Politica de Privacidade

1.1. A presente Politica de Privacidade ("Politica") tem por finalidade informar aos titulares de dados pessoais ("Usuarios", "Voce") sobre as praticas de coleta, uso, armazenamento, tratamento, compartilhamento e protecao de dados pessoais realizadas pela plataforma Ninho ("Plataforma", "nos", "nosso"), em estrita conformidade com a Lei Geral de Protecao de Dados Pessoais (Lei n. 13.709/2018 -- "LGPD") e, no que couber, com o Regulamento Geral sobre a Protecao de Dados da Uniao Europeia (Regulamento (UE) 2016/679 -- "GDPR").

1.2. O Ninho e uma plataforma gratuita de controle financeiro familiar, desenvolvida e mantida por pessoa fisica, com o proposito de oferecer um ambiente seguro e confiavel para a gestao de dados financeiros pessoais e familiares.

1.3. Controlador dos dados pessoais:
Nome: Abner Fonseca
E-mail: abner.borda@gmail.com

1.4. Encarregado de Protecao de Dados (DPO), nos termos do art. 41 da LGPD:
Nome: Abner Fonseca
E-mail: abner.borda@gmail.com

Nao vendemos seus dados. Nunca. O Ninho existe para proteger suas informacoes financeiras, jamais para comercializa-las.

2.1. Para a prestacao dos servicos oferecidos pela Plataforma, coletamos e tratamos as seguintes categorias de dados pessoais, sempre observando os principios da finalidade, adequacao e necessidade previstos no art. 6 da LGPD:

2.1.1. Dados cadastrais:

• Nome completo;
• Endereco de e-mail;
• Senha de acesso (armazenada exclusivamente em formato criptografado mediante algoritmo bcrypt com salt aleatorio, sendo impossivel a recuperacao da senha original);
• Dados de perfil configurados pelo Usuario (foto, preferencias de idioma e notificacoes).

2.1.2. Dados financeiros:

• Transacoes bancarias (descricao, valor, data, tipo);
• Extratos bancarios importados pelo Usuario (em formato PDF, CSV ou OFX);
• Renda mensal declarada;
• Orcamento e metas financeiras;
• Dados de investimentos, financiamentos e consorcios;
• Categorias de gastos e receitas.

2.1.3. Dados de dependentes familiares:

• Nome, CPF (opcional), data de nascimento e grau de parentesco de dependentes cadastrados voluntariamente pelo Usuario para fins de controle de Imposto de Renda e planejamento financeiro familiar.

2.1.4. Dados de autenticacao avancada:

• Chaves publicas de credenciais WebAuthn/Passkeys, utilizadas para autenticacao biometrica. Esclarecemos que a Plataforma jamais acessa, coleta ou armazena dados biometricos propriamente ditos (impressoes digitais, reconhecimento facial, etc.) -- o processamento biometrico ocorre exclusivamente no dispositivo do Usuario, sendo transmitida a Plataforma apenas a chave criptografica resultante.

2.1.5. Dados de uso e logs:

• Registros de chamadas a servicos de Inteligencia Artificial;
• Preferencias do sistema e configuracoes do Usuario;
• Data e hora de acesso;
• Endereco IP (para fins exclusivos de seguranca).

2.2. A Plataforma nao coleta dados de geolocalizacao precisa, nao realiza rastreamento comportamental entre sites, nao utiliza cookies de publicidade e nao acessa contatos ou arquivos do dispositivo do Usuario alem dos expressamente importados pelo mesmo.

2.3. A nao disponibilizacao de determinados dados podera limitar ou impedir o acesso a funcionalidades especificas da Plataforma. O usuario pode optar por nao fornecer dados opcionais (como dados de dependentes ou extratos) mantendo acesso as funcionalidades basicas.

2.4. Os arquivos de extratos (PDF, CSV, OFX) enviados pelo Usuario sao processados para extracao de transacoes e descartados do servidor apos o processamento. Apenas os dados estruturados (transacoes individuais) sao armazenados.

3.1. Os dados pessoais coletados sao tratados para as seguintes finalidades especificas:

3.1.1. Prestacao do servico principal:

• Exibicao e organizacao de transacoes financeiras;
• Calculo de orcamento, saldo e evolucao patrimonial;
• Geracao de graficos, relatorios e dashboards financeiros;
• Simulacao de financiamentos, consorcios e projecoes financeiras;
• Gestao de investimentos e objetivos financeiros;
• Calculo estimado de Imposto de Renda.

