Política de Privacidade do Poupa Real
Última atualização: 9 de junho de 2026
Não vendemos seus dados
Seus dados do app (compras, cupons, score) nunca vão pra anunciantes. Usamos um pixel de medição de anúncios da Meta apenas nas páginas públicas e somente com o seu consentimento, que você pode recusar ou revogar quando quiser (vide §9). Você pode apagar tudo a qualquer momento em Perfil → Apagar conta.
1. Quem somos e o que esta política cobre
O Poupa Real é um aplicativo de controle de gastos com alimentação. Você tira foto do cupom, a IA categoriza, e você sabe se o mês vai fechar no azul. Esta política descreve, em português direto, quais dados coletamos, por que coletamos, com quem compartilhamos, e o que você pode fazer pra controlar tudo isso.
Controlador dos dados: Danilo Tiago. Contato: contato@poupareal.com.br.
Encarregado pelo Tratamento de Dados (DPO): Danilo Tiago. Contato: contato@poupareal.com.br.
Como falar com a gente: envie email pra contato@poupareal.com.br. Respondemos em até 15 dias corridos para solicitações relacionadas aos seus dados (prazo LGPD art. 19, §1º).
2. Que dados coletamos
2.1 Dados de cadastro (você nos dá)
| Dado | Quando | Por quê |
|---|---|---|
| Nome | Signup | Personalizar a interface (saudação, perfil) |
| Signup | Login, recuperação de senha, comunicações transacionais | |
| Senha | Signup | Autenticação. Nunca armazenamos a senha em texto puro: usamos Argon2id (hash forte com custo de memória 64MB). Quem entra com o Google não tem senha na nossa base |
| Dados de login social do Google (email, nome e identificador da sua conta Google) | Quando você escolhe "Entrar com Google" | Criar e autenticar sua conta sem precisar de senha. Recebemos esses dados do Google após você autorizar; o email e o nome entram no seu perfil como em qualquer cadastro |
| Plano (Trial, Free ou Premium) | Signup automático coloca em Trial; muda para Free ou Premium ao final do Período de Descoberta | Aplicar limites do plano e cobrar mensalidade quando aplicável. Detalhes em Termos §6.0 |
| Datas do Período de Descoberta (início, fim, data de aviso, data de decisão) | Signup automático + cron de aviso + sua decisão na tela de Decisão | Calcular quando o Período acaba, evitar enviar aviso de fim mais de uma vez, registrar que você decidiu (Free ou Premium) pra liberar acesso ao app |
2.2 Dados de compra (você gera usando o app)
| Dado | Quando | Por quê |
|---|---|---|
| Foto do cupom fiscal | Toda vez que você importa um cupom | Extrair items, preços e estabelecimento via IA |
| Lista de items processados (produto, preço, quantidade) | Após processamento OCR | Compor o histórico de compras, categorizar gastos, calcular score |
| Estabelecimento (nome, categoria) | Após processamento OCR | Agrupar gastos por canal (mercado, delivery, restaurante, etc) |
| Bolso atribuído (canal de gasto: mercado, delivery, restaurante, padaria, feira, lanchonete, conveniência, açougue ou outros customizados) | Você escolhe ou IA sugere após o OCR | Aplicar envelope budgeting (alocação por canal); permite analisar onde você gasta mais por categoria |
| Orçamento mensal definido por você | Configuração | Calcular score, alertas de estouro, projeções |
2.3 O que pode aparecer dentro da foto do cupom (importante)
Cupom fiscal brasileiro pode conter CPF, endereço da loja, e em casos raros nome do cliente. A foto vai pra IA processar, e da IA volta um texto extraído. Antes de armazenar esse texto no nosso banco, passamos por um filtro automático que remove padrões de:
- CPF (
000.000.000-00). - CNPJ (
00.000.000/0000-00). - CEP (
00000-000). - Telefone (
(00) 00000-0000e variações). - Email (
pessoa@dominio.com). - RG (
00.000.000-0). - Cartão de crédito parcial (sequências de 6 ou mais dígitos).
