PoM Wealth Management
DashboardCompliancePosiçãoRentabilidadeRisco

Política de Privacidade

Versão 2026-06-15

# Política de Privacidade — Plataforma PoM Reports

Versão: 2026-06-15

Vigência: a partir de 15 de junho de 2026

Última revisão: 15 de junho de 2026

---

Sumário

1. Quem somos e escopo

2. Princípios e bases legais

3. Dados pessoais que tratamos

4. Finalidades e bases legais por tratamento

5. Dados sensíveis

6. Origem dos dados

7. Compartilhamento, operadores e subprocessadores

8. Transferências internacionais

9. Retenção e descarte

10. Segurança da informação

11. Direitos do titular (LGPD)

12. Decisões automatizadas e inteligência artificial

13. Crianças e adolescentes

14. Incidentes de segurança

15. Addendum GDPR (UE/EEE/Reino Unido)

16. Addendum Estados Unidos (CCPA/CPRA e leis estaduais)

17. Alterações desta Política

18. Contato

---

1. Quem somos e escopo

1.1. Controladora principal

PoM Wealth Management LTDA (CNPJ 46.019.534/0001-60), operadora da PoM Reports, plataforma wealth tech de consolidação patrimonial, Avenida Angélica, 2529, 4º andar, Bela Vista, São Paulo/SP, CEP 01227-200 (“PoM”, “nós”).

1.2. Ecossistema PoM — plataforma, MFO, grupo e parceiros

Esta Política abrange o tratamento de dados no contexto da Plataforma PoM Reports e serviços do ecossistema PoM: consolidação patrimonial (wealth tech), multi family office (MGN Investimentos), entidades reguladas do grupo (MGN Corretora de Seguros, MGN Correspondente Bancário) e parceiros estratégicos (custodiantes, instituições financeiras, seguradoras, operadoras, prestadores de viagem e integrações tecnológicas).

Entidades do ecossistema podem atuar como controladoras coletivas, controladoras independentes ou operadoras, conforme o serviço e contrato aplicável. Quando outra entidade for controladora de tratamento específico, isso será indicado no fluxo de contratação ou contrato correspondente.

1.3. Documentos relacionados

  • Termos de Uso
  • Aviso Regulatório
  • Política de Cookies
  • Aviso de Segurança
  • Aviso de Uso de Inteligência Artificial

---

2. Princípios e bases legais

Tratamos dados pessoais em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD), observando os princípios de finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º, LGPD).

As bases legais mais utilizadas incluem:

| Base legal (LGPD) | Aplicação típica |

|-------------------|------------------|

| Execução de contrato (art. 7º, V) | Acesso à Plataforma, consolidação, relatórios, funcionalidades contratadas |

| Cumprimento de obrigação legal/regulatória (art. 7º, II) | Registros regulatórios, PLD/CFT, guarda de documentos |

| Legítimo interesse (art. 7º, IX) | Segurança, prevenção a fraudes, melhoria agregada, auditoria |

| Consentimento (art. 7º, I) | Cookies não essenciais, funcionalidades opcionais, comunicações de marketing quando aplicável |

| Exercício regular de direitos (art. 7º, VI) | Defesa em processos, cobrança, compliance |

Quando o tratamento depender de consentimento, este será solicitado de forma destacada, específica e informada, podendo ser revogado conforme Seção 11.

---

3. Dados pessoais que tratamos

3.1. Dados cadastrais e de conta

Nome, e-mail, telefone (quando fornecido), identificadores de conta, organização/tenant, perfil de acesso (RBAC), idioma, preferências de interface.

3.2. Autenticação e segurança

Credenciais (senha em formato hash — não armazenamos senha em texto claro), tokens de sessão, metadados de dispositivo vinculado, logs de login, endereço IP, user-agent.

3.3. Dados financeiros e patrimoniais

Posições, saldos, movimentações, rentabilidades, classificações de ativos, extratos consolidados e dados de custodiantes integrados (BTG, XP, Avenue e outros conforme integração do Cliente).

