Dreamuna

Política de Privacidade

Última atualização: 17 de abril de 2026

O Dreamuna ("nós", "nos", "nosso") opera o dreamuna.com, um serviço de interpretação de sonhos por IA por assinatura. Esta Política de Privacidade explica quais informações coletamos sobre você, por que coletamos, com quem compartilhamos, por quanto tempo mantemos e quais direitos você tem sobre elas. Está escrita em linguagem clara. Quando a lei exige expressões específicas, nós as usamos; no restante, tentamos ser legíveis. Leia junto com nossos Termos de Serviço.

§ 1. Quem somos

O Dreamuna é um produto digital independente operado de Chipre, União Europeia. Atuamos como controlador dos dados pessoais descritos nesta política. Não mantemos um escritório público registrado; toda correspondência vai para hello@dreamuna.com, onde uma pessoa de verdade responde em um dia útil.

Esta política cobre a aplicação web Dreamuna, o site de marketing, os e-mails transacionais e as páginas públicas de compartilhamento em /d/[slug]. Os serviços de terceiros que usamos têm suas próprias políticas de privacidade; linkamos para elas no § 4.

§ 2. Informações que coletamos

Coletamos o mínimo necessário para operar o serviço, agrupado em quatro categorias:

§ 2.1 Informações da conta

E-mail, hash da senha, nome de exibição, URL opcional do avatar, idioma preferido e preferência de e-mails de marketing. Se você faz login com um provedor OAuth (Google, Apple), também recebemos o ID do provedor e os campos básicos de perfil que esse provedor compartilha.

§ 2.2 Informações de pagamento

Status da assinatura, plano, datas de trial/renovação, país de cobrança, metadados parciais do cartão (bandeira + quatro últimos dígitos) e IDs de cliente/pedido do Lemon Squeezy. Números completos de cartão e CVV nunca passam pelos nossos servidores — vão diretamente ao Lemon Squeezy, nosso merchant of record. Veja a política de privacidade do Lemon Squeezy para saber como eles tratam dados de pagamento.

§ 2.3 Conteúdo que você cria

Descrições de sonhos que você envia, respostas do quiz (humor, fase da vida, frequência, pessoas, emoções), interpretações geradas, imagens de sonho geradas por IA, mensagens de chat com a Dreamuna, narrações em áudio sintetizadas, além de quaisquer tags ou notas que você adicione. Esse conteúdo é criptografado em trânsito e armazenado em um banco de dados na região UE.

§ 2.4 Informações técnicas e do dispositivo

Endereço IP, user-agent, tipo de dispositivo, geolocalização aproximada (país/região derivada do IP), carimbos de tempo de logins e ações relevantes, e um identificador de sessão anônimo (um UUID que geramos para que seu diário te acompanhe entre dispositivos antes de você fazer login). Também registramos telemetria padrão do servidor (caminhos de requisições, códigos de status, latência) por um período curto, para fins operacionais e de segurança.

§ 3. Como usamos suas informações

Usamos os dados coletados para os seguintes fins, cada um amarrado a uma base legal do Artigo 6 do GDPR onde aplicável:

  • Para prestar o serviço — gerar sua interpretação, exibir seu diário, rodar o chat, enviar os e-mails da série de revelação e preservar seus sonhos entre dispositivos. Base legal: execução de contrato (art. 6(1)(b)).
  • Para processar pagamentos — cobrar seu cartão via Lemon Squeezy, gerenciar trials e renovações e emitir recibos. Base legal: execução de contrato (art. 6(1)(b)) e, para retenção de registros fiscais, obrigação legal (art. 6(1)(c)).
  • Para manter o serviço seguro — prevenir fraude, abuso e acessos não autorizados; limitar a taxa de chamadas à API; detectar anomalias. Base legal: legítimo interesse em um produto seguro (art. 6(1)(f)), ponderado com seus direitos.
  • Para melhorar o produto — analisar tendências de uso agregadas e não identificáveis (por exemplo, quantas pessoas concluem o quiz no celular). Base legal: legítimo interesse (art. 6(1)(f)).
  • Para nos comunicarmos com você — e-mails transacionais (recibos, redefinição de senha, alertas de segurança) por necessidade contratual; e-mails de marketing somente com seu consentimento (art. 6(1)(a)), que você pode retirar na página da sua Conta ou pelo link de descadastro em cada e-mail de marketing.
  • Para cumprir a lei e defender nossos direitos — responder a solicitações legais, prevenir fraude, defender reivindicações. Base legal: obrigação legal (art. 6(1)(c)) e legítimo interesse (art. 6(1)(f)).

