Política de privacidade
Última atualização: 12 de junho de 2026
Resumo. Dentro do app Budjo, a gente não rastreia nada. Antes de você entrar, seus dados ficam no seu navegador. Depois que você entra, em qualquer plano, gratuito ou pago, seus dados sincronizam com o Supabase (servidores na Ásia-Pacífico, região Mumbai) sob estrito controle de acesso por usuário. Eles não têm criptografia ponta a ponta. Pagamentos são processados pelo Stripe (EUA); o e-mail transacional, pelo Resend (EUA). O site de marketing usa Google Analytics, mas só se você aceitar os cookies. A gente não vende seus dados, jamais.
O Budjo foi criado para manter seu orçamento simples e privado. Esta página explica, em linguagem direta, quais dados coletamos, o que podemos ver, o que não podemos ver e como você pode entrar em contato.
Quem somos
O Budjo é operado por Fabio Zanchi Mancuso trading as Budjo (ABN 46 596 098 326), com sede em Queensland, Austrália. Somos o controlador (data controller) dos dados pessoais processados pelo Budjo. Para questões de privacidade, escreva para support@budjo.app (a gente lê todo email).
O que armazenamos
Antes de você entrar (sem conta)
Cada transação, conta, conta a pagar e preferência fica no localStorage do seu aparelho. A gente não vê nada disso.
Quando você está logado
Depois que você entra, em qualquer plano, gratuito ou pago, seus dados sincronizam com o Supabase (hospedado na Ásia-Pacífico, região Mumbai) sob uma política de segurança por linha (RLS) baseada na propriedade da conta e na participação no lar. Só você, os membros do lar que você convidar e funções de serviço restritas do Budjo conseguem ler as linhas pertinentes. Guardamos:
- Seu endereço de e-mail (para login e recuperação de conta)
- Suas transações, contas, categorias, contas a pagar, objetivos e preferências
- As notas de texto livre que você escreve (trate-as como qualquer nota privada)
- Imagens de recibos que você anexa às transações, guardadas no Supabase Storage (planos pagos)
- ID de cliente Stripe e status da assinatura (sem dados de cartão)
- Metadados de autenticação (último login, provedor OAuth se houver), mais um registro de exportação se você enviar por e-mail uma exportação para um contador (veja abaixo)
O que a gente nunca guarda
- Números de cartão, CVV ou data de validade (o Stripe cuida disso)
- Credenciais bancárias (não conectamos ao seu banco)
- Dados de dentro do app para analytics
Recibos que você envia
Se você anexa um recibo, a imagem fica guardada no Supabase Storage e é visível para todos na sua casa. Recibos são para imagens dos seus próprios registros. A gente não escaneia, modera nem verifica vírus nos envios, e imagens podem carregar metadados (como a localização). Você é responsável pelo que envia. Remover um recibo apaga a imagem.
As casas compartilham dados
Se você está em uma casa, os outros membros podem ver os dados financeiros, as notas e os recibos daquela casa. Não coloque nada que você não queira que eles vejam.
Exportação para contador
Você pode optar por enviar por e-mail um CSV das suas transações para um destinatário que você escolher (por exemplo, seu contador). Quando você faz isso, está enviando seus próprios dados para um terceiro de sua escolha, e a gente guarda o endereço de e-mail desse destinatário em um registro de exportação. A gente não é responsável pelo que o destinatário faz com eles.
E-mails que você nos dá no site de marketing
Se você assina para receber novidades (por exemplo, pela nossa calculadora do Número do Dia), a gente guarda seu endereço de e-mail, seu idioma de preferência, a página em que você assinou e o momento em que você consentiu. Só enviamos e-mails depois que você confirma a assinatura, e todo e-mail inclui um link de descadastro. Essa lista fica no Supabase junto com os nossos outros dados, e os e-mails são enviados pelo Resend.
