Política de Privacidade
Última atualização: 23 de junho de 2026
1. Introdução
O FamilyFin valoriza a privacidade e a proteção dos dados pessoais de seus usuários. Esta Política de Privacidade descreve quais dados coletamos, como os utilizamos, com quem os compartilhamos e quais são os seus direitos, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — LGPD) e o Marco Civil da Internet (Lei 12.965/2014).
Ao utilizar o FamilyFin, você concorda com as práticas descritas nesta Política. Esta Política é parte integrante dos nossos Termos de Serviço.
2. Controlador de Dados
O controlador responsável pelo tratamento dos seus dados pessoais é:
- Horizonte Tech LTDA — CNPJ 66.867.459/0001-03
- Produto: FamilyFin (familyfin.app)
- E-mail do Encarregado (DPO): [email protected]
O Encarregado de Dados (DPO) é o ponto de contato para questões relacionadas ao tratamento de dados pessoais e para comunicação com a Autoridade Nacional de Proteção de Dados (ANPD).
3. Dados que Coletamos
3.1. Dados fornecidos por você
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome completo | Identificação na família e na plataforma | Execução de contrato (Art. 7, V) |
| Login, comunicação, recuperação de senha | Execução de contrato (Art. 7, V) | |
| CPF | Identificação única, conciliação de transferências entre membros, conexão Open Finance | Execução de contrato (Art. 7, V) |
| Senha | Autenticação (armazenada com hash, nunca em texto claro) | Execução de contrato (Art. 7, V) |
| Nome da família | Identificação do grupo familiar | Execução de contrato (Art. 7, V) |
| Papel e relacionamento | Definição de permissões e visão na família | Execução de contrato (Art. 7, V) |
| Foto de perfil (opcional) | Personalização visual | Consentimento (Art. 7, I) |
3.2. Dados obtidos via Open Finance
Quando você conecta uma conta bancária ou cartão de crédito, recebemos do seu banco, por intermédio do provedor de Open Finance:
| Dado | Finalidade | Base Legal |
|---|---|---|
| Saldo e extrato de contas | Exibição de transações e saldos | Consentimento (Art. 7, I) |
| Faturas de cartão de crédito | Consolidação de gastos no cartão | Consentimento (Art. 7, I) |
| Dados de transação (valor, data, descrição, estabelecimento, MCC) | Categorização, conciliação, projeções | Consentimento (Art. 7, I) |
| Dados do cartão (bandeira, últimos 4 dígitos) | Identificação visual do cartão | Consentimento (Art. 7, I) |
| Identidade do titular (nome, CPF retornado pelo banco) | Vinculação da conta ao membro correto, conciliação de transferências | Consentimento (Art. 7, I) |
Nunca coletamos senhas bancárias. A autenticação é feita diretamente no ambiente da instituição financeira via protocolo OAuth. O FamilyFin não tem acesso às suas credenciais bancárias.
3.3. Dados gerados pelo uso da plataforma
| Dado | Finalidade | Base Legal |
|---|---|---|
| Categorias e regras personalizadas | Organização financeira conforme preferência | Execução de contrato (Art. 7, V) |
| Regras de privacidade entre membros | Controle de visibilidade de dados na família | Execução de contrato (Art. 7, V) |
| Logs de auditoria (ações, IP, data/hora) | Segurança, rastreabilidade, detecção de anomalias | Legítimo interesse (Art. 7, IX) |
| Dados de sessão (cookies funcionais) | Manter login ativo, segurança da sessão | Legítimo interesse (Art. 7, IX) |
3.4. Dados que não coletamos
- Senhas bancárias ou credenciais de acesso ao banco;
- Dados biométricos;
- Informações de localização;
- Contatos do telefone ou e-mail.
4. Como Usamos seus Dados
- Prestação do serviço: exibir transações, gerar dashboards, calcular orçamentos, projeções e conciliações;
- Classificação por IA: enviar descrições anonimizadas de transações para modelos de inteligência artificial, visando categorização automática (veja seção 7);
- Segurança: detectar acessos suspeitos, prevenir fraudes, manter logs de auditoria;
- Comunicação: enviar e-mails transacionais (confirmação de conta, convites, alertas de segurança, recuperação de senha) e e-mails de acompanhamento e reengajamento (resumos, lembretes e dicas sobre o uso da plataforma). Nesses e-mails, medimos métricas de entrega, abertura e cliques — inclusive se e quando você abriu uma mensagem ou clicou em um link — para avaliar e melhorar a relevância das nossas comunicações. A base legal é o legítimo interesse (LGPD Art. 7º, IX); você pode deixar de receber os e-mails de acompanhamento a qualquer momento nas configurações da conta;
- Cobrança: processar assinaturas e pagamentos via provedor de pagamentos (Stripe);
- Melhoria do produto (mediante consentimento): utilizar dados anonimizados e agregados para entender padrões de uso e melhorar funcionalidades. Este uso depende do seu consentimento expresso no momento do cadastro e pode ser revogado a qualquer momento.
