Política de Privacidade

Aplicativo Gestão Financeira — Versão 1.0 — Última atualização: 06 de abril de 2026
Identificador do App: com.gestaofinanceira.app

Responsável pelo Tratamento dos Dados

O responsável pelo tratamento dos dados pessoais coletados por meio do aplicativo Gestão Financeira é o desenvolvedor/operador do aplicativo, conforme identificado no e-mail de contato (Cláusula 13).

Esta Política de Privacidade foi elaborada em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e, para usuários na União Europeia, com o Regulamento Geral sobre a Proteção de Dados (GDPR — Regulamento (UE) 2016/679).

Dados Coletados

Coletamos apenas os dados estritamente necessários para a prestação do serviço:

Categoria Dado Origem Obrigatório
Autenticação Endereço de e-mail Fornecido pelo usuário na criação de conta (via Clerk) Sim
Autenticação Nome (primeiro e último) Fornecido opcionalmente pelo usuário (via Clerk) Não
Identificação ID de usuário único (UUID) Gerado automaticamente pelo Clerk Sim
Financeiros (inseridos pelo usuário) Descrições e valores de lançamentos (entradas, saídas, contas fixas, reservas) Inseridos manualmente pelo usuário Pelo usuário
Pagamento Preferência de plano e data de expiração do acesso (access_until) Registrado automaticamente após confirmação de pagamento via webhook Sim
Uso do App Status de onboarding e preferências (onboarded, versão aceita dos Termos) Gerado pelo aplicativo Sim
Princípio da Minimização: Não coletamos dados além dos listados acima. Não pedimos CPF, RG, data de nascimento, endereço físico, número de telefone, senha bancária ou qualquer dado sensível (Art. 5º, II, LGPD).

Dados NÃO Coletados

Para que não restem dúvidas, declaramos expressamente que não coletamos:

  • Número de CPF, RG ou qualquer documento de identidade;
  • Número de conta bancária, agência, cartão de crédito ou credenciais bancárias;
  • Informações reais de contas financeiras — todos os valores são inseridos manualmente por você;
  • Localização geográfica (GPS ou IP para fins de rastreamento);
  • Dados biométricos;
  • Histórico de navegação em outros sites ou aplicativos;
  • Dados sobre saúde ou raça/etnia (categorias especiais de dados, Art. 11 LGPD);
  • Dados de menores de 18 anos sem consentimento parental explícito.

Finalidade do Tratamento

Utilizamos seus dados exclusivamente para as seguintes finalidades:

  • Autenticação e segurança: verificar sua identidade e proteger o acesso à sua conta;
  • Prestação do serviço: armazenar e exibir seus lançamentos financeiros;
  • Controle de acesso: verificar se seu plano está ativo e sua data de expiração;
  • Comunicações transacionais: envio de e-mails de confirmação de pagamento, notificações de expiração de plano e atualizações de Termos;
  • Suporte ao usuário: responder solicitações enviadas ao e-mail de suporte;
  • Cumprimento legal: atender obrigações previstas em lei (LGPD, CDC, legislação tributária).
Sem fins comerciais: Não utilizamos seus dados para publicidade, venda a terceiros, perfilamento comportamental, marketing automatizado ou qualquer outra finalidade além das listadas acima.

Base Legal (LGPD)

O tratamento dos seus dados pessoais é fundamentado nas seguintes bases legais previstas no artigo 7º da LGPD:

  • Execução de contrato (inc. V): tratamento necessário para a prestação do serviço contratado (autenticação, armazenamento de lançamentos, controle de acesso);
  • Consentimento (inc. I): para comunicações de marketing (caso aplicável no futuro) e para o tratamento de dados não essenciais à prestação do serviço;
  • Cumprimento de obrigação legal (inc. II): para atender exigências fiscais, tributárias ou judiciais;
  • Legítimo interesse (inc. IX): para segurança da plataforma, prevenção de fraudes e melhoria do serviço — sempre aplicando o teste de proporcionalidade.

Subprocessadores e Terceiros

Para operarmos o serviço, utilizamos os seguintes subprocessadores. Todos eles possuem políticas de privacidade e mecanismos de conformidade compatíveis com a LGPD (Standard Contractual Clauses e/ou Data Processing Addendums para transferências internacionais conforme o GDPR):

Subprocessador Localização Finalidade Dados compartilhados
Clerk Inc. EUA (servidores globais) Autenticação, gerenciamento de sessões e tokens JWT E-mail, nome, ID de usuário
Neon Inc. EUA (AWS us-east-1) Banco de dados PostgreSQL — armazenamento de lançamentos e perfil Todos os dados financeiros inseridos pelo usuário
Vercel Inc. EUA (edge global) Hospedagem da aplicação web e execução das funções serverless (API) Logs de acesso anônimos (IP, user-agent)
Mercado Pago S.A. Brasil (São Paulo) Processamento de pagamentos E-mail, ID de usuário, plano selecionado (via external_reference)

Não compartilhamos seus dados com nenhum outro terceiro além dos listados acima. Não vendemos quaisquer dados pessoais.

