Política de Privacidade

Última atualização: 12 de junho de 2026

O que coletamos

• Informações da conta: Endereço de e-mail e nome de exibição (para criar sua conta e personalizar sua experiência).
• Entradas do diário: O texto que você escreve, incluindo metadados (datas, tags, tipo de entrada). Armazenado em nosso banco de dados PostgreSQL.
• Relacionamentos: Nomes que você menciona nas entradas usando @menções. São apenas nomes — não coletamos informações de contato de outras pessoas.
• Emoções e temas: Extraídos de suas entradas pela nossa IA. Inclui emoções (primárias e secundárias), intensidade (1–10), direção emocional (positiva/negativa), temas de vida (ex: relacionamentos, carreira, saúde), gatilhos e um breve resumo. Armazenados como dados estruturados ao lado de cada entrada.
• Conversas do Explorar: Seus chats com o recurso Explorar IA, incluindo suas perguntas e as respostas da IA.
• Memória do Usuário: Quando você tem uma conversa significativa no Explorar, o Pensio extrai fatos-chave que você compartilhou — como nomes, preferências, padrões ou marcos. Estes são armazenados na sua conta para que conversas futuras tenham contexto sobre você. Você pode visualizar, desativar ou excluir permanentemente qualquer memória em Configurações → Memórias.
• Insights: Relatórios semanais e mensais gerados por IA sobre seus padrões emocionais, temas recorrentes e mudanças ao longo do tempo. São resumos derivados de suas entradas, armazenados na sua conta.

O que não coletamos

• Não vendemos seus dados. Nunca.
• Não exibimos anúncios.
• Não compartilhamos o conteúdo do seu diário com terceiros (exceto o provedor de LLM — veja abaixo).
• Não rastreamos você pela internet.
• Não criamos perfis publicitários nem vendemos dados comportamentais.

Podemos divulgar seus dados se exigido por lei (por exemplo, uma ordem judicial válida), mas só faremos isso quando legalmente obrigados e notificaremos você se permitido.

Como usamos IA

O Pensio usa modelos de linguagem (LLMs) para dois recursos:

1. Extração de emoções: O texto da sua entrada é enviado a um LLM para identificar emoções. As emoções extraídas são armazenadas; o LLM não retém seu texto.
2. Chat do Explorar: Quando você faz uma pergunta no Explorar, entradas relevantes do diário são enviadas como contexto ao LLM para gerar uma resposta. O provedor de LLM não armazena nem treina com seus dados.
3. Memória do Usuário: O Pensio armazena fatos das suas conversas no Explorar (como nomes e preferências) para que sessões futuras tenham contexto. Isso é armazenado na sua conta em nosso servidor, não em servidores de provedores de IA. Você controla tudo — visualize, desative ou exclua qualquer memória em Configurações.

Como isso se compara ao uso direto de chatbots de IA: Quando você usa ChatGPT, Claude ou Gemini pelos seus próprios aplicativos, suas conversas podem ser usadas para melhorar seus modelos a menos que você opte por sair. Com o Pensio, o conteúdo do seu diário nunca é usado para treinamento de IA, criação de perfis ou marketing — por nós ou pelos provedores de IA. Seu texto é processado em memória e descartado imediatamente. Os únicos dados que persistem são os que o Pensio armazena na sua conta, que pertencem a você e podem ser excluídos a qualquer momento.

Conectando assistentes de IA externos (MCP)

Se você tem o Pensio Pro, pode opcionalmente conectar um assistente de IA externo — como Claude, Claude Desktop ou Cursor — ao Pensio através do Model Context Protocol (MCP). Isso fica desativado por padrão e só acontece se você criar uma conexão em Configurações → Tokens.

