No Nexum, sua privacidade é prioridade. Esta política explica quais dados coletamos, como usamos, com quem compartilhamos e como você pode exercer seus direitos conforme a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) e o Marco Civil da Internet (Lei 12.965/2014).
1. Quem somos
O Nexum é operado pela NEXUM FINANÇAS CONECTADAS LTDA, CNPJ 65.826.696/0001-55, com sede em São Paulo — SP, doravante denominada "Nexum".
O Nexum é um aplicativo de gestão financeira pessoal (PFM) que utiliza Open Finance e inteligência artificial para consolidar e analisar suas finanças. Não é uma instituição financeira, não é registrado na CVM como consultor de valores mobiliários, e não recomenda produtos financeiros específicos para compra ou venda.
Adotamos os princípios de privacidade desde a concepção (privacy by design) e privacidade por padrão, conforme Art. 46 da LGPD, integrando proteção de dados em todos os processos do produto desde sua origem.
2. Dados que coletamos
2.1. Dados de cadastro
- Nome completo, CPF, data de nascimento, nome da mãe, gênero
- E-mail e telefone celular
- Endereço completo (CEP, rua, número, bairro, cidade, estado)
- Senha (armazenada com hash criptográfico bcrypt, nunca em texto plano)
2.2. Dados financeiros (via Open Finance)
- Saldos e extratos das contas bancárias conectadas
- Posição e histórico de investimentos (renda fixa, ações, FIIs, fundos, previdência)
- Transações de cartões de crédito e faturas
- Empréstimos, financiamentos e despesas fixas
- Investimentos no exterior (quando informados manualmente)
2.3. Dados de uso e interação com IA
- Conversas e perguntas feitas à inteligência artificial
- Resumos de sessões anteriores (memória contextual, planos pagos)
- Metas financeiras criadas e progresso
- Alertas de câmbio e categorizações personalizadas
- Páginas acessadas, funcionalidades utilizadas, cliques
- Data, hora e duração das sessões
2.4. Dados de dispositivo
- Tipo de dispositivo, sistema operacional e versão
- Identificador anônimo do app (não usamos IDFA da Apple ou Advertising ID do Google para publicidade)
- Endereço IP, geolocalização aproximada (cidade/estado, com base no IP)
- Logs técnicos para diagnóstico de erros
2.5. Dados de pagamento
Quando você assina um plano pago, processamos o pagamento via Stripe. Os dados completos do cartão de crédito (número, CVV) são coletados e armazenados diretamente pela Stripe, certificada PCI-DSS Nível 1. O Nexum tem acesso apenas aos últimos 4 dígitos do cartão, bandeira e identificador da assinatura.
3. Base legal para o tratamento (Art. 7 LGPD)
Tratamos seus dados com base nas seguintes hipóteses legais:
- Consentimento (Art. 7, I) — para uso da inteligência artificial e envio de comunicações de marketing. Solicitado de forma específica e destacada.
- Execução de contrato (Art. 7, V) — para todos os dados financeiros e de cadastro necessários à prestação do serviço
- Obrigação legal (Art. 7, II) — para registros de acesso (Marco Civil da Internet) e logs de segurança
- Legítimo interesse (Art. 7, IX) — para prevenção de fraudes, melhoria da experiência e segurança da plataforma
4. Como usamos seus dados
- Autenticar e proteger sua conta
- Consolidar e exibir suas informações financeiras de forma unificada
- Gerar análises, métricas, comparativos com indicadores (CDI, IPCA, Selic) e respostas educacionais via inteligência artificial
- Processar pagamentos de assinaturas Premium
- Enviar e-mails sobre sua conta, metas e atualizações do serviço
- Cumprir obrigações legais e regulatórias
- Investigar e prevenir fraudes, abusos e violações de termos
- Melhorar nossos produtos com base em métricas agregadas e anônimas
Importante: o Nexum nunca usa seus dados para vender produtos financeiros, não recebe comissão de instituições financeiras e não exibe publicidade no aplicativo.