Não vendemos seus dados pessoais. Não treinamos modelos de IA de terceiros com o conteúdo dos seus sonhos. Não usamos seus sonhos para publicidade.

§ 4. Com quem compartilhamos informações

Compartilhamos apenas o que cada subprocessador precisa para fazer seu trabalho, e os vinculamos com contrato de tratamento de dados. Nossos subprocessadores atuais são:

  • Supabase (região UE) — hospedagem de banco de dados e autenticação. Armazena sua conta, sonhos, mensagens de chat e metadados de assinatura. Os dados ficam em infraestrutura baseada na UE. Política de privacidade da Supabase.
  • OpenAI (Estados Unidos) — inferência de IA para interpretações, respostas de chat e imagens de sonho. As chamadas de API rodam sob um acordo de retenção zero: a OpenAI não armazena prompts nem respostas e não treina seus modelos com dados da API. Política de privacidade da OpenAI.
  • Lemon Squeezy (Estados Unidos) — merchant of record para pagamentos, impostos sobre vendas e portal de faturamento. Trata os dados do seu cartão ponta a ponta; nós vemos apenas tokens e metadados. Política de privacidade do Lemon Squeezy.
  • Resend (Estados Unidos) — entrega de e-mails transacionais e da série de revelação. Recebe seu e-mail e o conteúdo das mensagens. Política de privacidade do Resend.
  • Vercel (Estados Unidos, edge na UE) — hospedagem da aplicação web e entrega de borda. Processa metadados de requisição (IP, user-agent, caminho) para roteamento, cache e proteção contra DDoS. Política de privacidade da Vercel.
  • Cloudflare (global) — se usada para DNS e proteção contra DDoS diante do nosso domínio. Processa metadados de requisição em trânsito. Política de privacidade da Cloudflare.

Também podemos divulgar informações quando legalmente exigido (ordem judicial válida, solicitação regulatória ou para proteger vida ou propriedade). Quando o fizermos, avisamos você, a menos que a solicitação proíba o aviso.

§ 5. Seus direitos

Dependendo de onde você mora, você tem os direitos abaixo. Pode exercer qualquer um deles gratuitamente, escrevendo para hello@dreamuna.com ou usando as ferramentas na página da sua Conta. Respondemos em até 30 dias (a maioria das respostas chega em um dia útil).

§ 5.1 Residentes na UE / EEE / Reino Unido — GDPR arts. 12–23

  • Acesso (art. 15) — solicite uma cópia dos dados pessoais que temos sobre você. Toque em "Exportar meus dados" na sua página de Conta para um download JSON imediato.
  • Retificação (art. 16) — corrija dados incorretos ou incompletos.
  • Eliminação / direito ao esquecimento (art. 17) — apague sua conta e dados associados. Use o fluxo de confirmação por digitação em Conta → Zona perigosa, ou nos escreva.
  • Restrição (art. 18) — peça-nos para pausar o tratamento enquanto uma disputa é resolvida.
  • Portabilidade (art. 20) — receba seus dados em formato JSON estruturado e legível por máquina; a ferramenta de exportação faz isso.
  • Oposição (art. 21) — oponha-se ao tratamento baseado em legítimos interesses, incluindo qualquer profiling. Escreva-nos e paramos, a menos que haja motivos legítimos preponderantes.
  • Retirar o consentimento (art. 7(3)) — retire a qualquer momento o consentimento para e-mails de marketing ou cookies não essenciais; isso não afeta a licitude do tratamento anterior.
  • Reclamar a uma autoridade de controle (art. 77) — apresente uma reclamação à sua autoridade local de proteção de dados. Para Chipre é o Escritório do Comissário de Proteção de Dados Pessoais. A lista completa está no site do EDPB.

§ 5.2 Residentes na Califórnia — CCPA / CPRA

Você tem direito de saber, apagar, corrigir e limitar o uso de suas informações pessoais, além de optar por não participar da "venda" ou "compartilhamento" de informações pessoais, conforme definidos pela CPRA. Não vendemos suas informações pessoais e não as compartilhamos para publicidade comportamental cross-context. Verificamos solicitações cruzando o e-mail do pedido com o da conta. Você também pode indicar um agente autorizado.

§ 5.3 Outras jurisdições

Se você mora no Brasil (LGPD), Canadá (PIPEDA), Austrália (Privacy Act), Reino Unido (UK GDPR), Suíça (FADP) ou outra jurisdição com lei de proteção de dados comparável, você tem direitos substancialmente parecidos. Escreva-nos e os respeitamos.

