Política de Privacidade
Última atualização: 27 de maio de 2026 · Versão 1.1
Esta política descreve como o Grana, operado pela Infinity Pro Code,
coleta, usa, armazena e protege seus dados pessoais, em conformidade com a
Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018).
1. Controlador dos Dados
Razão social: Infinity Pro Code (empresário individual - Thiago Cardoso Menezes)
CNPJ: 66.501.872/0001-41
Endereço: Caraguatatuba – SP, Brasil
E-mail de contato: privacidade@infinityprocode.com.br
Encarregado de Dados (DPO): Thiago Cardoso Menezes
2. Dados Pessoais Coletados
2.1 Dados de cadastro e identificação
| Dado | Finalidade | Base legal (LGPD) |
|---|---|---|
| Nome completo | Identificação na plataforma e comunicações | Execução de contrato (Art. 7º, V) |
| Endereço de e-mail | Envio de confirmações, notificações e link de acesso | Execução de contrato (Art. 7º, V) |
| CPF | Geração de cobrança no gateway de pagamento (Pagar.me) - coletado apenas em planos pagos | Execução de contrato (Art. 7º, V) |
| Telefone / número de WhatsApp | Identificação no gateway de pagamento e, se ativado, uso do bot pelo WhatsApp | Consentimento (Art. 7º, I) / Execução de contrato (Art. 7º, V) |
| ID do Telegram | Autenticação e envio de mensagens pelo bot | Execução de contrato (Art. 7º, V) |
CPF e número de telefone/WhatsApp são armazenados criptografados (AES-256) em repouso.
2.2 Dados financeiros pessoais
| Dado | Finalidade | Base legal (LGPD) |
|---|---|---|
| Gastos registrados (valor, categoria, descrição, data) | Funcionamento do serviço de controle financeiro | Execução de contrato (Art. 7º, V) |
| Receitas registradas (valor, categoria, descrição, data) | Funcionamento do serviço de controle financeiro | Execução de contrato (Art. 7º, V) |
| Metas financeiras | Funcionalidade de acompanhamento de metas | Execução de contrato (Art. 7º, V) |
| Despesas recorrentes cadastradas | Lançamento automático mensal | Execução de contrato (Art. 7º, V) |
2.3 Dados de uso e técnicos
- Endereço IP (usado apenas para controle de tentativas de autenticação - não armazenado persistentemente)
- Tokens de autenticação (JWT) armazenados pelo navegador - não compartilhados com terceiros
- Logs de erros técnicos (sem dados de transações financeiras do usuário)
2.4 Conteúdo enviado para processamento por inteligência artificial
Quando você registra um lançamento por texto, áudio ou foto, o conteúdo é processado por serviços de inteligência artificial para extrair e categorizar a informação:
- Texto da mensagem - categorização automática da transação
- Áudio de voz - transcrição da fala em texto
- Foto de comprovante ou PDF de fatura - leitura automática (OCR) de valor e categoria
Esse processamento é feito pelos parceiros listados na seção 4, pode envolver transferência internacional de dados (seção 4.1) e o conteúdo é usado exclusivamente para retornar o resultado do lançamento que você solicitou.
3. Como Usamos seus Dados
Usamos seus dados exclusivamente para:
- Prestar o serviço de controle financeiro contratado
- Enviar notificações pelo Telegram e WhatsApp (briefings, lembretes, alertas de vencimento)
- Processar o pagamento da assinatura via Pagar.me
- Categorizar e ler lançamentos enviados por texto, voz ou foto (processamento por IA)
- Enviar e-mails transacionais (confirmação de cadastro, avisos de trial)
- Cumprir obrigações legais e regulatórias
Importante: Seus dados financeiros pessoais (gastos, receitas, metas) são visíveis apenas para você e para os membros da sua família no Grana. Nenhum administrador do sistema tem acesso às suas transações individuais.
4. Compartilhamento com Terceiros
| Parceiro | Dados compartilhados | Finalidade |
|---|---|---|
| Pagar.me (gateway de pagamento) | Nome, e-mail, CPF, telefone | Processamento de assinaturas e cobranças |
| Telegram (plataforma de mensagens) | ID do usuário Telegram, mensagens enviadas ao bot | Entrega de notificações e interação com o bot |
| Evolution API / WhatsApp (mensageria) | Número de WhatsApp, mensagens enviadas ao bot | Interação com o bot pelo WhatsApp (quando ativado) |
| Resend (serviço de e-mail) | Nome e endereço de e-mail | Envio de e-mails transacionais |
| OpenRouter / OpenAI (IA) | Texto, foto ou PDF do lançamento enviado | Categorização e leitura automática (OCR) de transações |
| Groq (IA) | Áudio de voz enviado | Transcrição de mensagens de voz |
Não vendemos, alugamos nem compartilhamos seus dados com nenhum outro terceiro para fins de marketing ou publicidade.
