Em vigor desde: 2026-03-06
Veleiras ("nós") é uma plataforma de memoriais digitais. Levamos muito a sério a privacidade das pessoas que utilizam o nosso serviço — e das pessoas de quem se recordam.
O responsável pelo tratamento dos seus dados pessoais é:
Eliana dos Santos Pereira (empresa em nome individual)
6020 Innsbruck, AT
Email: privacy@veleiras.com
As a micro-enterprise with fewer than 10 employees, we are not required to appoint a Data Protection Officer under Art. 37 GDPR. For privacy-related enquiries, contact us at: privacy@veleiras.com.
Quando você cria um memorial, coletamos:
Não coletamos nomes, endereços de e-mail ou quaisquer informações identificativas dos visitantes que acendem velas ou visualizam um memorial através de um link compartilhado.
Nos termos do Art. 6(1) do RGPD, baseamo-nos nas seguintes bases jurídicas para cada atividade de tratamento:
| Atividade de tratamento | Base jurídica |
|---|---|
| Dados da conta (e-mail, senha) | Execução do contrato — Art. 6(1)(b) |
| Conteúdo do memorial (nomes, datas, fotos, histórias) | Execução do contrato — Art. 6(1)(b) |
| Dados de pagamento (registros de transações) | Execução do contrato — Art. 6(1)(b) + Obrigação legal (retenção fiscal) — Art. 6(1)(c) |
| Registros de consentimento de cookies | Interesse legítimo (documentação de conformidade) — Art. 6(1)(f) |
| Análises do lado do servidor (agregadas) | Interesse legítimo (melhoria do serviço) — Art. 6(1)(f) |
| Notificações por e-mail | Execução do contrato — Art. 6(1)(b) |
| Cookies de sessão (PHPSESSID, CSRF) | Estritamente necessários — sem necessidade de consentimento (Art. 5(3) Diretiva ePrivacy) |
Criptografia em repouso: Todos os dados pessoais sensíveis — incluindo nomes, endereços de e-mail, epitáfios, histórias de vida, mensagens do livro de visitas e entradas de apreciação (nomes e histórias pessoais sobre pessoas que você valorizava) — são criptografados em repouso utilizando criptografia autenticada AES-256-GCM (através da biblioteca defuse/php-encryption) antes de serem armazenados na nossa base de dados. Isto significa que, mesmo em caso de violação da base de dados, os dados são ilegíveis sem as chaves de criptografia.
Hashing de senhas: As senhas são submetidas a hash com Argon2id com parâmetros de elevado consumo de memória, tornando os ataques de força bruta computacionalmente impraticáveis. Nunca armazenamos senhas em texto simples.
Criptografia em trânsito: Toda a comunicação entre o seu navegador e os nossos servidores é protegida por criptografia HTTPS/TLS. Exigimos HTTPS em todas as páginas e endpoints da API.
Os memoriais são acessados através de links de compartilhamento criptograficamente seguros, não através de um diretório público. Existem três níveis de acesso:
Sem um link válido, os visitantes veem apenas uma página mínima com o primeiro nome da pessoa e uma vela. Nenhuma história, foto ou mensagem é visível sem convite.
Utilizamos apenas cookies estritamente necessários. Não utilizamos quaisquer cookies de rastreamento, analíticos ou publicitários de terceiros.
| Cookie | Finalidade | Duração |
|---|---|---|
| PHPSESSID | Gestão de sessão (estado de login). Estritamente necessário. | Expira ao fechar o navegador |
| Token CSRF | Proteção contra falsificação de requisições entre sites. Estritamente necessário para a segurança. | Sessão |
| __cf_bm e semelhantes | Definidos pela Cloudflare para gestão de bots e proteção DDoS. Estritamente necessários para a segurança. | Até 30 minutos |
Uma vez que todos os cookies que utilizamos são estritamente necessários para o funcionamento e a segurança do serviço, estão isentos dos requisitos de consentimento nos termos do Art. 5(3) da Diretiva ePrivacy.
Apresentamos um banner de consentimento de cookies a todos os visitantes. Embora os nossos cookies sejam estritamente necessários e não exijam consentimento, o banner garante transparência e permite uma escolha informada. Sua preferência é armazenada no localStorage do seu navegador e registrada do lado do servidor para a nossa documentação de conformidade.
O registro de consentimento do lado do servidor armazena: ID do usuário (se estiver logado) ou ID de visitante anônimo, ação de consentimento (aceitar/recusar), versão do consentimento, um hash unidirecional do seu endereço IP (não o endereço IP em si) e carimbos temporais.
Os registros de consentimento de cookies são retidos durante 3 anos em conformidade com o Art. 7(1) do RGPD, que exige que o responsável pelo tratamento possa demonstrar que o consentimento foi dado.
