Política de Privacidade

Controlador: Savvy B Technology Ltda., CNPJ 40.953.174/0001-93, com sede na Rua Rio Grande do Norte, 1435, Sala 708, Bairro Savassi, Belo Horizonte/MG, Brasil, CEP 30.130-138. Encarregado de Proteção de Dados (DPO): dpo@buddybapp.com.

Dados de cadastro: nome completo, e-mail, hash da senha, data de nascimento, e (opcionalmente) CPF, telefone e endereço.

Dados financeiros gerados pelo uso: transações, carteiras, orçamentos, metas, categorias, conexões bancárias via Open Finance (operadas pela Belvo Instituição de Pagamento Ltda.) e dados de assinatura (operados pela Stripe Payments Europe Ltd.).

Dados técnicos: endereço IP, identificadores de dispositivo, tipo de navegador, sistema operacional, eventos de erro (Sentry GmbH — opt-in) e logs de acesso (essencial, base legal: legítimo interesse).

Dados de pagamento: apenas o identificador da transação Stripe. Os dados completos do cartão NUNCA transitam ou são armazenados em nossos servidores; são tratados diretamente pela Stripe sob conformidade PCI-DSS Nível 1.

Tratamos dados pessoais com base em: (a) execução de contrato — Art. 7º, V LGPD / Art. 6(1)(b) GDPR — para prestar o serviço; (b) cumprimento de obrigação legal — Art. 7º, II LGPD / Art. 6(1)(c) GDPR — para reter registros contábeis e responder a autoridades; (c) consentimento — Art. 7º, I LGPD / Art. 6(1)(a) GDPR — para cookies analíticos, comunicações de marketing e tratamento de dados sensíveis quando aplicável; e (d) legítimo interesse — Art. 7º, IX LGPD / Art. 6(1)(f) GDPR — para segurança, prevenção a fraude e melhoria do produto.

Compartilhamos dados pessoais somente com sub-processadores estritamente necessários à operação do serviço, todos sob contrato formal de processamento de dados (DPA) e, para transferências internacionais, sob Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia. A lista completa, atualizada, está disponível em /legal/sub-processors. Nunca vendemos, alugamos ou comercializamos seus dados pessoais.

Sa-east-1 (São Paulo) é nossa região primária de processamento para todos os dados de conta e financeiros, hospedados na infraestrutura da Amazon Web Services. Backups operacionais permanecem na mesma região. Sentry (rastreamento de erros) opera em região europeia (Frankfurt, Alemanha) com mascaramento de dados em conformidade com nosso DPA. Stripe, Belvo, Apple e Google podem processar dados em jurisdições adicionais sob os mecanismos legais descritos acima.

Mantemos seus dados pessoais enquanto sua conta estiver ativa. Após o cancelamento ou exclusão da conta, apagamos os dados pessoais em até 30 dias, exceto: (a) registros financeiros e contábeis exigidos por lei — retidos por 5 anos (Lei 8.846/1994 e CTN Art. 174); (b) logs de segurança — retidos por 6 meses para investigação de incidentes (Marco Civil da Internet Art. 15); (c) dados anonimizados — podem ser retidos indefinidamente para análises agregadas.

Acesso: exporte todos os seus dados em formato JSON via Configurações → Privacidade.
Correção: edite seu perfil em Configurações → Perfil.
Eliminação: botão “Excluir conta” em Configurações → Perfil; processamos em até 30 dias.
Portabilidade: a exportação é em formato aberto (JSON).
Restrição de tratamento: escreva para dpo@buddybapp.com.
Objeção a marketing: descadastre-se a qualquer momento pelo rodapé dos e-mails ou em Configurações → Notificações.
Revogação de consentimento: a qualquer momento, sem prejuízo do tratamento já realizado.
Revisão de decisão automatizada: solicite revisão humana de qualquer decisão tomada de forma automatizada.
Reclamação: à Autoridade Nacional de Proteção de Dados (ANPD) no Brasil, ou à sua autoridade nacional de proteção de dados na UE/EEE/Reino Unido/Suíça.

Tempo de resposta: até 15 dias úteis (LGPD Art. 19) / 30 dias (GDPR Art. 12).

Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256) para dados sensíveis. Autenticação multifator (TOTP) disponível para todas as contas em Configurações → Segurança. Senhas armazenadas com bcrypt (cost 12). Controle de acesso por princípio do menor privilégio. Backups diários com retenção de 7 dias. Monitoramento contínuo via Sentry com alertas em tempo real. Plano de resposta a incidentes documentado.

Em caso de incidente de segurança que comprometa dados pessoais e represente risco aos titulares, notificaremos a ANPD em até 2 dias úteis (LGPD) e a autoridade europeia competente em até 72 horas (GDPR Art. 33). Titulares afetados serão notificados sem demora indevida quando o risco for elevado, por e-mail e dentro do aplicativo.

Conexões bancárias são operadas pela Belvo Instituição de Pagamento Ltda., autorizada pelo Banco Central do Brasil. Suas credenciais bancárias jamais transitam pelos servidores do Buddy B — a autorização ocorre dentro do componente seguro provido pela Belvo. Para fins da LGPD: a Belvo atua como controladora da infraestrutura de conexão e gestão de consentimentos; a Savvy B atua como controladora da interface de visualização e categorização. Você pode revogar a autorização a qualquer momento em Configurações → Conexões Bancárias ou diretamente na sua instituição financeira.

O serviço não se destina a menores de 18 anos. Não coletamos intencionalmente dados de menores. Se identificarmos cadastro de menor, excluiremos os dados imediatamente. Pais ou responsáveis legais podem solicitar a exclusão pelo e-mail dpo@buddybapp.com.

Para usuários no EEE, Reino Unido ou Suíça: transferimos dados pessoais para o Brasil (decisão de adequação da Comissão Europeia ainda não emitida; usamos SCCs como mecanismo de transferência) e para sub-processadores nos EUA (Stripe, Sentry parcial) sob SCCs e medidas suplementares de segurança conforme acórdão Schrems II.

Detalhes completos em /legal/cookies. Resumo: usamos cookies estritamente necessários (autenticação, preferência de idioma, registro de consentimento) sob base legal de legítimo interesse. Cookies analíticos (Sentry) requerem seu consentimento explícito — você pode alterar sua escolha a qualquer momento via banner de cookies ou rodapé.

Atualizações materiais serão comunicadas com pelo menos 30 dias de antecedência por e-mail e por aviso dentro do aplicativo. O uso continuado do serviço após a entrada em vigor da nova versão constitui aceitação tácita. Versões anteriores ficam disponíveis mediante solicitação ao DPO.

DPO: dpo@buddybapp.com (resposta em até 15 dias úteis).
Suporte: suporte@buddybapp.com.
Autoridade Nacional de Proteção de Dados (Brasil): https://www.gov.br/anpd.