Documento Legal

Política de
Privacidade

Como coletamos, usamos e protegemos seus dados pessoais — conforme a LGPD (Lei nº 13.709/2018)

Última atualização: Maio de 2026

01

IDENTIFICAÇÃO DO CONTROLADOR

A GranaEvo é a plataforma responsável pelo tratamento dos seus dados pessoais (controlador, nos termos do art. 5º, VI, da LGPD).

Dados de contato do controlador

Para exercer qualquer direito previsto nesta Política ou na LGPD, entre em contato pelo e-mail do encarregado acima.

02

DADOS PESSOAIS COLETADOS

O GranaEvo coleta e processa as seguintes categorias de dados pessoais:

Dados de cadastro e autenticação

  • Endereço de e-mail (identificação e autenticação);
  • Senha (armazenada em hash bcrypt — nunca em texto puro);
  • Tokens JWT de sessão (duração controlada, armazenados em memória).

Dados de perfil

  • Nome do perfil (escolhido pelo usuário);
  • Foto de perfil (opcional — processada e convertida para WebP antes do armazenamento);
  • Tipo de plano contratado (Individual, Casal ou Família).

Dados financeiros (inseridos pelo usuário)

  • Transações financeiras: descrição, valor, categoria, tipo e data;
  • Contas fixas: nome, valor, vencimento e status de pagamento;
  • Cartões de crédito: nome do banco, limite, vencimento e compras lançadas;
  • Reservas e metas financeiras: nome, valor-alvo e aportes registrados;
  • Rendas mensais e demais dados inseridos manualmente pelo usuário.

Atenção: o GranaEvo não acessa contas bancárias, aplicativos de pagamento, extratos ou qualquer dado financeiro externo. Todos os dados são inseridos manualmente pelo próprio usuário.

Dados de assinatura e pagamento

  • ID de assinatura Stripe (referência interna — os dados do cartão de crédito ficam exclusivamente com a Stripe);
  • Status da assinatura (ativa, cancelada, em atraso);
  • Histórico de cobranças (data e valor — sem dados do cartão).

Dados técnicos e de uso

  • Logs de auditoria internos (ações do usuário dentro da plataforma — sem conteúdo financeiro);
  • Registros de rate-limiting (endereço IP ou chave de sessão — apenas para prevenção de abuso);
  • Nonces de convite (tokens de uso único para convite de perfis).

Dados que NÃO coletamos: dados sensíveis (saúde, biometria, origem racial), dados de menores de 18 anos, dados bancários ou de cartões de crédito (estes são tratados exclusivamente pela Stripe).

03

FINALIDADES E BASES LEGAIS (LGPD, ART. 7º)

Cada tratamento de dados possui uma finalidade específica e uma base legal correspondente:

Execução do contrato (art. 7º, V)

  • Autenticar o usuário e manter a sessão ativa;
  • Armazenar e exibir os dados financeiros inseridos pelo usuário;
  • Processar a assinatura e controlar o acesso à plataforma;
  • Gerenciar perfis e convites dentro do plano contratado.

Cumprimento de obrigação legal (art. 7º, II)

  • Retenção de registros por 90 dias após o encerramento, conforme política interna e possíveis obrigações fiscais;
  • Atendimento a eventual requisição judicial ou de autoridade regulatória.

Legítimo interesse (art. 7º, IX)

  • Rate limiting e prevenção de abuso, fraude e ataques à plataforma;
  • Logs de auditoria internos para segurança e diagnóstico de falhas;
  • Monitoramento de uptime e estabilidade do serviço.

Consentimento (art. 7º, I)

  • Envio de e-mails de boas-vindas, confirmação de conta e redefinição de senha (comunicações transacionais, não marketing).
04

COMPARTILHAMENTO COM TERCEIROS

O GranaEvo não vende, aluga ou cede seus dados pessoais a terceiros para fins comerciais. O compartilhamento ocorre exclusivamente com os operadores essenciais à prestação do serviço:

Operadores e suas funções

  • Supabase (PostgreSQL + Auth): banco de dados principal e autenticação. Dados armazenados em servidores AWS com criptografia em repouso. Política de privacidade: supabase.com/privacy.
  • Stripe: processamento de pagamentos e gestão de assinaturas (PCI-DSS Nível 1). O GranaEvo não armazena dados de cartão — estes ficam exclusivamente com a Stripe. Política: stripe.com/privacy.
  • Vercel: hospedagem da aplicação web e funções serverless. Política: vercel.com/legal/privacy-policy.
  • Cloudflare: proteção contra DDoS, CDN e análise de tráfego (Cloudflare Insights). Pode processar endereços IP de forma anonimizada. Política: cloudflare.com/privacypolicy.
  • Google reCAPTCHA: usado na página de login para prevenção de bots. Pode coletar sinais comportamentais anônimos. Política: policies.google.com/privacy.

Todos os operadores foram escolhidos por adotarem práticas de segurança e privacidade compatíveis com a LGPD e/ou regulamentações equivalentes (GDPR, CCPA).

05

TRANSFERÊNCIA INTERNACIONAL DE DADOS

Parte dos dados pode ser processada em servidores localizados fora do Brasil, especialmente pelos operadores Supabase (AWS us-east-1), Vercel e Cloudflare.

