← Voltar para a home

Política de Privacidade

Última atualização: 17 de maio de 2026

O O Que Sobra trata seus dados pessoais com base na LGPD (Lei nº 13.709/2018). Esta política explica o que coletamos, por quê, por quanto tempo guardamos e como você pode exercer seus direitos.

1. Quem é o controlador

Thiago Duarte (empresário individual em formalização), com contato principal em suporte@tdmyapps.com. Encarregado pelo Tratamento de Dados (DPO): Thiago Duarte dpo@tdmyapps.com.

2. Dados que coletamos

Coletamos apenas o mínimo necessário para entregar o serviço:

  • Lista de espera (fase atual): seu endereço de email e, opcionalmente, consentimento explícito para receber comunicação de lançamento.
  • Conta de usuário (após lançamento): nome ou apelido, email, hash de senha (gerenciado via Keycloak) e dados de autenticação (sessões, tokens).
  • Dados financeiros que você importar ou lançar: transações, contas, cartões, categorias, valores. Estes ficam isolados em sua conta e podem ser exportados ou excluídos por você a qualquer momento.
  • Dados técnicos: endereço IP, user-agent, registros de acesso (mantidos por 6 meses, conforme Marco Civil da Internet — Art. 15).

3. Por que coletamos (bases legais)

  • Execução de contrato (LGPD Art. 7º V): para operar a lista de espera, criar e manter sua conta e entregar funcionalidades do produto.
  • Consentimento (Art. 7º I): para enviar comunicação de marketing — sempre opcional, sempre revogável em um clique.
  • Cumprimento de obrigação legal (Art. 7º II): registros de acesso exigidos pelo Marco Civil.
  • Legítimo interesse (Art. 7º IX): segurança da aplicação, prevenção a fraude, registros mínimos para suporte.

4. Retenção

  • Email na lista de espera: até você pedir remoção ou até 24 meses após o lançamento.
  • Dados de conta ativa: enquanto sua conta existir.
  • Após exclusão de conta: 30 dias em soft-delete (reversível), depois hard-delete definitivo.
  • Registros de acesso técnico: 6 meses, conforme Marco Civil (Art. 15).
  • Obrigações fiscais/contábeis (quando aplicável): pelo prazo legal exigido.

5. Seus direitos (LGPD Art. 18)

Você pode, a qualquer momento e sem custo: confirmar a existência do tratamento, acessar seus dados, corrigi-los, anonimizar, bloquear, eliminar, portar seus dados, obter informação sobre compartilhamento, revogar consentimento e ser informado sobre a possibilidade de não dar consentimento.

Após o lançamento, todos esses direitos estarão acessíveis diretamente dentro do app (perfil → privacidade) e via API. Durante a fase de lista de espera, basta escrever para dpo@tdmyapps.com. Respondemos em até 15 dias.

6. Compartilhamento

Não vendemos dados pessoais. Compartilhamos apenas com sub-processadores essenciais à operação do serviço (hospedagem, email transacional, processamento de pagamento e IA para parse de documentos). A lista completa, com finalidade, fica em /sub-processadores.

7. Segurança

HTTPS em tudo, autenticação via Keycloak (mesma tecnologia usada por bancos), 2FA opcional desde a V1, criptografia em repouso para campos sensíveis, backups criptografados, controle de acesso por papel, logs sem PII em texto claro. Em caso de incidente que possa gerar risco relevante, notificamos você e a ANPD em até 72 horas, conforme o plano em docs/incident-response.md.

8. Cookies

Detalhes em /cookies.

9. Alterações nesta política

Quando o conteúdo mudar de forma relevante, atualizamos a data acima e notificamos quem estiver com conta ativa por email. O texto anterior fica arquivado e disponível mediante pedido ao DPO.

10. Reclamações

Se entender que não atendemos seu pedido a contento, você pode acionar a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.