Política de privacidade
Última atualização: 20 de maio de 2026
Esta Política descreve como a minhascontas.app.br ("nós", "nossa plataforma") coleta, usa, armazena, compartilha e protege os dados pessoais dos seus usuários, em conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018).
1. Quem somos (Controlador)
A minhascontas.app.br é uma plataforma de gestão financeira pessoal que atua como controladora dos dados pessoais coletados de seus usuários (Art. 5º, VI, LGPD). Para questões relativas à privacidade e proteção de dados, entre em contato com nosso Encarregado de Proteção de Dados (DPO):
DPO: dpo@minhascontas.app.br
Resposta em até 15 dias úteis (Art. 19, §1º, LGPD).
2. Dados que coletamos
2.1 Dados fornecidos por você
- Cadastro: nome, e-mail, CPF, senha (armazenada com hash Argon2id — não temos como reverter para texto).
- Financeiros: transações (descrição, valor, data, categoria), contas bancárias (apelido e saldo inicial — não coletamos número da conta nem credenciais bancárias), cartões (apelido, últimos 4 dígitos opcionais), metas financeiras.
- Anexos: comprovantes que você opcionalmente carrega (PDF/imagem).
2.2 Dados coletados automaticamente
- Técnicos: endereço IP, user agent (browser/SO), data e hora de acessos, falhas de login. Retenção: 90 dias.
- Cookies essenciais: autenticação e segurança da sessão.
- Cookie de analytics de produto (primeira parte): um identificador anônimo gerado pelo PostHog (ver seção 4) para medir uso agregado (páginas visitadas, funil de cadastro, ativação). Não usamos cookies de marketing nem de tracking publicitário de terceiros.
2.3 Dados que NÃO coletamos
- Credenciais de internet banking (não temos integração com Open Finance ainda).
- Dados de geolocalização precisa.
- Microfone, câmera ou contatos do dispositivo.
3. Para que usamos seus dados (finalidade e base legal)
| Finalidade | Base legal (Art. 7º, LGPD) |
|---|---|
| Fornecer o serviço (dashboard, relatórios, alertas) | Execução de contrato (V) |
| Enviar e-mails transacionais (verificação, redefinição, vencimento) | Execução de contrato (V) |
| Processar pagamentos de assinatura | Execução de contrato (V) |
| Prevenir fraude (uso múltiplo de trial via CPF único) | Legítimo interesse (IX) + cumprimento de obrigação legal (II) |
| Análise por IA (categorização e insights) | Execução de contrato + consentimento revogável (I) |
| Melhorar o serviço (métricas agregadas, anonimizadas) | Legítimo interesse (IX) |
| Cumprir obrigações legais (LGPD, fiscal) | Cumprimento de obrigação legal (II) |
4. Compartilhamento com terceiros (operadores)
Não vendemos seus dados. Compartilhamos somente com os operadores estritamente necessários para fornecer o serviço:
| Operador | Finalidade | Dados compartilhados |
|---|---|---|
| Vercel (EUA) | Hospedagem da aplicação | Logs técnicos, IP |
| Neon (EUA) | Banco de dados PostgreSQL gerenciado | Todos os dados — cifrados em repouso |
| Cloudflare R2 (EUA) | Backups e armazenamento de anexos | Dump cifrado + anexos |
| Upstash (EUA) | Cache e rate limiting | Tokens efêmeros, contadores (sem PII) |
| Resend (EUA) | Envio de e-mails transacionais | E-mail, nome, conteúdo do e-mail |
| Stripe (EUA) | Processamento de pagamentos | E-mail, nome, dados de cobrança |
| Anthropic (EUA) | Categorização e análise por IA | Descrição da transação e valor (sem nome, e-mail ou CPF). Anthropic não utiliza os dados para treinar modelos. |
| Cloudflare Turnstile (EUA) | Proteção anti-bot no cadastro | IP, fingerprint do navegador (sem PII) |
| PostHog Inc. (EUA) | Analytics de produto (funil de cadastro, ativação, retenção) | ID interno do usuário, e-mail, eventos de comportamento (login, criação de transação, checkout). Nunca compartilhamos valores monetários, descrição de transações, CPF ou conteúdo financeiro. |
Todas as transferências internacionais cumprem o Art. 33, II da LGPD (decisão de adequação ou cláusulas-padrão). Você pode solicitar a relação atualizada de operadores a qualquer momento via dpo@minhascontas.app.br.
