Política de Privacidade
Última atualização: 18/06/2026
1. Quem somos (controlador dos dados)
Esta política descreve como a Aura Financeiro("Aura Financeiro", "nós") trata dados pessoais. Para fins da Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) e do GDPR (quando aplicável), a Aura Financeiro atua como controladora dos dados pessoais coletados por meio do serviço.
2. Dados pessoais que coletamos
- Cadastro: nome, e-mail, número de WhatsApp, senha (em hash).
- Conteúdo enviado: mensagens de texto, imagens (notas fiscais/recibos para OCR) e áudios enviados pelo WhatsApp ou pelo app.
- Dados financeiros: transações, categorias, metas e contas registradas por você.
- Telemetria/segurança: endereço IP, identificadores de dispositivo, registros de acesso e eventos de auditoria.
- Cookies essenciais para manter a sessão autenticada.
3. Finalidades e bases legais
- Prestação do serviço contratado (execução de contrato — LGPD art. 7º, V / GDPR art. 6(1)(b)): autenticação, registro de transações, processamento de mensagens via IA.
- Cumprimento de obrigações legais e fiscais (LGPD art. 7º, II / GDPR art. 6(1)(c)).
- Segurança, prevenção a fraude e auditoria (legítimo interesse — LGPD art. 7º, IX / GDPR art. 6(1)(f)).
- Melhoria do produto e comunicações operacionais (legítimo interesse).
- Comunicações de marketing, quando aplicável (consentimento — LGPD art. 7º, I / GDPR art. 6(1)(a)).
4. Com quem compartilhamos seus dados
Não vendemos seus dados. Compartilhamos com as seguintes categorias de destinatários, apenas no necessário:
- Paddle.com Market Limited — atua como Merchant of Record (revendedor oficial) e processador de pagamentos. Recebe dados necessários para processar a compra, gerenciar a assinatura, emitir notas/recibos, calcular impostos e tratar reembolsos. Consulte a Política de Privacidade da Paddle.
- Meta Platforms (WhatsApp Business API) — para envio e recebimento de mensagens.
- Provedores de IA (Lovable AI Gateway e modelos subjacentes) — para interpretar mensagens, imagens e áudios.
- Provedores de infraestrutura e hospedagem (Lovable Cloud / Supabase, Cloudflare) — armazenamento e execução.
- Consultores profissionais (jurídico, contábil) quando necessário.
- Autoridades públicas, mediante ordem legal ou judicial.
5. Transferências internacionais
Alguns dos provedores acima estão localizados fora do Brasil/EEE. Quando aplicável, utilizamos garantias adequadas (cláusulas contratuais padrão, decisões de adequação) para proteger os dados transferidos.
6. Retenção
- Conta ativa: enquanto sua conta existir.
- Após exclusão da conta: dados pessoais são removidos em até 30 dias.
- Registros de auditoria e segurança: até 12 meses.
- Dados financeiros e fiscais relacionados a pagamentos: pelo prazo legal mínimo (até 5 anos), conforme exigido por legislação tributária brasileira.
- Backups: rotacionados em até 35 dias.
7. Segurança
Aplicamos medidas técnicas e organizacionais apropriadas: criptografia em trânsito (TLS) e em repouso, isolamento de dados por usuário via Row-Level Security (RLS), controle de acesso baseado em papéis (RBAC), registro de auditoria e revisão periódica.
8. Seus direitos
De acordo com a LGPD/GDPR, você pode solicitar a qualquer momento:
- Confirmação da existência de tratamento e acesso aos seus dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários.
- Portabilidade dos dados.
- Eliminação dos dados tratados com base no consentimento.
- Informação sobre compartilhamento.
- Revogação do consentimento.
- Oposição a tratamento realizado com base em legítimo interesse.
Você também pode apresentar reclamação à autoridade competente (ANPD no Brasil; autoridade de proteção de dados local na UE/UK).
9. Cookies
Utilizamos cookies essenciais para autenticação e segurança da sessão. Não utilizamos cookies de publicidade de terceiros.
10. Contato e Encarregado (DPO)
Para exercer seus direitos ou tirar dúvidas sobre privacidade, contate a Aura Financeiro pelo e-mail privacidade@aurafinanceiro.com.br. Responderemos no prazo legal aplicável (15 dias na LGPD; até 1 mês no GDPR).