3.1.2. Funcionalidades de Inteligencia Artificial:

• Categorizacao automatica de transacoes bancarias;
• Normalizacao de nomes de estabelecimentos;
• Geracao de insights e analises financeiras personalizadas;
• Analise de contratos e documentos financeiros;
• Previsao de fluxo de caixa;
• Score de saude financeira.

3.1.2.1. Como a Inteligencia Artificial funciona na Plataforma:

• Categorizacao: a IA analisa a descricao de cada transacao e sugere automaticamente uma categoria. Por exemplo, uma transacao com "iFood" e classificada como "Alimentacao/Delivery", e uma com "Uber" como "Transporte";
• Score financeiro: e calculado com base na relacao entre renda e gastos, existencia de reserva de emergencia, percentual de metas atingidas e evolucao patrimonial ao longo do tempo;
• Insights: a IA compara seus gastos do mes atual com meses anteriores, identifica tendencias (aumento ou reducao em categorias especificas) e gera recomendacoes personalizadas;
• Normalizacao de estabelecimentos: nomes abreviados ou codificados em extratos bancarios (ex: "PAG*JoseDaSilva") sao convertidos para nomes legiveis (ex: "Jose da Silva").

3.1.2.2. Modelos de IA utilizados: Gemini 2.0 Flash (provedor padrao), Claude Sonnet 4.6 (fallback), GPT-4o Mini (fallback). A Plataforma pode alternar automaticamente entre provedores para garantir disponibilidade. Nenhum provedor armazena ou utiliza os dados para treinamento de seus modelos.

3.1.3. Seguranca e integridade:

• Autenticacao e controle de acesso;
• Prevencao, deteccao e mitigacao de fraudes e acessos nao autorizados;
• Logs de auditoria e rastreabilidade de acoes criticas.

3.1.4. Comunicacao com o Usuario:

• Envio de e-mails de verificacao de conta;
• Envio de e-mails de redefinicao de senha;
• Notificacoes sobre alteracoes relevantes no servico ou nesta Politica.

4.1. O tratamento de dados pessoais realizado pela Plataforma fundamenta-se nas seguintes bases legais previstas no art. 7 da LGPD:

4.1.1. Consentimento do titular (Art. 7, I): Ao criar sua conta na Plataforma e aceitar expressamente esta Politica e os Termos de Servico, o Usuario manifesta seu consentimento livre, informado e inequivoco para o tratamento de seus dados pessoais conforme aqui descrito. O consentimento pode ser revogado a qualquer momento, nos termos do art. 8, para. 5, da LGPD, sem prejuizo da legalidade do tratamento realizado com base no consentimento anteriormente manifestado.

4.1.2. Execucao de contrato ou de procedimentos preliminares (Art. 7, V): O tratamento de determinados dados e indispensavel para a execucao do contrato de prestacao de servicos (Termos de Servico) firmado entre o Usuario e a Plataforma, incluindo a importacao de extratos, categorizacao de transacoes e geracao de relatorios.

4.1.3. Legitimo interesse do controlador (Art. 7, IX): Para atividades de melhoria do servico, seguranca da informacao, prevencao de fraude e manutencao da integridade da Plataforma, observados os direitos e liberdades fundamentais do titular, em conformidade com o art. 10 da LGPD.

4.2. Para usuarios sujeitos ao GDPR (Regulamento (UE) 2016/679), as bases legais aplicaveis sao: consentimento (Art. 6(1)(a)), execucao de contrato (Art. 6(1)(b)) e interesses legitimos (Art. 6(1)(f)), conforme correspondencia com as bases legais da LGPD acima indicadas.

4.3. Avaliacao de Impacto a Protecao de Dados (DPIA). A Plataforma conduziu Avaliacao de Impacto a Protecao de Dados (DPIA) conforme Art. 38 da LGPD e Art. 35 do GDPR, considerando o tratamento de dados financeiros com auxilio de inteligencia artificial. A avaliacao concluiu que as medidas tecnicas e organizacionais adotadas sao adequadas para mitigar os riscos identificados.

