Política de Privacidade — FluxoCaixa
Última atualização: 20 de abril de 2026
Vigência: Esta Política entra em vigor na data de criação da conta pelo Usuário.
1. Introdução
A sua privacidade é importante para nós. Esta Política de Privacidade descreve como o FluxoCaixa, plataforma de gestão de fluxo de caixa oferecida por DECISUS SOLUCOES DE CONTROLE PARA GESTAO EMPRESARIAL LTDA, inscrita no CNPJ/MF sob o nº 08.957.416/0001-04 ("Controlador"), coleta, utiliza, armazena, compartilha e protege os dados pessoais dos seus Usuários, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.
Ao criar uma conta no FluxoCaixa, o Usuário declara ter lido e compreendido esta Política de Privacidade e consente com o tratamento de seus dados pessoais nos termos aqui descritos.
2. Dados Coletados
2.1. Dados Fornecidos pelo Usuário
| Dado | Momento da Coleta | Obrigatoriedade |
|---|---|---|
| Nome completo | Cadastro | Obrigatório |
| Endereço de e-mail | Cadastro | Obrigatório |
| Senha (armazenada apenas em hash irreversível) | Cadastro | Obrigatório |
| CPF ou CNPJ | Cadastro | Opcional |
| Tipo/ramo de negócio | Onboarding | Opcional |
| Dados financeiros (lançamentos, saldos, contas bancárias, categorias) | Uso da Plataforma | Voluntário |
| Nomes de contatos/contrapartes | Uso da Plataforma | Voluntário |
| Documentos fiscais (NF-e XML, NFS-e PDF, extratos OFX/CSV) | Importação | Voluntário |
2.2. Dados Coletados Automaticamente
| Dado | Finalidade |
|---|---|
| Endereço IP | Segurança e prevenção de fraudes |
| Data e hora de acesso | Logs de segurança |
| Tipo de navegador e sistema operacional | Compatibilidade e suporte técnico |
| Páginas acessadas dentro da Plataforma | Melhoria do serviço (quando analytics estiver habilitado) |
2.3. Dados que NÃO Coletamos
O FluxoCaixa não coleta: dados de cartão de crédito (processados diretamente pelo Stripe), dados bancários de acesso (senhas de banco, tokens de internet banking), dados de localização geográfica precisa, nem dados biométricos.
3. Finalidade do Tratamento
Os dados pessoais são tratados para as seguintes finalidades, com base legal indicada (LGPD, Art. 7º):
| Finalidade | Base Legal |
|---|---|
| Criação e manutenção da conta do Usuário | Execução de contrato (Art. 7º, V) |
| Prestação do serviço contratado (gestão de fluxo de caixa) | Execução de contrato (Art. 7º, V) |
| Processamento de pagamentos e gestão da assinatura | Execução de contrato (Art. 7º, V) |
| Geração automática de categorias por inteligência artificial | Consentimento (Art. 7º, I) |
| Extração de dados de notas fiscais por inteligência artificial | Consentimento (Art. 7º, I) |
| Envio de comunicações operacionais (confirmação de cadastro, cobrança, segurança) | Execução de contrato (Art. 7º, V) |
| Prevenção a fraudes e segurança da Plataforma | Interesse legítimo (Art. 7º, IX) |
| Cumprimento de obrigações legais e regulatórias | Obrigação legal (Art. 7º, II) |
| Melhoria contínua da Plataforma e correção de erros | Interesse legítimo (Art. 7º, IX) |
O FluxoCaixa não utiliza dados pessoais para: publicidade direcionada, venda ou comercialização de dados a terceiros, perfilamento para fins de marketing, ou qualquer finalidade incompatível com as listadas acima.
4. Compartilhamento de Dados
O FluxoCaixa compartilha dados pessoais exclusivamente com os parceiros operacionais necessários para a prestação do serviço. Não vendemos, alugamos ou comercializamos dados pessoais.
4.1. Parceiros Operacionais (Operadores de Dados)
| Parceiro | Função | Dados Compartilhados | Localização |
|---|---|---|---|
| Supabase (Supabase Inc.) | Hospedagem do banco de dados (PostgreSQL) e autenticação | Todos os dados armazenados na Plataforma (criptografados em repouso) | Estados Unidos |
| Stripe (Stripe Inc.) | Processamento de pagamentos e gestão de assinaturas | Nome, e-mail, dados de cobrança (cartão ou boleto processados diretamente pelo Stripe) | Estados Unidos |
| Anthropic (Anthropic PBC) | Processamento de IA (categorização e extração de dados de NFS-e) | Tipo de negócio (onboarding), texto extraído de NFS-e PDF (truncado a 2.000 caracteres) | Estados Unidos |
| Vercel (Vercel Inc.) | Hospedagem da aplicação web | Endereço IP, dados de requisição HTTP | Global (CDN) |
Transferência internacional de dados realizada com base no Art. 33, II, da LGPD (cumprimento de obrigação legal ou contrato) e mediante verificação de que os parceiros adotam medidas de segurança adequadas. Os parceiros acima possuem políticas de privacidade próprias e compromissos com proteção de dados equivalentes ou superiores aos padrões brasileiros.
