SpendFlow
SpendFlow
Política de Privacidade

Versão 0.2 — Rascunho para análise jurídica · Última atualização: junho de 2026

Documento em elaboração — não vinculante

Este rascunho foi preparado para análise por advogado habilitado antes do lançamento público em produção. As informações refletem a arquitetura técnica real da plataforma. Trechos marcados com [REVISAR] requerem deliberação jurídica adicional.

1. Identificação do Controlador

O controlador responsável pelo tratamento dos dados pessoais descritos nesta Política é o SpendFlow, plataforma de gestão financeira pessoal desenvolvida por César Oliveira, domiciliado no Brasil, doravante denominado simplesmente “SpendFlow” ou “nós”.

Contato do controlador: [REVISAR: definir e-mail oficial antes do lançamento]
Canal de privacidade: privacidade@spendflow.app [REVISAR: confirmar endereço]

2. Dados Pessoais Coletados

2.1 Dados de Cadastro

  • E-mail — obrigatório para autenticação e comunicação sobre a conta.
  • Senha — armazenada exclusivamente como hash criptográfico (bcrypt). O texto puro nunca é armazenado.

2.2 Dados Financeiros

Ao realizar upload de extratos bancários (CSV, OFX ou PDF), o SpendFlow extrai e armazena:

  • Data, valor e descrição de cada transação;
  • Categoria atribuída automaticamente por processamento local — algoritmos determinísticos e, quando necessário, um modelo de IA executado localmente na própria infraestrutura do SpendFlow. Nenhum dado é transmitido a serviços externos de IA para categorização;
  • Saldo, quando disponível no arquivo de origem.

Os arquivos de extrato são processados no servidor e descartados após a extração; apenas os registros de transação resultantes são persistidos.

2.3 Dados de Contracheque

Mediante consentimento explícito e revogável do titular, o SpendFlow extrai e armazena exclusivamente:

  • Valor líquido (R$);
  • Valor bruto (R$);
  • Competência (mês/ano).

O SpendFlow nunca coleta dos contracheques:

nome completo, CPF em texto puro, número SIAPE ou matrícula funcional, órgão empregador ou CNPJ, rubricas ou descontos discriminados, nem qualquer outro campo além dos três listados acima.

O leitor de contracheques foi desenhado para extrair apenas os três valores numéricos acima. CPF, número SIAPE, matrícula, nome e órgão empregador não são lidos do contracheque para a memória nem persistidos. O CPF, quando fornecido, é coletado separada e opcionalmente pelo titular (veja a Seção 2.5) — nunca extraído do contracheque.

2.4 Dados de Auditoria e Navegação

  • Endereço IP anonimizado (o último octeto é descartado — ex.: 203.0.113.0) — registrado por operação para fins de auditoria e segurança (LGPD, art. 37);
  • Registros de data e hora de login, logout, upload de extrato, exportação de dados e revogação de consentimento.

Esses registros são visíveis ao próprio titular no Painel de Privacidade, acessível em Configurações.

2.5 CPF (opcional)

O cadastro do CPF é opcional — a plataforma funciona sem ele. Quando fornecido pelo titular (no cadastro ou em Configurações), o CPF é usado para identificar de quem é cada extrato/fatura e detectar documentos que pertençam a outra pessoa (veja a Seção 2.6). O CPF é armazenado cifrado (criptografia Fernet) acompanhado de um código derivado (HMAC-SHA256) para comparação; o banco de dados nunca vê o CPF em texto puro, e ele jamais aparece em registros, logs ou exportações — apenas de forma mascarada (ex.: ***.***.***-35).

O titular pode remover o CPF a qualquer momento em Configurações, mantendo seus extratos e análises (a detecção de documentos de terceiros apenas deixa de operar). A remoção não exige excluir a conta.

2.6 Dados de Terceiros (familiares)

Se o titular enviar um extrato/fatura cujo CPF difere do seu, o SpendFlow não armazena esse documento automaticamente: exibe um aviso e abre uma confirmação. O dado de terceiro só é gravado se o titular declarar expressamente que possui autorização do titular daquele dado para tratá-lo no SpendFlow (declaração versionada, registrada em auditoria com data/hora e IP anonimizado).

Quando armazenados, os dados de cada pessoa ficam em silos isolados por CPF — as análises nunca cruzam dados de pessoas diferentes. O titular pode, a qualquer momento, excluir os dados de um familiar (o que apaga as transações daquele silo e revoga o consentimento) ou descartar o que importou em uma sessão, pelo Painel de Privacidade.

[REVISAR: o armazenamento de dado de terceiro pode posicionar o SpendFlow como controlador/operador desse dado perante o familiar. Validar base legal, papel e deveres do Art. 18 com advogado antes do go-live — ver material de parecer jurídico.]

2.7 Análise de Consciência Financeira

A partir das transações importadas, o SpendFlow pode derivar sinais sobre padrões de gasto (por exemplo, gastos rápidos e repetidos ou indícios de apostas/jogo) para oferecer alertas de consciência financeira. Esse processamento é local e determinístico, não é compartilhado com terceiros e destina-se exclusivamente a informar o próprio titular.

