Política de privacidade

No MyWishlist levamos a sua privacidade a sério. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais dos usuários do site www.mywishlist.co, do dashboard app.mywishlist.co e do aplicativo MyWishlist (em conjunto, o "Serviço"), em conformidade com a Lei nº 13.709/2018 (LGPD) e o Marco Civil da Internet (Lei nº 12.965/2014).

1. Controlador dos Dados

O controlador dos dados pessoais tratados pelo Serviço é: GRACE LABS TECNOLOGIA LTDA CNPJ: 30.194.048/0001-49 Sede: Esteio, Rio Grande do Sul, Brasil Canal oficial: contato@mywishlist.co O endereço completo para correspondência poderá ser solicitado pelo canal de contato acima.

2. Informações que Coletamos

Coletamos as seguintes categorias de dados quando você utiliza o Serviço: • Dados de cadastro: nome, e-mail, senha (armazenada com hash), idioma e país de cadastro • Dados das listas: nomes, descrições, imagens, datas, links de produtos publicados por você • Dados de reservas e contribuições: quando um visitante reserva um presente ou contribui em dinheiro, coletamos nome, e-mail, telefone, mensagens e dados de pagamento (estes últimos exclusivamente para usuários BR — ver Seção 7) • Dados de uso: páginas visitadas, recursos utilizados, eventos de interação • Dados técnicos: endereço IP, tipo de navegador, sistema operacional, identificadores do dispositivo • Dados do aplicativo móvel: token de push notification, modelo do aparelho e versão do app • Cookies e tecnologias similares: ver Seção 8

3. Bases Legais (Art. 7º e 11 da LGPD)

Tratamos dados pessoais com base nas seguintes hipóteses legais: • Execução de contrato (art. 7º, V): manutenção da sua conta, criação de listas, processamento de reservas e contribuições, comunicações transacionais • Cumprimento de obrigação legal ou regulatória (art. 7º, II): retenção fiscal, contábil e de registros de acesso (Marco Civil da Internet) • Exercício regular de direitos (art. 7º, VI): defesa em processos administrativos ou judiciais, prevenção a fraudes • Legítimo interesse (art. 7º, IX): segurança da informação, prevenção a abuso, métricas agregadas para evolução do Serviço • Consentimento (art. 7º, I): envio de comunicações de marketing e cookies não essenciais; pode ser revogado a qualquer tempo • Proteção ao crédito (art. 7º, X): análise antifraude pela subadquirente Pagar.me, no contexto de presentes em dinheiro (apenas usuários BR)

4. Como Usamos Suas Informações

Utilizamos as informações coletadas para: • Operar, manter e melhorar o Serviço • Autenticar sua conta e proteger contra acessos não autorizados • Exibir suas listas e processar reservas e contribuições • Conectar você a visitantes que reservaram ou contribuíram com presentes • Enviar notificações transacionais e, mediante consentimento, comunicações de marketing • Detectar fraudes, abuso e atividades ilegais • Cumprir obrigações legais e regulatórias • Realizar análises agregadas e anonimizadas para evolução do produto

5. Compartilhamento de Informações

Não vendemos seus dados pessoais. Compartilhamos dados apenas nas seguintes hipóteses: • Com visitantes das suas listas: dados de contato que você optou por exibir • Com você, titular da lista: dados de quem reservou presentes ou contribuiu em dinheiro • Com operadores (sub-processadores): empresas contratadas para apoiar a operação do Serviço, descritas na Seção 6 • Com autoridades: quando exigido por lei, ordem judicial ou requisição administrativa válida • Em operações societárias: fusão, aquisição, reorganização ou venda de ativos, mediante observância da LGPD

6. Sub-processadores e Transferência Internacional

Para operar o Serviço, contamos com os seguintes operadores, todos sujeitos a contratos de proteção de dados: • Supabase (hospedagem de banco de dados e autenticação) — região configurada conforme o produto • Pagar.me Pagamentos S.A. (processamento de pagamentos PIX e cartão de crédito) — Brasil • Google LLC / Firebase Analytics (analytics de uso) — Estados Unidos • Vercel Inc. (hospedagem do site e da CDN) — Estados Unidos e infraestrutura global • Coolify (orquestração de containers do dashboard e API) • Apple Push Notification Service e Firebase Cloud Messaging (envio de notificações push) Alguns desses operadores podem realizar transferência internacional de dados (em especial para os Estados Unidos). Nessas hipóteses, exigimos garantias adequadas de proteção, nos termos do art. 33 da LGPD, incluindo cláusulas contratuais específicas e padrões reconhecidos internacionalmente.

