Política de Privacidade
O Penno foi feito para precisar do mínimo possível dos seus dados — idealmente, nada. Esta página descreve o que isso significa na prática.
Resumo
- A gente não coleta seus dados financeiros. Transações, dívidas, orçamentos e categorias ficam no seu aparelho — a gente nunca vê e nunca recebe.
- A gente não coleta seus dados pessoais. Sem nome, sem e-mail, sem telefone, sem endereço, sem CPF, sem localização precisa, sem identificador de anúncio.
- O Penno não exige conta, cadastro ou login. Nenhum identificador de usuário é criado.
- O Penno não se conecta ao seu banco nem a nenhuma instituição financeira.
- A gente coleta analytics de produto anônimos (visualizações de tela, toques, fluxo de navegação) via PostHog para entender como o app e o site são usados. Sem identidade ligada. Detalhamento completo abaixo.
- Apague o app e os dados locais vão junto. Eventos de analytics anônimos já enviados não conseguem ser ligados a você.
O que a gente coleta
Nenhum dado financeiro seu. Nenhum dado pessoal seu.
O app faz zero chamadas de rede sobre suas transações, dívidas,
recorrentes, orçamentos ou categorias — esse conteúdo fica no seu
aparelho em budget-planner.db e nunca é enviado para a
gente nem para ninguém. Também não pedimos, geramos ou guardamos seu
nome, e-mail, telefone, endereço, data de nascimento, CPF, IP,
localização precisa nem qualquer outro identificador que pudesse ser
usado para reconhecer você como uma pessoa específica.
Analytics de produto anônimos. O Penno usa o PostHog para coletar dados de uso agregados e anônimos — tanto no site (getpenno.com) quanto dentro do app. Isso ajuda a ver quais telas são usadas, quais funções importam e onde a experiência trava. Especificamente:
- Eventos: visualizações de tela, toques, fluxo de navegação, versão do app, versão do SO, idioma, tipo de aparelho.
- Sem identidade: a gente não chama a API
identifydo PostHog. Nenhum perfil de pessoa é criado (personProfiles: 'identified_only'). O PostHog gera automaticamente um ID anônimo aleatório de aparelho guardado localmente — a gente não consegue ligar isso a você, e você pode resetar apagando o app. - Sem PII: sem e-mail, sem nome, sem telefone, sem localização precisa, sem IP guardado do nosso lado. O PostHog descarta o IP depois de resolver a geolocalização em nível de país.
A gente não usa Plaid, Firebase, Mixpanel, Amplitude, Segment, AdMob, Meta Audience Network nem nenhum SDK de anúncio ou de broker de dados. O PostHog é o único coletor de terceiros no binário, e o escopo dele é o descrito acima.
Dá para verificar por conta própria o que sai do aparelho. O
relatório de privacidade da Apple no seu dispositivo vai mostrar
conexões de saída para r.getpenno.com (nosso proxy
reverso do PostHog) e para os próprios serviços da Apple — nada
além disso.
O que a gente armazena
Seus dados de orçamento — categorias, transações, recorrentes,
dívidas, pagamentos de dívida e ajustes — ficam guardados localmente
no seu aparelho em um arquivo de banco SQLite chamado
budget-planner.db. Esse arquivo vive no container do
Penno no seu aparelho.
O iOS, da Apple, vai incluir automaticamente esse container do app no seu Backup do iCloud se você tiver o Backup do iCloud ativado no aparelho. Isso é comportamento do iOS, não algo que o Penno controla. Se preferir, você pode excluir o Penno do Backup do iCloud nos ajustes do iCloud do aparelho.
Notificações
O Penno agenda notificações locais no seu aparelho — por exemplo, um lembrete um dia antes de uma cobrança recorrente, ou um cutucão de dívida parada. Essas notificações são agendadas pelo próprio sistema de notificações do iOS; não precisam de push no servidor.
Se você permitir notificações durante o onboarding, o único dado envolvido é o agendamento local no seu aparelho. Nada é enviado para o Penno nem para terceiros.
