Política de Privacidade do Guardei

Esta política explica, em linguagem direta, quais dados pessoais o Guardei coleta de quem usa o aplicativo Guardei e o site www.guardeiapp.com.br, por quais motivos, com quem compartilhamos e o que você pode fazer a respeito.

Se você só visita o site (não usa o aplicativo), as seções que realmente se aplicam a você são a I, a III.A, a IV.A e a XIII.

I — Quem somos e como nos contatar

O Guardei é um aplicativo para Android que ajuda famílias brasileiras a organizar despesas médicas, com dois objetivos: não perder dedução no Imposto de Renda e não perder reembolso de plano de saúde por prazo.

O Guardei é operado, neste momento, como projeto de pessoa física, em estágio inicial de operação:

• Controlador (LGPD art. 5º, VI): Guilherme Mourão Moura — CPF [REVISÃO JURÍDICA: confirmar exibição mascarada ou integral antes da publicação]. Caixa Postal a configurar — Goiânia/GO.
• Encarregado pelo tratamento de dados pessoais (DPO, LGPD art. 41): o próprio controlador, conforme permitido pelo art. 41 §2º da LGPD para controladores pessoa física.
• Canal oficial para questões de privacidade e direitos: dpo@guardeiapp.com.br

Quando o Guardei passar a operar sob pessoa jurídica, esta política será atualizada e a alteração ficará registrada na seção XV (Histórico de versões).

II — Por que coletamos seus dados

Coletamos os dados estritamente necessários para que você consiga:

1. criar e usar uma conta no Guardei;
2. cadastrar você e os seus dependentes como beneficiários de despesas médicas;
3. registrar despesas médicas anexando o comprovante (foto, PDF ou nota manual);
4. ter o comprovante analisado pela nossa Inteligência Artificial, que extrai os campos do documento para preencher a despesa para você;
5. controlar prazos de reembolso do seu plano de saúde;
6. exportar todas as suas despesas, com comprovantes, em um arquivo ZIP enviado por email para uso na sua declaração de IR ou no pedido de reembolso;
7. receber comunicações transacionais (confirmação de cadastro, lembretes de prazo, entrega de exportação, recuperação de senha).

Não usamos seus dados para vender, para criar perfis de publicidade, para venda a terceiros, ou para qualquer finalidade diferente das listadas acima. Quando uma finalidade nova for proposta no futuro, você será informado e, quando exigir, pediremos consentimento específico.

III — O que coletamos

Listamos abaixo, separados por contexto, todos os dados que o Guardei trata, com o detalhe necessário para auditoria. A mesma lista é apresentada no formulário "Data Safety" da Google Play.

A. Quando você apenas visita o site www.guardeiapp.com.br

• Endereço IP processado server-side, transformado em hash com sal diário rotativo, e descartado em 24 horas. Usado apenas para limitar abuso do formulário de cadastro na fila de espera e para gerar identificador efêmero de visita pelo Plausible Analytics (ver seção VI).
• Identificador efêmero do User-Agent (hash) na tabela de fila de espera, se você se cadastrar nela.
• Parâmetros de campanha (utm_source, utm_medium, utm_campaign, utm_term, utm_content) e referrer, se você chegou ao site através de um link com esses parâmetros e se cadastrou na fila de espera.
• Cookie técnico de sessão para proteger o formulário de cadastro (token anti-CSRF). Apaga ao fechar o navegador.

B. Quando você se cadastra na fila de espera ("Quero ser avisado")

• Email (obrigatório).
• Nome (opcional, somente se você preencher).
• Os dados de tráfego listados em III.A.

C. Quando você cria uma conta no aplicativo Guardei

• Email.
• Nome.
• Senha (armazenada apenas como hash criptográfico — o Guardei nunca tem acesso à sua senha em texto puro).
• Opcionalmente: telefone, foto de perfil.

