Política de Privacidade — vIA-Finanças

Vigência: 17/05/2026 · Versão: 1.0 (β.15) · Conforme: LGPD (Lei 13.709/2018)

1. Dados coletados

Anonimizados (todos usuários)

• Hash SHA-256 do token de acesso (16 chars) — para rate limit
• Timestamp da consulta — para auditoria operacional
• RAVs citados — para telemetria de uso
• Custo LLM real em USD — para controle de cap β.15

Identificados (apenas pagamentos)

• Email informado ao gerar PIX — exclusivamente para comprovante Mercado Pago
• Payment ID do Mercado Pago
• Valor pago

NÃO coletamos

• Texto da pergunta (não armazenado em sessionStorage nem em logs)
• Texto da resposta do Concierge LLM (não armazenado)
• CPF, RG, endereço, dados bancários
• Geolocalização precisa

2. Finalidade

• Operação técnica (rate limit, cobrança PIX, auditoria custo LLM)
• Comprovante fiscal Mercado Pago
• Melhoria do produto (estatísticas agregadas, sem identificação)

3. Compartilhamento

• Mercado Pago: email + valor + payment_id (necessário para processamento PIX)
• OpenRouter (LLM upstream): apenas texto da pergunta em tempo real para gerar resposta. Não armazenamos nem identificamos.
• Cloudflare: hospedagem técnica. Logs anonimizados de tráfego.
• Nenhum compartilhamento comercial com terceiros (marketing, data brokers, etc).

4. Retenção

• Hash de token + telemetria: 90 dias (auditoria operacional)
• Email de pagamento: enquanto durar relação fiscal MP (mínimo 5 anos por lei tributária brasileira)
• Pergunta e resposta texto: zero (não armazenado)

5. Seus direitos (LGPD Art. 18)

Você pode solicitar a qualquer momento:

• Confirmação de existência de tratamento
• Acesso aos seus dados
• Correção de dados
• Anonimização ou eliminação
• Portabilidade
• Revogação de consentimento

Contato para exercer direitos: [email protected]

6. Segurança

• HTTPS obrigatório (TLS 1.3)
• HMAC validação em webhooks Mercado Pago
• Tokens API com TTL explícito (1 ano)
• Secrets em vault Cloudflare Workers (não código)
• Backup R17 antes de qualquer alteração crítica

7. Cookies

vIA-Finanças usa apenas sessionStorage local do navegador (não cookies de servidor) para guardar temporariamente:

• Token de acesso beta (limpa ao fechar navegador)
• ID de payment pendente (limpa ao confirmar/cancelar)

Não usamos cookies de tracking, analytics ou publicidade.

8. Encarregado de Dados (DPO)

Luciano Andrey Schadler
CREA-PR 29.232
[email protected]
(45) 99113-3461