O Ninho jamais vende, licencia, aluga ou comercializa dados pessoais de seus Usuarios para terceiros, para quaisquer fins, incluindo fins publicitarios, de marketing, de perfilamento comercial ou de enriquecimento de bases de dados. Este compromisso e irrevogavel e constitui principio fundante da Plataforma.

5.1. Provedores de Inteligencia Artificial. Para o funcionamento das funcionalidades de IA descritas no Artigo 3.1.2, dados financeiros do Usuario podem ser transmitidos, de forma criptografada e em sessoes efemeras, aos seguintes operadores/subprocessadores:

• Google Gemini (Google LLC, Mountain View, CA, EUA) -- provedor principal de IA;
• Claude (Anthropic PBC, San Francisco, CA, EUA) -- provedor alternativo de IA;
• OpenAI (OpenAI Inc., San Francisco, CA, EUA) -- provedor alternativo de IA.

5.2. Dados transmitidos aos provedores de IA: descricoes de transacoes, valores monetarios, categorias de gastos, dados de extratos e textos de contratos/documentos financeiros submetidos a analise.

5.3. Dados que NUNCA sao transmitidos a provedores de IA: senhas, CPF, dados bancarios de acesso (numero de agencia, numero de conta, tokens de autenticacao bancaria), dados biometricos ou quaisquer credenciais de acesso.

5.4. Garantias dos provedores de IA:

• Os dados sao processados exclusivamente para gerar a resposta solicitada pela Plataforma, em sessao efemera;
• Utilizamos exclusivamente APIs pagas (enterprise/production tier), que, conforme os termos de servico desses provedores, nao utilizam os dados enviados para treinamento de modelos de IA;
• Os provedores estao sujeitos a seus respectivos contratos de processamento de dados (DPAs) e politicas de privacidade;
• A transferencia internacional de dados esta amparada pelas garantias previstas no Capitulo V da LGPD e no Capitulo V do GDPR.

5.5. O Usuario pode desativar integralmente o uso de IA a qualquer momento, acessando Configuracoes > Privacidade na Plataforma. Nesse caso, todas as funcionalidades que dependem de processamento por IA serao desabilitadas, e nenhum dado sera mais transmitido a esses provedores.

5.6. Outros prestadores de servico:

• Resend (Resend Inc.) -- servico de envio de e-mails transacionais (verificacao de conta, redefinicao de senha). Dados compartilhados: endereco de e-mail do Usuario;
• Cloudflare (Cloudflare Inc.) -- servico de protecao de rede (CDN, protecao contra DDoS, firewall de aplicacao web). Dados compartilhados: endereco IP e metadados de conexao.

5.7. Em nenhuma hipotese os dados pessoais dos Usuarios serao compartilhados com terceiros para fins de publicidade, marketing direto, venda de produtos ou servicos de terceiros, ou qualquer outra finalidade comercial alheia a prestacao do servico da Plataforma.

6.1. Em conformidade com o art. 18 da LGPD e, para usuarios sujeitos ao GDPR, com os arts. 15 a 22 do Regulamento (UE) 2016/679, o Usuario titular dos dados pessoais tem direito a:

• a) Confirmacao e acesso (Art. 18, I e II): obter a confirmacao da existencia de tratamento e acessar a integralidade de seus dados pessoais armazenados pela Plataforma;
• b) Correcao (Art. 18, III): solicitar a correcao de dados pessoais incompletos, inexatos ou desatualizados;
• c) Anonimizacao, bloqueio ou eliminacao (Art. 18, IV): solicitar a anonimizacao, bloqueio ou eliminacao de dados desnecessarios, excessivos ou tratados em desconformidade com a LGPD;
• d) Portabilidade (Art. 18, V): solicitar a portabilidade de seus dados a outro fornecedor de servico, em formato estruturado (JSON), mediante requisicao expressa;
• e) Eliminacao (Art. 18, VI): solicitar a eliminacao dos dados pessoais tratados com base no consentimento, exceto nas hipoteses de conservacao previstas no art. 16 da LGPD;
• f) Informacao sobre compartilhamento (Art. 18, VII): obter informacoes sobre as entidades publicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• g) Informacao sobre consentimento (Art. 18, VIII): ser informado sobre a possibilidade de nao fornecer consentimento e sobre as consequencias da negativa;
• h) Revogacao do consentimento (Art. 18, IX): revogar o consentimento a qualquer momento, de forma gratuita e facilitada, sem prejuizo da legalidade do tratamento realizado anteriormente;
• i) Oposicao (Art. 18, para. 2): opor-se ao tratamento realizado com base em hipotese de dispensa de consentimento, caso verificada a desconformidade com a LGPD;
• j) Revisao de decisoes automatizadas (Art. 20): solicitar a revisao de decisoes tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo analises geradas por IA.