Por que processamos seus dados (base legal)
Pelo Artigo 6 do GDPR, processamos dados por estes motivos:
| O que fazemos | Por que podemos | Base legal |
|---|---|---|
| Operar sua conta, sincronizar seus dados, entregar funcionalidades | Para prestar o serviço contratado | Contrato. Art. 6(1)(b) |
| Processar pagamentos via Stripe | Para cobrar a sua assinatura | Contrato. Art. 6(1)(b) |
| Registrar erros das edge functions (taxa de 500, falhas de webhook) | Para corrigir bugs e manter o serviço | Interesse legítimo. Art. 6(1)(f) |
| Analytics do site de marketing (Google Analytics) | Só se você aceitar cookies | Consentimento. Art. 6(1)(a) |
| Reter registros de transações do Stripe | Obrigações fiscais e de auditoria | Obrigação legal. Art. 6(1)(c) |
| Enviar as novidades do produto que você assinou | Você pediu, e confirmou por e-mail | Consentimento. Art. 6(1)(a) |
Para usuários no Brasil, cumprimos com a LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018). Para usuários na Austrália, cumprimos com os Australian Privacy Principles (APPs) sob a Privacy Act 1988.
O que a gente rastreia
Dentro do app Budjo: nada.
Suas transações, contas e preferências nunca são enviadas a uma ferramenta de analytics. Ponto.
No site de marketing (budjo.app)
Usamos Google Analytics 4 para entender quais páginas recebem tráfego e de onde vêm os visitantes. Mas só se você aceitar os cookies de analytics no banner de consentimento. Se você rejeitar, o GA nunca carrega. Usamos o Google Consent Mode v2 para respeitar sua escolha em tempo real. Endereços IP são anonimizados; a retenção de dados está fixada em 14 meses no painel do GA4. O GA nunca vê o que você faz dentro do app.
Você pode mudar sua escolha de cookies a qualquer momento pelo link Configurações de cookies no rodapé do budjo.app.
Logs de erro
Eventos de erro nas edge functions (taxa de 500, falhas de webhook) ficam registrados para corrigir bugs. Esses logs não contêm seus dados financeiros.
Sub-operadores
Usamos esses terceiros para operar o Budjo. Cada um é vinculado por termos de processamento de dados.
| Sub-operador | Finalidade | Localização | Política de privacidade |
|---|---|---|---|
| Supabase Inc. | Banco de dados, auth, armazenamento (recibos), edge functions | Ásia-Pacífico (Mumbai, Índia) | supabase.com/privacy |
| Stripe, Inc. | Processamento de pagamentos | EUA (certificado DPF, SCC da UE em vigor) | stripe.com/privacy |
| Resend (Plus Five Five, Inc.) | E-mail transacional: links de login, códigos, convites para casas, exportações para contadores | EUA | resend.com/legal/privacy-policy |
| Google LLC | Login (OAuth) e analytics do site de marketing (baseado em consentimento) | EUA (certificado DPF) | policies.google.com/privacy |
| Hostinger International Ltd | Hospedagem estática do site de marketing | Ásia-Pacífico (região Austrália) | hostinger.com/privacy-policy |
Atualizaremos esta lista antes de adicionar qualquer novo sub-operador que processe dados pessoais.
Transferências internacionais de dados
- O Supabase armazena seus dados sincronizados em servidores da Ásia-Pacífico (Mumbai, Índia). A transferência de/para UE, Reino Unido, EUA ou outras regiões é protegida por Standard Contractual Clauses (SCC) no acordo de processamento de dados do Supabase.
- O Stripe processa pagamentos nos EUA. A transferência é protegida por Standard Contractual Clauses (SCC) e pela certificação do Stripe sob o EU-US Data Privacy Framework (DPF).
- O Resend envia e-mail transacional a partir dos EUA, protegido por Standard Contractual Clauses (SCC).
- O Google Analytics transfere dados de analytics (só se você consentir) para os EUA sob o DPF e com anonimização de IP ativada.
- O Hostinger armazena os arquivos do site de marketing na região Ásia-Pacífico deles.
Sincronização e criptografia
Quando você está logado, seus dados são serializados e enviados por HTTPS (TLS) para o Supabase. O Supabase criptografa todos os dados em repouso com AES-256. O acesso é controlado por políticas Row-Level Security por usuário. Nenhum outro usuário, e nenhuma parte do nosso sistema fora das edge functions relevantes, consegue ler suas linhas.
O Budjo não usa atualmente criptografia ponta a ponta na camada de sincronização. O Supabase vê as linhas, limitado por RLS estrito. Estamos trabalhando em uma camada E2E opcional para que nem nós mesmos consigamos ler as linhas com acesso ao banco.
Segurança
- TLS em trânsito. Cada requisição criptografada via HTTPS.
- Criptografia em repouso. AES-256 no banco de dados (padrão Supabase).
- Row-Level Security. Cada linha amarrada ao seu ID de usuário; outros usuários não conseguem ler seus dados.