§ 6. Retenção de dados

Guardamos dados apenas pelo tempo necessário para o fim da coleta, e então apagamos ou anonimizamos.

  • Conta + conteúdo — mantidos enquanto sua conta estiver ativa. Na exclusão, os dados pessoais são apagados da camada de aplicação imediatamente e dos backups criptografados em até 30 dias.
  • Contas inativas — se você não fizer login por 24 meses, enviamos um e-mail de aviso e, sem resposta, apagamos a conta 30 dias depois.
  • Registros de transação — retidos pelo período exigido pela lei fiscal e contábil (normalmente 6 a 10 anos, dependendo da jurisdição, por ex. 6 anos em Chipre).
  • Logs de segurança — 90 dias, depois agregados ou apagados.
  • Analytics agregados — números anônimos (usuários ativos diários, taxas de funil) podem ser mantidos indefinidamente porque não identificam ninguém.

§ 7. Transferências internacionais de dados

Seus dados principais vivem na União Europeia (região UE da Supabase). Alguns subprocessadores ficam nos EUA (OpenAI, Lemon Squeezy, Resend, Vercel). Transferências para eles se apoiam no EU–US Data Privacy Framework quando o processador é certificado, e nas Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia nos demais casos, conforme permite o Capítulo V do GDPR. Você pode solicitar uma cópia das salvaguardas de transferência em hello@dreamuna.com.

§ 8. Cookies e armazenamento local

Usamos um pequeno número de cookies. Você vê um banner de consentimento na primeira visita; só definimos cookies não essenciais depois do seu aceite.

  • Cookie de sessão (essencial) — mantém você logado. Expira com a sessão ou em 30 dias.
  • Cookie de sessão anônima (essencial) — um UUID opaco para que seu diário te acompanhe antes do login. É limpo quando você faz login e mesclamos os dados com sua conta.
  • Cookie de idioma (essencial) — lembra seu idioma preferido para que as páginas carreguem na locale certa ao voltar.
  • Cookies de consentimento e de verificação de idade (essenciais) — registram que você aceitou o banner e a autodeclaração de 16+, para não perguntarmos de novo.
  • Cookies não essenciais — se um dia adicionarmos cookies de analytics ou marketing, eles só disparam após consentimento afirmativo. Você pode mudar a escolha limpando os cookies e recarregando o site.

§ 9. Crianças e adolescentes (apenas 16+)

O Dreamuna é destinado a usuários de 16 anos ou mais. Antes do quiz de sonhos, exigimos uma autodeclaração de 16+. Não coletamos dados de crianças abaixo de 16 conscientemente. Se você é pai, mãe ou responsável e acredita que uma criança nos enviou dados, escreva para hello@dreamuna.com e nós apagamos prontamente.

§ 10. Segurança

Levamos segurança a sério. Medidas técnicas e organizacionais incluem: criptografia TLS 1.2+ em trânsito, criptografia em repouso do banco primário e dos backups, senhas com hash Argon2, acesso mínimo necessário para o time, tokens de acesso de curta duração, cabeçalhos HTTP de segurança (CSP, HSTS, X-Content-Type-Options), varredura automatizada de dependências e procedimentos de resposta a incidentes. Nenhum sistema é perfeitamente seguro; se detectarmos um incidente que possa prejudicar você, notificamos a autoridade de controle relevante em até 72 horas e os usuários afetados sem atraso indevido, conforme exigem os arts. 33–34 do GDPR.

§ 11. Decisões automatizadas e IA

Sua interpretação de sonho é gerada por um sistema de IA (API da OpenAI). Não é uma decisão automatizada juridicamente significativa no sentido do art. 22 do GDPR — não afeta seus direitos, status legal ou acesso a bens ou serviços. Você sempre pode optar por não usá-la. Conforme o art. 50 do Regulamento Europeu de IA, divulgamos claramente que as interpretações, respostas de chat, e-mails da série de revelação e imagens de sonho são geradas por IA.

§ 12. Mudanças nesta política

Podemos atualizar esta política à medida que o serviço evolui ou a lei muda. Mudanças materiais — por exemplo, uma nova categoria de subprocessador ou um novo propósito de tratamento — são anunciadas por e-mail e por um banner no site com pelo menos 14 dias de antecedência. Ajustes não materiais (esclarecimentos, erros de digitação) são feitos em silêncio; a data de "Última atualização" no topo sempre reflete a última alteração.

§ 13. Fale com a gente

Dúvidas, pedidos ou preocupações? Escreva para hello@dreamuna.com — uma pessoa real responde em um dia útil. Para pedidos formais de GDPR, por favor inclua o e-mail da sua conta para podermos verificar sua identidade.