7. Pagamentos e Dados Financeiros (apenas Brasil)

Para usuários cadastrados no Brasil que utilizam a funcionalidade de Presentes em Dinheiro: • O processamento de pagamentos é realizado pela Pagar.me Pagamentos S.A., subadquirente regulada pelo Banco Central do Brasil • Para receber valores via PIX, o titular da lista precisa informar CPF e chave bancária; esses dados são compartilhados com a Pagar.me exclusivamente para liquidação e cumprimento de obrigações regulatórias (KYC, prevenção à lavagem de dinheiro — Lei nº 9.613/1998) • Dados de cartão de crédito do convidado não são armazenados pelo MyWishlist; são capturados e tokenizados diretamente pela Pagar.me, em ambiente certificado PCI DSS • Comprovantes e movimentações financeiras são retidos pelo prazo legal exigido pela legislação tributária (em regra, 5 anos)

8. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias semelhantes para operar o Serviço, divididos em três categorias: • Essenciais: necessários para autenticação e funcionamento básico (não podem ser desativados sem prejuízo do Serviço) • Funcionais: lembram preferências como idioma e região • Analíticos: ajudam a medir uso e desempenho (Firebase Analytics) Você pode gerenciar ou excluir cookies pelas configurações do seu navegador. A desativação de cookies essenciais pode impedir o login e o uso de funcionalidades.

9. Analytics (Firebase)

Utilizamos o Firebase Analytics, da Google LLC, para entender, em base agregada, como os usuários interagem com o Serviço. O tratamento ocorre com base no legítimo interesse (art. 7º, IX, da LGPD) e busca melhoria contínua do produto. As informações coletadas pelo Firebase obedecem à Política de Privacidade do Google. Você pode desativar analytics nas configurações do dispositivo ou utilizando bloqueadores compatíveis.

10. Segurança dos Dados

Aplicamos medidas técnicas e administrativas para proteger os dados pessoais, incluindo: • Criptografia em trânsito (HTTPS/TLS) e em repouso, conforme provedores • Senhas armazenadas com algoritmos de hash modernos • Controles de acesso baseados em função (RBAC) e princípio do menor privilégio • Backups regulares e monitoramento contínuo • Registro de eventos de acesso e tentativas suspeitas Apesar dos nossos melhores esforços, nenhum sistema é absolutamente seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados nos prazos da LGPD.

11. Seus Direitos (Art. 18 da LGPD)

Como titular de dados pessoais, você pode, a qualquer tempo: • Confirmar a existência de tratamento • Acessar seus dados • Corrigir dados incompletos, inexatos ou desatualizados • Solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD • Portar os dados a outro fornecedor de serviço • Eliminar dados tratados com base no consentimento, ressalvadas as hipóteses legais de retenção • Obter informação sobre as entidades com as quais compartilhamos seus dados • Ser informado sobre a possibilidade de não fornecer consentimento e suas consequências • Revogar o consentimento Para exercer qualquer um desses direitos, envie sua solicitação para contato@mywishlist.co. Responderemos em até 15 (quinze) dias, conforme orientação da ANPD.

12. Retenção de Dados

Mantemos os dados pessoais pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os seguintes prazos: • Dados de conta: enquanto sua conta estiver ativa; após o pedido de exclusão, removidos em até 30 dias, salvo quando houver obrigação legal de retenção • Registros de acesso à aplicação: pelo prazo mínimo de 6 meses (art. 15 do Marco Civil da Internet) • Dados fiscais e financeiros (BR): pelo prazo de até 5 anos (legislação tributária e prevenção à lavagem de dinheiro) • Dados de marketing baseados em consentimento: até a revogação do consentimento Após o término dos prazos, os dados são eliminados ou anonimizados.

13. Privacidade de Crianças e Adolescentes

O Serviço não é direcionado a crianças (até 12 anos incompletos, nos termos do art. 2º do ECA e do art. 14 da LGPD). Não coletamos intencionalmente dados de crianças. Caso identifiquemos coleta indevida, os dados serão excluídos. O uso por adolescentes (entre 12 e 18 anos) deve observar o melhor interesse e contar com o consentimento específico de pelo menos um dos pais ou responsável legal, conforme art. 14 da LGPD. Se você é pai, mãe ou responsável e identifica uso indevido por uma criança, entre em contato em contato@mywishlist.co para que possamos excluir os dados.

14. Links Externos

O Serviço contém links para sites de terceiros (lojas, parceiros, redes sociais). Não somos responsáveis pelas práticas de privacidade desses sites. Recomendamos ler a política de privacidade de cada site visitado antes de fornecer dados pessoais.

15. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças legais, regulatórias ou no Serviço. Alterações materiais serão comunicadas com antecedência mínima de 15 (quinze) dias por e-mail cadastrado ou aviso destacado no Serviço. Recomendamos a leitura periódica desta Política.

16. Contato e Encarregado pelo Tratamento de Dados (DPO)

Para dúvidas sobre esta Política, exercício de direitos ou contato com o Encarregado pelo Tratamento de Dados Pessoais (DPO), utilize: E-mail principal: contato@mywishlist.co Encarregado (DPO): Encarregado de Proteção de Dados — Grace Labs Tecnologia LTDA — contato@mywishlist.co Você também pode formalizar reclamações junto à Autoridade Nacional de Proteção de Dados (ANPD) por meio de www.gov.br/anpd.