1. Quem somos

O GestorFinance é um serviço de gestão financeira pessoal operado por Ichaves Sistemas, com contato pelo e-mail no-reply@localhost. Este documento descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais.

2. Encarregado de Dados (DPO)

Nosso Encarregado de Proteção de Dados pode ser contatado pelo e-mail itamar@ichaves.com.br. Respondemos solicitações em até 15 dias úteis.

3. Dados que coletamos e para quê

Dado	Finalidade	Base legal (LGPD Art. 7)	Retenção
Nome e sobrenome	Identificação e personalização	Execução de contrato	Até exclusão da conta
E-mail	Login, notificações e recuperação de senha	Execução de contrato	Até exclusão da conta
CPF	Identificação fiscal e antifraude	Obrigação legal	5 anos após encerramento
Data de nascimento	Verificação de maioridade	Execução de contrato	Até exclusão da conta
Foto de perfil	Personalização da interface	Consentimento	Até remoção pelo usuário
Dados financeiros (receitas, despesas)	Prestação do serviço de controle financeiro	Execução de contrato	Até exclusão da conta
Cookies de sessão	Manter sessão autenticada	Legítimo interesse	Até logout ou 30 dias
Cookies analíticos (Google Analytics)	Melhorar a experiência do serviço	Consentimento	26 meses (Google)

4. Compartilhamento de dados

Seus dados não são vendidos a terceiros. Compartilhamos apenas com:

• Pagar.me — processamento de pagamentos de assinatura (dados de cobrança)
• SendGrid — envio de e-mails transacionais (nome e e-mail do destinatário)
• Google Analytics — estatísticas de uso (apenas com seu consentimento)

Todos os fornecedores são contratados com cláusulas de proteção de dados compatíveis com a LGPD.

5. Seus direitos (LGPD Art. 18)

Como titular de dados, você tem os seguintes direitos, exercíveis gratuitamente pelo seu perfil ou pelo e-mail do DPO:

• Acesso — saber quais dados temos sobre você
• Correção — atualizar dados incorretos ou desatualizados
• Exclusão — solicitar a remoção da sua conta e dados (exceto obrigações legais)
• Portabilidade — exportar seus dados em formato estruturado
• Revogação de consentimento — retirar consentimento a qualquer momento
• Oposição — opor-se a tratamentos baseados em legítimo interesse

Respondemos solicitações em até 15 dias úteis. Para exclusão de conta, aplica-se um período de carência de 30 dias antes da anonimização definitiva.

6. Segurança

Adotamos as seguintes medidas de segurança:

• Senhas armazenadas com hash bcrypt (custo 10)
• Tráfego protegido por TLS/HTTPS em produção
• Sessões com flags httponly, secure e SameSite
• Tokens de API com expiração de 30 dias
• Acesso ao banco de dados restrito por rede interna

Em caso de incidente de segurança que coloque dados em risco, notificaremos a ANPD e os titulares afetados em até 72 horas, conforme Art. 48 da LGPD.

7. Cookies

Utilizamos dois tipos de cookies:

• Essenciais — necessários para o funcionamento do serviço (sessão, autenticação). Não requerem consentimento.
• Analíticos — Google Analytics, para entender como o serviço é usado. Ativados apenas após seu consentimento explícito.

Você pode gerenciar seus cookies a qualquer momento através do banner exibido no rodapé do site.

8. Retenção e exclusão

Mantemos seus dados pelo tempo necessário à prestação do serviço. Ao solicitar exclusão da conta:

1. A conta é desativada imediatamente
2. Após 30 dias de carência (para reversão), os dados pessoais são anonimizados
3. CPF e dados fiscais são retidos por 5 anos conforme obrigação legal (Art. 37, Lei 9.430/96)

9. Contato e reclamações

Para exercer seus direitos ou esclarecer dúvidas, entre em contato com nosso DPO: itamar@ichaves.com.br.

Você também pode registrar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

10. Alterações nesta política

Esta política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por e-mail e exigirão nova confirmação de aceite no sistema.