6.2. Para exercer qualquer dos direitos acima, o Usuario podera:

• Acessar Configuracoes > Privacidade na Plataforma (para exclusao de conta, exportacao de dados e revogacao do consentimento para IA); ou
• Enviar solicitacao por e-mail ao Encarregado de Protecao de Dados (DPO): abner.borda@gmail.com.

6.3. As solicitacoes serao atendidas no prazo de ate 15 (quinze) dias uteis, contados do recebimento da requisicao, conforme previsto no art. 18, para. 5, da LGPD. Em situacoes de maior complexidade, o prazo podera ser estendido mediante comunicacao fundamentada ao titular.

7.1. Os dados pessoais serao retidos pela Plataforma pelos seguintes periodos:

• Dados da conta e dados financeiros: mantidos enquanto a conta do Usuario estiver ativa na Plataforma;
• Logs de chamadas a servicos de IA: retidos por no maximo 90 (noventa) dias, sendo automaticamente eliminados apos esse periodo;
• Logs de acesso e seguranca: retidos por 90 (noventa) dias, em conformidade com boas praticas de seguranca da informacao;
• Dados de e-mail para comunicacoes transacionais: retidos pelo periodo necessario ao envio, nao excedendo 30 dias apos o envio.

7.2. Apos a exclusao da conta pelo Usuario, todos os dados pessoais serao permanente e irreversivelmente eliminados em ate 30 (trinta) dias corridos, incluindo backups, salvo nas hipoteses de conservacao previstas no art. 16 da LGPD (cumprimento de obrigacao legal ou regulatoria, estudo por orgao de pesquisa, transferencia a terceiro ou uso exclusivo do controlador, desde que anonimizados).

7.3. O Usuario pode solicitar a exclusao imediata de sua conta e dados a qualquer momento por meio de Configuracoes > Privacidade > Excluir minha conta, ou por solicitacao ao DPO.

8.1. A Plataforma adota medidas tecnicas e administrativas de seguranca da informacao aptas a proteger os dados pessoais contra acessos nao autorizados, destruicao, perda, alteracao, comunicacao ou difusao, em conformidade com o art. 46 da LGPD e com o art. 32 do GDPR:

• Criptografia de senhas: todas as senhas sao armazenadas mediante hash criptografico bcrypt com salt aleatorio. A Plataforma jamais armazena senhas em texto plano e nao possui meios de recupera-las;
• Autenticacao por tokens JWT: tokens de acesso com expiracao curta (15 minutos) e tokens de atualizacao (refresh tokens) com rotacao automatica;
• Autenticacao biometrica: suporte a WebAuthn/Passkeys para autenticacao sem senha, com processamento biometrico exclusivamente local no dispositivo;
• Comunicacao criptografada: todas as comunicacoes entre o dispositivo do Usuario e a Plataforma sao realizadas exclusivamente via protocolo HTTPS/TLS;
• Protecao contra ataques: rate limiting (limitacao de taxa de requisicoes), protecao Cloudflare contra ataques DDoS, firewall de aplicacao web (WAF);
• Controle de acesso: segregacao logica de dados entre contas de Usuarios, garantindo que nenhum Usuario possa acessar dados de outro;
• Monitoramento: logs de auditoria para rastreabilidade de acoes criticas e deteccao de anomalias;
• Armazenamento seguro: os dados sao armazenados em banco de dados PostgreSQL com acesso restrito. O banco de dados e acessivel apenas via rede interna do servidor, sem exposicao a internet publica.

8.2. Apesar de adotarmos as melhores praticas e tecnologias disponiveis para a protecao de dados, nenhum sistema e absolutamente inviolavel. Em caso de incidente de seguranca que possa acarretar risco ou dano relevante aos titulares, a Plataforma notificara a ANPD e os titulares afetados no prazo de 72 (setenta e duas) horas, conforme Art. 48 da LGPD e Art. 33 do GDPR.