5. Decisões automatizadas e Inteligência Artificial
Conforme Art. 20 da LGPD, você tem direito a saber sobre o tratamento automatizado dos seus dados:
- A IA do Nexum (Claude, da Anthropic) gera análises descritivas, métricas comparativas e conteúdo educacional baseado nos seus dados financeiros
- Nenhuma decisão jurídica, contratual ou financeira é tomada automaticamente sobre você — não há aprovação/negação de crédito, score, ou seleção automatizada
- As análises da IA têm caráter exclusivamente informativo e educacional, e não constituem recomendação de investimento, consultoria de valores mobiliários (Resolução CVM nº 19/2021) ou assessoria financeira regulamentada
- Você tem direito a solicitar revisão humana de qualquer análise gerada, escrevendo para privacidade@nexumfinancas.app
- Você pode revogar o consentimento ao uso da IA a qualquer momento nas configurações do app — o serviço continua funcionando sem a IA
6. Login com terceiros
O Nexum oferece login via Google Sign In e Apple Sign In. Quando você usa essas opções:
- Recebemos apenas: e-mail, nome e identificador único do provedor
- Não recebemos sua senha do Google ou Apple
- Apple Sign In permite ocultar seu e-mail real (Apple gera um e-mail de relay)
- Você pode revogar o acesso a qualquer momento nas configurações do Google ou Apple
7. Compartilhamento e subprocessadores
O Nexum nunca vende seus dados. Compartilhamos informações apenas com os parceiros listados abaixo, todos contratualmente obrigados a manter o mesmo padrão de proteção:
Pluggy
Open Finance — conexão com bancos. Instituição de Pagamento autorizada pelo BACEN (Res. BCB nº 80/2021)
Brasil
Supabase
Banco de dados e autenticação (SOC 2 Type 2 e ISO 27001)
Brasil (São Paulo)
Vercel
Hospedagem, CDN e analytics agregado
EUA
Anthropic
Processamento de IA (Claude)
EUA
Stripe
Processamento de pagamentos (PCI-DSS Nível 1)
EUA
Google
Login social (opcional)
EUA
Apple
Login social (opcional)
EUA
AwesomeAPI
Cotações de câmbio em tempo real
Brasil
Também podemos compartilhar dados com autoridades competentes mediante ordem judicial ou exigência legal, conforme Art. 23 do Marco Civil da Internet.
Em caso de fusão, aquisição, reorganização societária ou venda de ativos, os dados dos usuários poderão ser transferidos ao sucessor, que assumirá integralmente as mesmas obrigações desta Política. Os usuários serão notificados por e-mail com antecedência mínima de 30 dias e poderão exercer o direito de exclusão antes da transferência.
8. Inteligência Artificial
O Nexum utiliza modelos de IA da Anthropic (Claude) para gerar análises, métricas e respostas educacionais sobre suas finanças.
- Suas perguntas e o contexto financeiro relevante são enviados à Anthropic para gerar respostas
- A Anthropic mantém esses dados por até 30 dias exclusivamente para detecção de abuso, conforme política da Anthropic
- A Anthropic não utiliza seus dados para treinar seus modelos de IA, conforme termos comerciais da API
- Os dados são processados em ambiente seguro nos EUA, sob cláusulas contratuais que garantem proteção equivalente à LGPD
- O uso da IA é opcional e requer consentimento específico, separado da aceitação dos Termos de Uso
- Você pode revogar o consentimento e desativar a IA a qualquer momento nas configurações do app
As análises da IA são informativas e educacionais: apresentam dados, comparativos com indicadores de mercado (CDI, IPCA, Selic), conceitos financeiros e contextualizam notícias econômicas. Não constituem recomendação de produtos financeiros específicos. Para decisões de investimento, consulte um consultor de valores mobiliários autorizado pela CVM.
9. Open Finance Brasil
A conexão do Nexum com suas instituições financeiras é feita via Open Finance Brasil, regulamentado pelo Banco Central do Brasil (Resolução Conjunta nº 1/2020 e demais normas aplicáveis). Sobre essa conexão:
- A conexão é mediada pela Pluggy Brasil Instituição de Pagamento Ltda. (CNPJ 37.943.755/0001-30), Iniciadora de Transação de Pagamento (ITP) autorizada pelo Banco Central do Brasil, conforme Resolução BCB nº 80/2021
- Você autoriza explicitamente o acesso a cada instituição
- O Nexum nunca tem acesso à sua senha do banco
- O consentimento pode ser revogado a qualquer momento, dentro do app ou diretamente na sua instituição financeira
- O acesso é renovado periodicamente conforme regras do Banco Central (geralmente a cada 12 meses)
- O compartilhamento ocorre de forma granular e específica, conforme exigido pela regulamentação do Open Finance
10. Como protegemos seus dados
- Criptografia em trânsito — toda comunicação usa TLS 1.2 ou superior
- Criptografia em repouso — dados sensíveis são criptografados no banco de dados (AES-256)
- Senhas com hash bcrypt — nunca armazenadas em texto plano
- Autenticação em dois fatores (2FA) — disponível para todos os usuários
- Acesso restrito — apenas pessoas autorizadas acessam dados pessoais, e todo acesso é registrado
- Monitoramento contínuo — sistemas de detecção de atividades suspeitas e tentativas de fraude
- Backups criptografados — realizados diariamente e armazenados de forma segura
- Infraestrutura certificada — Supabase (SOC 2 Type 2, ISO 27001), Stripe (PCI-DSS Nível 1)
11. Notificação de incidentes de segurança
Em caso de incidente de segurança que envolva risco ou dano relevante aos titulares de dados, o Nexum:
- Comunicará os titulares afetados por e-mail em prazo razoável, descrevendo a natureza do incidente, dados afetados, riscos envolvidos e medidas adotadas
- Notificará a Autoridade Nacional de Proteção de Dados (ANPD) nos prazos exigidos pela autoridade, conforme Art. 48 da LGPD
- Manterá registro interno do incidente e das medidas tomadas
- Adotará medidas técnicas e organizacionais para mitigar consequências e prevenir reincidência
12. Marco Civil da Internet
Em cumprimento à Lei nº 12.965/2014 (Marco Civil da Internet):
- Mantemos registros de acesso a aplicações (logs) por 6 meses, conforme Art. 15
- Esses registros só são fornecidos a autoridades mediante ordem judicial, conforme Arts. 22 e 23
- Garantimos os direitos previstos no Art. 7º: inviolabilidade da intimidade, sigilo das comunicações, informações claras sobre coleta e uso de dados, e não fornecimento a terceiros sem consentimento
13. Transferência internacional de dados
Alguns parceiros (Anthropic, Stripe, Vercel, Google, Apple) estão sediados nos Estados Unidos. A transferência é realizada com base em cláusulas contratuais padrão que garantem proteção equivalente à exigida pela LGPD, conforme Art. 33 da Lei 13.709/2018.