3.4. Wealth planning e advisory

Patrimônio declarado, renda, passivos, objetivos, planos de previdência e seguros existentes, estruturas societárias/familiares informadas, preferências de investimento, documentos enviados voluntariamente para planejamento.

3.5. Câmbio, viagens e seguros (quando utilizados)

Dados de identificação, documentos, informações de pagamento/liquidação, preferências de viagem, propostas de seguro, declarações de saúde quando necessárias à contratação — sempre limitados ao necessário para intermediação com Parceiros.

3.6. Dados técnicos e de auditoria

Logs de acesso, trilhas de auditoria, registros de aceite de termos legais (`UserLegalAcceptance`), alterações relevantes em configurações, metadados de geração de relatórios/PDFs.

3.7. Comunicações

Conteúdo de e-mails e solicitações enviadas a hello@pomwm.com ou canais oficiais, incluindo pedidos de privacidade (DSAR).

---

4. Finalidades e bases legais por tratamento

| Finalidade | Dados envolvidos | Base legal típica |

|------------|------------------|-------------------|

| Prover acesso e autenticação | Cadastrais, autenticação | Execução de contrato; legítimo interesse (segurança) |

| Prover consolidação patrimonial (wealth tech) | Financeiros, cadastrais | Execução de contrato |

| Gerar relatórios e PDFs | Financeiros, cadastrais | Execução de contrato |

| Wealth planning e advisory | Patrimoniais declarados | Execução de contrato; consentimento quando aplicável |

| Intermediar câmbio, viagens, seguros | Conforme módulo | Execução de contrato; obrigação legal/regulatória |

| Registrar aceite de termos | Cadastrais, técnicos | Execução de contrato; obrigação legal |

| Prevenção a fraudes e PLD/CFT | Autenticação, financeiros, logs | Obrigação legal; legítimo interesse |

| Suporte e atendimento | Cadastrais, comunicações | Execução de contrato |

| Melhoria da Plataforma (métricas agregadas/anônimas) | Técnicos agregados | Legítimo interesse |

| Cumprimento de ordens judiciais e regulatórias | Conforme solicitação | Obrigação legal |

| Enriquecimento assistido por IA de ativos | Dados de ativos minimizados | Legítimo interesse; execução de contrato |

Não vendemos dados pessoais. Não utilizamos dados patrimoniais para publicidade comportamental de terceiros.

---

5. Dados sensíveis

5.1. Categorias

Conforme art. 5º, II, LGPD, podemos tratar, quando estritamente necessário e com base legal adequada (art. 11):

  • Dados de saúde — em propostas de seguro saúde/vida ou planos, mediante consentimento específico ou hipótese legal aplicável.

Não coletamos atualmente dados biométricos na Plataforma.

5.2. Minimização

Coletamos apenas o necessário para a finalidade informada. Dados sensíveis não são utilizados para finalidades incompatíveis com aquelas que fundamentaram a coleta.

---

6. Origem dos dados

  • Do titular ou Usuário — cadastro, declarações, uploads, formulários de planning/seguros/viagens;
  • De custodiantes e Parceiros — integrações autorizadas (APIs, arquivos, feeds);
  • De entidades do grupo — quando o Cliente já possui relacionamento contratual;
  • Automaticamente — logs, cookies estritamente necessários, metadados técnicos.