• Somente leitura: Um assistente conectado pode ler e pesquisar seu diário. Ele não pode criar, editar ou excluir entradas — isso é garantido em nossos servidores, não apenas pelo assistente.
• Para onde vão suas palavras: Quando você pergunta a um assistente conectado sobre seu diário, as entradas relevantes são enviadas ao próprio modelo de IA dessa ferramenta para formar a resposta. Esse modelo opera sob os termos e a política de privacidade do fornecedor do assistente — não sob a configuração de retenção zero do OpenRouter do Pensio. Não podemos controlar como uma ferramenta de IA de terceiros que você escolher trata esse conteúdo, então revise os termos de privacidade do seu assistente antes de conectar.
• Uma opção totalmente privada: Se você hospeda o Pensio por conta própria e conecta um modelo de IA local (como o Ollama), suas entradas nunca saem da sua própria máquina — zero envio a terceiros.
• Você mantém o controle: Cada conexão é um token revogável e específico para um dispositivo. Revogue-o a qualquer momento em Configurações → Tokens e o assistente perde o acesso imediatamente.

O que a IA não faz

• Os provedores de IA não se lembram de você — não há perfil persistente seu em nenhum servidor de provedor de IA. O recurso de Memória do Usuário do Pensio armazena fatos que você compartilha em conversas, mas esses dados vivem na sua conta sob seu controle, não na infraestrutura do provedor de IA. Você pode excluí-los a qualquer momento.
• Seus dados nunca são misturados com dados de outros usuários quando processados pela IA. Cada solicitação contém apenas seu conteúdo, isolada de todos os outros usuários.
• Não usamos o conteúdo do seu diário para análises, melhoria de produto ou pesquisa interna.
• Os provedores de IA não criam perfis comportamentais com base em suas entradas.
• Os modelos de IA não são personalizados ou adaptados com base nos seus dados. Cada solicitação de usuário é processada pelo mesmo modelo de uso geral.

Provedores de IA e tratamento de dados

Todas as solicitações de IA são roteadas pelo OpenRouter, um gateway de API. O OpenRouter encaminha sua solicitação para o modelo de IA e retorna a resposta. Configuramos o OpenRouter com a flag de retenção zero de dados via sua API — seu texto é processado em memória e não é armazenado, registrado ou usado para treinamento pelo OpenRouter ou pelos provedores de modelo downstream. Isso significa que seus dados existem apenas durante a solicitação e não são gravados em disco pelos provedores de IA. As solicitações não são registradas, armazenadas em cache ou guardadas em nenhuma camada.

Os modelos de IA que usamos atualmente:

• Claude da Anthropic — modelo primário para o chat Explorar e extração de emoções.
• Gemini do Google — usado como modelo alternativo para alguns recursos.

Tanto a Anthropic quanto o Google, quando acessados via API de retenção zero do OpenRouter, não armazenam nem treinam com os dados enviados por essas solicitações. Se mudarmos de provedor de IA no futuro, atualizaremos esta página e manteremos a mesma configuração de retenção zero.

Análises

Usamos duas ferramentas de análise, separadas por finalidade:

• Google Analytics 4 — apenas nas nossas páginas públicas de marketing (landing page, blog). Rastreia visualizações de página e fontes de tráfego. Endereços IP são anonimizados. Não é usado em páginas autenticadas.
• PostHog — no aplicativo (páginas autenticadas). Rastreia uso de recursos com IDs de usuário anonimizados (seu UUID, não seu nome ou e-mail). Nenhuma informação pessoal é enviada. A captura automática está desativada — rastreamos apenas eventos específicos que definimos.

Relatórios de falhas e erros

Para manter o Pensio estável, coletamos diagnósticos técnicos quando algo dá errado — nunca o conteúdo do seu diário:

• Sentry — relatórios de erro do lado do servidor para o aplicativo web. Nenhum dado pessoal é anexado (o envio de PII está desativado). Processado na UE.
• Firebase Crashlytics — diagnósticos de falhas do aplicativo Android (rastreamento de pilha, modelo do dispositivo, versão do sistema operacional e do aplicativo). Nenhum conteúdo do diário e nenhum e-mail ou nome são enviados, e a coleta de ID de publicidade está desativada. O aplicativo iOS atualmente não inclui relatórios de falhas.

Cookies

O aplicativo Pensio usa apenas cookies essenciais:

• Cookie de sessão — mantém você conectado. Expira após 14 dias de inatividade.
• Token CSRF — previne falsificação de solicitação entre sites (uma medida de segurança).