D. Quando você cadastra um dependente como beneficiário

• Nome do dependente.
• Grau de parentesco em relação a você (titular, cônjuge, filho, pai, mãe, ou outro).
• Opcionalmente: data de nascimento, CPF, plano de saúde (nome do plano e prazo de reembolso em dias).
• Cor de avatar e foto opcional, para visualização no app.

Você é responsável por cadastrar somente dependentes para os quais você tenha autoridade legal (filhos menores, dependentes fiscais declarados, ou outras pessoas que tenham autorizado expressamente este registro). Veja a seção XII para detalhes sobre dependentes menores de idade.

E. Quando você registra uma despesa médica

• Data da despesa.
• Valor (armazenado em centavos para evitar erro de arredondamento).
• Nome e CPF/CNPJ do prestador de serviço (médico, clínica, laboratório, hospital).
• Especialidade médica (extraída do comprovante ou informada por você).
• A foto, PDF ou arquivo do comprovante (imagem ou documento fiscal). Este item é dado pessoal sensível, pois revela condições de saúde — ver seção V.
• Beneficiário associado à despesa.
• Status da despesa no fluxo (anotação, validação por IA, pedido de reembolso pendente, reembolso recebido, etc.).
• Datas de pedido de reembolso e de recebimento.
• Valor recebido pelo plano de saúde.

F. Comunicações que você nos envia

• Conteúdo de mensagens enviadas para dpo@guardeiapp.com.br ou outros canais de suporte, incluindo o endereço de email a partir do qual elas foram enviadas.

G. Eventos de uso (telemetria interna do app)

• Eventos sem PII (exemplo: "usuário pediu exclusão de conta"), para diagnóstico operacional. Não logamos conteúdo de comprovante, nome do prestador, CPF nem nenhum outro dado de saúde nestes eventos.

IV — Como usamos seus dados e por quanto tempo

A. Dados do site (seção III.A e III.B)

• Endereço IP em hash diário: para evitar abuso do formulário de fila. Descartado em 24 horas.
• Email da fila: para confirmarmos o cadastro (duplo opt-in) e para avisarmos quando o Guardei estiver disponível na Google Play. Você pode pedir saída da fila a qualquer momento respondendo o email de confirmação ou escrevendo para dpo@guardeiapp.com.br. Saída da fila apaga seu email da nossa base.
• UTM e referrer: para entender por quais canais as pessoas chegam ao site, em forma agregada. Retidos por até 180 dias.

B. Dados de cadastro (III.C)

• Email e senha: para autenticar você no aplicativo. Mantidos enquanto sua conta existir.
• Telefone e foto de perfil (opcionais): só aparecem para você. Não usamos para nada além de mostrar para você no app.

C. Dados de dependentes (III.D)

Para você associar despesas a cada pessoa e gerar relatório correto por beneficiário. Mantidos enquanto você os mantiver cadastrados.

D. Dados de despesa (III.E)

• Para você ter o controle das despesas; para a Inteligência Artificial extrair campos do comprovante; para gerar o ZIP de exportação; para calcular vencimentos de prazo de reembolso.
• Mantidos por tempo indeterminado enquanto sua conta existir. Você pode apagar despesas individuais a qualquer momento. Ao apagar uma despesa já validada, ela vai para uma "lixeira" por 30 dias antes de ser apagada definitivamente, para o caso de erro. Despesas ainda não validadas são apagadas imediatamente.
• Ao excluir a sua conta (ver seção IX), todos os seus dados de despesa, incluindo os arquivos de comprovante, são apagados conforme descrito naquela seção.

E. Arquivos de exportação (ZIPs gerados quando você pede export)

Mantidos no nosso armazenamento por 7 dias após geração. Decorrido o prazo, são apagados automaticamente por rotina diária. O link de download que você recebeu por email deixa de funcionar. Você pode pedir novo export quando quiser.

F. Email e suporte (III.F)

Mantidos por 5 anos a partir da última troca, por compatibilidade com prazo prescricional do Código de Defesa do Consumidor.

G. Eventos de uso (III.G)

Mantidos por 365 dias.