5. Por quanto tempo guardamos seus dados
- Conta ativa: enquanto sua conta existir.
- Após exclusão: os dados ficam em "congelamento" por 30 dias (direito à retratação). Após esse período, são apagados definitivamente do banco de dados em produção via job automatizado.
- Backups: os dados podem persistir em snapshots por até 30 dias adicionais (rotação natural). Não conseguimos remover seletivamente de backups antigos — eles são imutáveis e rotacionam.
- Logs de auditoria: mantidos por até 5 anos quando exigido para cumprimento de obrigação legal (Art. 16, I).
- Dados anonimizados: podemos reter estatísticas agregadas que não identifiquem você (Art. 12).
6. Seus direitos como titular (Art. 18, LGPD)
Você tem direito a, gratuitamente e a qualquer momento:
- Confirmação e acesso (II): saber se tratamos seus dados e obter cópia. Disponível em Configurações → Privacidade (botão "Exportar meus dados" — formatos JSON, CSV ou Excel).
- Correção (III): editar dados incompletos, inexatos ou desatualizados em Configurações.
- Anonimização, bloqueio ou eliminação (IV): excluir conta em Configurações → Privacidade. Janela de retratação de 30 dias; após, exclusão definitiva.
- Portabilidade (V): exportação em JSON estruturado, padrão de mercado.
- Eliminação dos dados tratados com base no consentimento (VI): revogue consentimento de IA em Configurações.
- Informação sobre compartilhamento (VII): seção 4 desta política.
- Informação sobre a possibilidade de não fornecer consentimento (VIII): a recusa de IA não impede o uso do serviço — apenas desativa as funções de categorização automática e insights.
- Revogação do consentimento (IX): a qualquer momento em Configurações.
Para exercer qualquer direito, escreva para dpo@minhascontas.app.br. Responderemos em até 15 dias úteis.
7. Medidas de segurança
- Em trânsito: TLS 1.2+ obrigatório (HSTS com preload de 2 anos).
- Em repouso: banco e backups cifrados (AES-256 pelo provedor).
- Senhas: hash Argon2id (parâmetros OWASP 2024). Não armazenamos senha em texto claro nem reversível.
- Sessões: JWTs com rotação automática; troca de senha invalida todas as sessões em todos os dispositivos.
- Acesso administrativo: registrado em log de auditoria; acesso a dados pessoais por administradores requer ação explícita e fica gravado.
- Rate limit + CAPTCHA: proteção contra força bruta e bots.
- Backups: automatizados (diário + mensal), com teste de restore mensal em ambiente isolado.
- Anti-fraude trial: CPF único impede múltiplas contas para burlar o período gratuito.
8. Incidentes de segurança
Em caso de incidente que comprometa dados pessoais e ofereça risco aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável conforme Art. 48 da LGPD. Mantemos plano de resposta a incidentes documentado internamente.
9. Crianças e adolescentes
O serviço é destinado a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos cadastro de menor sem autorização dos responsáveis, a conta será excluída.
10. Alterações nesta Política
Podemos atualizar esta Política. Mudanças relevantes (finalidade, novos operadores, ampliação de coleta) serão notificadas por e-mail e/ou aviso destacado na plataforma com no mínimo 15 dias de antecedência. A continuação do uso após a vigência implica ciência das novas condições.
11. Direito de reclamar à ANPD
Você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) por meio dos canais oficiais.
12. Foro
Estes termos regem-se pelas leis da República Federativa do Brasil. Eleito o foro da Comarca de domicílio do titular, salvo disposição legal em contrário.