[REVISAR: avaliar se a inferência de padrões comportamentais demanda base legal específica e/ou consentimento próprio.]

2.8 Contribuição anônima de formatos

Na página inicial, qualquer pessoa pode, opcionalmente, enviar um extrato ou fatura para nos ajudar a reconhecer mais formatos de banco. Esse envio é anônimo: não exige conta nem login. O arquivo é processado na hora, em ambiente isolado, apenas para extrair a estrutura do formato (colunas, banco, padrões) e é descartado em seguida — o arquivo não é armazenado. Guardamos somente uma impressão estrutural anônima (sem CPF, nome, conta ou valores), não vinculada a você. Base legal: consentimento; o resultado é dado anonimizado (LGPD Art. 12). Retenção: até 12 meses.

3. Finalidade do Tratamento e Base Legal

O tratamento de dados pessoais no SpendFlow fundamenta-se nas seguintes hipóteses legais da LGPD:

DadoFinalidadeBase Legal
E-mail e senhaAutenticação e comunicação sobre a contaArt. 7.º, II (execução de serviço)
Transações financeirasCategorização, análise de gastos, Score Saúde FinanceiraArt. 7.º, I (consentimento)
Dados de contrachequeAnálise de renda e insights financeiros pessoaisArt. 7.º, I + Art. 11, II (consentimento explícito para dado sensível)
CPF do titular (opcional)Atribuir extratos a uma pessoa e detectar documentos de terceirosArt. 7.º, I (consentimento) + minimização Art. 6.º, III
Dados de terceiros (familiares)Organização financeira familiar, sob declaração de autorização do titular dos dadosArt. 7.º (consentimento) [REVISAR: base legal e papel — ver Seção 2.6]
Sinais de consciência financeiraAlertas sobre padrões de gasto rápido / possível jogoArt. 7.º, I (consentimento) [REVISAR: inferência comportamental]
Logs de auditoria e IPSegurança da conta e conformidade LGPD art. 37Art. 7.º, IX (legítimo interesse) + Art. 7.º, II

[REVISAR] Confirmar com advogado a classificação dos dados de contracheque como dado sensível nos termos do art. 5.º, II da LGPD.

4. Suboperadores e Compartilhamento de Dados

O SpendFlow não vende, aluga nem compartilha dados pessoais com terceiros para fins comerciais. Os suboperadores abaixo têm acesso técnico restrito às suas respectivas funções:

4.1 Banco de Dados e Autenticação

Estado atual: Supabase Inc. (EUA) — plataforma PostgreSQL gerenciada. Row-Level Security (RLS) ativo em todas as tabelas, de modo que cada usuário acessa exclusivamente os próprios dados.

Previsão: migração para infraestrutura própria autossustentada (self-hosted) no Brasil, eliminando o suboperador externo e a transferência internacional para este serviço.

[REVISAR: verificar se há DPA vigente com a Supabase Inc. e se a transferência internacional atende aos requisitos do art. 33 da LGPD.]

4.2 Monitoramento de Erros

Sentry Inc. (EUA) — monitoramento de erros técnicos. Os relatórios enviados contêm stack traces e metadados de depuração. Nenhum dado financeiro, CPF ou informação de contracheque é incluído nos eventos de erro (scrubbing de PII ativo).

[REVISAR: confirmar configuração de PII scrubbing no Sentry SDK e verificar existência de DPA.]

4.3 Inteligência Artificial

O SpendFlow processa a categorização e as análises financeiras primariamente por algoritmos determinísticos executados no próprio servidor. Quando um modelo de IA é utilizado para auxiliar a categorização ou gerar recomendações, ele roda localmente, na infraestrutura do SpendFlow (modelo qwen2.5:7b via Ollama), sem qualquer tráfego externo.

Nenhum dado pessoal — financeiro, de contracheque ou de identificação — é transmitido a serviços externos de inteligência artificial, provedores de IA em nuvem ou modelos de terceiros. O SpendFlow não utiliza o Google Gemini nem qualquer outro serviço de IA externo.

5. Transferência Internacional de Dados (LGPD Art. 33)

Enquanto a plataforma utiliza Supabase cloud e Sentry, dados pessoais podem ser processados em servidores situados nos Estados Unidos da América.

[REVISAR: confirmar, junto ao advogado, o mecanismo de adequação aplicável — cláusulas contratuais padrão ou verificação de grau adequado de proteção — conforme art. 33, I–XII da LGPD, antes do lançamento em produção.]

Após a migração para infraestrutura autossustentada no Brasil, não haverá transferência internacional de dados pessoais.