V — Base legal de cada coleta (LGPD art. 7º e 11)

Dado	Finalidade	Base legal LGPD
Email e senha do titular	autenticação e execução do contrato	art. 7º, V (execução de contrato)
Telefone e foto do titular	personalização opcional	art. 7º, I (consentimento)
Nome, parentesco e dados do dependente	registrar despesas por pessoa	art. 7º, V (execução de contrato com o titular) e art. 14 (proteção da criança e do adolescente quando aplicável — ver seção XII)
Imagem do comprovante (DADO SENSÍVEL DE SAÚDE)	extrair campos do documento, controlar prazo de reembolso, gerar export para o titular	art. 11, II, "f" (tutela da saúde do titular, ESTENDIDO PARA O CONTEXTO DE GESTÃO PESSOAL DESSAS DESPESAS PELO TITULAR), subsidiariamente art. 11, I (consentimento expresso)
Dados fiscais (CPF/CNPJ do prestador, valor, especialidade)	finalidade fiscal e contábil de uso pessoal pelo titular	art. 7º, V (execução de contrato)
Email transacional (confirmação, lembretes, export)	execução de contrato	art. 7º, V + legítimo interesse (art. 7º, IX)
Email de marketing leve (avisar lançamento, novidades de produto)	comunicação contratualmente prevista	art. 7º, I (consentimento, via double opt-in da fila de espera)
Cookies essenciais do site	proteção do formulário	art. 7º, V (execução de medida pré-contratual)
Telemetria do site (Plausible)	estatística agregada	art. 7º, IX (legítimo interesse)
Logs de evento sem PII	operação e diagnóstico	art. 7º, IX (legítimo interesse)

VI — Com quem compartilhamos

Compartilhamos seus dados, sempre na medida estritamente necessária para operar o serviço, com os seguintes prestadores. Nenhum deles tem permissão para usar seus dados para finalidade própria.

1. Supabase Inc. (Estados Unidos) — provedor de banco de dados PostgreSQL e armazenamento de arquivos. Onde residem o seu cadastro, o cadastro dos dependentes, as despesas, e os arquivos de comprovante. Site: supabase.com.
2. Google LLC (Estados Unidos), por meio do Google Gemini API ("Gemini Vision 2.5 Flash") — extração de campos do comprovante por Inteligência Artificial. A imagem ou PDF do comprovante é enviada por link temporário assinado para a API do Gemini; ela retorna a leitura dos campos e a imagem não é mantida em sistema da Google após a chamada. Site: ai.google.dev.
3. Resend, Inc. (Estados Unidos) — envio de email transacional (confirmação de fila de espera, aviso de lançamento, confirmação de cadastro no app, entrega do export por email, redefinição de senha). Site: resend.com.
4. Plausible Insights OÜ (Estônia, União Europeia) — analítica agregada do site, sem cookies. Site: plausible.io.
5. Asaas Gestão Financeira S.A. (Brasil) — quando entrar em operação a cobrança da assinatura anual: processador de pagamento. Hoje, esta integração ainda não está ativa.

Não compartilhamos dados com plataformas de marketing, publicidade, redes sociais ou data brokers.

VII — Transferência internacional de dados (LGPD art. 33)

Como descrito na seção VI, parte do tratamento dos seus dados ocorre em servidores localizados nos Estados Unidos (Supabase, Google Gemini, Resend) e na União Europeia/Reino Unido (Plausible).

A transferência internacional é necessária para a operação do serviço e está fundamentada nas seguintes hipóteses do art. 33 da LGPD:

• Inciso I — quando o país de destino oferece grau de proteção adequado: aplicável à União Europeia (Plausible);
• Inciso II — quando o controlador oferece e comprova garantias de cumprimento dos princípios e direitos da LGPD, por meio de cláusulas contratuais específicas com os provedores americanos (Supabase, Google Cloud, Resend), incluindo cláusulas padrão e compromissos de segurança;
• Inciso IX — quando a transferência for necessária para execução de contrato, do qual o titular seja parte.

