Politica de Privacidade

Ultima atualizacao: 2026-04-30

1. Quem somos

Roeh e um servico de gestao financeira operado por Mantovani AI Partners LTDA, inscrita no CNPJ a ser informado no contrato de servico, com sede no Brasil.

O encarregado pela protecao de dados (DPO) e Mantovani Velasco. Contato: dpo@roeh.app.

2. Quais dados coletamos

2.1 Dados que voce fornece

• Cadastro: nome, email, telefone (opcional), CNPJ ou CPF, senha (armazenada com hash).
• Empresa: razao social, atividade (CNAE), faturamento estimado, regime tributario (MEI, ME, EPP), endereco fiscal.
• Financeiro: lancamentos de entrada e saida, descricoes, categorias, valores, datas, fornecedores e clientes informados por voce, fotos de notas fiscais ou cupons.
• Pagamento: dados de cartao, PIX ou boleto sao processados diretamente pelo Asaas (e futuramente Stripe pra cartao internacional). Roeh NAO armazena dados de cartao — recebemos apenas o status da cobranca via webhook.

2.2 Dados coletados automaticamente

• Tecnicos: endereco IP, user agent, cookies, identificador de sessao, paginas visitadas, tempo de uso.
• Comportamental (com consentimento): eventos de uso para melhorar o produto.

2.3 Dados de terceiros (com sua autorizacao)

• Open Finance: via Pluggy (instituicao autorizada pelo Banco Central), podemos importar saldos e transacoes bancarias se voce explicitamente conectar sua conta.
• Vendas (upsell): via integracoes Bling, Hotmart, Kiwify, Mercado Pago e Stripe — apenas se voce ativar.

3. Para que usamos seus dados

• Operar o servico (lancamentos, dashboard, relatorios)
• Calcular impostos e reservas (cofrinho de impostos)
• Cofrinho de objetivos (acompanhar metas que voce define)
• Gerar insights, alertas e coach financeiro via inteligencia artificial
• Comparar seu desempenho com pares de forma anonimizada (k-anonimato ≥ 10)
• Cumprir obrigacoes legais e regulatorias
• Suporte ao cliente e melhoria do produto
• Comunicacoes transacionais (boas-vindas, cobranca, recibo de pagamento, recuperacao de senha)
• Trial gratuito de 7 dias do plano Pro ao criar a conta

4. Bases legais (LGPD Art. 7 e 11)

• Execucao de contrato: dados necessarios pra operar o servico que voce contratou
• Cumprimento de obrigacao legal: dados fiscais, registros financeiros
• Consentimento: Open Finance, integracao com plataformas de venda, marketing
• Legitimo interesse: seguranca da plataforma, prevencao a fraude, melhoria do produto

5. Compartilhamento

Nao vendemos seus dados. Compartilhamos apenas com sub-operadores essenciais, todos com contrato de tratamento de dados (DPA):

• Supabase (PostgreSQL, autenticacao, storage) — servidores em sa-east-1 (Sao Paulo, Brasil)
• Vercel (hospedagem da aplicacao web) — servidores na regiao mais proxima ao usuario
• Cloudflare (CDN, WAF, DNS)
• Asaas (processamento de pagamento — PIX, boleto, cartao recorrente — dados de pagamento ficam exclusivamente com a Asaas)
• Pluggy (Open Finance, autorizada Banco Central)
• Anthropic (modelos de IA — dados sao processados, nao usados pra treinar modelos de terceiros)
• Resend (email transacional — confirmacao, recibo, recuperacao)
• Better Stack (logs e monitoria de uptime)
• Sentry e PostHog (telemetria de erros e produto — em ativacao)
• Evolution API (Whatsapp self-hosted — instancia operada pela Mantovani AI Partners no DigitalOcean Sao Paulo)

6. Transferencia internacional

Alguns parceiros (ex: Anthropic, Vercel, Cloudflare, Stripe) operam servidores fora do Brasil. As transferencias seguem mecanismos legais: clausulas contratuais padroes, paises com nivel adequado de protecao, ou consentimento especifico.

7. Quanto tempo guardamos

• Dados de cadastro: ate 5 anos apos cancelamento da conta (obrigacao fiscal)
• Dados financeiros: 5 anos apos exercicio fiscal (Lei 8.846/94)
• Logs de auditoria: 5 anos
• Dados de marketing: ate o cancelamento do consentimento

8. Seus direitos (LGPD Art. 18)

Como titular dos dados, voce pode a qualquer momento solicitar:

• Confirmacao da existencia de tratamento
• Acesso aos seus dados
• Correcao de dados incompletos, inexatos ou desatualizados
• Anonimizacao, bloqueio ou eliminacao de dados desnecessarios
• Portabilidade pra outro fornecedor
• Eliminacao dos dados tratados com consentimento
• Informacoes sobre compartilhamento
• Revogacao do consentimento

Pra exercer qualquer direito, escreva para dpo@roeh.app. Respondemos em ate 15 dias.

9. Seguranca

• Criptografia em transito (TLS 1.3) e em repouso (Supabase + Cloudflare R2)
• Multi-tenant isolado via Row-Level Security do PostgreSQL
• Auditoria continua de seguranca (CodeQL, gitleaks, npm audit em CI)
• Backup automatico diario com retencao de 30 dias
• Logs de auditoria de toda mutacao financeira por 5 anos
• 2FA opcional na conta (em breve)

10. Cookies

Usamos cookies estritamente necessarios (sessao, preferencias) por padrao. Cookies de analise e marketing dependem do seu consentimento, dado pelo banner ao visitar o site.

11. Crianças e adolescentes

Roeh nao se destina a menores de 18 anos. Se identificarmos cadastro de menor, a conta sera encerrada e os dados eliminados.

12. Alteracoes

Podemos atualizar esta politica. Mudancas significativas serao avisadas por email com 15 dias de antecedencia.

13. ANPD

Voce tem direito de reclamar a Autoridade Nacional de Protecao de Dados: gov.br/anpd.