Política de Privacidade

Última atualização: Fevereiro 2026

1. Introdução

A Penhota Gestão e Intermediação Ltda ("Penhota", "nós"), inscrita no CNPJ 62.188.010/0001-50, é a controladora dos dados pessoais tratados por meio da plataforma SERENA, acessível em serena.floripa.br. O SERENA é um assistente de inteligência artificial especializado em regulamentações do Sistema Financeiro Nacional (SFN) brasileiro.

Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) e demais normas aplicáveis.

Ao criar uma conta ou utilizar o SERENA, você declara estar ciente e de acordo com as práticas descritas nesta Política. Caso não concorde com algum dos termos, recomendamos que não utilize nossos serviços.

2. Dados que Coletamos

2.1 Dados pessoais fornecidos por você

  • Dados de cadastro: nome, endereço de e-mail e senha. A senha é armazenada exclusivamente em formato hash criptográfico (bcrypt) — nunca em texto plano.
  • Autenticação via Google OAuth: caso opte pelo login com conta Google, recebemos seu nome, e-mail e identificador de conta. Não temos acesso à sua senha do Google.

2.2 Dados de conversas

  • Histórico de perguntas enviadas ao SERENA e as respectivas respostas geradas, incluindo fontes citadas.
  • Feedback opcional fornecido sobre a qualidade das respostas (positivo ou negativo).

2.3 Dados de uso

  • Contagem diária de consultas realizadas (para controle de limites do plano).
  • Data e hora de acesso, páginas visitadas e ações realizadas na plataforma.
  • Informações do dispositivo: tipo de navegador, sistema operacional e endereço IP.

2.4 Dados de pagamento

  • Os dados de pagamento (número de cartão, validade, CVV) são processados diretamente pelo Stripe, nosso processador de pagamentos certificado PCI-DSS. Nós não armazenamos dados completos de cartão — apenas o identificador da assinatura Stripe, o plano contratado e o status do pagamento.

3. Como Usamos seus Dados

Utilizamos seus dados pessoais para as seguintes finalidades:

  • Prestação do serviço: autenticar seu acesso, processar suas consultas regulatórias, gerar respostas com inteligência artificial e manter o histórico de conversas.
  • Gestão de assinatura: processar pagamentos, controlar limites de uso conforme o plano contratado e gerenciar o ciclo de vida da assinatura.
  • Melhoria do serviço: analisar padrões de uso agregados e feedback dos usuários para aprimorar a qualidade das respostas, a precisão da busca e a experiência geral da plataforma.
  • Comunicações: enviar e-mails transacionais essenciais, como confirmação de cadastro, verificação de e-mail, recuperação de senha e notificações sobre sua assinatura.
  • Segurança: detectar e prevenir fraudes, abusos e acessos não autorizados.
  • Cumprimento de obrigações legais: atender exigências legais, regulatórias ou determinações de autoridades competentes.

4. Base Legal para o Tratamento

Em conformidade com o artigo 7º da LGPD, tratamos seus dados pessoais com fundamento nas seguintes bases legais:

  • Execução de contrato (art. 7º, V): o tratamento é necessário para a prestação do serviço contratado, incluindo autenticação, processamento de consultas, gestão da assinatura e suporte ao usuário.
  • Consentimento (art. 7º, I): para o envio de comunicações que não sejam estritamente necessárias à prestação do serviço, bem como para funcionalidades opcionais como feedback sobre respostas.
  • Legítimo interesse (art. 7º, IX): para melhoria contínua da plataforma, análise de padrões de uso agregados e anonimizados, e medidas de segurança da informação.
  • Cumprimento de obrigação legal (art. 7º, II): quando necessário para atender legislação ou regulamentação aplicável, ou cumprir determinações de autoridades competentes.

5. Compartilhamento de Dados

Não vendemos, alugamos ou comercializamos seus dados pessoais. Seus dados podem ser compartilhados apenas com os seguintes terceiros, estritamente para viabilizar a operação do serviço:

  • Stripe: processador de pagamentos. Recebe dados de pagamento diretamente do seu navegador para processar transações. Certificado PCI-DSS Level 1. Política de privacidade: stripe.com/privacy.
  • SendGrid (Twilio): serviço de envio de e-mails transacionais. Recebe seu endereço de e-mail para entrega de mensagens como verificação de conta e recuperação de senha.
  • Google Cloud Platform (GCP): infraestrutura de hospedagem. Nossos servidores, banco de dados e serviços de computação estão hospedados na região us-central1 do GCP. Os dados são protegidos pelos controles de segurança e conformidade da Google Cloud.
  • Google (OAuth): caso utilize o login via Google, dados de autenticação são trocados com os servidores da Google conforme o protocolo OAuth 2.0.

Todos os fornecedores acima estão sujeitos a obrigações contratuais de proteção de dados e segurança da informação. Em caso de transferência internacional de dados (por exemplo, para servidores do Stripe ou SendGrid localizados nos Estados Unidos), garantimos que existem salvaguardas adequadas conforme exigido pela LGPD.

