Política de Privacidade

Última atualização: 16 de maio de 2026

Esta Política de Privacidade explica como o Sommar(“nós”) coleta, usa, retém, divulga e protege dados pessoais. Ela é redigida para atender às obrigações de transparência da Lei Geral de Proteção de Dados do Brasil (LGPD, Lei nº 13.709/2018) e do Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR).

1. Controlador e contato

O controlador dos dados é o Sommar, com sede em Florianópolis, SC, Brasil. Dúvidas gerais sobre privacidade podem ser enviadas para devsommar@gmail.com.

2. Encarregado pelo Tratamento de Dados (DPO)

Nosso Encarregado pelo Tratamento de Dados (DPO, conforme LGPD Art. 41) é Matheus Betinelli, contato em matheusbetinelli@gmail.com. O DPO é o ponto de contato principal para perguntas sobre como seus dados pessoais são tratados e para o exercício de seus direitos.

3. Dados pessoais que tratamos

  • Dados de conta: endereço de email, nome de exibição, metadados de autenticação e identificadores OAuth (Google, Facebook) quando você entra via provedor terceiro.
  • Dados de uso: páginas visualizadas, ações realizadas no produto, timestamps de requisição, endereço IP e user-agent do navegador.
  • Conteúdo: dados que você envia ao serviço por formulários ou uploads.
  • Dados operacionais: eventos de erro, traces de performance e logs de auditoria necessários para manter o serviço funcionando e seguro.

4. Bases legais para o tratamento

Apoiamo-nos nas seguintes bases legais (LGPD Art. 7 / GDPR Art. 6):

  • Execução de contrato: para entregar o serviço que você contratou.
  • Legítimo interesse: para operar, proteger e aprimorar o serviço, sempre balanceado com seus direitos e expectativas.
  • Consentimento: para recursos opcionais, comunicações de marketing e cookies/analytics não essenciais.
  • Obrigação legal: para cumprir leis aplicáveis, ordens judiciais e requisições regulatórias.

5. Finalidades

  • Fornecer, manter e aprimorar o serviço.
  • Autenticar usuários e proteger contas.
  • Diagnosticar falhas e prevenir abusos.
  • Comunicar com você sobre sua conta, segurança e mudanças no serviço.
  • Cumprir obrigações legais e regulatórias.

6. Retenção

Retemos dados pessoais apenas pelo tempo necessário para as finalidades acima. Dados de conta são excluídos em até 30 dias após uma solicitação de exclusão verificada (ver Seção 10). Logs operacionais são mantidos por 90 dias. Registros exigidos para cumprir obrigações legais podem ser mantidos por mais tempo.

7. Transferências internacionais

Alguns de nossos provedores de infraestrutura tratam dados fora do Brasil e do Espaço Econômico Europeu. Por padrão, este serviço utiliza:

  • Supabase (banco de dados e autenticação) — região: sa-east-1 (São Paulo).
  • Sentry (monitoramento de erros) — região: EU (Frankfurt).
  • PostHog (analytics de produto) — região: EU (Frankfurt).
  • Vercel (hospedagem) — região: gru1 (São Paulo).

As transferências apoiam-se nas salvaguardas permitidas pelo Art. 33 da LGPD e pelo Capítulo V do GDPR (Cláusulas Contratuais Padrão, decisões de adequação ou seu consentimento explícito quando exigido).

8. Compartilhamento

Não vendemos dados pessoais. Compartilhamos dados apenas com os processadores listados acima, com autoridades quando legalmente exigido, e com sucessores no caso de uma transação societária (você será notificado antes de uma transferência desse tipo).

9. Seus direitos

Sob o Art. 18 da LGPD e os Arts. 15–22 do GDPR, você tem o direito de:

  • Confirmar se tratamos seus dados e acessá-los.
  • Corrigir dados incompletos, inexatos ou desatualizados.
  • Solicitar anonimização, bloqueio ou exclusão de dados desnecessários ou excessivos.
  • Portar seus dados para outro provedor em formato legível por máquina.
  • Ser informado sobre as entidades com as quais compartilhamos seus dados.
  • Ser informado sobre as consequências de não fornecer consentimento.
  • Revogar o consentimento, quando essa for a base do tratamento.
  • Opor-se a tratamento realizado com base em legítimo interesse.

10. Como exercer seus direitos

Para exercer qualquer dos direitos acima, escreva para matheusbetinelli@gmail.com. Para excluir sua conta, entre no serviço e acesse a página da sua conta, ou siga as instruções em /data-deletion. Responderemos dentro dos prazos exigidos pela legislação aplicável.

11. Cookies

Usamos cookies estritamente necessários para manter você autenticado e para preservar a segurança da sua sessão. Quando usamos cookies não essenciais (por exemplo, analytics de produto), solicitamos consentimento por meio de aviso separado antes que qualquer cookie desse tipo seja gravado.

12. Crianças

O serviço não é direcionado a crianças menores de 18. Se você acredita que uma criança forneceu dados pessoais, contate o DPO e os excluiremos.

13. Mudanças nesta Política

Podemos atualizar esta Política periodicamente. Publicaremos a versão atualizada neste mesmo endereço e atualizaremos a data de “Última atualização” acima. Mudanças relevantes serão comunicadas pelo serviço ou por email quando apropriado.