias (SaaS)
- Operado por: IGNIS TECNOLOGIA LTDA (nome fantasia: HONOO SOFTWARE)
- CNPJ: 66.833.322/0001-20
- Endereço: Rua Nelson Monteiro, 107, Alto Boa Vista, Cariacica — ES, CEP 29.152-290, Brasil
- Site:sweetloveletter.com
- Contato de privacidade:[email protected]
Se você representa uma empresa que se integra à nossa plataforma em nome de seus próprios clientes, um Acordo de Processamento de Dados (DPA) separado pode ser necessário. Entre em contato conosco.
2. Dados Pessoais que Coletamos
Aplicamos o princípio da minimização de dados — coletamos apenas o estritamente necessário.
2.1 Dados de Conta e Identidade
- Endereço de e-mail (necessário para login e comunicações)
- Nome de exibição (usado na interface da plataforma)
- Senha — armazenada como um hash BCrypt unidirecional (nunca em texto simples)
- Provedor de autenticação (e-mail/senha, Google ou Facebook — sua escolha)
- URL da foto de perfil (fornecida pelo Google/Facebook quando você usa login OAuth)
2.2 Conteúdo Gerado pelo Usuário
- Fotos e imagens que você envia para criar seu presente digital
- Arquivos de música/áudio que você envia ou seleciona
- Vídeos gerados a partir dos seus projetos
- Configurações de projeto (temas, layouts, texto, configurações da linha do tempo)
- Mensagens personalizadas e legendas que você escreve
2.3 Dados de Transação e Assinatura
- Histórico de compras (produto, data, ID de transação do nosso processador de pagamento)
- Status de assinatura (ativa/inativa, tipo de plano)
- Não armazenamos números de cartão de crédito/débito. Todo o processamento de pagamento é realizado com segurança pelo nosso processador de pagamentos terceirizado, que atua como Merchant of Record.
2.4 Dados Técnicos
- Endereço IP (recebido automaticamente a cada requisição HTTP)
- Tipo e versão do navegador (cabeçalho User-Agent)
- Cookies de autenticação (HttpOnly, Secure, SameSite — usados para mantê-lo conectado)
- Tokens de atualização (armazenados no banco de dados, vinculados à sua conta)
2.5 Dados de Analytics (somente com seu consentimento)
- Páginas visitadas, tempo na página, fonte de referência (via Google Analytics 4)
- Dados de sessão anônimos — a anonimização de IP está ativada
- Esses dados nunca são coletados se você recusar os cookies de analytics
3. Base Legal para o Tratamento (LGPD Art. 7)
| Atividade de Tratamento | Base Legal |
|---|---|
| Criação de conta e autenticação | Execução de contrato (Art. 7, V) |
| Armazenamento do seu conteúdo e projetos enviados | Execução de contrato (Art. 7, V) |
| Processamento de pagamentos | Execução de contrato (Art. 7, V) |
| Envio de e-mails transacionais (confirmação, redefinição de senha) | Execução de contrato (Art. 7, V) |
| Monitoramento de segurança e prevenção a fraudes | Legítimo interesse (Art. 7, IX) |
| Analytics e melhoria do site | Consentimento (Art. 7, I) — opt-in apenas via banner de cookies |
| Retenção de registros financeiros | Obrigação legal (Art. 7, II) — retenção por 5 anos |
4. Como Utilizamos Seus Dados
- Criar e gerenciar sua conta
- Armazenar, processar e entregar seus presentes digitais e projetos
- Processar pagamentos e gerenciar direitos de assinatura
- Enviar códigos de redefinição de senha e confirmações por e-mail
- Detectar e prevenir fraudes, abusos e acessos não autorizados
- Melhorar nossa plataforma (somente com seu consentimento de analytics)
- Cumprir as leis e regulamentações aplicáveis
Nunca vendemos seus dados pessoais a terceiros. Não utilizamos seus dados para decisões ou perfis automatizados que produzam efeitos jurídicos significativos.
5. Terceiros e Compartilhamento de Dados
| Terceiro | Finalidade | Dados Compartilhados |
|---|---|---|
| Processador de pagamento (Merchant of Record) | Processamento de pagamentos e gerenciamento de assinaturas | E-mail, valor da compra, ID do produto |
| Amazon Web Services (S3) | Armazenamento seguro em nuvem dos seus arquivos | Arquivos enviados (mídia, música, vídeos) |
| Google (OAuth) | Login social opcional | E-mail, nome de exibição, avatar — somente se você escolher o login Google |
| Facebook (OAuth) | Login social opcional | E-mail, nome de exibição — somente se você escolher o login Facebook |
| Google Analytics 4 | Analytics de uso do site | Visualizações de página e eventos anonimizados — somente com consentimento |
| Google Fonts | Tipografia (CDN) | Endereço IP (requisição CDN padrão) |
Todos os terceiros estão contratualmente obrigados a tratar seus dados apenas para a finalidade declarada e em conformidade com as leis de proteção de dados aplicáveis.
6. Cookies
Utilizamos as seguintes categorias de cookies:
- Cookies essenciais: Necessários para operar o site. Incluem tokens de autenticação (cookies HttpOnly, Secure) e identificadores de sessão. Não podem ser desativados.