14. Retenção de dados
Mantemos seus dados pelo tempo necessário para prestar o serviço:
- Dados financeiros: excluídos em até 30 dias após o encerramento da conta
- Dados de cadastro: mantidos por até 5 anos para cumprimento de obrigações legais (Art. 27 do Código de Defesa do Consumidor)
- Logs de acesso: mantidos por 6 meses (Marco Civil da Internet)
- Conversas com IA: retidas pela Anthropic por até 30 dias para detecção de abuso
- Dados de pagamento: retidos pela Stripe conforme exigências fiscais
- Backups: sobrescritos em até 90 dias
15. Seus direitos como titular (LGPD Arts. 17-22)
Conforme a LGPD, você tem direito a:
- Confirmação e acesso — saber se tratamos seus dados e acessá-los
- Correção — corrigir dados incompletos, inexatos ou desatualizados
- Anonimização ou exclusão — solicitar a exclusão de dados desnecessários
- Portabilidade — receber seus dados em formato estruturado
- Revogação do consentimento — a qualquer momento
- Informação sobre compartilhamento — saber com quem compartilhamos
- Oposição — opor-se a tratamentos baseados em legítimo interesse
- Revisão de decisões automatizadas — solicitar revisão humana, conforme Art. 20
- Petição à ANPD — em caso de violação dos seus direitos
Para exercer qualquer desses direitos:
- Dentro do app: Configurações → Privacidade → Exportar ou Excluir minha conta
- Por e-mail: privacidade@nexumfinancas.app
Respondemos em até 15 dias úteis.
16. Exclusão de conta
Você pode excluir sua conta a qualquer momento, diretamente dentro do aplicativo, em Configurações → Privacidade → Excluir minha conta. A exclusão:
- Encerra imediatamente seu acesso ao app e cancela qualquer assinatura ativa
- Inicia o processo de exclusão dos seus dados financeiros (concluído em até 30 dias)
- É irreversível — não há recuperação após confirmação
17. Permissões do dispositivo
Para funcionar adequadamente, o Nexum solicita as seguintes permissões. Todas são opcionais e podem ser revogadas nas configurações do dispositivo:
- Notificações — para alertar sobre metas, alertas de câmbio e insights da IA
- Biometria (Face ID / Touch ID / digital) — para login rápido e seguro
- Internet — necessária para o funcionamento do serviço
O Nexum não acessa sua câmera, microfone, contatos, calendário, fotos ou localização precisa do GPS.
18. Cookies e rastreamento
No aplicativo móvel e na versão web, usamos:
- Cookies essenciais — para autenticação e preferências (necessários para o funcionamento)
- Analytics agregado (Vercel) — métricas anônimas de performance e uso (sem identificação pessoal)
Não usamos cookies de publicidade, retargeting ou rastreamento entre sites. Não compartilhamos dados com redes de anúncios.
19. Menores de idade
O Nexum é destinado exclusivamente a maiores de 18 anos. Não coletamos dados de menores intencionalmente. Caso identifiquemos uma conta de menor, encerraremos imediatamente e excluiremos todos os dados associados.
20. Alterações nesta política
Podemos atualizar esta política periodicamente. Sobre alterações:
- Cada versão é datada e numerada (versão atual indicada no topo)
- Alterações significativas serão comunicadas por e-mail e notificação no app, com pelo menos 15 dias de antecedência
- O uso continuado do app após alterações implica aceitação da nova versão
- Versões anteriores ficam disponíveis sob solicitação
21. Encarregado de Proteção de Dados (DPO)
Em conformidade com o Art. 41 da LGPD, foi designado(a) como Encarregado(a) de Proteção de Dados:
Anna Caroline Lopes Costa
E-mail: privacidade@nexumfinancas.app
Endereço: NEXUM FINANÇAS CONECTADAS LTDA, São Paulo — SP
CNPJ 65.826.696/0001-55
O(a) DPO é responsável por receber comunicações de titulares e da ANPD, orientar funcionários sobre práticas de proteção de dados e executar as demais atribuições previstas em lei.
22. Autoridade Nacional de Proteção de Dados
Caso não esteja satisfeito com nossa resposta, você pode peticionar à ANPD:
Site: gov.br/anpd
E-mail: comunicacao@anpd.gov.br