---

7. Compartilhamento, operadores e subprocessadores

Compartilhamos dados apenas quando necessário, com cláusulas contratuais de proteção (DPA/acordos de tratamento). Subprocessadores e parceiros de dados registrados na operação atual:

| Subprocessador / parceiro | Função | Dados tratados | Região principal |

|---------------------------|--------|----------------|------------------|

| Amazon Web Services (AWS) — EC2, RDS, S3, SSM, CloudWatch, KMS | Hospedagem, persistência, logs, segredos | Cadastrais, financeiros de carteira, autenticação, logs técnicos | `us-east-1` (EUA) |

| XP (APIs de Data Access / integrações contratadas) | Fonte de posições e movimentações | Dados financeiros e identificadores de cliente/carteira | Brasil (origem); processamento PoM em AWS |

| BTG Pactual (APIs contratadas) | Fonte de dados financeiros | Carteira, movimentações, metadados operacionais | Brasil (origem); processamento PoM em AWS |

| Avenue (APIs contratadas) | Fonte de dados financeiros internacionais | Conta, posição, eventos de carteira | EUA/Brasil (origem); processamento PoM em AWS |

| EBURY BANCO DE CÂMBIO S.A. | Instituição parceira de câmbio (via MGN correspondente) | Dados cadastrais e financeiros para operações de câmbio | Brasil |

| Google Gemini API | Enriquecimento e extração assistida em fluxos autorizados | Subconjunto de documentos/metadados enviados ao fluxo | Infraestrutura do provedor (fora do Brasil) |

A lista efetiva depende das integrações habilitadas para cada Cliente.

---

8. Transferências internacionais

Parte do processamento ocorre fora do Brasil, principalmente pela hospedagem em AWS (`us-east-1`) e pelo Google Gemini API em fluxos autorizados de IA. Adotamos salvaguardas compatíveis com LGPD e, quando aplicável:

  • Cláusulas Contratuais Padrão (SCC) da Comissão Europeia;
  • Avaliações de impacto de transferência (TIA), quando necessárias;
  • Medidas técnicas complementares (criptografia, minimização).

Titulares na UE/EEE podem solicitar informações sobre salvaguardas conforme Addendum GDPR.

---

9. Retenção e descarte

Prazos aplicados na operação PoM (salvo obrigação legal superior ou ordem judicial):

| Tipo de dado | Retenção padrão |

|--------------|-----------------|

| Posições e movimentações (banco principal) | 10 anos |

| Dados cadastrais de Cliente ativo | Relação ativa + 5 anos após encerramento |

| Logs de segurança e auditoria | 24 meses (mínimo; prazo maior se houver investigação ativa) |

| Protocolos de direitos do titular | 5 anos após encerramento do caso |

| Artefatos de incidente de segurança/privacidade | Duração da investigação + 5 anos (mínimo) |

| Relatórios PDF gerados | 24 meses em armazenamento operacional |

| Metadados de job de PDF | 24 meses |

| Aceites legais (`UserLegalAcceptance`) | Prazo de auditoria e defesa de direitos aplicável |

| Dados enviados a IA | Apenas durante o processamento autorizado e trilha mínima necessária |

Solicitações de eliminação são atendidas salvo hipóteses legais de retenção (art. 16, LGPD). Descarte com medidas técnicas que impossibilitem recuperação indevida, quando aplicável.

---

10. Segurança da informação

Empregamos medidas técnicas e organizacionais, incluindo:

  • Criptografia em trânsito (TLS/HTTPS);
  • Controles de acesso por perfil (RBAC): `PLATFORM_ADMIN`, `ORG_OWNER`, `BANKER`, `INVESTOR`, `END_CLIENT`;
  • Gestão de credenciais e políticas de senha;
  • Hospedagem em infraestrutura AWS com controles de acesso;
  • Monitoramento e trilhas de auditoria;
  • Processos internos de resposta a incidentes.

Detalhes user-facing: Aviso de Segurança. Nenhum sistema é 100% seguro; incentivamos boas práticas do Usuário.