- Cookies de analytics: Google Analytics 4 — carregados somente após você aceitar os cookies de analytics no banner. Você pode retirar o consentimento a qualquer momento nas Configurações da Conta.
- Cookies de performance: SDK do processador de pagamento — usado para otimizar o fluxo de pagamento. Carregado somente com seu consentimento.
Você pode gerenciar suas preferências de cookies a qualquer momento em Configurações da Conta → Preferências de Cookies.
7. Retenção de Dados
- Contas ativas: Os dados são retidos enquanto sua conta estiver ativa.
- Registros financeiros: O histórico de compras é retido por 5 anos para cumprir a legislação fiscal brasileira (Lei nº 9.613/1998 e regulamentações relacionadas).
- Contas inativas: Contas sem login por 24 meses consecutivos terão seu conteúdo anonimizado ou excluído, com notificação prévia por e-mail.
- Após a exclusão da conta: Seus dados são permanentemente excluídos dos armazenamentos e bancos de dados em 30 dias, exceto quando a retenção for legalmente exigida.
- Tokens de atualização: Tokens expirados são removidos automaticamente.
8. Medidas de Segurança
- Criptografia em trânsito: Toda a comunicação utiliza HTTPS/TLS.
- Hash de senha: As senhas são hasheadas com BCrypt com fator de custo que torna ataques de força bruta computacionalmente inviáveis.
- Cookies de autenticação: Definidos como HttpOnly, Secure, SameSite=Lax para prevenir ataques XSS e CSRF.
- Tokens JWT: Tokens de acesso de curta duração + tokens de atualização de longa duração que podem ser revogados.
- Armazenamento: Arquivos armazenados no AWS S3 com controles de acesso em nível de bucket; o armazenamento local usa permissões do sistema de arquivos.
- Controle de acesso (RBAC): Cada usuário pode acessar apenas seus próprios projetos e dados. O isolamento por tenant é aplicado no nível de consulta ao banco de dados.
- Limitação de taxa: Os endpoints de autenticação têm limite de taxa para mitigar ataques de força bruta e preenchimento de credenciais.
- Cabeçalhos de segurança: X-Content-Type-Options, X-Frame-Options, Referrer-Policy e outros cabeçalhos de segurança HTTP são aplicados.
9. Seus Direitos (LGPD Art. 18)
Como titular dos dados, você tem os seguintes direitos, que pode exercer a qualquer momento:
- Direito de acesso: Confirmar se tratamos seus dados e obter uma cópia.
- Direito de correção: Solicitar a correção de dados imprecisos ou incompletos.
- Direito de exclusão: Solicitar a exclusão dos dados tratados com seu consentimento.
- Direito à portabilidade: Receber seus dados em formato estruturado e legível por máquina (JSON).
- Direito de revogar o consentimento: Retirar o consentimento de analytics a qualquer momento sem afetar a licitude do tratamento anterior.
- Direito à informação: Saber com quem compartilhamos seus dados.
- Direito de oposição: Opor-se ao tratamento baseado em legítimo interesse.
- Direito de revisão: Solicitar revisão humana de decisões automatizadas (não tomamos decisões automatizadas que afetem você).
Você pode exercer a maioria desses direitos diretamente em Configurações da Conta (exportação de dados e exclusão de conta). Para outras solicitações, entre em contato em [email protected]. Responderemos em até 15 dias úteis.
10. Dados de Menores
O Sweet Love Letter é destinado a usuários com 18 anos ou mais. Não coletamos intencionalmente dados pessoais de menores de 18 anos. Se tomarmos conhecimento de que um menor forneceu dados pessoais, os excluiremos prontamente. Se acreditar que seu filho forneceu dados, entre em contato em [email protected].
11. Resposta a Incidentes
Em caso de incidente de segurança envolvendo dados pessoais, nos comprometemos a:
- Notificar a ANPD (Autoridade Nacional de Proteção de Dados) em até 2 dias úteis a partir do conhecimento do incidente relevante, conforme exigido pelo Art. 48 da LGPD.
- Notificar os usuários afetados prontamente, descrevendo a natureza do incidente e as ações de proteção recomendadas.
Para relatar uma suposta vulnerabilidade de segurança, entre em contato em [email protected].
12. Transferências Internacionais de Dados
Seus dados podem ser armazenados e processados nos Estados Unidos (servidores AWS S3) e em outros países onde nossos prestadores de serviços operam. Onde os dados são transferidos para fora do Brasil, garantimos salvaguardas adequadas em conformidade com o Capítulo V da LGPD.
13. Alterações nesta Política
Podemos atualizar esta Política de Privacidade periodicamente. Quando realizarmos alterações relevantes, notificaremos você por e-mail ou por meio de um aviso no aplicativo. A data no topo desta página reflete quando foi revisada pela última vez. O uso continuado da plataforma após a data de vigência constitui aceitação da política atualizada.
14. Contato e DPO
Para questões relacionadas à privacidade, solicitações de titulares de dados ou para falar com nosso Encarregado de Proteção de Dados:
- E-mail: [email protected]
- Site: sweetloveletter.com