VIII — Por quanto tempo guardamos

Resumo dos prazos descritos em IV:

• Dados de cadastro e despesas: enquanto sua conta existir.
• Dados de fila de espera: até você sair da fila ou seu email ser apagado por sua solicitação.
• Arquivos de export (ZIP): 7 dias após geração.
• Hash de IP de visita ao site: 24 horas.
• UTM e referrer agregados: 180 dias.
• Comunicações de suporte: 5 anos.
• Logs de evento sem PII: 365 dias.

Backups operacionais (cópia de segurança da base de dados) podem manter dados por até 30 dias após a exclusão da conta, sendo purgados na rotação seguinte. Estes backups existem para recuperação de falha do serviço e não são consultados em operação normal.

IX — Seus direitos (LGPD art. 18) e como exercer

Você tem, a qualquer momento e gratuitamente, os direitos previstos no art. 18 da LGPD:

1. Confirmação de tratamento — saber se tratamos seus dados.
2. Acesso aos dados — receber o que temos sobre você.
3. Correção de dados incompletos, inexatos ou desatualizados.
4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
5. Portabilidade dos seus dados a outro fornecedor.
6. Eliminação dos dados tratados com base em consentimento (exceto os que precisamos manter por obrigação legal).
7. Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados (lista aberta na seção VI).
8. Informação sobre a possibilidade de não consentir e as consequências de não consentir.
9. Revogação do consentimento, com base no art. 8º §5º.

Como exercer:

• Acesso ao que você nos deu: a função "Exportar despesas" no Guardei já entrega a você, em ZIP, todas as despesas cadastradas e os comprovantes anexados.
• Correção: edite diretamente no app, em cada tela de despesa ou de beneficiário.
• Eliminação: a função "Excluir conta" nas configurações do Guardei aciona a exclusão imediata de todos os seus dados — ver seção XI. Também há instruções públicas em /excluir-conta.
• Para os demais direitos, ou se preferir contato direto, escreva para dpo@guardeiapp.com.br.

Responderemos em até 15 dias, conforme o art. 19 da LGPD.

Se você entender que algum direito não foi atendido, pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.

X — Decisões automatizadas (LGPD art. 20)

O Guardei usa Inteligência Artificial (ver seção VI.b) para ler o comprovante que você envia e propor, automaticamente:

1. os campos do comprovante (data, valor, prestador, CPF/CNPJ, especialidade, beneficiário);
2. classificações sobre a despesa: tipo (consulta, exame, medicamento, etc.), dedutibilidade no IR e suspeita de duplicidade com outra despesa já cadastrada.

Esta análise é proposta — não é uma decisão final do Guardei. Você sempre tem o direito, dentro do próprio app, de:

• editar qualquer campo extraído pela IA;
• discordar do veredito de dedutibilidade (override), confirmando manualmente que sua despesa é ou não dedutível;
• desconsiderar o alerta de duplicidade e prosseguir;
• descartar a despesa.

Tanto a sugestão da IA quanto a sua decisão final são preservadas nos seus dados, e você pode rever ou alterar a qualquer momento.

Conforme o art. 20 da LGPD, se você quiser revisão humana de uma decisão automatizada (por exemplo: contestar uma marcação de "não dedutível" com a qual você não concorda mesmo após override), escreva para dpo@guardeiapp.com.br descrevendo a despesa. Responderemos em até 15 dias.

XI — Segurança técnica

Medidas de proteção que aplicamos:

• Criptografia em trânsito: todo o tráfego entre o seu aparelho, o nosso servidor e os provedores listados na seção VI usa TLS (HTTPS).
• Criptografia em repouso: o banco de dados Supabase e o armazenamento dos comprovantes são criptografados em disco pelo provedor.
• Hash de senha: sua senha nunca é armazenada em texto puro. Guardamos apenas um hash gerado pelo provedor de autenticação, que não permite reverter para a senha original.
• Controle de acesso por linha (Row Level Security) em todas as tabelas com dados pessoais: cada usuário só consegue ler ou escrever os próprios dados.
• Trilha de auditoria de operações administrativas e de acesso consentido por suporte (ver XI.a abaixo).
• O comprovante, ao ser enviado para a IA do Gemini, é acessado por link temporário com expiração curta; após a análise, o link expira.