4.1 Transferência internacional de dados
Alguns dos parceiros acima (OpenRouter, OpenAI e Groq) estão sediados nos Estados Unidos. Ao registrar lançamentos por texto, voz ou foto, esse conteúdo pode ser transferido e processado fora do Brasil, nos termos do Art. 33 da LGPD.
A transferência ocorre exclusivamente para a execução do contrato (prestação do serviço que você solicitou) e é limitada ao conteúdo necessário para gerar o resultado do lançamento. Não transferimos para o exterior seu CPF nem dados de cobrança para finalidade diversa da contratada. Você pode optar por registrar lançamentos apenas por texto digitado, evitando o envio de áudio e imagem, se preferir.
5. Segurança dos Dados
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Criptografia em trânsito: toda comunicação usa HTTPS/TLS
- Criptografia em repouso: CPF e telefone armazenados com AES-256-GCM
- Autenticação: tokens JWT com validade de 30 dias, lista negra de tokens invalidados (logout real)
- Controle de acesso: dados isolados por família - nenhum usuário acessa dados de outra família
- Brute force: limite de tentativas de autenticação por IP
- Infraestrutura: servidor dedicado com firewall, sem dados em nuvens públicas de terceiros
6. Retenção dos Dados
| Tipo de dado | Prazo de retenção |
|---|---|
| Gastos e receitas | 5 anos a partir do registro (prazo legal fiscal/tributário) |
| Dados cadastrais (conta ativa) | Enquanto a conta estiver ativa |
| Dados cadastrais (conta encerrada) | Excluídos imediatamente ou conforme solicitação do titular |
| Tokens de autenticação expirados | Removidos automaticamente em até 30 dias após expiração |
| Logs de auditoria de segurança | 90 dias |
A limpeza automática de dados antigos é executada mensalmente pelo nosso sistema.
7. Seus Direitos como Titular (LGPD Art. 18)
Você tem os seguintes direitos sobre seus dados pessoais:
- Confirmação e acesso: saber quais dados temos sobre você
- Correção: corrigir dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade
- Portabilidade: receber seus dados em formato estruturado
- Eliminação completa: excluir todos os seus dados do sistema (disponível diretamente no Dashboard em "Excluir minha conta")
- Revogação do consentimento: para dados tratados com base em consentimento
- Oposição: opor-se ao tratamento em caso de descumprimento da LGPD
Para exercer qualquer desses direitos, envie um e-mail para privacidade@infinityprocode.com.br com o assunto "Direitos LGPD". Responderemos em até 15 dias úteis.
Exclusão de conta: você pode excluir imediatamente todos os seus dados acessando o Dashboard → menu de configurações → "Excluir minha conta". Esta ação é irreversível e remove todos os seus registros financeiros, perfil e associações.
8. Cookies e Armazenamento Local
O Grana utiliza localStorage do navegador para armazenar o token de autenticação (JWT). Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros.
9. Menores de Idade
O cadastro no Grana é destinado a pessoas com 18 anos ou mais. O titular da conta (adulto) é o responsável por quem adiciona como membro da família. Caso inclua um menor de idade como membro, declara fazê-lo na condição de responsável legal, autorizando o tratamento dos dados financeiros que forem lançados, nos termos do Art. 14 da LGPD. Fora dessa hipótese, não coletamos intencionalmente dados de menores; se souber que um menor nos forneceu dados sem essa autorização, entre em contato para que possamos removê-los.
10. Alterações nesta Política
Podemos atualizar esta política periodicamente. Quando houver mudanças materiais, notificaremos pelo Telegram e/ou e-mail com pelo menos 10 dias de antecedência. A data da última atualização está sempre indicada no topo deste documento.
11. Contato e DPO
Encarregado de Dados (DPO): Thiago Cardoso Menezes
E-mail: privacidade@infinityprocode.com.br
Resposta: em até 15 dias úteis
Também é possível registrar reclamações junto à Autoridade Nacional de Proteção de Dados (ANPD) pelo site www.gov.br/anpd.