A foto original vai pro armazenamento (vide §3.2 sobre retenção). O texto bruto extraído não fica armazenado com PII: só metadados sanitizados e a lista estruturada de items que você vê no histórico.
2.4 Dados técnicos (gerados automaticamente)
| Dado | Por quê |
|---|---|
| Endereço IP (em logs de servidor) | Segurança (rate limit, detecção de abuso), auditoria de acesso |
| User-Agent (navegador, sistema) | Diagnóstico de bugs específicos de plataforma |
| Logs estruturados de eventos (sem PII bruta) | Operação do serviço (monitorar erros, investigar incidentes) |
| Cookies essenciais (token de sessão JWT) | Manter você logado entre páginas |
| Preferências locais (filtros de bolso, último mês visto) | UX (lembrar suas escolhas). Salvas no seu navegador via localStorage, não enviadas pra gente |
3. Por que coletamos e por quanto tempo guardamos
3.1 Bases legais (LGPD art. 7º)
- Execução de contrato (art. 7º, V): dados de cadastro e compra são necessários pra você usar o serviço. Inclui o login social: quando você escolhe entrar com o Google, recebemos do Google seu email, nome e o identificador da sua conta Google pra criar e autenticar seu acesso (alternativa ao email e senha, sem rastreamento de comportamento).
- Consentimento (art. 7º, I): você consente ao enviar a foto do cupom pra processamento por IA, e (separadamente) ao aceitar o pixel de medição de anúncios da Meta nas páginas públicas (vide §9). Pode recusar ou revogar a qualquer momento (art. 18).
- Cumprimento de obrigação legal (art. 7º, II): dados de pagamento e nota fiscal eletrônica, quando aplicável (Sprint 4+).
- Interesse legítimo (art. 7º, IX): logs técnicos de segurança, análise agregada e anônima de uso pra melhorar o produto.
3.2 Retenção
| Categoria | Retenção | O que acontece depois |
|---|---|---|
| Imagens de cupom (foto original) | 90 dias após o processamento | Apagadas automaticamente do nosso armazenamento (Cloudflare R2). Job diário roda no servidor |
| Texto bruto extraído pela IA (sanitizado) | Enquanto a compra existir | Você pode editar ou apagar a compra a qualquer momento; ao apagar a conta, todos os textos vão junto |
| Items, preços, estabelecimento estruturados | Enquanto a conta existir | Necessário pra histórico, score e relatórios |
| Dados de cadastro | Enquanto a conta existir | Apagados quando você deleta a conta (vide §6) |
| Logs técnicos com IP | 30 dias por padrão | Logs mais antigos são descartados em rotação automática |
| Eventos anonimizados de cancelamento | Indefinido (sem identificadores pessoais reversíveis) | Vide §3.3 |
3.3 Registro anonimizado de cancelamento
Quando você apaga sua conta, registramos um evento interno avisando que alguém cancelou (sem nome, sem email, sem qualquer identificador pessoal). O registro contém apenas: tempo de uso aproximado, plano no momento do cancelamento, quantidade de compras e imports realizados no período. Esse registro alimenta análise agregada de retenção e atende ao princípio de minimização (LGPD art. 6º, III): nenhum dado pessoal seu permanece, mas o número anônimo nos ajuda a entender por que pessoas saem.
4. Com quem compartilhamos (e por quê)
Trabalhamos com prestadores de serviço pra rodar partes específicas da operação. Cada um recebe apenas o dado necessário pra função dele.