4.2. Outras Hipóteses de Compartilhamento
Os dados pessoais poderão ser compartilhados ainda:
- Mediante ordem judicial ou determinação de autoridade competente
- Para proteção dos direitos, propriedade ou segurança do FluxoCaixa, seus Usuários ou terceiros
- Em caso de fusão, aquisição ou venda de ativos, mediante notificação prévia ao Usuário
5. Armazenamento e Segurança
5.1. Medidas de Segurança
O FluxoCaixa adota as seguintes medidas técnicas e organizacionais para proteger os dados pessoais:
- Isolamento de dados (Row Level Security): Cada organização tem seus dados completamente isolados no banco de dados por políticas de segurança a nível de PostgreSQL. Mesmo em caso de falha na aplicação, os dados de uma organização não são acessíveis por outra.
- Criptografia em trânsito: Todas as comunicações entre o navegador e os servidores utilizam SSL/TLS (HTTPS).
- Criptografia em repouso: Os dados armazenados no banco de dados são criptografados no disco.
- Hash de senhas: Senhas são armazenadas com hash bcrypt (irreversível). Nenhum funcionário ou sistema do FluxoCaixa tem acesso à senha original do Usuário.
- Tokens JWT com expiração: Sessões autenticadas expiram automaticamente e são renovadas de forma segura.
- Cookies seguros: Cookies httpOnly + SameSite para proteção contra ataques CSRF.
- Identificadores não sequenciais: Todos os registros utilizam UUID v4, impedindo a adivinhação de identificadores.
- Backups automáticos: Backups diários do banco de dados realizados automaticamente pela infraestrutura do Supabase.
- Proteção contra injeção SQL: Todas as consultas ao banco de dados são parametrizadas — não há concatenação de strings em queries.
- Controle de acesso por perfil: Três níveis de permissão (administrador, operador, visualizador) com verificação em três camadas independentes (banco de dados, backend e interface).
5.2. Local de Armazenamento
Os dados são armazenados em servidores do Supabase localizados nos Estados Unidos. A transferência internacional de dados é realizada conforme o Art. 33 da LGPD, com base na necessidade de execução do contrato e na adoção de medidas de segurança adequadas pelo provedor.
5.3. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o FluxoCaixa compromete-se a:
- Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme Art. 48 da LGPD
- Notificar os Usuários afetados, descrevendo a natureza dos dados comprometidos, as medidas tomadas e as orientações para mitigação de riscos
- Adotar medidas imediatas para conter e remediar o incidente
6. Direitos do Titular
Nos termos do Art. 18 da LGPD, o Usuário (titular dos dados) tem os seguintes direitos, que podem ser exercidos a qualquer momento:
| Direito | Descrição |
|---|---|
| Confirmação e acesso | Solicitar a confirmação de que tratamos seus dados e obter uma cópia dos dados que possuímos |
| Correção | Solicitar a correção de dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD |
| Portabilidade | Solicitar a portabilidade dos dados a outro fornecedor de serviço (quando aplicável e regulamentado pela ANPD) |
| Eliminação com consentimento | Solicitar a eliminação dos dados tratados com base em consentimento |
| Informação sobre compartilhamento | Obter informações sobre os parceiros com os quais compartilhamos seus dados (listados na Seção 4) |
| Revogação do consentimento | Revogar o consentimento dado para o tratamento de dados, nos termos do Art. 8º, § 5º, da LGPD. A revogação não afeta a licitude do tratamento realizado anteriormente |
| Oposição | Opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento à LGPD |
| Petição à ANPD | Apresentar petição à Autoridade Nacional de Proteção de Dados em relação ao tratamento dos seus dados |
Como Exercer Seus Direitos
O Usuário pode exercer qualquer dos direitos acima enviando uma solicitação para:
E-mail do Encarregado (DPO): tlacerda@decisus.com.br
A solicitação será respondida em até 15 (quinze) dias úteis, conforme previsto na LGPD. Para proteção do Usuário, poderemos solicitar a verificação de identidade antes de atender à solicitação.
