Política de Segurança e Privacidade

[RAZÃO SOCIAL], inscrita no CNPJ sob o nº [CNPJ], com sede em [ENDEREÇO], doravante simplesmente “Farol”, é a controladora dos dados pessoais tratados nas plataformas Farol(gestão financeira pessoal e familiar) e Farol Corp (gestão financeira para pequenas e médias empresas).

Esta política descreve como coletamos, usamos, compartilhamos, protegemos e conservamos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — “LGPD”) e, quando aplicável, com o Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR).

Esta política deve ser lida em conjunto com nossos Termos de Uso.

• Dados pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável (ex: nome, e-mail, CPF).
• Tratamento: toda operação realizada com dados pessoais — coleta, uso, acesso, armazenamento, compartilhamento, exclusão etc.
• Controlador: o Farol, que decide as finalidades e os meios do tratamento.
• Operador: terceiro que trata os dados em nome do Farol (ex: hospedagem, banco de dados).
• Titular: você — a pessoa natural a quem os dados pessoais se referem.
• ANPD: Autoridade Nacional de Proteção de Dados, órgão fiscalizador da LGPD.

3.1 Dados que você nos fornece

Ao se cadastrar e utilizar o Farol, você nos fornece:

• Cadastro: nome, e-mail, senha (armazenada com hash unidirecional, jamais em texto puro).
• Perfil: apelido, foto opcional, idioma e moeda preferidos.
• Lançamentos financeiros (PF): descrição, valor, data, categoria, forma de pagamento, parcelas, recorrências, comentários, anexos opcionais.
• Família (PF): nome do grupo familiar, formato da casa (pote único / rendas separadas), apelidos dos membros, divisão proporcional configurada, metas e cotas mensais.
• Empresa (Farol Corp): razão social, CNPJ, regime tributário, contas bancárias, contas a pagar/receber, fluxo de caixa, conciliações bancárias, descrição de produtos para classificação fiscal (NCM/CEST/CST).
• Comunicação: conteúdo de mensagens trocadas com nosso time de suporte (e-mail, formulário, eventual chat).

3.2 Dados coletados automaticamente

Ao acessar o Farol, coletamos:

• Endereço IP, características do dispositivo (modelo, sistema operacional, navegador, idioma).
• Data e hora de acesso, páginas visitadas, ações realizadas dentro da plataforma.
• Identificadores de sessão e autenticação (cookies estritamente necessários).
• Eventos agregados de uso para fins de produto e segurança (ex: tempo até primeiro lançamento, taxa de erro de import).

Sempre que possível, esses dados são armazenados de forma anonimizada ou pseudonimizada.

3.3 Dados sensíveis

O Farol não solicita dados pessoais sensíveis (origem racial, religião, opinião política, saúde, dado biométrico ou genético). Caso você inclua espontaneamente dados dessa natureza em descrições ou comentários (ex: anotação “consulta médica”), o tratamento se limita ao armazenamento do texto digitado por você, sem qualquer enriquecimento ou inferência adicional pela Farol.

3.4 Dados de menores

O Farol é destinado a maiores de 16 anos. Se você tem entre 16 e 18 anos, deve usar a plataforma com ciência dos seus pais ou responsáveis legais. Não coletamos intencionalmente dados de menores de 16 anos. Se você é responsável legal e identificou que seu filho criou conta sem autorização, escreva para privacidade@farol.finance e excluiremos os dados em até 15 dias.

Cada operação de tratamento se apoia em uma base legal específica prevista no Art. 7º da LGPD. As principais finalidades são:

O Farol utiliza tecnologias de IA para enriquecer a experiência do usuário, sempre de forma transparente. Os usos atuais são:

• Chat de transação (Farol PF): interpretação local determinística de frases curtas (“mercado 80 ontem”) para sugerir tipo, categoria, valor e data. Esse processamento é feito no servidor do Farol e não envia o texto a provedores de IA externos.
• Classificação fiscal NCM/CEST/CST (Farol Corp): a descrição do produto é convertida em vetor por meio do serviço Google Gemini text-embedding-004 e comparada com uma base interna oficial. A explicação textual final é gerada por Google Gemini 2.0 Flash. O texto da descrição transita por servidores do Google para essa finalidade.