| Fornecedor | Função | Dado compartilhado | Salvaguardas |
|---|---|---|---|
| Google Gemini (Google AI Studio, tier pago) | Processar foto do cupom (OCR + categorização) e gerar recomendações personalizadas no Plano do Mês (em ativação progressiva: disponível conforme rollout) | Imagem do cupom + lista dinâmica das suas categorias e bolsos + resumo agregado dos seus gastos quando você pede um Plano do Mês (totais por bolso, comportamento, score; sem fotos de cupons individuais nessa requisição) | Tier pago contratado: dados NÃO são usados para treinar modelos do Google. |
| Google (Entrar com Google) | Autenticar você quando escolhe "Entrar com Google" (login social, opcional) | Recebemos do Google seu email, nome e identificador da conta. NÃO enviamos ao Google nenhum dado da sua conta Poupa Real (compras, cupons, score) | Fluxo OIDC padrão de mercado: o Google assina um token de identidade que validamos no nosso servidor. Não usamos segredo de cliente nem rastreamos seu comportamento por esse login. Só aparece se você usar o botão; quem entra por email e senha não passa pelo Google |
| Cloudflare R2 | Armazenar imagens de cupom por até 90 dias | Imagem do cupom | Bucket privado, acesso só via API autenticada. Lifecycle policy de 90 dias configurada |
| Asaas (gateway de pagamento) | Cobrança Premium via cartão de crédito | Nome, email, CPF, valor da assinatura | Asaas é entidade legal brasileira, certificada PCI-DSS. Nenhum dado de cartão trafega pelo nosso servidor. CPF é exigido pelo Banco Central pra cobrança no Brasil; recebemos no checkout, repassamos pra Asaas e não armazenamos na nossa base. |
| Resend (resend.com) | Enviar emails transacionais (confirmação de cadastro, recuperação de senha, comunicações sobre sua conta) | Email + conteúdo do email | Provedor especializado em email transacional. Click tracking e open tracking desligados na configuração: não rastreamos se você abriu ou clicou no email. Contrato comercial padrão. |
| Sentry | Capturar erros do app pra debugar | Stack trace de erro + identificador anônimo de usuário (sem email/nome) | Política de scrubbing de PII configurada no SDK |
| Vercel (frontend) e Fly.io (backend) | Hospedar a aplicação | Tráfego HTTP do app (incluindo dados de uso que você gera) | Provedores PaaS com contratos comerciais padrão |
Não vendemos seus dados. Não compartilhamos com anunciantes os dados que você gera dentro do app. Pra medir a eficácia dos nossos anúncios, usamos o pixel da Meta APENAS nas páginas públicas (fora do app autenticado) e SOMENTE mediante o seu consentimento, que você pode recusar ou revogar a qualquer momento (vide §9 e §6). A única conversão que enviamos à Meta é a conclusão do seu cadastro, e só se você tiver consentido. Se acrescentarmos qualquer fornecedor novo, atualizamos esta política e te avisamos por email.
5. Transferência internacional
Os fornecedores acima podem armazenar dados em servidores fora do Brasil:
- Google (Gemini e Entrar com Google), Sentry, Vercel: EUA e outras regiões globais.
- Cloudflare R2: rede distribuída internacionalmente; configuramos região preferencial em
auto(Cloudflare otimiza pra latência). - Resend: região
sa-east-1(São Paulo, Brasil), com possível roteamento internacional pelos provedores de email destino (Gmail, Outlook etc.). - Fly.io: região
gru(São Paulo, Brasil) pra database e backend.
A LGPD permite transferência internacional desde que o país de destino ofereça grau de proteção adequado ou via cláusulas contratuais padrão (art. 33). Trabalhamos apenas com fornecedores que comprovam adequação por essa via.
6. Seus direitos como titular dos dados (LGPD art. 18)
Você tem direito de:
- Confirmar se tratamos dados seus.
- Acessar os dados que temos sobre você.
- Corrigir dados incompletos, incorretos ou desatualizados (você mesmo edita no app).
- Anonimizar, bloquear ou apagar dados desnecessários ou tratados em desconformidade.
- Solicitar portabilidade dos dados pra outro serviço.
- Eliminar dados pessoais tratados com base em consentimento.
- Obter informação sobre compartilhamento com terceiros (vide §4).
- Revogar consentimento a qualquer momento.
Como exercer: dentro do app, em Perfil → Apagar conta, você dispara a exclusão completa. Tecnicamente, isso aciona o endpoint DELETE /users/me que apaga:
- Todas as imagens de cupom suas no R2.
- Todos os imports, compras, items, produtos, bolsos.
- Todos os logs estruturados que referenciem seu user_id.
- Sua conta no banco.