XI.a — Acesso pelo suporte

Atendentes do Guardei nunca acessam dados da sua conta sem o seu consentimento. Quando você abre um chamado em que é necessário o suporte ver dados, o aplicativo gera para você um código de suporte temporário (válido por 6 horas) que você compartilha com o atendente. Sem este código, ninguém da equipe Guardei consegue acessar a sua conta. Cada uso do código é registrado em trilha auditável.

XII — Dados de dependentes e menores de idade (LGPD art. 14)

O Guardei foi feito para o titular cadastrar os próprios dependentes (cônjuge, filhos, pais, ou outras pessoas sob sua responsabilidade) para que as despesas médicas deles sejam controladas pelo titular.

Quando o dependente é menor de 18 anos:

• O cadastro do dependente menor é feito pelo titular, que é o seu representante legal ou tem a sua guarda fiscal. O titular assume a responsabilidade pelo cadastro e declara ter autoridade para fazê-lo.
• Coletamos sobre o menor o estritamente necessário: nome, parentesco, e opcionalmente data de nascimento, CPF e dados de plano de saúde.
• O tratamento dos dados do menor é feito no melhor interesse do menor (art. 14, caput), com finalidade estrita à gestão das suas despesas médicas pelo titular.
• O menor (ou seu representante legal) tem os mesmos direitos da seção IX. Para exercer, o titular ou o representante legal escreve para dpo@guardeiapp.com.br.

Quando o dependente é maior de 18 anos (cônjuge, pai/mãe, outro): o titular declara, ao cadastrar, que tem autorização expressa daquela pessoa para registrar suas despesas no Guardei. O dependente maior tem os mesmos direitos da seção IX e pode pedir a exclusão dos seus dados diretamente para dpo@guardeiapp.com.br.

XIII — Cookies e tecnologias similares

Não usamos cookies de rastreamento, publicidade ou criação de perfil. O Guardei mede o uso do site com Plausible Analytics (Plausible Insights OÜ, Estônia/Reino Unido), que não usa cookies e gera identificador efêmero de visita a partir do endereço IP processado server-side com sal diário rotativo, descartado em 24 horas, conforme a política de dados do próprio Plausible.

Cookies que o site pode definir, todos essenciais ao funcionamento e dispensados de consentimento prévio sob a LGPD:

1. __csrf — proteção contra falsificação de requisição no formulário de cadastro na fila de espera. Sessão.
2. g_pref (opcional) — guarda preferências mínimas, como tema claro/escuro.

Você pode bloquear ou apagar esses cookies no seu navegador a qualquer momento; ao fazê-lo, o formulário de fila de espera pode não funcionar.

XIV — Como nos contatar

Para qualquer questão de privacidade, exercício de direitos da LGPD ou esclarecimento sobre esta política:

• Email do encarregado (DPO): dpo@guardeiapp.com.br
• Caixa-postal: a configurar — Goiânia/GO (endereço definitivo na próxima atualização da política).
• Tempo de resposta: até 15 dias (art. 19 LGPD).

XV — Histórico e atualizações

Versão 1.0 — 20 de maio de 2026 — versão inicial.

Esta política pode ser atualizada. Quando uma atualização afetar finalidades, bases legais, compartilhamento com novos terceiros, ou retenção, avisaremos com 15 dias de antecedência por email aos usuários ativos e por destaque no site, e manteremos as versões anteriores arquivadas e acessíveis mediante solicitação ao dpo@guardeiapp.com.br.

Próxima revisão prevista: 180 dias após a entrada em vigor.