6. Armazenamento e Segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados pessoais contra acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento inadequado:

  • Criptografia de senhas: todas as senhas são armazenadas com hash bcrypt (12 rounds de salt), tornando impossível a recuperação da senha original.
  • Criptografia em trânsito: todas as comunicações entre seu navegador e nossos servidores são protegidas por HTTPS/TLS.
  • Criptografia em repouso: o banco de dados PostgreSQL é hospedado no Google Cloud SQL, que oferece criptografia automática dos dados armazenados (AES-256).
  • Controle de acesso: o acesso ao banco de dados e aos sistemas internos é restrito por políticas de IAM (Identity and Access Management) do Google Cloud, acessível apenas por pessoal autorizado.
  • Autenticação segura: utilizamos tokens JWT assinados para gerenciamento de sessões, com expirações configuradas para minimizar riscos.
  • Isolamento de dados de pagamento: dados sensíveis de pagamento nunca passam pelos nossos servidores — são enviados diretamente do seu navegador para o Stripe.

7. Seus Direitos como Titular

Em conformidade com os artigos 17 a 22 da LGPD, você possui os seguintes direitos em relação aos seus dados pessoais:

  • Confirmação e acesso: confirmar a existência de tratamento e obter acesso aos seus dados pessoais que mantemos.
  • Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados. Você pode atualizar seu nome diretamente nas configurações do perfil.
  • Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade: solicitar a portabilidade dos seus dados a outro fornecedor de serviço, mediante requisição expressa.
  • Eliminação dos dados: solicitar a exclusão dos dados pessoais tratados com base no seu consentimento. Você pode excluir sua conta e todos os dados associados diretamente nas configurações do perfil ou entrando em contato conosco.
  • Revogação do consentimento: revogar o consentimento a qualquer momento, sem afetar a legalidade do tratamento realizado anteriormente.
  • Informação sobre compartilhamento: ser informado sobre as entidades públicas e privadas com as quais seus dados são compartilhados.
  • Oposição: opor-se ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, caso haja descumprimento da LGPD.

Para exercer qualquer um desses direitos, entre em contato conosco pelo e-mail indicado na seção "Contato" abaixo. Responderemos à sua solicitação em até 15 (quinze) dias úteis, conforme previsto na legislação.

Você também tem o direito de apresentar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD) caso considere que o tratamento dos seus dados pessoais viola a LGPD.

8. Cookies e Tecnologias Semelhantes

Utilizamos as seguintes tecnologias de armazenamento local:

  • Cookie de sessão (NextAuth): um cookie essencial contendo um token JWT que identifica sua sessão autenticada. Este cookie é necessário para o funcionamento do serviço e é removido ao encerrar a sessão ou após a expiração do token.
  • Preferência de tema (localStorage): armazenamos localmente no seu navegador sua preferência de tema (claro, escuro ou automático). Este dado não é enviado aos nossos servidores.

Não utilizamos cookies de rastreamento, cookies de publicidade ou ferramentas de analytics de terceiros. Não rastreamos sua navegação em outros sites.

9. Retenção de Dados

Seus dados pessoais são mantidos enquanto sua conta estiver ativa e pelo período necessário para cumprir as finalidades descritas nesta Política. Especificamente:

  • Dados de conta e perfil: mantidos enquanto a conta estiver ativa. Excluídos quando você solicitar a exclusão da conta.
  • Histórico de conversas: mantido enquanto a conta estiver ativa. Você pode excluir conversas individuais a qualquer momento. Todos os históricos são excluídos com a exclusão da conta.
  • Dados de pagamento: registros de transação podem ser mantidos pelo período exigido pela legislação fiscal e contábil aplicável (até 5 anos), mesmo após a exclusão da conta.
  • Dados de uso: dados de contagem diária de uso são mantidos para controle do plano e podem ser mantidos de forma agregada e anonimizada para fins estatísticos.

Ao excluir sua conta, realizamos a exclusão de seus dados pessoais e histórico de conversas de nosso banco de dados. A assinatura no Stripe é cancelada automaticamente. Dados que devam ser mantidos por obrigação legal serão retidos pelo período mínimo necessário e posteriormente eliminados.

10. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, nos serviços oferecidos ou na legislação aplicável. Quando realizarmos alterações relevantes:

  • A data de "Última atualização" no topo desta página será atualizada.
  • Para alterações substanciais que afetem seus direitos, enviaremos uma notificação por e-mail ou exibiremos um aviso na plataforma.
  • O uso continuado do SERENA após a publicação das alterações constitui aceite da Política atualizada.

Recomendamos que você revise esta página periodicamente para se manter informado sobre como protegemos seus dados.

11. Contato

Se você tiver dúvidas sobre esta Política de Privacidade, sobre o tratamento dos seus dados pessoais ou desejar exercer qualquer um dos seus direitos como titular, entre em contato com nosso Encarregado de Proteção de Dados (DPO):

  • Empresa: Penhota Gestão e Intermediação Ltda
  • CNPJ: 62.188.010/0001-50
  • E-mail: privacidade@serena.floripa.br
  • Plataforma: serena.floripa.br

Nos comprometemos a responder todas as solicitações dentro do prazo legal de 15 (quinze) dias úteis, podendo ser prorrogado por igual período em casos de maior complexidade, mediante justificativa ao titular.