Coletamos estatísticas de visitas agregadas para compreender como o serviço é utilizado e melhorá-lo. Isto é feito inteiramente do lado do servidor, sem cookies, sem rastreamento JavaScript e sem identificação individual de visitantes.
Armazenamos apenas:
CF-IPCountry)Nenhum endereço IP, impressão digital do navegador ou qualquer outra informação pessoalmente identificável é armazenada como parte das análises. Os visitantes individuais não podem ser identificados ou rastreados. Os dados analíticos são retidos durante 2 anos.
Todos os pagamentos são processados pela Stripe. Nunca vemos, armazenamos ou processamos os dados do seu cartão de crédito. A Stripe gerencia todos os dados de pagamento em conformidade com PCI DSS Nível 1.
Retemos um registro da sua transação (ID de pagamento Stripe, montante, data, estado) para execução do contrato e para cumprir a nossa obrigação legal de reter registros financeiros ao abrigo da lei fiscal austríaca (BAO §132). Os registros de pagamento são retidos durante 7 anos após a transação.
| Categoria de dados | Período de retenção |
|---|---|
| Dados da conta (e-mail, hash da senha) | Até à eliminação da conta + 30 dias |
| Dados do memorial (Plano Para Sempre) | Enquanto a Veleiras estiver em funcionamento (ver condições do Plano Para Sempre) |
| Dados do memorial (nível gratuito) | Indefinido; pode ser arquivado após 5 anos de inatividade (aviso prévio de 90 dias por e-mail ao proprietário) |
| Registros de pagamento | 7 anos (lei fiscal austríaca, BAO §132) |
| Registros de consentimento de cookies | 3 anos (Art. 7(1) RGPD) |
| Análises do lado do servidor | 2 anos |
| Dados de sessão (PHPSESSID) | Até ao fecho do navegador |
| Pedidos de apagamento (RGPD) | Dados eliminados em 30 dias; o hash do e-mail é retido para evitar problemas de re-registro |
Se você eliminar seu memorial ou solicitar o apagamento, todos os dados associados (fotos, mensagens, histórias, velas) são permanentemente removidos dos nossos servidores num prazo de 30 dias.
Utilizamos os seguintes prestadores de serviços terceiros (subcontratantes) para operar a Veleiras. Com cada um existe um Acordo de Tratamento de Dados (DPA):
| Subcontratante | Finalidade | Localização e garantias |
|---|---|---|
| Stripe, Inc. | Processamento de pagamentos | Estados Unidos — Cláusulas Contratuais-Tipo da UE (CCT) + DPA |
| Cloudflare, Inc. | CDN, proteção DDoS, segurança, armazenamento de mídia (R2), base de dados edge (D1) | Empresa americana — localizações de dados na UE, Quadro de Privacidade de Dados UE-EUA + DPA |
| Hostinger International Ltd. | Hospedagem web e base de dados | Servidores na União Europeia — DPA |
Seus dados são armazenados em servidores na União Europeia. Nossa base de dados principal é hospedada pela Hostinger (UE), e a Cloudflare D1 (base de dados) e R2 (armazenamento de mídia) estão configurados para localizações de dados na UE. A CDN da Cloudflare pode encaminhar requisições através de servidores edge globais por razões de desempenho e segurança, mas os dados armazenados permanecem na UE. A Stripe (processamento de pagamentos) tem sede nos Estados Unidos e é certificada ao abrigo do Quadro de Privacidade de Dados UE-EUA. Todas as transferências fora da UE são protegidas por Acordos de Tratamento de Dados conforme exigido pelo Capítulo V do RGPD.
Se você se encontra no Espaço Econômico Europeu, você tem o direito de:
Para exercer qualquer um destes direitos, entre em contato conosco em privacy@veleiras.com. Responderemos no prazo de 30 dias conforme exigido pelo Art. 12(3) do RGPD.
Não realizamos qualquer definição de perfis ou tomada de decisões automatizada conforme definido pelo Art. 22 do RGPD. Nenhuma decisão que afete você é tomada por meios automatizados. Não construímos perfis comportamentais de usuários ou visitantes.
A Veleiras não se destina a menores de 16 anos. Não coletamos intencionalmente dados pessoais de menores. Os memoriais podem ser criados para menores pelos seus pais ou tutores legais.
Podemos atualizar esta política periodicamente. As alterações significativas serão comunicadas por e-mail aos proprietários de memoriais. A data de vigência no topo desta página refletirá sempre a versão mais recente.
Para quaisquer questões ou pedidos relacionados com a privacidade:
privacy@veleiras.com
Procuramos resolver todas as preocupações de privacidade diretamente. Se você não estiver satisfeito com a nossa resposta, você tem o direito de apresentar uma reclamação junto da autoridade de controle:
Autoridade Austríaca de Proteção de Dados
(Österreichische Datenschutzbehörde)
Barichgasse 40-42, 1030 Vienna, Austria
Email: dsb@dsb.gv.at
Website: www.dsb.gv.at