6. Medidas de Segurança (LGPD Art. 46)

O SpendFlow adota as seguintes medidas técnicas e organizacionais para proteger os dados pessoais:

  • Minimização de dados: contracheques são lidos apenas para extrair três valores numéricos; nome, SIAPE, matrícula e órgão empregador nunca são lidos nem armazenados;
  • CPF (quando fornecido) armazenado cifrado (Fernet) com código HMAC para comparação; nunca em texto puro, nunca em logs/exportações — apenas mascarado na interface;
  • Isolamento por pessoa: dados de cada CPF ficam em silos separados; análises nunca cruzam dados de pessoas diferentes;
  • Senhas armazenadas exclusivamente como hash bcrypt; nunca em texto puro nem trafegadas após o cadastro;
  • Todas as comunicações realizadas via HTTPS (TLS);
  • Endereços IP anonimizados (último octeto descartado) nos registros de auditoria;
  • Row-Level Security (RLS) no banco de dados: cada usuário acessa exclusivamente seus próprios dados, independentemente de acesso direto ao banco;
  • Tokens JWT de curta duração com rotação por refresh token;
  • Registro de auditoria de todas as operações sensíveis (consentimento, exportação de dados, exclusão de conta), visível ao próprio titular;
  • Consentimento explícito e individualmente revogável para cada funcionalidade que processe dados sensíveis (contracheques).

7. Retenção e Eliminação de Dados (LGPD Arts. 15–16)

  • Dados de conta e financeiros: mantidos enquanto a conta estiver ativa ou até solicitação de eliminação pelo titular;
  • Dados de contracheque: o titular pode eliminar registros individualmente, a qualquer momento, sem excluir a conta;
  • Logs de auditoria: [REVISAR: definir período mínimo de retenção para fins de auditoria e eventual obrigação legal de guarda];
  • Exclusão da conta: todos os dados pessoais são eliminados permanentemente. O titular recebe confirmação na plataforma após a operação. A eliminação é irreversível.

Após a eliminação, dados poderão ser mantidos exclusivamente de forma anonimizada ou agregada — não identificável — para fins estatísticos, nos termos do art. 16, IV da LGPD, caso aplicável.

8. Direitos do Titular (LGPD Art. 18)

Nos termos do art. 18 da LGPD, o titular tem os seguintes direitos, todos exercíveis diretamente na plataforma sem necessidade de formulários externos:

  • Confirmação e acesso (Art. 18, I–II) — o Painel de Privacidade em Configurações exibe todos os dados armazenados e o histórico de atividade da conta;
  • Portabilidade (Art. 18, V) — exportação de todos os dados em formato JSON estruturado, via Painel de Privacidade, incluindo os perfis de familiares (CPF mascarado) e os consentimentos registrados;
  • Eliminação parcial (Art. 18, IV) — exclusão individual de registros de contracheque, exclusão de extratos/faturas e descarte do que foi importado em uma sessão, via Painel de Privacidade;
  • Remoção do CPF (Art. 18, IV / Art. 16) — exclusão do CPF a qualquer momento, mantendo extratos e análises, sem encerrar a conta;
  • Eliminação dos dados de um familiar (Art. 18, IV) — exclusão do silo de um terceiro, que apaga as transações daquele perfil e revoga o consentimento correspondente, via Painel de Privacidade;
  • Eliminação total e encerramento (Art. 18, VI) — exclusão permanente da conta e de todos os dados associados, via Painel de Privacidade;
  • Revogação de consentimento(Art. 15, § 5.º) — revogação do consentimento para análise de contracheques em Configurações › Contracheques, a qualquer tempo e sem ônus;
  • Correção (Art. 18, III) — solicitação de correção de dados incompletos, inexatos ou desatualizados pelo canal de privacidade [REVISAR: definir fluxo];
  • Informação sobre compartilhamento (Art. 18, VII) — descrita na Seção 4 desta Política.

Para exercer direitos não automatizados ou para reclamações relacionadas ao tratamento de dados, contate o canal de privacidade: privacidade@spendflow.app [REVISAR: confirmar endereço].

9. Cookies e Armazenamento Local

O SpendFlow utiliza exclusivamente cookies de sessão estritamente necessários para autenticação (token JWT). Não são utilizados cookies de rastreamento, análise comportamental, publicidade ou quaisquer outros cookies não essenciais.

[REVISAR: verificar se o uso de cookies de autenticação requer banner de consentimento nos termos da legislação aplicável ou se está dispensado por ser estritamente necessário.]

10. Alterações a Esta Política

Alterações materiais a esta Política serão comunicadas ao titular por e-mail e/ou notificação na plataforma com antecedência mínima de 15 (quinze) dias corridos. A versão vigente estará sempre disponível em spendflow.app/privacidade.

A continuidade do uso da plataforma após o período de aviso implicará aceitação da versão atualizada. Caso o titular não concorde com as alterações, poderá encerrar sua conta pelo Painel de Privacidade.

11. Contato e Encarregado de Proteção de Dados (DPO)

[REVISAR: designar formalmente o encarregado conforme art. 41 da LGPD e publicar o nome ou identidade do DPO. Em fase Alpha, o próprio controlador pode acumular a função, conforme admitido pela ANPD.]

Para dúvidas, exercício de direitos ou reclamações sobre o tratamento de dados pessoais, entre em contato com o Encarregado de Proteção de Dados (DPO) do SpendFlow:

E-mail: privacidade@spendflow.app [REVISAR: confirmar]

O titular também tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd.

Este documento é um rascunho preliminar. O texto jurídico definitivo será elaborado por advogado habilitado e publicado antes do lançamento em produção.

Termos de UsoVoltar para o login