Segurança dos Dados

Adotamos as seguintes medidas técnicas e organizacionais para proteger seus dados:

  • Autenticação: via Clerk com tokens JWT, rotação automática de sessão e proteção contra CSRF;
  • Transporte: toda comunicação ocorre sobre HTTPS/TLS 1.3;
  • Banco de dados: Neon PostgreSQL com criptografia em repouso (AES-256) e acesso restrito por variáveis de ambiente;
  • Backups: arquivos .gfb criptografados com AES-256-GCM, com chave derivada via PBKDF2 (salt = ID do usuário);
  • Webhooks: autenticados via HMAC-SHA256 (assinatura do Mercado Pago);
  • API: headers de segurança aplicados (X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy);
  • Segredo do cron: o job de limpeza de dados é protegido por CRON_SECRET em variável de ambiente.
Responsabilidade compartilhada: A segurança da sua conta depende também da proteção das suas credenciais de acesso (e-mail e senha). Não compartilhe sua senha com terceiros. Em caso de suspeita de acesso não autorizado, altere sua senha imediatamente pela plataforma Clerk e entre em contato com o suporte.

Retenção e Exclusão de Dados

Aplicamos os seguintes períodos de retenção, conforme os princípios de necessidade e minimização da LGPD:

  • Lançamentos financeiros ativos: mantidos enquanto a conta estiver ativa.
  • Lançamentos na Lixeira: retidos por 30 dias após a exclusão pelo usuário, permitindo restauração. Após esse prazo, são excluídos permanentemente de forma automatizada (cron semanal).
  • Perfil e dados de acesso: mantidos até o encerramento da conta. Após solicitação de exclusão, os dados são apagados em até 15 dias úteis.
  • Registros fiscais/audit: dados mínimos podem ser retidos por até 5 anos para cumprimento de obrigações legais (Lei nº 9.613/1998, legislação tributária).
  • Logs de acesso: retidos por até 6 meses conforme o Marco Civil da Internet (Lei nº 12.965/2014, Art. 15).

Cookies e Rastreamento

O Aplicativo utiliza apenas cookies estritamente necessários para o funcionamento da autenticação (cookies de sessão gerenciados pelo Clerk) e para armazenar preferências locais (localStorage).

Não utilizamos cookies de rastreamento, pixels de publicidade, Google Analytics, Facebook Pixel ou qualquer outra ferramenta de análise comportamental de terceiros.

Direitos do Titular (Art. 18 LGPD)

Nos termos do artigo 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

  • Confirmação e acesso: confirmar se tratamos seus dados e obter cópia deles;
  • Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade: obter seus dados em formato estruturado e interoperável (JSON exportado pelo próprio Aplicativo via função de backup);
  • Eliminação: solicitar a exclusão dos dados tratados com base em consentimento;
  • Informação: ser informado sobre os subprocessadores com quem compartilhamos seus dados;
  • Revogação do consentimento: revogar o consentimento a qualquer momento, sem prejuízo do tratamento realizado anteriormente;
  • Oposição: opor-se a tratamentos baseados em legítimo interesse quando desproporcionais.

Para exercer qualquer desses direitos, entre em contato pelo e-mail informado na Cláusula 13. O prazo de atendimento é de até 15 dias úteis.

Portabilidade ágil: Você pode exportar todos os seus dados financeiros diretamente pelo Aplicativo (função Backup → Exportar JSON), sem necessidade de contato com o suporte.

Transferência Internacional de Dados

Seus dados são transferidos para servidores nos Estados Unidos da América (Clerk, Neon, Vercel), país que não possui adequação formal reconhecida pela ANPD para todos os fluxos de dados.

Para garantir a proteção adequada dos dados transferidos, adotamos os seguintes mecanismos (Art. 33 LGPD):

  • Todos os subprocessadores listados possuem Standard Contractual Clauses (SCCs) aprovadas pela Comissão Europeia para transferências de dados pessoais de titulares da UE;
  • Os subprocessadores possuem Data Processing Addendums (DPAs) disponíveis publicamente em seus sites;
  • A Vercel e a Neon são certificadas sob o ISO 27001 e/ou SOC 2 Type II;
  • O Mercado Pago opera sob regulação do Banco Central do Brasil e está sujeito à LGPD.