Essas transferências são realizadas com as salvaguardas previstas no art. 33 da LGPD, pois os operadores adotam padrões equivalentes de proteção (GDPR, SOC 2, ISO 27001) e possuem cláusulas contratuais adequadas.

Os dados financeiros inseridos pelo usuário residem no banco de dados Supabase com criptografia AES-256 em repouso e transmissão exclusiva via TLS 1.2+.

06

PRAZO DE RETENÇÃO E EXCLUSÃO

Retenção durante a assinatura ativa

Todos os dados são mantidos enquanto a assinatura estiver ativa ou em período de graça.

Após o encerramento da assinatura

  • Os dados pessoais e financeiros são preservados por 90 dias corridos após o último acesso pago, permitindo a reativação com restauração completa;
  • Após 90 dias sem reativação, todos os dados são excluídos permanentemente de forma automatizada e irreversível;
  • Logs de auditoria de segurança podem ser retidos por até 12 meses, em forma anonimizada, para fins de prevenção de fraude.

A exclusão é irreversível. Recomendamos exportar seus dados antes de cancelar a assinatura.

Cookies e armazenamento local

  • sessionStorage: usado para manter o perfil selecionado durante a sessão do navegador. Limpo ao fechar a aba.
  • localStorage: não utilizado pelo GranaEvo para dados pessoais.
  • Cookies: o GranaEvo não utiliza cookies de rastreamento. A Cloudflare pode definir cookies técnicos de segurança (ex: cf_clearance) sem finalidade analítica.
07

MEDIDAS DE SEGURANÇA TÉCNICA

O GranaEvo adota as seguintes medidas técnicas e organizacionais para proteger seus dados:

  • Criptografia em repouso: AES-256 no banco de dados Supabase;
  • Criptografia em trânsito: TLS 1.2+ em todas as comunicações;
  • Autenticação: tokens JWT de curta duração via Supabase Auth;
  • Controle de acesso: Row Level Security (RLS) no PostgreSQL — cada usuário acessa apenas seus próprios dados;
  • Senhas: armazenadas exclusivamente em hash bcrypt, nunca em texto puro;
  • Fotos de perfil: sanitizadas e convertidas para WebP antes do armazenamento, eliminando metadados EXIF;
  • Rate limiting: proteção contra ataques de força bruta e enumeração;
  • Proteção contra bots: Google reCAPTCHA na página de autenticação;
  • CSP e headers de segurança: Content-Security-Policy estrito, HSTS, X-Frame-Options e outros headers em todas as páginas.

Nenhum sistema é absolutamente inviolável. Em caso de incidente de segurança com impacto relevante aos titulares, notificaremos a ANPD e os usuários afetados conforme os prazos previstos na LGPD.

08

DIREITOS DO TITULAR (LGPD, ART. 18)

Você, como titular dos dados pessoais, possui os seguintes direitos garantidos pela LGPD:

Seus direitos

  • Confirmação e acesso: saber quais dados pessoais tratamos sobre você;
  • Correção: solicitar a atualização de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade com a lei;
  • Portabilidade: receber seus dados em formato estruturado para transferência a outro controlador;
  • Eliminação: solicitar a exclusão antecipada de todos os seus dados (antes dos 90 dias);
  • Revogação do consentimento: retirar consentimento para tratamentos baseados nessa base legal;
  • Oposição: se opor a tratamentos realizados com base em legítimo interesse;
  • Informação sobre compartilhamento: obter informações sobre com quais entidades seus dados são compartilhados;
  • Revisão de decisões automatizadas: solicitar revisão humana de decisões tomadas exclusivamente com base em tratamento automatizado.

Para exercer qualquer um desses direitos, entre em contato com nosso encarregado em privacidade@granaevo.com. Responderemos em até 15 dias úteis, conforme prazo razoável.

Caso não fique satisfeito com nossa resposta, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

09

MENORES DE IDADE

O GranaEvo é destinado exclusivamente a pessoas com 18 anos ou mais. Não coletamos intencionalmente dados pessoais de menores de 18 anos.

Caso identificarmos que um usuário é menor de 18 anos, sua conta será encerrada e seus dados excluídos imediatamente.

Se você é responsável legal por um menor que possua conta no GranaEvo, entre em contato conosco em privacidade@granaevo.com.

10

ALTERAÇÕES DESTA POLÍTICA

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças na lei, nas práticas da plataforma ou nos serviços oferecidos.

Alterações relevantes serão comunicadas por e-mail com antecedência mínima de 15 dias, com a data de vigência claramente indicada.

A versão mais recente estará sempre disponível em granaevo.com/privacidade. O uso continuado da plataforma após a data de vigência constitui aceitação das novas condições.

11

LEI APLICÁVEL E FORO

Esta Política é regida pelas leis da República Federativa do Brasil, especialmente pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990).

Para dirimir quaisquer controvérsias decorrentes desta Política, fica eleito o foro da comarca de domicílio do usuário consumidor.

Dúvidas sobre Privacidade?

Entre em contato com nosso Encarregado de Proteção de Dados (DPO) para exercer seus direitos ou tirar dúvidas sobre o tratamento dos seus dados pessoais.

privacidade@granaevo.com