Política de Privacidade
O Penno foi feito para precisar do mínimo possível dos seus dados — idealmente, nada. Esta página descreve o que isso significa na prática.
Resumo
- A gente não coleta seus dados financeiros. Transações, dívidas, orçamentos e categorias ficam no seu aparelho — a gente nunca vê nem recebe suas transações individuais.
- A gente não coleta seus dados pessoais. Sem nome, sem e-mail, sem telefone, sem endereço, sem CPF, sem localização precisa, sem identificador de anúncio.
- O Penno não exige conta, cadastro ou login. Nenhum identificador de usuário é criado.
- O Penno não se conecta ao seu banco nem a nenhuma instituição financeira.
- Uma exceção opcional: o AI Insights (um recurso Pro, desativado por padrão) envia os totais agregados por categoria daquele mês — nunca transações individuais — ao nosso provedor de IA, e só quando você o ativa. Detalhes abaixo.
- A gente coleta analytics de produto anônimos (visualizações de tela, toques, fluxo de navegação) via PostHog para entender como o app e o site são usados. Sem identidade ligada. Detalhamento completo abaixo.
- Apague o app e os dados locais vão junto; se você tiver salvado um backup no iCloud, ele fica no seu próprio iCloud até você apagá-lo lá. Eventos de analytics anônimos já enviados não conseguem ser ligados a você.
O que a gente coleta
Nenhum dado financeiro seu. Nenhum dado pessoal seu.
Fora o recurso opcional de AI Insights descrito abaixo, o app faz
zero chamadas de rede sobre suas transações, dívidas, recorrentes,
orçamentos ou categorias — esse conteúdo fica no seu aparelho em
budget-planner.db. Suas transações individuais nunca são
transmitidas para a gente nem para ninguém. Também não pedimos,
geramos ou guardamos seu
nome, e-mail, telefone, endereço, data de nascimento, CPF, IP,
localização precisa nem qualquer outro identificador que pudesse ser
usado para reconhecer você como uma pessoa específica.
Analytics de produto anônimos. O Penno usa o PostHog para coletar dados de uso agregados e anônimos — tanto no site (getpenno.com) quanto dentro do app. Isso ajuda a ver quais telas são usadas, quais funções importam e onde a experiência trava. Especificamente:
- Eventos: visualizações de tela, toques, fluxo de navegação, versão do app, versão do SO, idioma, tipo de aparelho.
- Sem identidade: a gente não chama a API
identifydo PostHog. Nenhum perfil de pessoa é criado (personProfiles: 'identified_only'). O PostHog gera automaticamente um ID anônimo aleatório de aparelho guardado localmente — a gente não consegue ligar isso a você, e você pode resetar apagando o app. - Sem PII: sem e-mail, sem nome, sem telefone, sem localização precisa, sem IP guardado do nosso lado. O PostHog descarta o IP depois de resolver a geolocalização em nível de país.
A gente não usa Plaid, Firebase, Mixpanel, Amplitude, Segment, AdMob, Meta Audience Network nem nenhum SDK de anúncio ou de broker de dados. O PostHog é o único coletor de terceiros no binário, e o escopo dele é o descrito acima.
Dá para verificar por conta própria o que sai do aparelho. O
relatório de privacidade da Apple no seu dispositivo vai mostrar
conexões de saída para r.getpenno.com (nosso proxy
reverso do PostHog), para ai.getpenno.com apenas se você
usar o AI Insights, e para os próprios serviços da Apple — nada
além disso.
AI Insights (opcional)
O AI Insights é um recurso opcional incluído no desbloqueio único do Penno Pro. Ele fica desativado até você abri-lo, e na primeira vez que você o executa o Penno pede seu consentimento explícito. Se você nunca o ativar, nada nesta seção se aplica e nenhum dado financeiro sai do seu aparelho.
Quando você toca em "Analisar este mês" e aceita o aviso, o Penno envia um resumo do mês selecionado ao nosso provedor de IA para gerar os insights por escrito:
- O que é enviado: os totais de gasto e de orçamento por categoria do mês, os totais do mês (gasto, orçado, receita), o gasto total do mês anterior, e os nomes e valores dos seus itens recorrentes ativos.
- O que nunca é enviado: suas transações individuais, suas notas, datas ou qualquer detalhe de lançamento — apenas os números agregados acima.
- Como ele trafega: a requisição vai para o nosso próprio proxy em
ai.getpenno.com, que a encaminha para a API Gemini do Google para gerar aquela única resposta. Ela não é armazenada por nós, e sua requisição é enviada sem nenhum nome, e-mail ou identificador de conta. - Nenhum conteúdo nos analytics: a gente registra apenas metadados operacionais anônimos de cada requisição (modelo de IA, contagem de tokens, custo, latência, sucesso ou falha) no PostHog — nunca os números enviados nem o insight retornado.
Os insights gerados por IA são apenas informativos e não constituem aconselhamento financeiro.
O que a gente armazena
Seus dados de orçamento — categorias, transações, recorrentes,
dívidas, pagamentos de dívida e ajustes — ficam guardados localmente
no seu aparelho em um arquivo de banco SQLite chamado
budget-planner.db. Esse arquivo vive no container do
Penno no seu aparelho.
O iOS, da Apple, vai incluir automaticamente esse container do app no seu Backup do iCloud se você tiver o Backup do iCloud ativado no aparelho. Isso é comportamento do iOS, não algo que o Penno controla. Se preferir, você pode excluir o Penno do Backup do iCloud nos ajustes do iCloud do aparelho.