Decisões automatizadas: você tem direito de solicitar revisão humana de qualquer decisão tomada exclusivamente por IA que afete seus direitos (Art. 20 LGPD). No Farol, a IA tem caráter auxiliar: todas as sugestões de classificação são confirmadas por você antes de gravar o lançamento.

Compartilhamos dados pessoais apenas na medida necessária à prestação do serviço, com os seguintes operadores e parceiros:

6.1 Operadores (terceiros que tratam dados em nome do Farol)

• Vercel Inc. (EUA) — hospedagem da aplicação e CDN.
• Supabase Inc. (EUA, com data residency configurável) — banco de dados PostgreSQL, autenticação, storage de anexos. Cada módulo (PF e PJ) usa um projeto Supabase isolado.
• Sentry (EUA) — coleta de erros e exceções para depuração técnica. Dados sensíveis e de transação são filtrados antes do envio (PII scrubbing).
• PostHog (EUA) — métricas de produto agregadas (ex: funis de onboarding). Configurado com mascaramento de PII.
• Google LLC (EUA) — provedor dos modelos Gemini utilizados na classificação fiscal do Farol Corp. Apenas a descrição livre do produto transita; nunca CPF, CNPJ, valores ou identidade do usuário.
• Provedores de e-mail transacional — para envio de confirmação de cadastro, recuperação de senha e notificações operacionais.
• Provedor de Web Push — para envio opcional de notificações push do navegador (lembrete de orçamento, alerta familiar). Você pode desativar a qualquer momento nas configurações do dispositivo.

6.2 Outros compartilhamentos

• Membros da família (Farol PF): se você cria ou entra em um grupo familiar, os outros membros do mesmo grupo passam a ver as transações que você marcou como “compartilhar com a casa”. Você controla, por transação, o que é visível ao grupo. As configurações de privacidade da família estão em /familia/configuracoes/privacidade.
• Outros usuários da empresa (Farol Corp): os colaboradores cadastrados como membros da empresa, conforme o papel atribuído (admin, editor, leitor), podem ver dados financeiros da pessoa jurídica. O CPF e dados pessoais individuais não são expostos a outros membros.
• Autoridades: cumpriremos requisições judiciais, regulatórias ou administrativas legítimas (Bacen, Receita Federal, ANPD, autoridades policiais) quando obrigatórias por lei. Recusaremos pedidos abusivos ou ilegais.
• Reorganização societária: em caso de fusão, aquisição ou venda de ativos, os dados poderão ser transferidos ao sucessor, sob as mesmas garantias desta política.

6.3 O que NÃO compartilhamos

• Não vendemos seus dados pessoais a anunciantes ou terceiros.
• Não compartilhamos seus dados financeiros para credit scoring ou bureau de crédito.
• Não fazemos integração com bancos ou Open Finance — todos os lançamentos são manuais ou via importação de extrato (XLSX/OFX) que você mesmo escolhe enviar.

Para viabilizar o serviço, alguns dados são processados em servidores localizados fora do Brasil — principalmente nos Estados Unidos da América (Vercel, Supabase, Sentry, PostHog, Google) e eventualmente em outros países da União Europeia.

Garantimos que cada operador internacional ofereça nível de proteção compatível com a LGPD, por meio de contratos com cláusulas contratuais padrão, certificações de segurança internacionalmente reconhecidas (SOC 2, ISO 27001) e, quando aplicável, mecanismos como o EU-US Data Privacy Framework.