5. Analytics e Dados Anonimizados
5.1. Consentimento específico
No momento do cadastro, você pode optar por consentir ou não com o uso de dados anonimizados para fins de analytics. Esse consentimento é separado e independente da aceitação dos Termos de Serviço — você pode usar o FamilyFin normalmente sem concedê-lo.
5.2. O que são dados anonimizados
Dados anonimizados são informações que, após processamento, não permitem identificar você ou sua família direta ou indiretamente. Exemplos:
- "70% dos usuários utilizam Open Finance como método de importação";
- "A categoria Alimentação representa 22% dos gastos médios das famílias";
- "Famílias com 3+ membros utilizam a funcionalidade de privacidade 40% mais".
5.3. Uso de dados anonimizados
Caso você consinta, dados anonimizados e agregados poderão ser utilizados para:
- Melhorar funcionalidades e experiência do usuário;
- Gerar relatórios e estudos sobre hábitos financeiros de famílias brasileiras;
- Produzir conteúdo educativo sobre finanças familiares;
- Compartilhar insights agregados com parceiros, sempre de forma anônima e sem possibilidade de identificação individual.
5.4. Revogação
Você pode revogar o consentimento de analytics a qualquer momento nas configurações da sua conta. A revogação não afeta os dados já anonimizados (pois, por definição, não podem mais ser vinculados a você), mas impedirá a inclusão de novos dados seus em análises futuras.
6. Compartilhamento de Dados
O FamilyFin não vende seus dados pessoais. Compartilhamos dados apenas nas seguintes situações:
| Parceiro | Dados compartilhados | Finalidade |
|---|---|---|
| Pluggy (Open Finance) | CPF, token de conexão | Intermediar acesso aos dados bancários via Open Finance |
| Stripe (pagamentos) | E-mail, dados de cobrança | Processar assinaturas e pagamentos |
| Supabase (autenticação e banco de dados) | E-mail, senha com hash, tokens de sessão | Autenticação, armazenamento seguro de dados |
| Anthropic (inteligência artificial) | Descrições de transações anonimizadas (sem CPF, sem conta, sem nome) | Classificação automática de transações |
| Resend (e-mail) | E-mail, nome, métricas de abertura/clique | Envio de e-mails (transacionais e de acompanhamento) e medição de entrega, abertura e cliques |
| Amazon Web Services (infraestrutura) | Todos os dados (criptografados) | Hospedagem da aplicação e banco de dados |
Todos os parceiros listados acima estão sujeitos a contratos que exigem conformidade com a LGPD e padrões adequados de segurança. Além disso, podemos compartilhar dados quando exigido por lei, regulamentação ou ordem judicial.
7. Inteligência Artificial
Utilizamos modelos de inteligência artificial da Anthropic para classificar transações automaticamente. Compromissos:
- Anonimização: apenas a descrição e o valor da transação são enviados — sem CPF, número de conta, nome do titular ou qualquer dado pessoal identificável;
- Sem treinamento com seus dados: não autorizamos a Anthropic ou qualquer provedor a utilizar os dados dos nossos usuários para treinar ou aprimorar modelos de IA;
- Sem retenção: os dados não são retidos pelo provedor de IA após o processamento;
- Controle do usuário: você pode reclassificar qualquer transação manualmente. A IA aprende com suas correções para melhorar sugestões futuras dentro da sua família.
8. Segurança dos Dados
Adotamos medidas técnicas, administrativas e organizacionais para proteger seus dados:
- Criptografia em trânsito: todas as comunicações utilizam HTTPS com TLS 1.3;
- Criptografia em repouso: dados armazenados com criptografia AES-256 no banco de dados;
- Isolamento por família: mecanismos de Row-Level Security (RLS) no banco de dados garantem que dados de uma família não sejam acessíveis por outra;
- Autenticação segura: senhas armazenadas com hash (bcrypt), suporte a autenticação OAuth;
- Infraestrutura no Brasil: aplicação e banco de dados hospedados no Brasil, com dados que nunca saem do território nacional;
- Acesso restrito: apenas pessoal autorizado tem acesso ao ambiente de produção, com logs de auditoria para todas as operações administrativas;
- Monitoramento: detecção de sessões suspeitas e encerramento automático em caso de anomalias.