Sobra apenas o registro anonimizado descrito em §3.3 (sem identificadores reversíveis).
Pra qualquer pedido fora do botão Apagar conta (acesso completo, portabilidade, contestação), envie email pra contato@poupareal.com.br. Respondemos em até 15 dias corridos.
7. Segurança dos seus dados
A segurança é responsabilidade nossa, mas vale dizer com transparência o que fazemos:
- Senhas: nunca armazenadas em texto puro. Usamos Argon2id, hash com custo de memória 64MB (parâmetros recomendados pela OWASP em 2025).
- Sessão: tokens JWT RS256 com expiração curta + refresh token. Logout invalida sessão no servidor.
- Comunicação: HTTPS obrigatório em produção (Vercel + Fly.io forçam TLS).
- Acesso a dados: cada endpoint do servidor valida que você só vê seus próprios dados (auditoria IDOR feita no Sprint 3.6 Bloco 1, zero falhas Critical/High remanescentes).
- Backups do banco: snapshots diários no Fly.io, retenção 7 dias.
- Limite de tamanho de upload: 1MB por imagem (mitiga ataques de DoS por payload grande).
- Rate limiting: por IP e por usuário em endpoints sensíveis (auth, OCR).
- Monitoramento: Sentry captura erros em tempo real; alertas críticos via Slack.
Nenhum sistema é 100% seguro. Se acontecer incidente de segurança que afete seus dados, notificamos você por email e a ANPD (Autoridade Nacional de Proteção de Dados) conforme exige a LGPD (art. 48), em tempo razoável após a descoberta.
8. Crianças e adolescentes
O Poupa Real não é direcionado a menores de 18 anos. Não coletamos cadastros sabendo que pertencem a menores. Se você é responsável legal e descobre que um menor sob sua tutela criou conta, envie email pra contato@poupareal.com.br e apagamos a conta e todos os dados associados em até 7 dias corridos.
9. Cookies e armazenamento local
| Tecnologia | Função | Posso desativar? |
|---|---|---|
| Cookie de sessão JWT | Manter você logado | Não (sem ele você não consegue usar o app) |
localStorage | Lembrar suas escolhas de UI e o seu consentimento de cookies | Sim, limpe pelo navegador (vai resetar preferências) |
| Pixel da Meta (medição de anúncios) | Mede de onde vêm os cadastros pros nossos anúncios no Instagram. Roda só nas páginas públicas, NUNCA dentro do app autenticado, e SÓ depois do seu aceite no banner. A única conversão enviada é a conclusão do cadastro. | Sim: recuse no banner, ou revogue quando quiser em "Preferências de cookies" |
| Botão Entrar com Google (accounts.google.com) | Renderiza o botão de login social e autentica você no Google. Só carrega nas páginas de login e cadastro, NUNCA dentro do app autenticado. O Google pode definir cookies próprios no componente dele durante o login. | Sim: não use o botão. Entrar com email e senha não aciona o Google |
As tecnologias de terceiro são o pixel da Meta (opcional, desligado por padrão até você aceitar) e o botão Entrar com Google nas páginas públicas de login e cadastro. Nenhum dos dois roda dentro do app autenticado.
10. Alterações nesta política
Quando atualizarmos esta política de forma material (mudança de dado coletado, fornecedor novo, alteração de retenção), publicamos a nova versão aqui com a data atualizada e enviamos email pra todos os usuários ativos avisando o que mudou e por quê. Ajustes de redação (clarificação, correção de typo) não geram email, apenas atualização da data no topo.
11. Como falar com a gente
Email do Encarregado pelo Tratamento de Dados: contato@poupareal.com.br.
Tempo de resposta: até 15 dias corridos para solicitações relacionadas aos seus dados (prazo LGPD art. 19, §1º). Suporte técnico geral em até 3 dias úteis.
Reclamação à autoridade: se entender que não estamos cumprindo a LGPD, você pode reclamar à ANPD (https://www.gov.br/anpd).
Dúvidas sobre sua privacidade?
Fale com nosso encarregado em contato@poupareal.com.br
© 2026 Poupa Real · Todos os direitos reservados