9.1. A Plataforma utiliza exclusivamente cookies essenciais, estritamente necessarios para o funcionamento do servico, quais sejam:

• Cookies de sessao/autenticacao: utilizados para manter o Usuario autenticado durante a navegacao (sessao NextAuth/JWT);
• Cookies de preferencia de idioma: para armazenar a escolha de idioma do Usuario.

9.2. A Plataforma nao utiliza:

• Cookies de rastreamento ou analytics;
• Cookies de publicidade ou remarketing;
• Pixels de rastreamento de terceiros;
• Scripts de monitoramento comportamental;
• Qualquer tecnologia de fingerprinting de dispositivos.

9.3. Dado que utilizamos exclusivamente cookies essenciais, o consentimento especifico para cookies nao e exigido nos termos do art. 5(3) da Diretiva 2002/58/CE (ePrivacy), conforme interpretado pelo Comite Europeu para a Protecao de Dados (EDPB).

10.1. Em razao da utilizacao de provedores de servicos de IA sediados nos Estados Unidos da America (conforme descrito no Artigo 5), podera ocorrer transferencia internacional de dados pessoais.

10.2. Tais transferencias sao realizadas em conformidade com o Capitulo V da LGPD (arts. 33 a 36) e com o Capitulo V do GDPR (arts. 44 a 49), fundamentadas em:

• Contratos de processamento de dados (DPAs) firmados com os provedores;
• Clausulas contratuais padrao (Standard Contractual Clauses -- SCCs), quando aplicavel;
• Consentimento especifico e informado do titular, nos termos do art. 33, VIII, da LGPD.

11.1. A Plataforma nao e destinada a menores de 18 (dezoito) anos. O cadastro deve ser realizado exclusivamente por pessoa maior de idade ou emancipada civilmente.

11.2. Dados de dependentes menores de idade (nome, data de nascimento) podem ser cadastrados pelo responsavel legal, exclusivamente para fins de controle financeiro familiar e calculo de Imposto de Renda, conforme permitido pelo art. 14, para. 1, da LGPD, mediante consentimento especifico do responsavel.

12.1. A Plataforma reserva-se o direito de alterar esta Politica a qualquer momento, sendo que quaisquer alteracoes serao devidamente publicadas nesta pagina com atualizacao da data indicada no cabecalho.

12.2. Alteracoes substanciais que modifiquem as finalidades de tratamento, as categorias de dados coletados, os terceiros com quem os dados sao compartilhados ou os direitos dos titulares serao comunicadas previamente ao Usuario por e-mail ou por aviso destacado na Plataforma.

12.3. O uso continuado da Plataforma apos a publicacao de alteracoes constitui aceite das novas condicoes. Caso nao concorde com as alteracoes, o Usuario devera cessar o uso e solicitar a exclusao de sua conta.

13.1. Esta Politica e regida e interpretada de acordo com as leis da Republica Federativa do Brasil, em especial a Lei n. 13.709/2018 (LGPD), o Marco Civil da Internet (Lei n. 12.965/2014) e o Codigo de Defesa do Consumidor (Lei n. 8.078/1990), no que couber.

13.2. Para usuarios sujeitos ao GDPR, as disposicoes do Regulamento (UE) 2016/679 serao aplicadas de forma complementar, prevalecendo as protecoes mais favoraveis ao titular.

13.3. Fica eleito o foro da comarca do domicilio do Usuario para dirimir quaisquer controversias oriundas desta Politica, em respeito ao art. 101, I, do Codigo de Defesa do Consumidor.

14.1. Encarregado de Protecao de Dados (DPO):
Nome: Abner Fonseca
E-mail: abner.borda@gmail.com
Prazo de resposta: ate 15 (quinze) dias uteis

14.2. Caso o Usuario entenda que o tratamento de seus dados pessoais viola a legislacao de protecao de dados aplicavel, ou caso nao fique satisfeito com a resposta fornecida pelo Controlador, podera apresentar reclamacao perante a Autoridade Nacional de Protecao de Dados (ANPD):

• Website: www.gov.br/anpd
• Canal de atendimento: www.gov.br/anpd/pt-br/canais_atendimento

14.3. Para usuarios sujeitos ao GDPR, reclamacoes podem ser direcionadas a autoridade supervisora competente do Estado-Membro de residencia do titular, nos termos do art. 77 do GDPR.