Alterações nesta Política

Podemos atualizar esta Política periódicamente. Toda alteração material será notificada com antecedência mínima de 15 dias por e-mail cadastrado e/ou notificação no Aplicativo.

A versão em vigor é sempre a disponível em gestao-financeira-opal.vercel.app/privacy. A data da última atualização está indicada no cabeçalho desta página.

Contato e Encarregado de Dados (DPO)

Para questões relacionadas a esta Política, exercício de direitos da LGPD ou qualquer dúvida sobre o tratamento dos seus dados pessoais:

Você também pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd

Privacy Policy

Gestão Financeira App — Version 1.0 — Last updated: April 6, 2026
App Identifier: com.gestaofinanceira.app

Data Controller

The data controller for personal data collected through the Gestão Financeira application is the app developer/operator, identified at the contact e-mail in Clause 13.

This Privacy Policy was drafted in compliance with the Brazilian General Data Protection Law (LGPD — Law No. 13,709/2018) and, for users in the European Union, with the General Data Protection Regulation (GDPR — Regulation (EU) 2016/679), specifically including the transparency obligations of Articles 13 and 14.

Data Collected

We collect only the data strictly necessary to provide the service:

Category Data Source Required
Authentication E-mail address Provided by user on account creation (via Clerk) Yes
Authentication Name (first and last) Optionally provided by user (via Clerk) No
Identification Unique user ID (UUID) Automatically generated by Clerk Yes
Financial (user-entered) Entry descriptions and amounts (income, expenses, fixed bills, reserves) Manually entered by the user By user
Payment Plan preference and access expiry date (access_until) Recorded automatically after payment confirmation via webhook Yes
App usage Onboarding status and preferences (onboarded, accepted Terms version) Generated by the application Yes
Data minimisation: We do not collect any data beyond the items listed above. We do not request CPF/NIF, social security numbers, dates of birth, home addresses, phone numbers, banking passwords or any sensitive data (LGPD Art. 5§II; GDPR Art. 9).

Data NOT Collected

For the avoidance of doubt, we expressly declare that we do not collect:

  • Tax identification numbers (CPF, NIF, SSN) or identity documents;
  • Bank account numbers, sort codes, credit card numbers or banking credentials;
  • Real financial account information — all amounts are manually entered by you;
  • Geographic location (GPS or IP for tracking purposes);
  • Biometric data;
  • Browsing history on other websites or applications;
  • Health data or racial/ethnic origin (special categories of data under GDPR Art. 9);
  • Data from persons under 18 without explicit parental consent.

Purpose of Processing

We use your data exclusively for the following purposes:

  • Authentication and security: verifying your identity and protecting access to your account;
  • Service delivery: storing and displaying your financial entries;
  • Access control: verifying whether your plan is active and its expiry date;
  • Transactional communications: sending payment confirmation e-mails, plan expiry notifications and Terms update notices;
  • Support: responding to requests sent to the support e-mail;
  • Legal compliance: meeting obligations imposed by law (LGPD, CDC, tax legislation).
No commercial use: We do not use your data for advertising, sale to third parties, behavioural profiling, automated marketing or any purpose beyond those listed above.

Legal Basis (LGPD / GDPR)

The processing of your personal data relies on the following legal bases:

  • Performance of a contract (LGPD Art. 7§V / GDPR Art. 6(1)(b)): processing necessary to provide the contracted service (authentication, entry storage, access control);
  • Consent (LGPD Art. 7§I / GDPR Art. 6(1)(a)): for marketing communications (if applicable in the future) and non-essential data;
  • Legal obligation (LGPD Art. 7§II / GDPR Art. 6(1)(c)): to fulfil tax, fiscal or judicial requirements;
  • Legitimate interest (LGPD Art. 7§IX / GDPR Art. 6(1)(f)): for platform security and fraud prevention — always subject to a proportionality test.

Sub-processors and Third Parties

To operate the service, we use the following sub-processors. All of them have privacy policies and compliance mechanisms compatible with LGPD and GDPR (Standard Contractual Clauses and/or Data Processing Addendums for international transfers):

Sub-processor Location Purpose Data shared
Clerk Inc. USA (global servers) Authentication, session management and JWT tokens E-mail, name, user ID
Neon Inc. USA (AWS us-east-1) PostgreSQL database — storage of financial entries and profile data All financial data entered by the user
Vercel Inc. USA (global edge) Web application hosting and serverless function execution (API) Anonymous access logs (IP, user-agent)
Mercado Pago S.A. Brazil (São Paulo) Payment processing E-mail, user ID, selected plan (via external_reference)

We do not share your data with any party other than those listed above. We do not sell any personal data.