---

11. Direitos do titular (LGPD)

Nos termos dos arts. 17 a 22 da LGPD, você pode solicitar:

1. Confirmação de tratamento e acesso aos dados;

2. Correção de dados incompletos, inexatos ou desatualizados;

3. Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;

4. Portabilidade a outro fornecedor, quando aplicável;

5. Informação sobre compartilhamentos e possibilidade de não consentir;

6. Revogação do consentimento, quando esta for a base legal;

7. Revisão de decisões automatizadas que afetem interesses, conforme art. 20;

8. Oposição a tratamento em hipóteses legais aplicáveis.

Como exercer

  • E-mail: hello@pomwm.com (assunto: “Privacidade — direitos do titular”)
  • Formulário: Solicitação de Privacidade

Prazos e validação

  • Resposta inicial: até 5 dias úteis após validação do pedido
  • Conclusão: conforme complexidade e prazos legais aplicáveis (LGPD: em regra, até 15 dias corridos, prorrogáveis mediante justificativa)

Podemos solicitar confirmação de identidade antes de atender pedidos.

---

12. Decisões automatizadas e inteligência artificial

Utilizamos IA em fluxos autorizados (enriquecimento de ativos, categorização, conteúdo assistido em relatórios). Detalhes: Aviso de Uso de Inteligência Artificial.

  • Não tomamos decisões exclusivamente automatizadas com efeitos jurídicos significativos sobre o titular sem base legal adequada e informação prévia, conforme art. 20, LGPD.
  • Outputs de IA podem conter imprecisões; informações críticas devem ser confirmadas em fontes oficiais.

---

13. Crianças e adolescentes

A Plataforma não se destina a menores de 18 anos. Não coletamos intencionalmente dados de crianças. Se identificarmos tratamento indevido, adotaremos medidas de exclusão conforme aplicável.

---

14. Incidentes de segurança

Em incidente com risco ou dano relevante aos titulares, adotaremos contenção, mitigação, registro interno e, quando exigido, comunicação à ANPD e aos titulares afetados, nos prazos da LGPD. Titulares na UE: conforme Addendum GDPR. Canal de reporte: hello@pomwm.com (urgência de segurança).

---

15. Addendum GDPR (UE/EEE/Reino Unido)

Quando aplicável a titulares na União Europeia, Espaço Econômico Europeu ou Reino Unido:

| Tema | Disposição |

|------|------------|

| Controlador | PoM Wealth Management LTDA |

| Base legal | Conforme Seções 2 e 4; arts. 6 e 9 GDPR quando dados sensíveis |

| Direitos | Acesso, retificação, apagamento, restrição, portabilidade, oposição, retirada de consentimento, não submissão a decisão automatizada (art. 22), reclamação perante autoridade de supervisão |

| Transferências | SCC, TIA e medidas suplementares conforme Seção 8 |

| Prazo de resposta | Até 30 dias, prorrogáveis conforme GDPR |

| Contato | hello@pomwm.com |

---

16. Addendum Estados Unidos (CCPA/CPRA e leis estaduais)

Para residentes de estados dos EUA com leis aplicáveis (ex.: California CCPA/CPRA):

  • Não vendemos informações pessoais conforme definido na lei aplicável;
  • Não compartilhamos para publicidade comportamental cross-context sem base legal;
  • Direitos podem incluir conhecimento, acesso, exclusão, correção e opt-out de “sale/sharing” quando aplicável;
  • Não discriminaremos por exercício de direitos de privacidade;
  • Categorias de dados e finalidades: conforme Seções 3 e 4;
  • Solicitações: hello@pomwm.com ou formulário de privacidade.

---

17. Alterações desta Política

Podemos atualizar esta Política para refletir mudanças legais, regulatórias, tecnológicas ou operacionais. Alterações materiais serão comunicadas (e-mail, in-app ou aviso na Plataforma) e, quando necessário, exigirão novo aceite conforme Termos de Uso.

A versão vigente indica data de revisão no topo deste documento.

---

18. Contato

Canal de privacidade: hello@pomwm.com

Formulário: Solicitação de Privacidade

PoM Wealth Management LTDA

Avenida Angélica, 2529, 4º andar, Bela Vista, São Paulo/SP, CEP 01227-200

Autoridade nacional (Brasil): ANPD — www.gov.br/anpd

Termos de UsoPrivacidadeCookiesDireitos do titularContato

PoM Wealth Management © 2026