Voltar pra homeIdioma: PT

Documento legal

Política de Privacidade

Versão: 1.0-draft·Vigência: 2026-05-28

Rascunho v1.0 sujeito a revisão jurídica antes do lançamento público. Em caso de divergência, a versão em inglês prevalece.

Data de vigência: 28 de maio de 2026 Versão: 1.0

Esta é uma tradução de cortesia. Em caso de divergência entre as versões, a versão em inglês prevalece.

Esta Política de Privacidade explica como a Wizz! comms., sociedade constituída na Irlanda com sede em Castlerea, Co. Roscommon (a "Controladora", "nós"), trata dados pessoais quando você usa o serviço MeJu (o "Serviço"). Ela também funciona como Termo de Tratamento de Dados (DPA) para Usuários que precisarem.

Esta política atende às obrigações dos Artigos 13 e 14 do GDPR e dos Artigos 9 e 18 da LGPD.

1. Controladora e DPO

  • Controladora: Wizz! comms., Castlerea, Co. Roscommon, Irlanda.
  • Encarregado (DPO): dpo@wizzcomms.com.
  • Contato geral: support@wizzcomms.com.

2. Bases legais

Tratamos dados pessoais nas bases legais abaixo, mapeadas por finalidade.

| Finalidade | GDPR (Art. 6) | LGPD (Art. 7) | |---|---|---| | Criação de conta, operação do espaço, suporte | Execução de contrato (b) | Execução de contrato (V) | | Processamento de pagamento, faturas, cobrança da assinatura | Execução de contrato (b); Obrigação legal (c) | Execução de contrato (V); Cumprimento de obrigação legal (II) | | Registros fiscais, contábeis e de auditoria | Obrigação legal (c) | Cumprimento de obrigação legal (II) | | Segurança, prevenção de fraude, investigação de abuso | Legítimo interesse (f) | Legítimo interesse (IX) | | Melhoria do produto, analytics agregado | Legítimo interesse (f); Consentimento (a) quando aplicável | Legítimo interesse (IX); Consentimento (I) quando aplicável | | Cookies não essenciais, comunicações de marketing | Consentimento (a) | Consentimento (I) | | Sugestões geradas por IA (dica diária, resumo mensal, panorama, sugestão de categoria) | Legítimo interesse (f), com opt-out explícito no produto | Legítimo interesse (IX), com opt-out explícito no produto |

Você pode revogar qualquer consentimento a qualquer momento, sem afetar a licitude do tratamento anterior.

3. Categorias de dados tratados

  • Identificação: nome (se informado), email.
  • Autenticação: hash da senha, tokens de magic-link, cookies de sessão.
  • Financeiros (registros estruturados): movimentações, categorias, faturas recorrentes, posições de investimento, orçamentos e metas que você criar ou importar para o seu espaço.
  • Cobrança: plano, moeda, período de cobrança, últimos quatro dígitos e bandeira do cartão (a Stripe tokeniza o cartão completo, não recebemos nem armazenamos).
  • Técnicos: IP, user agent, tipo de dispositivo, idioma, pageviews, metadados básicos de evento.
  • Suporte: conteúdo das mensagens que você nos envia.

4. Dados que NÃO coletamos

Faz parte de como o MeJu protege sua privacidade por design:

  • PDF ou CSV original do extrato bancário que você sobe não fica armazenado. Ele é processado em memória, os registros estruturados são salvos e o arquivo original é descartado.
  • Não coletamos dados biométricos.
  • Não coletamos dados sensíveis (Art. 11 LGPD / Art. 9 GDPR).
  • Não coletamos dados de crianças (o Serviço não é dirigido a menores de 18).

5. Como usamos seus dados

  • operar e proteger o Serviço;
  • autenticar você e proteger sua conta;
  • processar pagamentos e faturas;
  • enviar emails transacionais (verificação, recibos, lembretes de trial, avisos de segurança);
  • investigar incidentes e prevenir abuso;
  • cumprir obrigações legais;
  • (com seu consentimento) enviar novidades do produto.

Nunca vendemos seus dados pessoais. Nunca usamos seus registros financeiros para treinar modelos de IA.

6. Inteligência Artificial

Usamos a API da OpenAI para gerar sugestões financeiras agregadas dentro do Serviço: a dica diária, o resumo do mês, o panorama do período, a observação de gastos fora do padrão e a sugestão de categorias.

Modelo. O modelo atual é o gpt-4o-mini, operado pela OpenAI, L.L.C., nos Estados Unidos. Podemos trocar por outro modelo comparável da OpenAI com a mesma postura de retenção e privacidade; o modelo em uso está sempre divulgado na tela in-app Configurações > Plano > Inteligência Artificial.