- Autenticação. Gerenciada pelo Supabase Auth (Google OAuth + e-mail/senha). Senhas nunca são armazenadas do nosso lado.
- Conformidade PCI. Dados de cartão nunca tocam os servidores do Budjo; checkout hospedado pelo Stripe (PCI-DSS Nível 1).
- Controles de acesso. Chaves service-role são restritas às edge functions; o acesso user-role é limitado por RLS.
- Logs de auditoria. O Supabase registra eventos de auth; o Stripe registra todos os eventos de pagamento.
Pagamentos
O Budjo usa o Stripe para todos os pagamentos. Dados de cartão são digitados no checkout hospedado pelo Stripe (Stripe, Inc., 510 Townsend Street, San Francisco, CA, EUA) e nunca passam pelos servidores do Budjo. O Stripe atua como controlador separado para os dados de pagamento. Veja a política de privacidade deles. A gente só recebe o seu ID de cliente Stripe e o status da assinatura. Nunca o número do cartão, CVV ou data de validade.
Por quanto tempo guardamos seus dados
| Dado | Retenção |
|---|---|
| Dados pessoais sincronizados (transações, contas, etc.) | Apagados em 30 dias a partir da solicitação de exclusão de conta |
| Registros de transações do Stripe | 7 anos (a Australian Taxation Office exige 5 anos; usamos 7 como margem de segurança) |
| Backups do banco de dados | Retenção rotativa de 7 dias via Supabase; backups com dados apagados são purgados dentro dessa janela |
| Logs de erro das edge functions | Retenção rotativa de 7 dias via Supabase |
| Analytics do site de marketing (GA4) | 14 meses (mínimo configurável no GA4) |
| Lista de e-mail de marketing | Até você se descadastrar ou pedir a exclusão; endereços descadastrados ficam em uma lista de supressão para a gente nunca mais enviar e-mail a eles |
Seus direitos
Você tem os seguintes direitos sobre seus dados:
- Acesso. Receber uma cópia do que guardamos (exporta para CSV em Configurações → Dados)
- Retificação. Corrigir dados incorretos (edita a qualquer momento dentro do app)
- Exclusão. Apagar sua conta e todos os dados sincronizados (Configurações → Conta → Excluir conta)
- Restrição. Pausar o processamento
- Portabilidade. Receber seus dados em formato legível por máquina (exportação CSV)
- Oposição. Opor-se ao processamento por interesse legítimo
- Retirada de consentimento. Onde o consentimento é a base legal (p. ex. cookies de analytics)
Residentes da Califórnia: vocês têm os direitos adicionais sob CCPA/CPRA de saber, apagar e corrigir. A gente não vende nem compartilha sua informação pessoal para publicidade comportamental cross-context. Nunca.
Para exercer qualquer direito, escreva para support@budjo.app. Respondemos em 30 dias. Solicitações complexas podem ser estendidas em até 60 dias, com aviso.
Direito de apresentar reclamação
Você pode apresentar reclamação a uma autoridade de proteção de dados:
- Brasil: Autoridade Nacional de Proteção de Dados (ANPD), gov.br/anpd
- Austrália: Office of the Australian Information Commissioner, oaic.gov.au
- Reino Unido: Information Commissioner's Office, ico.org.uk
- UE: sua autoridade nacional (p. ex. CNIL na França, BfDI na Alemanha, Garante na Itália)
- EUA: o Procurador-Geral do seu estado
Vazamento de dados
Se descobrirmos um vazamento que afete seus dados pessoais, notificaremos a autoridade competente. A OAIC sob o Notifiable Data Breaches scheme da Austrália, a ANPD sob a LGPD, ou a DPA da UE relevante sob o Artigo 33 do GDPR. Dentro de 72 horas após tomar conhecimento. Se o vazamento provavelmente cause dano sério, notificaremos os usuários afetados diretamente pelo e-mail associado à conta.
Crianças
O Budjo não é destinado a usuários menores de 16 anos. A gente não coleta dados conscientemente de menores. Se você acha que uma criança se cadastrou, escreva para support@budjo.app e a gente apaga a conta.
Mudanças nesta política
Notificaremos mudanças importantes com pelo menos 30 dias de antecedência, por e-mail ou via um banner no app. A data de "Última atualização" lá em cima sempre reflete a versão atual.
Contato
support@budjo.app. A gente lê todo e-mail.