Páginas de marketing podem definir um cookie do Google Analytics se você aceitar cookies de análise através do banner de consentimento. Nenhum cookie de rastreamento é usado dentro do aplicativo. Cookies essenciais não exigem consentimento sob as regras de ePrivacy da UE.

Segurança

• Criptografia em trânsito: Todas as conexões usam TLS (HTTPS). Aplicamos HSTS.
• Criptografia em repouso: O disco do nosso servidor usa criptografia LUKS de disco completo.
• Senhas: Hash usando Argon2id, um algoritmo de uso intensivo de memória resistente a ataques de força bruta. Nunca armazenamos senhas em texto simples.
• Autenticação de dois fatores: Disponível via TOTP (aplicativo autenticador). Recomendado para todas as contas.
• Backups: Backups diários automatizados do banco de dados, criptografados, retidos por 7 dias.

Como qualquer serviço online, o Pensio não está imune a riscos de segurança. Minimizamos o risco limitando a exposição de dados, criptografando todos os dados armazenados no nível do disco e garantindo que os provedores de IA não retenham seu conteúdo. Revisamos regularmente nossas práticas de segurança e as atualizamos conforme necessário.

Comunicações por e-mail

Enviamos os seguintes tipos de e-mail:

• Transacionais: Redefinições de senha, verificação de e-mail, alertas de segurança da conta. São necessários para o serviço funcionar — você não pode optar por sair.
• E-mails de produto: Insights semanais, marcos de sequência, lembretes de inatividade. Você pode desativar qualquer um destes individualmente em Configurações → Notificações.
• Newsletter: Atualizações do produto e dicas de journaling. Requer adesão separada (double opt-in). Cancele a inscrição em um clique a partir de qualquer e-mail.

Todo e-mail não transacional inclui um link de cancelamento em um clique. Limitamos os e-mails de produto a no máximo 2 por mês. Usamos o Brevo para enviar e-mails (veja Subprocessadores abaixo).

Seus direitos

Você é dono dos seus dados. Sob o GDPR e independentemente de onde você mora, você pode:

• Acessar seus dados: Todos os seus dados estão visíveis no aplicativo. Se precisar de uma exportação em formato legível por máquina, entre em contato.
• Exportar (portabilidade): Baixe todas as suas entradas como arquivos Markdown ou JSON em Configurações → Exportar.
• Retificação: Edite suas entradas e informações de perfil a qualquer momento.
• Exclusão: Exclua sua conta em Configurações. Isso remove permanentemente todos os seus dados — entradas, relacionamentos, insights e conversas do Explorar. A exclusão é concluída em 30 dias e é irreversível. Como priorizamos a privacidade, não podemos recuperar dados excluídos — não há backup oculto ou armazenamento sombra.
• Restringir o processamento: Você pode desativar a extração de emoções por IA em suas entradas em Configurações. Suas entradas ainda serão armazenadas, mas não serão enviadas aos provedores de IA.
• Oposição: Você pode se opor a qualquer processamento entrando em contato conosco em [email protected].
• Controle de memória: Visualize, desative ou exclua permanentemente qualquer fato que a IA tenha lembrado sobre você em Configurações → Memórias. Memórias desativadas são excluídas das conversas de IA, mas mantidas na sua conta até que você as exclua.

Retenção de dados

• Enquanto sua conta estiver ativa: Seus dados são armazenados enquanto você tiver uma conta. Não excluímos entradas a menos que você o faça.
• Após a exclusão da conta: Todos os seus dados (entradas, emoções, relacionamentos, insights, conversas do Explorar) são permanentemente excluídos do nosso banco de dados em 30 dias. Os backups automatizados que contêm seus dados expiram em 7 dias após isso.
• Provedores de IA: Não retêm seus dados de forma alguma — o processamento é apenas em memória.