9. Privacidade entre Membros da Família
O FamilyFin é um app familiar, e reconhecemos que membros de uma mesma família podem desejar níveis diferentes de transparência financeira. Por isso:
- Cada membro controla individualmente o que compartilha com os demais, por meio de regras de compartilhamento em três níveis (Tudo, Totais, Nada);
- Essas regras podem ser aplicadas por conta bancária, cartão de crédito ou categoria de gastos;
- O administrador da família não tem acesso privilegiado aos dados financeiros além do definido pelas regras de compartilhamento;
- Alterações nas regras de privacidade entram em vigor imediatamente e são registradas em log de auditoria.
10. Cookies
Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma:
- Cookies de sessão: mantêm seu login ativo e detectam encerramento de sessão;
- Cookies de preferência: armazenam escolhas como tema (claro/escuro).
Não utilizamos cookies de rastreamento, publicidade ou remarketing. Não exibimos anúncios na plataforma.
11. Retenção de Dados
| Tipo de dado | Período de retenção |
|---|---|
| Dados de cadastro (nome, e-mail, CPF) | Enquanto a conta estiver ativa, mais 30 dias após exclusão |
| Transações e dados financeiros | Enquanto a conta estiver ativa; excluídos com a conta |
| Logs de auditoria | 12 meses após o evento registrado |
| Histórico de alterações de lançamentos | Atualizações automáticas vindas do banco: 180 dias. Alterações feitas por membros e exclusões: enquanto a conta estiver ativa |
| Dados de cobrança | 5 anos após a transação (obrigação fiscal) |
| Dados anonimizados (analytics) | Retidos indefinidamente (não são dados pessoais) |
| Conexões Open Finance (tokens) | Até revogação do consentimento pelo usuário |
12. Seus Direitos (LGPD Art. 18)
Você tem os seguintes direitos em relação aos seus dados pessoais:
- Confirmação e acesso: saber se tratamos seus dados e obter uma cópia;
- Correção: corrigir dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade;
- Portabilidade: receber seus dados em formato estruturado para transferência a outro fornecedor;
- Eliminação: solicitar a exclusão de dados tratados com base em consentimento;
- Informação sobre compartilhamento: saber com quais entidades seus dados são compartilhados;
- Revogação de consentimento: revogar consentimentos concedidos, como analytics ou conexão Open Finance, a qualquer momento;
- Revisão de decisões automatizadas: solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado, como classificações de IA (Art. 20).
Para exercer qualquer desses direitos, entre em contato pelo e-mail [email protected]. Solicitações simples serão respondidas imediatamente; solicitações complexas em até 15 dias úteis, conforme determina a LGPD.
13. Menores de Idade
O FamilyFin permite a inclusão de menores de idade como membros da família, sempre sob responsabilidade do administrador ou responsável legal. Conforme o Art. 14 da LGPD:
- O tratamento de dados de menores é realizado no melhor interesse da criança ou adolescente;
- O consentimento para inclusão de menores deve ser fornecido por pelo menos um dos pais ou pelo responsável legal;
- Coletamos apenas os dados estritamente necessários para a participação do menor na família;
- O responsável legal pode solicitar a exclusão dos dados do menor a qualquer momento.
14. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos comprometemos a:
- Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) em até 3 dias úteis após a ciência do incidente, conforme Resolução CD/ANPD n. 15/2024;
- Notificar os usuários afetados no mesmo prazo, descrevendo a natureza do incidente, os dados potencialmente afetados, os riscos envolvidos e as medidas adotadas;
- Adotar medidas imediatas para mitigar os efeitos do incidente.
15. Transferência Internacional de Dados
Nossos servidores de aplicação e banco de dados estão localizados no Brasil (São Paulo). No entanto, alguns parceiros que processam dados em nosso nome podem operar em território internacional:
- Stripe (pagamentos) — Estados Unidos, com certificação de conformidade adequada;
- Anthropic (IA) — Estados Unidos; recebe apenas descrições anonimizadas de transações, sem dados pessoais identificáveis;
- Resend (e-mail) — Estados Unidos; recebe e-mail e nome para envio de mensagens (transacionais e de acompanhamento) e registra métricas de entrega, abertura e cliques desses e-mails.
Todas as transferências internacionais são realizadas com garantias adequadas de proteção, conforme Art. 33 da LGPD.
16. Alterações nesta Política
Esta Política pode ser atualizada periodicamente. Alterações substanciais serão comunicadas por e-mail ou notificação na plataforma com antecedência mínima de 15 dias. Recomendamos consultar esta página regularmente. A data da última atualização é indicada no topo do documento.
17. Contato e Canal de Denúncias
Para dúvidas, solicitações sobre seus dados ou denúncias relacionadas a privacidade:
- E-mail geral: [email protected]
- Encarregado de Dados (DPO): [email protected]
Se entender que o tratamento dos seus dados viola a LGPD, você também pode apresentar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.