Política de Privacidade

Última atualização: 17 de abril de 2026

TL;DR: Tratamos dados pessoais teus (email, nome, dados financeiros que TU introduzes) apenas para fazer a app funcionar. Nunca os vendemos. Nunca pedimos acesso ao teu banco. Podes apagar tudo num clique em Definições. Responderemos a qualquer pedido RGPD em 30 dias.

1. Quem somos

O XP-Money é um serviço de finanças pessoais gamificadas operado pela entidade responsável identificada abaixo ("nós", "XP-Money"). Esta Política explica como recolhemos, usamos e protegemos os teus dados pessoais quando utilizas os websites xp-money.com ou xp-money.pt (que redireciona para o principal) ou qualquer versão instalada como PWA.

Contacto do Responsável pelo Tratamento: formulário de contacto (as mensagens são entregues diretamente ao responsável sem exposição de email público).

2. Que dados recolhemos

2.1. Dados que nos dás voluntariamente

  • Conta: email, nome, foto de perfil (via Clerk, opcional).
  • Perfil financeiro: desafio/objetivo (ex. "poupar €5.000"), moeda preferida.
  • Transações: valor, categoria, descrição, data — que TU introduzes manualmente, por scan de recibo, ou por importação de extrato.
  • Objetivos e depósitos: nome do objetivo, valor-alvo, prazo, depósitos feitos.
  • Conteúdo de reports: se reportas bugs ou envias mensagens via formulário de contacto, ficamos com o conteúdo + email.
  • Newsletter: se subscreves a newsletter, guardamos o teu email + locale + IP/UA do momento da subscrição (forensics anti-spam) até cancelares. Aplicamos duplo opt-in — o teu email só passa a "activo" depois de clicares no link de confirmação que te enviamos. Cancelas em 1 clique no link de unsubscribe presente em todos os emails.

2.2. Dados gerados pela utilização

  • Dados de gamificação: XP, nível, missões concluídas, badges, streaks, estado do mascote.
  • Score financeiro: calculado a partir das tuas transações e objetivos.
  • Histórico de XP: registo das ações que geraram pontos (ex. "registou transação").
  • Certificados de cursos: conclusões e códigos de certificado gerados pela Academia.

2.3. Dados técnicos automáticos

  • Analytics (PostHog): eventos anonimizados para sabermos que funcionalidades usas — sem teu nome nem email.
  • Logs de erro: mensagens de erro + user-agent para corrigir bugs (limpamos após 30 dias).
  • Cookies: ver Política de Cookies.

2.4. O que NÃO recolhemos

  • Credenciais do teu banco (user/password). Nunca pedimos.
  • Saldos em contas bancárias via Open Banking/PSD2.
  • Localização GPS, dados biométricos, contactos, fotos da galeria fora das que escolhes para scan de recibo.

3. Para que usamos os teus dados (finalidades)

  1. Fornecer o serviço: processar transações, calcular o score, gerar relatórios.
  2. Gamificação: atribuir XP, evoluir mascote, desbloquear missões e badges.
  3. Comunicação: enviar notificações diárias (se ativadas), responder a mensagens.
  4. Faturação: processar subscrições pagas via Stripe.
  5. Melhoria do produto: analisar eventos anónimos para priorizar funcionalidades.
  6. Segurança: detetar abuso e cumprir obrigações legais.

4. Base legal (Art. 6º RGPD)

  • Execução de contrato (Art. 6.1.b): tudo o que é necessário para a app funcionar.
  • Consentimento (Art. 6.1.a): notificações push, cookies analíticos.
  • Interesse legítimo (Art. 6.1.f): prevenção de fraude, logs de segurança.
  • Obrigação legal (Art. 6.1.c): retenção de registos fiscais de faturação.

5. Quem tem acesso aos teus dados (subcontratantes)

Partilhamos dados estritamente com os seguintes fornecedores, sob contrato de tratamento (Art. 28º RGPD):

  • Clerk (EUA, EU-US DPF) — autenticação.
  • Supabase (UE, Frankfurt) — base de dados e storage.
  • Vercel (EUA, EU-US DPF) — alojamento da aplicação.
  • Stripe (Irlanda) — processamento de pagamentos.
  • Google Gemini (UE) — scan de recibos e processamento de IA (imagens apagadas após processamento).
  • PostHog (UE) — analytics anonimizados.

Não vendemos nem alugamos dados a terceiros. Qualquer transferência internacional é feita sob cláusulas contratuais-tipo aprovadas pela Comissão Europeia.

6. Quanto tempo guardamos os dados

  • Conta ativa: enquanto usares a app.
  • Conta apagada: eliminação definitiva em 30 dias.
  • Faturação: 10 anos (obrigação legal PT).
  • Logs de erro: 30 dias.
  • Analytics: 2 anos, anonimizados.

7. Os teus direitos (Art. 15-22 RGPD)

Tens direito a, a qualquer momento:

  • Acesso: saber que dados temos sobre ti e obter uma cópia.
  • Retificação: corrigir dados incorretos.
  • Apagamento: "direito a ser esquecido" — apagamos tudo em 30 dias.
  • Portabilidade: exportar os teus dados num formato estruturado (JSON/CSV).
  • Oposição: opor-te a tratamentos baseados em interesse legítimo.
  • Retirar consentimento a qualquer momento (sem efeitos retroativos).
  • Reclamação: junto da CNPD (Comissão Nacional de Proteção de Dados).

Para exercer qualquer direito: envia-nos uma mensagem pelo formulário de contacto. Respondemos em 30 dias corridos.

8. Segurança

Medidas técnicas e organizativas em vigor:

  • Tráfego cifrado em TLS 1.3.
  • Dados em repouso cifrados (AES-256) ao nível da base de dados.
  • Autenticação via Clerk com suporte a MFA.
  • Controlo de acesso por Row Level Security no Postgres.
  • Backups diários cifrados, retidos 7 dias.
  • Pagamentos processados pela Stripe (PCI-DSS Nível 1) — nunca vemos o teu cartão.

9. Menores

O serviço destina-se a pessoas com 16 anos ou mais. Se tomarmos conhecimento de que uma conta foi criada por menor de 16 anos sem consentimento parental, apagaremos a conta.

10. Alterações a esta política

Podemos atualizar esta Política para refletir mudanças no serviço ou na legislação. Alterações substanciais serão comunicadas por email e/ou banner na app com pelo menos 15 dias de antecedência.

Documento sujeito ao direito português. Em caso de litígio, os tribunais competentes são os da comarca do domicílio do consumidor.

Política de Privacidade | XP-Money