Subprocessadores

Estes são os serviços de terceiros que podem processar seus dados como parte do fornecimento do Pensio:

Lista de subprocessadores terceirizados

Serviço	Finalidade	Acesso aos dados
OpenRouter	Gateway de API de IA	Texto da entrada (apenas em memória, retenção zero)
Anthropic (Claude)	Fornecedor de modelo de IA	Texto da entrada (apenas em memória, via API de retenção zero do OpenRouter)
Google (Gemini)	Fornecedor de modelo de IA	Texto da entrada (apenas em memória, via API de retenção zero do OpenRouter)
Hostinger	Hospedagem de servidor	Todos os dados (armazenados em disco criptografado)
Cloudflare	CDN e proteção contra DDoS	Tráfego de rede (apenas passagem, não armazenado)
PostHog	Análise de produto	Eventos de uso anônimos (sem conteúdo do diário, sem informações pessoais)
Brevo	Entrega de e-mail	Endereço de e-mail, nome de exibição, preferência de idioma (para e-mails transacionais e de produto)
Sentry	Rastreamento de erros	Relatórios técnicos de erro (podem incluir metadados de solicitação anonimizados, nunca conteúdo do diário). O envio de PII está desativado.
Google (Firebase Crashlytics)	Relatórios de falhas (aplicativo Android)	Diagnósticos de falhas do aplicativo Android — rastreamento de pilha, modelo do dispositivo, versão do sistema operacional e do aplicativo. Sem conteúdo do diário, sem e-mail ou nome. A coleta de ID de publicidade está desativada.
Google Analytics 4	Análise de marketing	Visualizações de página anonimizadas apenas em páginas de marketing (não dentro do aplicativo). Carregado apenas após consentimento de cookies.

Localização dos dados

Seus dados são armazenados em um servidor dedicado na Europa (UE), fornecido pela Hostinger. A Cloudflare lida com CDN e proteção contra DDoS — o conteúdo passa pela rede deles mas não é armazenado. Os dados de análise do PostHog são processados na UE. O Brevo é um provedor de e-mail sediado na UE. Os relatórios de erro (Sentry) são processados na UE. Os diagnósticos de falhas do aplicativo Android são processados pelo Google (Firebase Crashlytics), que pode armazená-los fora da UE sob Cláusulas Contratuais Padrão. Nenhum dado pessoal é transferido para fora da UE/EEE exceto por provedores com salvaguardas adequadas (Cláusulas Contratuais Padrão ou decisões de adequação da UE).

Privacidade de crianças

O Pensio não é destinado a menores de 16 anos. Não coletamos intencionalmente dados pessoais de crianças. Se soubermos que um usuário menor de 16 anos criou uma conta, excluiremos sua conta e todos os dados associados prontamente. Se você acredita que uma criança menor de 16 anos está usando o Pensio, entre em contato conosco em [email protected].

Notificação de violação de dados

No improvável evento de uma violação de dados que afete seus dados pessoais, notificaremos você por e-mail em até 72 horas após tomarmos conhecimento, conforme exigido pelo GDPR. Também notificaremos a autoridade supervisora relevante. A notificação descreverá a natureza da violação, os dados afetados e as medidas que estamos tomando para resolvê-la.

Base legal para o processamento

Sob o GDPR, processamos seus dados com base em:

• Contrato: Processamento das entradas do seu diário, geração de insights e fornecimento do serviço para o qual você se inscreveu.
• Interesse legítimo: Análises de produto (anônimas), monitoramento de erros e segurança do serviço.
• Consentimento: E-mails de marketing, newsletter e cookies de análise nas páginas de marketing.

Você pode retirar o consentimento a qualquer momento sem afetar a legalidade do processamento antes da retirada.

Alterações nesta política

Se fizermos alterações significativas, notificaremos você por e-mail ou notificação no aplicativo antes que as alterações entrem em vigor. Pequenas atualizações de texto não acionarão um aviso. Versões anteriores desta política estão disponíveis mediante solicitação.

Contato e reclamações

Dúvidas sobre sua privacidade? Envie um e-mail para [email protected].

Se você acredita que estamos processando seus dados de forma ilegal, você tem o direito de apresentar uma reclamação a uma autoridade supervisora de proteção de dados no seu país de residência.