Política de Privacidade

Última atualização: 29 de abril de 2026

Construímos o xwish.ai com a privacidade em mente: os destinatários nunca precisam de uma conta, a criação anónima de cartões é suportada e recolhemos apenas o necessário para operar o serviço. Esta política explica o que recolhemos, porquê e quais são os seus direitos.

1. Responsável pelo Tratamento de Dados

O xwish.ai opera a plataforma de cartões de felicitação disponível em https://xwish.ai. Para efeitos da legislação de proteção de dados aplicável, o xwish.ai é o responsável pelo tratamento das suas informações pessoais.

xwish.ai

Email: support@xwish.ai

Website: https://xwish.ai

Para pedidos de privacidade, questões ou reclamações, utilize os dados de contacto acima. Procuramos responder no prazo de 30 dias.

2. Informações que Recolhemos

2.1 Informações que Fornece Diretamente

Dados	Quando são recolhidos	Obrigatório?
Nome / nome de exibição	Criação de conta (via Google OAuth)	Sim, para contas
Endereço de email	Criação de conta; entrega de cartões por email	Sim, para contas
URL da foto de perfil	Criação de conta (via Google OAuth)	Não (pode estar vazio)
Nome do remetente	Criação de cartão (anónimo ou com sessão iniciada)	Sim, para todos os cartões
Nome do destinatário	Criação de cartão	Sim, para todos os cartões
Conteúdo da mensagem	Criação de cartão (gerado por IA a partir das suas entradas)	Sim
Email do destinatário	Funcionalidade de entrega por email (opcional)	Não
Detalhe pessoal / contexto	Entrada opcional para a IA personalizar o cartão	Não

2.2 Informações Recolhidas Automaticamente

Token anónimo — um UUID aleatório armazenado num cookie do navegador (anon_token) para utilizadores que criam cartões sem conta. Usado exclusivamente para lhe permitir aceder aos cartões que criou sem iniciar sessão. Expira ao fim de 1 ano.
Preferência de idioma — um cookie (xwish_lang_pref) que regista o idioma escolhido. Expira ao fim de 1 ano.
Token de sessão — um cookie HttpOnly, SameSite=Lax armazenado após o início de sessão. Expira ao fim de 7 dias.
Dados de utilização — inclui cartões criados, créditos obtidos e consumidos, registos de início de sessão diários e interações com funcionalidades. Armazenados na nossa base de dados.
Endereço IP e metadados de pedidos — processados pela Cloudflare como parte da operação de infraestrutura. Não são armazenados na nossa base de dados de aplicação.

2.3 Informações de Pagamento

Se comprar créditos, os dados do seu cartão de pagamento são introduzidos diretamente na interface segura da Stripe e nunca são transmitidos nem armazenados nos nossos servidores. Recebemos apenas a confirmação do pagamento, o pacote adquirido e a referência de transação da Stripe.

2.4 Informações sobre os Destinatários dos Cartões

Se fornecer o endereço de email de um destinatário para entregar um cartão, armazenamos esse endereço para enviar o email de entrega via Resend. Os destinatários não são obrigados a criar uma conta e não os contactamos proativamente para qualquer fim que não seja entregar o cartão que lhes enviou.

3. Como Usamos as Suas Informações

Finalidade	Informações utilizadas
Prestação e operação do Serviço	Dados da conta, conteúdo do cartão, token de sessão, token anónimo
Geração de conteúdo de cartão por IA	Ocasião, nomes do remetente/destinatário, tom, detalhe pessoal (enviados ao modelo de IA; não retidos após a geração)
Entrega de cartões por email	Email do destinatário, nome do remetente, link do cartão
Processamento de pagamentos e gestão de créditos	Email, confirmação de pagamento, registos de créditos
Envio de notificações transacionais	Email (alertas de expiração de créditos, confirmações de encomenda)
Prevenção de fraude e segurança	Padrões de utilização, dados de sessão, IP (via Cloudflare)
Análise e melhoria do Serviço	Dados de utilização agregados e anonimizados; Google Analytics (se ativado)
Cumprimento legal	Registos de pagamento, dados da conta (conforme exigido por lei)

Não vendemos as suas informações pessoais a terceiros. Não usamos as suas informações pessoais para publicidade direcionada nem para criar perfis publicitários.