Exclusão de Conta e Dados
O Usuário pode solicitar a exclusão completa de sua conta e de todos os dados associados. Nesse caso:
- A exclusão será processada em até 10 (dez) dias úteis após a confirmação da solicitação
- Dados necessários para cumprimento de obrigação legal (como registros de transações para fins fiscais) poderão ser retidos pelo período exigido pela legislação aplicável
- A exclusão é irreversível — os dados não poderão ser recuperados após o processamento
7. Retenção de Dados
| Cenário | Período de Retenção |
|---|---|
| Conta ativa (assinatura vigente) | Enquanto a conta estiver ativa |
| Conta em modo somente leitura (trial expirado ou assinatura cancelada) | 90 (noventa) dias após o cancelamento, para possibilitar reativação |
| Após exclusão voluntária da conta | Dados eliminados em até 10 dias úteis, exceto quando houver obrigação legal de retenção |
| Logs de segurança (IP, acessos) | 6 (seis) meses |
| Registros de aceite de termos | 5 (cinco) anos, para fins de comprovação legal |
| Dados financeiros para obrigações fiscais | Conforme legislação aplicável (geralmente 5 anos após o exercício fiscal) |
Após os períodos indicados, os dados serão permanentemente excluídos ou anonimizados.
8. Cookies e Tecnologias de Rastreamento
O FluxoCaixa utiliza apenas cookies essenciais para o funcionamento da Plataforma:
| Cookie | Finalidade | Duração |
|---|---|---|
| Cookie de sessão (Supabase Auth) | Manter o Usuário autenticado | Duração da sessão (renovação automática) |
| Cookie de preferências | Armazenar preferências de interface (ex: sidebar aberta/fechada) | Persistente |
O FluxoCaixa não utiliza: cookies de rastreamento de terceiros, pixels de rastreamento, cookies de publicidade, nem tecnologias de fingerprinting. Não compartilhamos dados de navegação com redes de publicidade.
Caso no futuro venhamos a implementar ferramentas de analytics (como Vercel Analytics ou PostHog), esta Política será atualizada e o Usuário será notificado previamente.
9. Dados de Menores
O FluxoCaixa não é destinado a menores de 18 (dezoito) anos e não coleta intencionalmente dados de menores. Caso tenhamos conhecimento de que dados de um menor foram coletados sem o consentimento do responsável legal, tomaremos medidas para eliminar esses dados o mais rápido possível.
10. Transferência Internacional de Dados
Conforme detalhado na Seção 4, os dados pessoais do Usuário podem ser transferidos para servidores localizados fora do Brasil, especificamente nos Estados Unidos, onde estão hospedados os serviços do Supabase, Stripe, Anthropic e Vercel.
Essa transferência é realizada com amparo no Art. 33 da LGPD e observa as seguintes salvaguardas:
- Os parceiros adotam medidas técnicas e organizacionais de segurança adequadas
- Os dados são criptografados em trânsito e em repouso
- Os parceiros possuem políticas de privacidade e termos de processamento de dados em conformidade com padrões internacionais de proteção de dados
- O compartilhamento é limitado ao mínimo necessário para a prestação de cada serviço
11. Encarregado pelo Tratamento de Dados (DPO)
Nos termos do Art. 41 da LGPD, o Controlador designou o seguinte Encarregado pelo Tratamento de Dados Pessoais:
- Nome: Thiago Benites
- E-mail: tlacerda@decisus.com.br
O Encarregado é o ponto de contato entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O Usuário pode entrar em contato com o Encarregado para esclarecer dúvidas, exercer seus direitos ou registrar reclamações relacionadas ao tratamento de seus dados pessoais.
12. Alterações nesta Política
Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças nas nossas práticas de tratamento de dados, na legislação aplicável ou nos serviços oferecidos.
Alterações significativas serão comunicadas ao Usuário por e-mail ou por aviso dentro da Plataforma com pelo menos 15 (quinze) dias de antecedência. Recomendamos que o Usuário revise esta Política periodicamente.
A data da última atualização será sempre indicada no topo deste documento.
13. Contato
Para dúvidas, sugestões ou solicitações relacionadas a esta Política de Privacidade:
- E-mail geral: atendimento@fluxocaixa.com.br
- E-mail do Encarregado (DPO): tlacerda@decisus.com.br
- Site: fluxocaixa.com.br
14. Legislação Aplicável
Esta Política de Privacidade é regida pela legislação da República Federativa do Brasil, em especial pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990).