Política de Privacidade — Quem Deve

1. Quem somos

O Quem Deve ("nós", "nosso" ou "aplicativo") é um aplicativo móvel que permite controlar dívidas e valores que você deve ou que te devem, por pessoa e por período. Esta política descreve quais dados coletamos, para que usamos e como os tratamos.

2. Dados que coletamos e usamos

2.1 Conta e autenticação

• E-mail e senha: quando você se cadastra ou entra com e-mail. A senha é armazenada de forma segura pelo nosso provedor de autenticação (Supabase).
• Login com Apple: quando você usa "Entrar com Apple", recebemos um identificador e, se você permitir, seu e-mail. O tratamento segue as regras da Apple.
• Sessão: para manter você logado, armazenamos localmente no dispositivo um token de sessão criptografado.

2.2 Perfil no aplicativo

• Nome de exibição: o nome que aparece no app (ex.: "Bem-vindo, [nome]").
• Chave PIX: opcional; usada apenas para você incluir sua chave PIX na mensagem de cobrança enviada por você pelo WhatsApp.
• Estado da conta: se você concluiu o onboarding, se a conta está ativa ou desativada e a data de desativação (para o período de 30 dias antes do encerramento).

2.3 Pessoas e transações

• Pessoas: nome, e-mail, telefone e observações que você informar; opcionalmente, foto (avatar) e vínculo com um contato do seu aparelho (identificador do contato).
• Transações: valores, descrição, data de vencimento, data de pagamento (se informada), tipo (eu devo / me devem), status (pago ou não), parcelas, recorrência e vínculo com uma pessoa.

Esses dados são necessários para o funcionamento do app (dashboard "Eu devo" / "Me devem", listas por pessoa e por período).

2.4 Contatos do dispositivo (opcional)

Se você escolher vincular uma "pessoa" a um contato do celular, o app solicitará permissão de acesso aos contatos. Usamos isso apenas para:

• Mostrar o seletor de contato para você escolher quem vincular.
• Obter nome e, se disponível, foto do contato para preencher ou exibir no app.
• Não importamos nem armazenamos sua lista completa de contatos nos nossos servidores; guardamos apenas o identificador do contato vinculado à "pessoa" que você criou.

2.5 Avaliação na loja

O app pode pedir que você avalie o aplicativo na App Store ou na Google Play (ou abrir a página da loja). Registramos a data da última vez que esse pedido foi feito para não insistir por um período (ex.: 3 meses).

3. Serviços de terceiros e dados compartilhados

3.1 Infraestrutura e armazenamento

• Supabase: hospeda autenticação, banco de dados (perfil, pessoas, transações) e armazenamento de arquivos (fotos de avatar). Os dados ficam em servidores do Supabase (localização conforme contrato Supabase).
• Firebase (Google): usamos para análise de uso e configuração remota, conforme descrito abaixo.

3.2 Análise de uso (Firebase Analytics)

Para entender como o app é usado e melhorar o produto, enviamos eventos anônimos ou pseudonimizados, por exemplo:

• Telas acessadas (nome da tela).
• Método de login (e-mail ou Apple).
• Um identificador de usuário (ID da sua conta no app, não e-mail).
• Eventos como início/fim do tutorial, criação de pessoa, criação/edição de transação, visualização da tela de assinatura, exibição de prompts de upgrade ou de anúncio assistido.

Não enviamos valores de transação, nomes de pessoas nem chave PIX para o Firebase.

3.3 Publicidade (Google Mobile Ads)

Usuários do plano grátis podem ver anúncios no app (ex.: banner). No iOS, podemos solicitar permissão de rastreamento (ATT – App Tracking Transparency). Se você autorizar, os dados podem ser usados para anúncios personalizados; se não, os anúncios continuarão de forma não personalizada. No Android, o uso de identificadores para anúncios segue as configurações do Google e a política do Google Advertising. O processamento de dados para anúncios é regido pela Política de Privacidade do Google.

3.4 Assinaturas (RevenueCat)

Para gerenciar a assinatura "Quem me Deve Pro" (compra, restauração, estado de assinante), usamos o RevenueCat. Eles recebem um identificador anônimo e informações de compra (ex.: produto comprado, estado da assinatura). O tratamento de dados pelo RevenueCat está na política de privacidade deles.

3.5 Configuração remota (Firebase Remote Config)

O app baixa configurações do servidor (ex.: limites do plano grátis, parâmetros de anúncios). Isso não envolve dados pessoais que identifiquem você diretamente.

3.6 WhatsApp

A função "Cobrar no WhatsApp" gera um texto no app (valor, detalhes e, se você quiser, sua chave PIX). Quem envia a mensagem pelo WhatsApp é você. Não enviamos dados ao WhatsApp; você decide se e quando compartilha a mensagem.

4. Bases legais (LGPD)

• Execução de contrato e prestação do serviço: conta, perfil, pessoas, transações e armazenamento de avatar.
• Consentimento: acesso aos contatos (quando você autoriza) e, no iOS, rastreamento para anúncios (ATT).
• Legítimo interesse: análise de uso (Firebase Analytics) e melhoria do app, com eventos limitados e sem dados financeiros ou de PIX nas análises.

5. Retenção e exclusão

• Enquanto a conta estiver ativa: mantemos os dados da conta, perfil, pessoas e transações pelo tempo necessário ao serviço.
• Desativação e exclusão de conta: nas configurações, você pode "Apagar conta". Isso desativa a conta e registra a data de desativação. Após o período de 30 dias (período de graça), a conta é considerada encerrada. Podemos então tratar os dados conforme nossa política de retenção (ex.: exclusão ou anonimização).
• Dados em serviços de terceiros: Analytics, publicidade e RevenueCat seguem as políticas e prazos de cada provedor. Você pode solicitar que paremos de enviar novos dados a partir do momento em que a conta for encerrada.

6. Seus direitos (LGPD)

Você pode, na medida do que a lei permitir:

• Acessar os dados que temos sobre você.
• Corrigir dados incompletos ou desatualizados (muitos podem ser alterados nas configurações e no próprio app).
• Solicitar a exclusão dos dados (incluindo via "Apagar conta" e, após 30 dias, encerramento definitivo).
• Revogar consentimento (ex.: desativar permissão de contatos no sistema do celular; no iOS, revogar permissão de rastreamento).
• Solicitar portabilidade ou mais informações sobre o tratamento.

Para exercer esses direitos, use o e-mail ou canal de contato que disponibilizarmos no app ou na loja (ex.: na página do desenvolvedor).

7. Segurança

• Autenticação e sessão com provedor seguro; token de sessão criptografado no dispositivo.
• Uso de HTTPS e políticas de acesso ao banco e ao armazenamento (Supabase).
• Dados sensíveis (ex.: chave PIX) tratados apenas no contexto do app e da mensagem que você mesmo envia.

8. Menores

O Quem Deve não se destina a menores de 13 anos. Não coletamos dados de menores de forma consciente. Se tomarmos conhecimento de dados de menor, trataremos conforme a lei (ex.: exclusão).

9. Alterações nesta política

Podemos atualizar esta política (por exemplo, por mudanças de funcionalidade ou de parceiros). A "Última atualização" no topo será alterada e, quando relevante, podemos avisar no app ou por e-mail. O uso continuado do app após a divulgação constitui aceite da nova versão.