Separadamente, o Penno oferece um backup opcional no iCloud que você controla. Quando você o ativa em Ajustes → iCloud e toca em Fazer Backup, o Penno salva um único arquivo de backup na sua própria conta iCloud; tocar em Restaurar o traz de volta. As duas são ações manuais que você realiza — não há envio automático nem em segundo plano. O arquivo de backup vive apenas no seu próprio iCloud; o Penno nunca o recebe e não consegue lê-lo, e você pode apagá-lo do seu iCloud quando quiser.
Notificações
O Penno agenda notificações locais no seu aparelho — por exemplo, um lembrete um dia antes de uma cobrança recorrente, ou um cutucão de dívida parada. Essas notificações são agendadas pelo próprio sistema de notificações do iOS; não precisam de push no servidor.
Se você permitir notificações durante o onboarding, o único dado envolvido é o agendamento local no seu aparelho. Nada é enviado para o Penno nem para terceiros.
Exportar e compartilhar
Quando você escolhe exportar seus dados para um arquivo CSV ou XLSX pelo recurso de Exportar dentro do app, o arquivo é criado no seu aparelho e entregue para a folha de compartilhamento do iOS. A partir daí, você escolhe o destino — Arquivos, iCloud Drive, e-mail, AirDrop ou qualquer outro destino disponível no seu aparelho.
O Penno em si não envia o arquivo para lugar nenhum. Os dados só saem do app quando você manda explicitamente pela folha de compartilhamento.
Terceiros
A gente não vende, aluga nem compartilha seus dados financeiros com ninguém. A gente não tem seus dados financeiros; não há o que compartilhar.
Os terceiros envolvidos na operação do Penno são:
- Apple Inc. — hospeda o app na App Store e opera a plataforma iOS por baixo. Regida pela política de privacidade da Apple.
-
PostHog Inc. — recebe os analytics anônimos de
produto descritos acima. Os dados ficam hospedados na nuvem dos
EUA do PostHog e passam pelo nosso proxy reverso em
r.getpenno.com. Regida pela política de privacidade do PostHog e pelo adendo de processamento de dados. - RevenueCat, Inc. — processa a compra única dentro do app. Recebe o recibo de compra da App Store e um ID anônimo aleatório de usuário do app que ela gera (sem nome, e-mail ou dados financeiros) para que o seu desbloqueio possa ser validado e restaurado. Regida pela política de privacidade da RevenueCat.
- Google LLC — fornece o modelo de IA Gemini por trás do recurso opcional de AI Insights. Apenas quando você usa esse recurso, o resumo mensal agregado descrito acima é enviado para a API Gemini do Google através do nosso proxy para gerar a resposta. Regida pela política de privacidade do Google e pelos termos da API Gemini.
Cookies e rastreamento
A landing page do Penno (getpenno.com) usa um conjunto pequeno de cookies / entradas de local storage de primeira parte usados pelo PostHog para (a) amarrar eventos da mesma sessão de navegação e (b) desduplicar contagens de visitantes ao longo do tempo. Não são usados para publicidade nem compartilhados com nenhuma rede de anúncio. Não há cookies de anúncio de terceiros, sem Facebook Pixel, sem tag do Google Ads.
O app não usa identificadores de anúncio (sem IDFA, sem equivalentes ao IDFA). O PostHog dentro do app usa um ID anônimo aleatório de aparelho guardado no próprio sandbox do app; ele é resetado quando você apaga o app.
Para desativar: o app não usa identificadores de
anúncio, então não há solicitação de Transparência no Rastreamento de
Apps e o Penno não aparece em Ajustes do iOS > Privacidade e
Segurança > Rastreamento. Para interromper os analytics anônimos do
app, apague o app — isso limpa o ID anônimo de aparelho guardado
localmente. No site, você pode usar ferramentas do navegador (Do Not
Track, modo privado, bloqueadores de conteúdo) para bloquear
requisições para r.getpenno.com; o site continua
funcionando normalmente sem analytics.
Crianças
O Penno não é direcionado a crianças. A gente não coleta conscientemente informação de crianças. Como a gente não coleta informação de ninguém, essa é a mesma afirmação que vale para todo mundo — não há caminho especial de dados para informação de crianças.
Seus direitos
Seus dados financeiros ficam no seu aparelho, totalmente sob seu controle. Você pode:
- Editar qualquer lançamento pela interface do app
- Exportar todos os dados pelo recurso de Exportar dentro do app
- Apagar o app para remover todos os dados locais
Sobre os analytics anônimos do PostHog descritos acima: como nenhuma identidade fica anexada, a gente não tem como buscar "seus" eventos no servidor. Mas dá para bloquear os analytics por completo:
-
Site: bloqueie requisições para
r.getpenno.comcom o bloqueador de conteúdo do navegador, use modo privado/anônimo, ou ative o Do Not Track. - App: o app não exibe solicitação de rastreamento e não usa identificadores de anúncio, então ele não aparece em Ajustes do iOS > Privacidade e Segurança > Rastreamento. Para interromper os analytics do app, apague o app — isso limpa o ID anônimo de aparelho guardado localmente.
Se você achar que eventos do seu aparelho deveriam ser apagados do lado do PostHog, fale com a gente no endereço abaixo com a janela de tempo aproximada e a gente abre um pedido de exclusão para o PostHog. Como os eventos são anônimos, talvez não dê para isolar os seus, mas a gente coopera de boa-fé.
Mudanças nesta política
Se mudarmos esta política de forma material, a gente atualiza esta página e a data de vigência acima. Mudanças materiais afetam as práticas de tratamento de dados do app; mudanças não-materiais são esclarecimentos ou correções de digitação.
Contato
Dúvidas sobre privacidade: [email protected].