Se o Google Analytics estiver ativado no nosso site, a Google pode recolher dados de utilização conforme descrito na Política de Privacidade da Google. Pode excluir-se através do Google Analytics Opt-out.

4. Base Jurídica do Tratamento (RGPD)

Para utilizadores do Espaço Económico Europeu (EEE) e do Reino Unido, tratamos os seus dados pessoais sob as seguintes bases legais:

Atividade de tratamento	Base legal
Criação e gestão de contas	Contrato (Art. 6(1)(b) RGPD)
Prestação de serviços de criação e entrega de cartões	Contrato (Art. 6(1)(b) RGPD)
Processamento de pagamentos	Contrato (Art. 6(1)(b) RGPD)
Emails transacionais (confirmações de encomenda, expiração de créditos)	Contrato / Interesses legítimos (Art. 6(1)(f) RGPD)
Segurança, prevenção de fraude e deteção de abusos	Interesses legítimos (Art. 6(1)(f) RGPD)
Análise e melhoria do Serviço	Interesses legítimos (Art. 6(1)(f) RGPD)
Cumprimento legal (registos fiscais, obrigações financeiras)	Obrigação legal (Art. 6(1)(c) RGPD)
Consentimento de cookies (não essenciais)	Consentimento (Art. 6(1)(a) RGPD)

Quando nos baseamos em interesses legítimos, ponderámo-los face aos seus direitos e interesses. Pode opor-se ao tratamento baseado em interesses legítimos a qualquer momento (ver Secção 9).

5. Partilha das Suas Informações

Partilhamos informações pessoais apenas nas seguintes circunstâncias:

Fornecedores de Serviços (Subcontratantes)

Fornecedor	Finalidade	Localização	Política de Privacidade
Cloudflare, Inc.	Infraestrutura, computação de borda, base de dados, armazenamento, modelos de IA	Global (incl. UE)	Link
Google LLC	Autenticação OAuth 2.0; análise opcional	EUA / Global	Link
Stripe, Inc.	Processamento de pagamentos (quando ativado)	EUA / Global	Link
Lemon Squeezy LLC	Processamento de pagamentos e cobrança de impostos (Comerciante de Registo)	EUA	Link
Paddle.com Market Ltd	Processamento de pagamentos e cobrança de impostos (Comerciante de Registo)	Reino Unido / Global	Link
Resend, Inc.	Entrega de email transacional	EUA	Link

Todos os fornecedores de serviços estão vinculados por acordos de tratamento de dados e têm proibição de usar as suas informações pessoais para fins próprios.

Divulgações Legais

Podemos divulgar informações pessoais se tal for exigido por lei, ordem judicial ou autoridade governamental, ou quando acreditarmos de boa-fé que a divulgação é necessária para proteger os direitos, a propriedade ou a segurança do xwish.ai, dos nossos utilizadores ou do público.

Transferências Empresariais

Em caso de fusão, aquisição ou venda da totalidade ou parte substancial dos nossos ativos, as informações pessoais podem ser transferidas como parte dessa transação. Iremos notificá-lo por email ou através de um aviso destacado no Serviço antes de os seus dados serem transferidos e ficarem sujeitos a uma política de privacidade diferente.

6. Transferências Internacionais de Dados

A nossa infraestrutura é fornecida pela Cloudflare, que opera uma rede global incluindo centros de dados no Espaço Económico Europeu. No entanto, alguns dos nossos fornecedores de serviços (Google, Stripe, Resend) têm sede nos Estados Unidos ou operam globalmente.

Para transferências de dados pessoais do EEE/Reino Unido para países sem decisão de adequação da Comissão Europeia, baseamo-nos nas Cláusulas Contratuais Padrão (CCP) aprovadas pela Comissão Europeia, ou em mecanismos de transferência equivalentes ao abrigo do RGPD do Reino Unido.

Ao utilizar o Serviço fora dos Estados Unidos, reconhece que as suas informações podem ser transferidas, armazenadas e tratadas nos Estados Unidos e noutros países onde os nossos fornecedores de serviços têm instalações.

7. Cookies e Tecnologias de Rastreamento

Cookies que Utilizamos

Cookie	Finalidade	Tipo	Duração
`session`	Mantém a sua sessão de início de sessão	Essencial	7 dias
`anon_token`	Identifica os cartões que criou sem conta	Essencial (funcional)	1 ano
`xwish_lang_pref`	Recorda a sua preferência de idioma	Funcional	1 ano
Google Analytics (`_ga`, `_ga_*`)	Análise de utilização (se o GA estiver configurado)	Analítica	2 anos

Gestão de Cookies

Os cookies essenciais são necessários para o funcionamento do Serviço e não podem ser desativados sem prejudicar significativamente a sua experiência. Pode gerir cookies funcionais e de análise através das definições do seu navegador. A maioria dos navegadores permite recusar ou eliminar cookies; consulte a documentação de ajuda do seu navegador.

Se estiver localizado no EEE, no Reino Unido ou noutra jurisdição que exija consentimento prévio para cookies não essenciais, solicitaremos o seu consentimento antes de colocar cookies de análise.

8. Retenção de Dados

Dados	Período de retenção	Motivo
Dados do perfil da conta	Até à eliminação da conta + 30 dias	Operação do serviço
Cartões (conteúdo, metadados)	Até serem eliminados pelo criador, ou 2 anos após a última visualização	Operação do serviço
Registos de créditos e pontos	3 anos a partir da transação	Conformidade de auditoria financeira
Registos de encomendas de pagamento	7 anos a partir da transação	Obrigação fiscal e legal
Emails entregues (endereço do destinatário)	90 dias após a entrega	Confirmação de entrega
Tokens anónimos (cookies)	1 ano a partir da última utilização	Funcional (acesso a cartões)

Após o período de retenção, eliminamos ou anonimizamos os dados. Pode solicitar a eliminação antecipada da sua conta e dos dados associados (ver Secção 9).

9. Os Seus Direitos de Privacidade

Dependendo da sua localização, tem os seguintes direitos relativamente às suas informações pessoais. Para exercer qualquer um destes direitos, contacte-nos em support@xwish.ai. Responderemos no prazo de 30 dias (ou o período legal aplicável).

Todos os Utilizadores

Acesso — solicite uma cópia das informações pessoais que detemos sobre si.
Retificação — solicite a correção de informações inexatas ou incompletas.
Eliminação — solicite a eliminação das suas informações pessoais, sujeito a obrigações legais de retenção.
Reclamação — apresente uma reclamação junto da sua autoridade local de proteção de dados.

Utilizadores do EEE / Reino Unido (RGPD / UK GDPR)

Direito à limitação — solicite que limitemos o tratamento dos seus dados em determinadas circunstâncias.
Direito à portabilidade — receba os seus dados pessoais num formato estruturado e legível por máquina.
Direito de oposição — oponha-se ao tratamento baseado em interesses legítimos ou para fins de marketing direto.
Direito de retirar o consentimento — quando o tratamento se basear no consentimento, pode retirá-lo a qualquer momento sem afetar o tratamento anterior.
Tem o direito de apresentar uma reclamação junto da sua autoridade supervisora nacional. Na UE, encontre a sua autoridade em edpb.europa.eu. No Reino Unido, contacte o ICO.

Residentes na Califórnia (CCPA / CPRA)

Direito de saber — solicite a divulgação das categorias e peças específicas de informações pessoais que recolhemos, usamos e partilhamos.
Direito de eliminar — solicite a eliminação de informações pessoais que recolhemos (sujeito a certas exceções).
Direito de corrigir — solicite a correção de informações pessoais inexatas.
Direito de recusar a venda / partilha — o xwish.ai não vende nem partilha as suas informações pessoais para publicidade comportamental de contexto cruzado. Não é necessária exclusão voluntária.
Direito à não discriminação — não o discriminaremos por exercer quaisquer direitos ao abrigo da CCPA.

Os residentes na Califórnia podem enviar pedidos por email para support@xwish.ai com "California Privacy Request" no assunto.