• Conta ativa: durante todo o tempo em que você mantiver sua conta no Farol.
• Após exclusão da conta: dados pessoais são apagados em até 30 dias, exceto quando uma obrigação legal exige retenção (ex: dados fiscais por 5 anos para Farol Corp, conforme legislação tributária).
• Logs técnicos e de segurança: até 6 meses, exclusivamente para auditoria e resposta a incidentes.
• Backups: até 90 dias após a exclusão ativa, para fins de recuperação de desastre.
• Comunicações com suporte: até 2 anos após o último contato, para histórico de atendimento.

Adotamos medidas técnicas, administrativas e organizacionais, entre elas:

• Criptografia em trânsito (TLS 1.2+) em todas as conexões.
• Criptografia em repouso no banco de dados (AES-256 pelo Supabase).
• Senhas armazenadas com hash bcrypt unidirecional.
• Política de senha forte: mínimo 8 caracteres + maiúscula + minúscula + número + especial.
• Isolamento por usuário via Row Level Security (RLS) no PostgreSQL — cada query é filtrada server-side pelo identificador do usuário autenticado.
• Isolamento entre módulos: PF e PJ rodam em projetos Supabase separados; um vazamento em um módulo não compromete o outro.
• Princípio do menor privilégio nas chaves de API e variáveis de ambiente.
• Monitoramento contínuo de erros e tentativas de invasão (Sentry + logs Supabase).
• Auditoria de acesso a dados sensíveis pela equipe interna.

Nenhum sistema é 100% imune. Em caso de incidente de segurança que possa causar risco ou dano relevante a você, comunicaremos a ANPD e você dentro do prazo razoável previsto no Art. 48 da LGPD.

Usamos quatro categorias de cookies:

• Estritamente necessários: sessão autenticada, preferências de idioma, tokens CSRF. Sem eles a aplicação não funciona — não podem ser desativados.
• Funcionais: preferências do usuário (tema claro/escuro, moeda, último mês visualizado).
• Analíticos: métricas anonimizadas via PostHog para entender o uso agregado do produto.
• Publicitários: o Farol não utiliza cookies de publicidade nem terceiros de retargeting.

Você pode bloquear cookies nas configurações do navegador. Bloquear cookies estritamente necessários impedirá o login.

A LGPD (e, quando aplicável, o GDPR) garante a você os seguintes direitos:

• Confirmação e acesso — saber se tratamos seus dados e obter cópia.
• Correção — corrigir dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação — quando os dados forem desnecessários, excessivos ou tratados em desconformidade.
• Portabilidade — receber seus dados em formato estruturado e legível por máquina.
• Eliminação dos dados tratados com consentimento — exceto nos casos em que a manutenção é exigida por lei.
• Informação sobre compartilhamento — saber com quem compartilhamos seus dados.
• Revogação do consentimento — sem prejuízo do tratamento já realizado.
• Revisão de decisões automatizadas — solicitar revisão humana de decisões tomadas exclusivamente por sistemas automatizados.
• Oposição ao tratamento — quando se basear em legítimo interesse.
• Não discriminação — pelo exercício de qualquer direito acima.

Para exercer qualquer um desses direitos, escreva para privacidade@farol.finance. Atenderemos sua solicitação em até 15 dias.

Para dúvidas, reclamações ou exercício dos seus direitos relativos à proteção de dados pessoais, entre em contato com nosso Encarregado:

E-mail: privacidade@farol.finance
Endereço: [ENDEREÇO]

Você também pode apresentar reclamação à ANPD diretamente em www.gov.br/anpd.

Podemos atualizar esta política periodicamente. Mudanças relevantes serão comunicadas por e-mail ou aviso destacado dentro da plataforma, com antecedência mínima de 15 dias quando a alteração afetar seus direitos.

A data de última atualização é indicada no topo desta página. Versões anteriores ficam disponíveis mediante solicitação ao DPO.

Esta política é regida pelas leis da República Federativa do Brasil, em especial pela LGPD. Fica eleito o foro da comarca de [CIDADE/UF] para dirimir controvérsias, sem prejuízo de outro mais benéfico ao consumidor previsto em lei.