O que é enviado. Antes da chamada, agregamos seus dados em um snapshot anonimizado que contém somente:

  • variações percentuais entre meses e categorias;
  • status do saldo (positivo, neutro, negativo);
  • dia da semana e dia do mês atual;
  • idioma da conta (pt ou en) e moeda (BRL ou EUR);
  • rótulos das categorias que você definiu (ex: "mercado", "transporte");
  • para a funcionalidade de sugestão de categoria, a descrição da movimentação, truncada em 80 caracteres, apenas quando o algoritmo local não acha match.

O que NUNCA é enviado.

  • nome completo, email, identificador de Usuário, identificador de Conta;
  • descrições de movimentação na dica diária, no resumo, no panorama ou na anomalia;
  • valor monetário absoluto (apenas percentuais e sinais);
  • número de conta bancária, dados de cartão, IBAN;
  • PDF ou CSV original do extrato.

País de processamento. Estados Unidos.

Salvaguardas. A transferência é regida pelas Cláusulas Contratuais Padrão (SCC) 2021/914 da Comissão Europeia e pelo Data Processing Addendum da OpenAI. Retenção zero está contratada no nível da nossa organização OpenAI: prompts e respostas não são persistidos, não são usados para treinamento, não são revisados por humanos e não são usados para melhorar modelos.

Conteúdo é informativo. A saída da IA pode estar incorreta, incompleta ou desatualizada. Tem caráter informativo apenas, não constitui aconselhamento financeiro, fiscal, contábil, de investimentos ou jurídico. Você permanece o único responsável por qualquer decisão tomada a partir da saída da IA.

Opt-out. Você pode desativar a IA a qualquer momento em Configurações > Plano > Inteligência Artificial. Quando desativada, nenhum snapshot é montado e nenhuma chamada à OpenAI é feita para a sua conta. Sugestões já geradas permanecem armazenadas até você apagá-las ou encerrar a conta.

7. Subprocessadores

Operamos o Serviço com os subprocessadores abaixo. Cada um está vinculado por contrato de tratamento de dados e salvaguardas apropriadas.

| Subprocessador | Finalidade | Localização | Salvaguardas | |---|---|---|---| | Supabase | Banco de dados, autenticação, storage | Região UE | Intra-EEE | | Stripe Payments Europe Ltd | Pagamentos, assinaturas, portal do cliente | Irlanda (UE) | Intra-EEE | | Resend | Email transacional | Estados Unidos | Cláusulas Contratuais Padrão | | Vercel | Hospedagem, CDN, build | Região UE (fra1, Frankfurt) | Intra-EEE, residência de dados UE | | Google Analytics | Analytics anônimo de tráfego | Estados Unidos | Cláusulas Contratuais Padrão, IP anonimizado, condicionado a consentimento | | OpenAI Inc. | Geração de sugestões financeiras agregadas (dica diária, resumo do mês, observação de gastos fora do padrão, sugestão de categoria) | Estados Unidos | Cláusulas Contratuais Padrão 2021/914, snapshots agregados não pessoais, retenção zero contratada, sem treinamento |

Atualizamos esta lista em https://meju.wizzcomms.com/legal/privacy sempre que mudar.

8. Transferências internacionais

  • UE/EEE → Estados Unidos (Resend, Google Analytics, OpenAI): transferidos sob as Cláusulas Contratuais Padrão (SCC) 2021/914 da Comissão Europeia, com medidas técnicas adicionais (TLS 1.3 em trânsito, retenção zero contratada na OpenAI, anonimização de IP no Google Analytics). Você pode pedir cópia das cláusulas em dpo@wizzcomms.com.
  • Brasil → União Europeia (Supabase, Stripe Europe, Vercel UE): transferidos sob o Art. 33, II da LGPD (transferência internacional para país que ofereça grau de proteção de dados pessoais adequado, conforme reconhecido pela decisão de adequação da Comissão Europeia e enquanto se aguarda decisão de adequação específica da ANPD) ou, alternativamente, sob o Art. 33, IX (consentimento específico do titular quando aplicável a uma operação específica).
  • Brasil → Estados Unidos (Resend, Google Analytics, OpenAI): transferidos sob o Art. 33, II da LGPD em combinação com Cláusulas Contratuais Padrão assinadas com cada subprocessador, com as salvaguardas adicionais descritas na seção 6 para a OpenAI.

