Meu Lar Financeiro

Política de Privacidade

Última atualização: 28 de abril de 2026

Esta Política descreve como o Meu Lar Financeiro coleta, usa, armazena e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor.

1. Quem é o controlador

O controlador dos dados pessoais é o operador do Serviço, conforme identificado em /lgpd. O encarregado (DPO) também está identificado lá; você pode contatá-lo a qualquer momento.

2. Dados que coletamos

  • Conta: nome, e-mail, senha (armazenada com bcrypt custo 12, nunca em texto claro).
  • Casa (Household): nome da casa, perfil financeiro opcional (perfil de risco, objetivo, horizonte, meta de poupança).
  • Lançamentos financeiros: descrição, valor, data, categoria, conta/cartão associado, anotações que você optar por incluir.
  • Dados técnicos: endereço IP, agente de navegação, horário de acesso, ações sensíveis (login, alteração de senha, troca de papel), retidos como log de auditoria.
  • Cobrança: o pagamento é processado pelo Mercado Pago. Recebemos do MP apenas IDs e status do pagamento; não armazenamos número de cartão, CVV ou dados sensíveis do meio de pagamento.

3. Bases legais e finalidades (art. 7º LGPD)

  • Execução de contrato: prestação do Serviço, autenticação, processamento de assinaturas e pagamentos.
  • Cumprimento de obrigação legal: retenção de logs de acesso por 6 meses (art. 15 do Marco Civil) e dados fiscais por 5 anos.
  • Consentimento: uso opcional do assistente de IA e envio de e-mails informativos não-essenciais.
  • Legítimo interesse: prevenção a fraude e abuso (rate limiting, deteção de IPs suspeitos).

4. Como usamos seus dados

  • Para você acessar sua casa e ver seus dados financeiros.
  • Para gerar relatórios, gráficos, planejamento e demais cálculos internos do app.
  • Quando o assistente de IA é acionado, enviamos para o provedor da LLM apenas um JSON agregado dos dados do período consultado (totais, médias, descrições truncadas e sanitizadas), sem e-mails, nomes ou identificadores pessoais.
  • Para enviar e-mails transacionais (boas-vindas, cobrança).

5. Compartilhamento

Compartilhamos dados estritamente necessários com:

  • Mercado Pago (operador) — para processar a cobrança recorrente. Compartilhamos e-mail do pagador e o ID interno da casa.
  • Resend (operador) — para envio de e-mails transacionais.
  • Provedor da IA (Google Gemini ou Ollama local, à escolha do plano) — para gerar análises, recebendo apenas dados agregados conforme item 4.

Não vendemos seus dados a anunciantes. Não usamos seus dados para treinar modelos de IA — revise as políticas dos provedores acima para confirmação.

6. Armazenamento e segurança

  • Banco de dados SQLite em servidor controlado pelo operador, hospedado no Brasil ou na União Europeia.
  • Backups diários criptografados em armazenamento de objeto compatível com S3 (Backblaze B2 ou Cloudflare R2).
  • Senhas armazenadas com hash bcrypt (custo 12).
  • Segredos de 2FA criptografados em repouso com AES-256-GCM.
  • HTTPS obrigatório, cabeçalhos de segurança (HSTS, CSP, X-Frame-Options, Permissions-Policy), defesa contra CSRF.

7. Tempo de retenção

  • Dados da conta e financeiros: enquanto a conta estiver ativa. Após o cancelamento, dados são mantidos por até 90 dias para permitir reativação; depois disso, são anonimizados ou excluídos sob solicitação.
  • Logs de acesso (auditoria): no mínimo 6 meses, conforme o Marco Civil.
  • Dados fiscais (notas, comprovantes): 5 anos, por obrigação tributária.

8. Seus direitos como titular (art. 18 LGPD)

  • Confirmação da existência e acesso aos seus dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários.
  • Portabilidade (exportação CSV/XLSX já está disponível no app).
  • Eliminação dos dados pessoais tratados com base em consentimento.
  • Revogação do consentimento.

Para exercer qualquer direito, escreva para o e-mail de contato do DPO (página /lgpd). Respondemos em até 15 dias.

9. Cookies

Usamos um único cookie de sessão para manter você autenticado, com atributos HttpOnly, Secure e SameSite=Lax. Não usamos cookies de rastreamento ou publicidade.

10. Crianças

O Serviço não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de crianças.

11. Alterações desta Política

Mudanças relevantes serão comunicadas por e-mail e/ou banner no app com 15 dias de antecedência.