Residentes no Canadá (PIPEDA)

Ao abrigo da Lei de Proteção de Informações Pessoais e Documentos Eletrónicos do Canadá (PIPEDA), tem o direito de aceder às suas informações pessoais e contestar a sua exatidão. Para fazer um pedido, contacte-nos em support@xwish.ai.

Residentes na Austrália

Ao abrigo da Lei de Privacidade de 1988 (Cth) e dos Princípios Australianos de Privacidade, tem o direito de aceder e corrigir as suas informações pessoais. Também pode apresentar uma reclamação junto do Gabinete do Comissário de Informação da Austrália (OAIC) se acreditar que os seus direitos de privacidade foram violados.

Residentes no Brasil (LGPD)

Ao abrigo da Lei Geral de Proteção de Dados do Brasil (LGPD), tem direitos que incluem acesso, retificação, anonimização, portabilidade, eliminação e informação sobre partilha. Também pode apresentar reclamações junto da Autoridade Nacional de Proteção de Dados (ANPD).

Médio Oriente e Outras Regiões

Respeitamos as leis de proteção de dados aplicáveis em todas as jurisdições onde operamos, incluindo a Lei de Proteção de Dados Pessoais dos Emirados Árabes Unidos (Decreto-Lei Federal N.º 45 de 2021) e a Lei de Proteção de Dados Pessoais da Arábia Saudita (PDPL). Os residentes nestas regiões podem exercer os seus direitos de acesso e retificação contactando-nos em support@xwish.ai.

10. Privacidade dos Menores

O Serviço não se destina a menores de 13 anos. Não recolhemos conscientemente informações pessoais de menores de 13 anos. Se estiver localizado no Espaço Económico Europeu, os utilizadores com menos de 16 anos devem ter consentimento parental verificável antes de criar uma conta ou submeter informações pessoais.

Se acreditar que um menor com idade inferior à mínima aplicável nos forneceu informações pessoais sem o consentimento adequado, contacte-nos imediatamente em support@xwish.ai. Tomaremos medidas imediatas para eliminar essas informações.

11. Segurança

Implementamos medidas técnicas e organizacionais para proteger as suas informações pessoais contra acesso não autorizado, alteração, divulgação ou destruição. Estas incluem:

Encriptação HTTPS para todos os dados em trânsito;
Cookies de sessão HttpOnly, SameSite;
Infraestrutura da Cloudflare com proteção DDoS integrada e WAF;
Controlos de acesso que limitam o acesso à base de dados à camada de aplicação;
Dados de pagamento processados exclusivamente no ambiente PCI-DSS da Stripe.

Nenhum método de transmissão pela internet ou armazenamento eletrónico é 100% seguro. Embora nos esforcemos por usar meios comercialmente aceitáveis para proteger as suas informações pessoais, não podemos garantir a sua segurança absoluta.

Se descobrir ou suspeitar de uma vulnerabilidade de segurança, contacte-nos imediatamente em support@xwish.ai.

12. Alterações a Esta Política

Podemos atualizar esta Política de Privacidade periodicamente. Quando realizarmos alterações materiais, atualizaremos a data de "Última atualização" no topo desta página e, quando possível, notificaremos os utilizadores registados por email ou aviso na aplicação pelo menos 14 dias antes das alterações entrarem em vigor.

A sua utilização continuada do Serviço após a data de entrada em vigor de uma Política revista constitui a sua aceitação das alterações. Recomendamos que reveja esta Política periodicamente.

As versões anteriores desta Política estão disponíveis mediante pedido.

13. Contacte-nos

Para qualquer questão, pedido ou preocupação sobre esta Política de Privacidade ou as nossas práticas de dados, contacte-nos:

xwish.ai — Privacidade

Email: support@xwish.ai

Website: https://xwish.ai

Procuramos responder a todos os pedidos de privacidade no prazo de 30 dias. Para pedidos complexos, ou quando exigido pela lei aplicável, podemos alargar este prazo por mais 30 dias, com aviso prévio.

Se não estiver satisfeito com a nossa resposta, tem o direito de apresentar uma reclamação junto da sua autoridade supervisora de proteção de dados local.