9. Retenção

A retenção é definida por categoria, não por conta.

| Categoria | Período de retenção | Gatilho da exclusão | |---|---|---| | Perfil da conta (nome, email, hash da senha) | Conta ativa | 30 dias após encerramento | | Registros financeiros (movimentações, categorias, orçamentos, metas, recorrentes) | Conta ativa | 30 dias após encerramento | | Snapshots e saídas da IA (dica diária, resumo, panorama) | Conta ativa | 30 dias após encerramento ou imediatamente no opt-out de IA | | Backups | 30 dias | Exclusão rotativa normal | | Logs técnicos e de segurança | 90 dias | Exclusão rotativa | | Tokens de verificação de email e magic-link | 15 minutos | Expiração automática | | Contadores de rate-limit | 24 horas | Expiração automática | | Dados de cobrança, faturas, registros fiscais | 5 anos (obrigação fiscal e contábil irlandesa) | Retenção estatutária de 5 anos a contar da emissão | | Registros de consentimento (cookies, IA, marketing) | 5 anos ou até a revogação + 1 ano | Prazo prescricional |

Após a exclusão, podem permanecer referências residuais em backups offline até o ciclo de rotação se completar; a restauração de backup nunca reinstala uma conta excluída, apenas dados operacionais de contas ativas.

10. Seus direitos

Você tem direito a:

  • acessar seus dados pessoais;
  • corrigir dados incompletos ou imprecisos;
  • excluir seus dados (direito ao apagamento);
  • restringir ou opor-se ao tratamento;
  • portabilidade (receber seus dados em formato estruturado);
  • revogar consentimento a qualquer momento, sem afetar tratamento anterior;
  • não se sujeitar a decisões tomadas exclusivamente com base em tratamento automatizado que produza efeitos jurídicos ou afete você significativamente (não tomamos esse tipo de decisão; sugestões de IA são informativas e você permanece o decisor);
  • apresentar reclamação à autoridade supervisora.

Como exercer seus direitos.

| Direito | Caminho no produto | Ou por email | |---|---|---| | Acesso e portabilidade | Configurações > Plano > Exportar dados (CSV/JSON do espaço) | dpo@wizzcomms.com | | Correção | Edite qualquer registro direto no espaço | dpo@wizzcomms.com | | Apagamento | Configurações > Plano > Encerrar conta | dpo@wizzcomms.com | | Restrição ou oposição | dpo@wizzcomms.com | — | | Revogar consentimento de IA | Configurações > Plano > Inteligência Artificial (desativar) | dpo@wizzcomms.com | | Revogar consentimento de cookies | Link "Configurar cookies" no rodapé | — | | Revogar consentimento de marketing | Link de descadastro em qualquer email | support@wizzcomms.com |

Respondemos qualquer pedido em até 30 dias. Se precisarmos prorrogar (pedidos complexos, Art. 12(3) do GDPR), avisamos dentro dos primeiros 30 dias. Não há cobrança, exceto se o pedido for manifestamente infundado ou excessivo.

11. Autoridades supervisoras

  • União Europeia: Data Protection Commission (DPC) Irlanda, www.dataprotection.ie.
  • Brasil: Autoridade Nacional de Proteção de Dados (ANPD), www.gov.br/anpd.

Você pode reclamar a qualquer uma das autoridades conforme seu domicílio.

12. Segurança

Aplicamos medidas organizacionais e técnicas como:

  • segurança em nível de linha (RLS) por espaço no banco;
  • criptografia em repouso (gerenciada pela Supabase) e TLS 1.3 em trânsito;
  • segredos guardados apenas em variáveis de ambiente;
  • acesso à produção restrito a pessoal autorizado por princípio do menor privilégio;
  • auditorias regulares de dependências e configuração.

Em caso de incidente de dados pessoais com risco aos seus direitos, notificamos a autoridade supervisora em até 72 horas (GDPR Art. 33) e você quando exigido (Art. 34).

13. Cookies

Veja a Política de Cookies em /legal/cookies para detalhes completos, categorias e controles do banner.

14. Crianças

O Serviço não é dirigido a, nem pode ser usado por, pessoas menores de 18 anos.

15. Alterações desta política

Podemos atualizar esta política. Mudanças relevantes são comunicadas por email com pelo menos 30 dias de antecedência da vigência e exibidas com novo número de versão e data.

16. Contato

  • Geral: support@wizzcomms.com
  • Proteção de dados: dpo@wizzcomms.com

Wizz! comms., Castlerea, Co. Roscommon, Irlanda.

Dúvidas legais? Fale com o DPO.

Voltar pra home

MeJu

Suas finanças, lidas com calma. Feito na Irlanda, com afeto.

Wizz! comms. · Castlerea, Co. Roscommon, Irlanda · support@wizzcomms.com

Produto

  • Início
  • Preço
  • Segurança
  • Novidades

Empresa

  • Sobre a Wizz!
  • Status

Legal

  • Termos de uso
  • Privacidade
  • Cookies
  • Uso aceitável
  • Reembolso

Contato

© 2026 MeJu

Construído por Wizz! comms.
PT|EN