Exportar e compartilhar
Quando você escolhe exportar seus dados para um arquivo CSV ou XLSX pelo recurso de Exportar dentro do app, o arquivo é criado no seu aparelho e entregue para a folha de compartilhamento do iOS. A partir daí, você escolhe o destino — Arquivos, iCloud Drive, e-mail, AirDrop ou qualquer outro destino disponível no seu aparelho.
O Penno em si não envia o arquivo para lugar nenhum. Os dados só saem do app quando você manda explicitamente pela folha de compartilhamento.
Terceiros
A gente não vende, aluga nem compartilha seus dados financeiros com ninguém. A gente não tem seus dados financeiros; não há o que compartilhar.
Os terceiros envolvidos na operação do Penno são:
- Apple Inc. — hospeda o app na App Store e opera a plataforma iOS por baixo. Regida pela política de privacidade da Apple.
-
PostHog Inc. — recebe os analytics anônimos de
produto descritos acima. Os dados ficam hospedados na nuvem dos
EUA do PostHog e passam pelo nosso proxy reverso em
r.getpenno.com. Regida pela política de privacidade do PostHog e pelo adendo de processamento de dados.
Cookies e rastreamento
A landing page do Penno (getpenno.com) usa um conjunto pequeno de cookies / entradas de local storage de primeira parte usados pelo PostHog para (a) amarrar eventos da mesma sessão de navegação e (b) desduplicar contagens de visitantes ao longo do tempo. Não são usados para publicidade nem compartilhados com nenhuma rede de anúncio. Não há cookies de anúncio de terceiros, sem Facebook Pixel, sem tag do Google Ads.
O app não usa identificadores de anúncio (sem IDFA, sem equivalentes ao IDFA). O PostHog dentro do app usa um ID anônimo aleatório de aparelho guardado no próprio sandbox do app; ele é resetado quando você apaga o app.
Para desativar: no iOS, dá para negar o
consentimento de Transparência no Rastreamento de Apps e/ou
desativar analytics em apps individuais pelos ajustes do iOS. No
site, você pode usar ferramentas do navegador (Do Not Track, modo
privado, bloqueadores de conteúdo) para bloquear requisições para
r.getpenno.com; o site continua funcionando normalmente
sem analytics.
Crianças
O Penno não é direcionado a crianças. A gente não coleta conscientemente informação de crianças. Como a gente não coleta informação de ninguém, essa é a mesma afirmação que vale para todo mundo — não há caminho especial de dados para informação de crianças.
Seus direitos
Seus dados financeiros ficam no seu aparelho, totalmente sob seu controle. Você pode:
- Editar qualquer lançamento pela interface do app
- Exportar todos os dados pelo recurso de Exportar dentro do app
- Apagar o app para remover todos os dados locais
Sobre os analytics anônimos do PostHog descritos acima: como nenhuma identidade fica anexada, a gente não tem como buscar "seus" eventos no servidor. Mas dá para bloquear os analytics por completo:
-
Site: bloqueie requisições para
r.getpenno.comcom o bloqueador de conteúdo do navegador, use modo privado/anônimo, ou ative o Do Not Track. - App: negue a Transparência no Rastreamento de Apps no primeiro lançamento (quando o sistema pergunta) e/ou revogue o consentimento de analytics em Ajustes do iOS > Privacidade e Segurança > Rastreamento. Apagar o app reseta o ID anônimo do aparelho.
Se você achar que eventos do seu aparelho deveriam ser apagados do lado do PostHog, fale com a gente no endereço abaixo com a janela de tempo aproximada e a gente abre um pedido de exclusão para o PostHog. Como os eventos são anônimos, talvez não dê para isolar os seus, mas a gente coopera de boa-fé.
Mudanças nesta política
Se mudarmos esta política de forma material, a gente atualiza esta página e a data de vigência acima. Mudanças materiais afetam as práticas de tratamento de dados do app; mudanças não-materiais são esclarecimentos ou correções de digitação.
Contato
Dúvidas sobre privacidade: [email protected].