Politica de Privacidade

A FinanceWorks Tecnologia Ltda (“FinanceWorks”, “nós”), CNPJ 50.870.367/0001-34, com sede em Uberlândia/MG, opera a plataforma FinanceWorks (financeworks.app), uma solução SaaS de Planejamento e Análise Financeira (FP&A).

Esta Política descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos dados pessoais em conformidade com:

• Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD)
• Marco Civil da Internet (Lei nº 12.965/2014)
• Código de Defesa do Consumidor (Lei nº 8.078/1990)
• Demais normas aplicáveis

1.1 Nosso Papel no Tratamento

2.1 Categorias de Titulares

• Usuários da plataforma (CFOs, controllers, analistas)
• Representantes legais das empresas clientes
• Visitantes do site

2.2 Tipos de Dados

• Dados de Identificação: nome completo, CPF (quando necessário), cargo
• Dados de Contato: email corporativo, telefone
• Dados de Autenticação: credenciais de login, tokens MFA, sessões ativas, histórico de login
• Dados de Uso: logs de acesso, IP, user-agent, ações na plataforma, preferências
• Dados Financeiros do Cliente: transações, contas, orçamentos, receitas, relatórios (processados como Operador)
• Dados de Pagamento: dados de cobrança (processados por gateway; NÃO armazenamos dados de cartão)

4.1 Com quem compartilhamos

4.2 NÃO compartilhamos dados com:

Dados são armazenados em servidores AWS nos Estados Unidos. Para esta transferência:

• Adotamos Cláusulas Contratuais Padrão (SCCs) conforme Art. 33 da LGPD
• AWS possui certificações ISO 27001, SOC 2 Type II, PCI DSS
• Monitoramos decisões da ANPD sobre adequação de países
• Garantimos nível de proteção equivalente ao brasileiro

Medidas Técnicas

• Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
• Isolamento multi-tenant (banco de dados separado por workspace)
• Controle de acesso baseado em funções (RBAC)
• Autenticação multifator (MFA/TOTP)
• Monitoramento contínuo e detecção de intrusão
• Backups criptografados com rotação automática
• Gestão de vulnerabilidades e patches
• Testes de segurança periódicos

Medidas Organizacionais

• Práticas alinhadas à ISO 27001
• Política de segurança da informação
• Treinamento periódico de colaboradores
• Termos de confidencialidade (NDA)
• Processo formal de gestão de incidentes
• Audit logging completo (DynamoDB)
• Revisão periódica de acessos

Como titular de dados pessoais, você possui os seguintes direitos garantidos pela LGPD:

• Confirmação da existência de tratamento de dados pessoais
• Acesso aos dados pessoais tratados por nós
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
• Portabilidade dos dados a outro fornecedor de serviço
• Eliminação dos dados tratados com base em consentimento
• Informação sobre entidades públicas e privadas com as quais compartilhamos dados
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências
• Revogação do consentimento a qualquer tempo
• Revisão de decisões automatizadas (Art. 20)

Utilizamos IA (AWS Bedrock/Claude) para:

• Geração de documentos financeiros (FinBooks)
• Mapeamento automático de campos na importação
• Respostas contextuais via MCP Server

Em caso de incidente com risco ou dano relevante:

• Comunicação à ANPD em até 3 dias úteis (Art. 48, §1º)
• 72 horas para autoridades de proteção de dados na União Europeia, conforme Art. 33 do GDPR
• Notificação aos titulares afetados em até 5 (cinco) dias úteis após a confirmação do incidente
• Documentação completa do incidente
• Medidas de mitigação imediatas

• Publicação da versão atualizada nesta página
• Notificação via plataforma para alterações materiais
• Aviso com 30 dias de antecedência
• Data da última atualização sempre visível

Se você está localizado no Espaço Econômico Europeu (EEE), as seguintes informações adicionais se aplicam conforme o Regulamento Geral de Proteção de Dados (Regulamento UE 2016/679 — GDPR):

Bases Legais (Art. 6 GDPR)

• Art. 6(1)(a) — Consentimento: para comunicações de marketing
• Art. 6(1)(b) — Execução de contrato: para prestação dos serviços SaaS
• Art. 6(1)(c) — Obrigação legal: para cumprimento de obrigações fiscais e regulatórias
• Art. 6(1)(f) — Legítimo interesse: para segurança, prevenção a fraudes e melhoria da plataforma

Direitos Adicionais

• Direito à restrição do processamento (Art. 18 GDPR) — solicitar a limitação do tratamento em determinadas circunstâncias
• Direito à objeção (Art. 21 GDPR) — opor-se ao tratamento baseado em legítimo interesse, incluindo profiling

Transferências Internacionais

Utilizamos Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (Decisão de Execução 2021/914), complementadas por Transfer Impact Assessment (TIA) que avalia o nível de proteção no país de destino.

Decisões Automatizadas (Art. 22 GDPR)

O FinBooks e o MCP Server utilizam IA para gerar documentos e responder consultas financeiras. Estas funcionalidades não produzem efeitos jurídicos nem afetam significativamente o titular. Você pode solicitar revisão humana de qualquer resultado gerado por IA.

Autoridade Supervisora

Você pode apresentar reclamação à autoridade de proteção de dados do seu país de residência. A lista de autoridades está disponível em edpb.europa.eu/about-edpb/about-edpb/members_en.

Notificação de Incidentes

Em caso de violação de dados pessoais, notificaremos a autoridade supervisora competente em até 72 horas, conforme Art. 33 do GDPR.

Privacy by Design (Art. 25 GDPR)

A plataforma foi construída com privacidade desde a concepção: isolamento multi-tenant (banco de dados separado por workspace), criptografia AES-256, RBAC granular, audit logging completo e autenticação multifator.

Encarregado de Proteção de Dados (DPO)

• Nome: Pedro Henrique Rosa Barbosa
• Email: dpo@financeworks.app
• Endereço: Uberlândia, MG — Brasil

ANPD — Autoridade Nacional de Proteção de Dados

• Website: www.gov.br/anpd
• Para reclamações não resolvidas pelo nosso canal