Data Security

We have implemented the following technical and organisational measures to protect your data:

  • Authentication: via Clerk with JWT tokens, automatic session rotation and CSRF protection;
  • Transport: all communication occurs over HTTPS/TLS 1.3;
  • Database: Neon PostgreSQL with encryption at rest (AES-256) and access restricted via environment variables;
  • Backups: .gfb files encrypted with AES-256-GCM, with a key derived via PBKDF2 (salt = user ID);
  • Webhooks: authenticated via HMAC-SHA256 (Mercado Pago signature);
  • API: security headers applied (X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy);
  • Cron secret: the data purge job is protected by a CRON_SECRET environment variable.
Shared responsibility: Account security also depends on the protection of your credentials. Do not share your password with third parties. If you suspect unauthorised access, change your password immediately via the Clerk platform and contact support.

Retention and Deletion

We apply the following retention periods, consistent with LGPD necessity and minimisation principles:

  • Active financial entries: retained while the account is active.
  • Entries in the Trash: retained for 30 days after deletion by the user, allowing restoration. After that period, they are permanently deleted in an automated process (weekly cron every Sunday).
  • Profile and access data: retained until account closure. After a deletion request, data is erased within 15 business days.
  • Fiscal/audit records: minimal data may be retained for up to 5 years to fulfil legal obligations (Brazilian tax legislation).
  • Access logs: retained for up to 6 months under Brazil's Internet Civil Framework (Law No. 12,965/2014, Art. 15).

Cookies and Tracking

The Application uses only strictly necessary cookies for authentication to work (session cookies managed by Clerk) and to store local preferences (localStorage).

We do not use tracking cookies, advertising pixels, Google Analytics, Facebook Pixel or any other third-party behavioural analytics tool.

Data Subject Rights (LGPD Art. 18 / GDPR Art. 15–22)

You have the following rights regarding your personal data:

  • Access (Art. 15 GDPR / Art. 18§I LGPD): confirm whether we process your data and obtain a copy;
  • Rectification (Art. 16 GDPR / Art. 18§III LGPD): request correction of inaccurate or incomplete data;
  • Erasure (Art. 17 GDPR / Art. 18§VI LGPD): request deletion of unnecessary or unlawfully processed data;
  • Portability (Art. 20 GDPR / Art. 18§V LGPD): receive your data in a structured, commonly used and machine-readable format (directly via the app's Backup export);
  • Restriction of processing (Art. 18 GDPR / Art. 18§IV LGPD): request restriction while accuracy or lawfulness is being verified;
  • Objection (Art. 21 GDPR / Art. 18§IX LGPD): object to processing based on legitimate interest;
  • Withdrawal of consent: at any time, without affecting the lawfulness of processing carried out before withdrawal.

To exercise any of these rights, please contact us at the e-mail in Clause 13. Response time: up to 15 business days (LGPD Art. 18§4) / 30 calendar days (GDPR Art. 12§3).

Quick portability: You can export all your financial data directly from the Application (Backup → Export JSON), without needing to contact support.

International Data Transfers

Your data is transferred to servers in the United States of America (Clerk, Neon, Vercel), a country that does not hold a formal adequacy decision from the ANPD for all data flows.

To ensure adequate protection for transferred data, we rely on the following mechanisms (LGPD Art. 33 / GDPR Art. 46):

  • All listed sub-processors have Standard Contractual Clauses (SCCs) approved by the European Commission for transfers of EU data subjects' personal data;
  • Sub-processors have publicly available Data Processing Addendums (DPAs);
  • Vercel and Neon are certified under ISO 27001 and/or SOC 2 Type II;
  • Mercado Pago operates under Brazilian Central Bank regulation and is subject to LGPD.

Changes to this Policy

We may update this Policy periodically. Any material changes will be notified at least 15 days in advance by registered e-mail and/or in-app notification.

The version in force is always available at gestao-financeira-opal.vercel.app/privacy. The last update date is shown in the header of this page.

Contact and Data Protection Officer (DPO)

For questions about this Policy, exercise of LGPD/GDPR rights or any doubts about the processing of your personal data:

EU data subjects may also lodge a complaint with their national supervisory authority (e.g. the ICO in the UK, CNIL in France, BfDI in Germany) or with the lead supervisory authority under GDPR Chapter VII.

Brazilian data subjects may also contact the Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd