Política de Privacidade
Versão 2026-06-15
# Política de Privacidade — Plataforma PoM Reports
Versão: 2026-06-15
Vigência: a partir de 15 de junho de 2026
Última revisão: 15 de junho de 2026
---
Sumário
3. Dados pessoais que tratamos
4. Finalidades e bases legais por tratamento
7. Compartilhamento, operadores e subprocessadores
8. Transferências internacionais
11. Direitos do titular (LGPD)
12. Decisões automatizadas e inteligência artificial
15. Addendum GDPR (UE/EEE/Reino Unido)
16. Addendum Estados Unidos (CCPA/CPRA e leis estaduais)
18. Contato
---
1. Quem somos e escopo
1.1. Controladora principal
PoM Wealth Management LTDA (CNPJ 46.019.534/0001-60), operadora da PoM Reports, plataforma wealth tech de consolidação patrimonial, Avenida Angélica, 2529, 4º andar, Bela Vista, São Paulo/SP, CEP 01227-200 (“PoM”, “nós”).
1.2. Ecossistema PoM — plataforma, MFO, grupo e parceiros
Esta Política abrange o tratamento de dados no contexto da Plataforma PoM Reports e serviços do ecossistema PoM: consolidação patrimonial (wealth tech), multi family office (MGN Investimentos), entidades reguladas do grupo (MGN Corretora de Seguros, MGN Correspondente Bancário) e parceiros estratégicos (custodiantes, instituições financeiras, seguradoras, operadoras, prestadores de viagem e integrações tecnológicas).
Entidades do ecossistema podem atuar como controladoras coletivas, controladoras independentes ou operadoras, conforme o serviço e contrato aplicável. Quando outra entidade for controladora de tratamento específico, isso será indicado no fluxo de contratação ou contrato correspondente.
1.3. Documentos relacionados
- Termos de Uso
- Aviso Regulatório
- Política de Cookies
- Aviso de Segurança
- Aviso de Uso de Inteligência Artificial
---
2. Princípios e bases legais
Tratamos dados pessoais em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD), observando os princípios de finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º, LGPD).
As bases legais mais utilizadas incluem:
| Base legal (LGPD) | Aplicação típica |
|-------------------|------------------|
| Execução de contrato (art. 7º, V) | Acesso à Plataforma, consolidação, relatórios, funcionalidades contratadas |
| Cumprimento de obrigação legal/regulatória (art. 7º, II) | Registros regulatórios, PLD/CFT, guarda de documentos |
| Legítimo interesse (art. 7º, IX) | Segurança, prevenção a fraudes, melhoria agregada, auditoria |
| Consentimento (art. 7º, I) | Cookies não essenciais, funcionalidades opcionais, comunicações de marketing quando aplicável |
| Exercício regular de direitos (art. 7º, VI) | Defesa em processos, cobrança, compliance |
Quando o tratamento depender de consentimento, este será solicitado de forma destacada, específica e informada, podendo ser revogado conforme Seção 11.
---
3. Dados pessoais que tratamos
3.1. Dados cadastrais e de conta
Nome, e-mail, telefone (quando fornecido), identificadores de conta, organização/tenant, perfil de acesso (RBAC), idioma, preferências de interface.
3.2. Autenticação e segurança
Credenciais (senha em formato hash — não armazenamos senha em texto claro), tokens de sessão, metadados de dispositivo vinculado, logs de login, endereço IP, user-agent.
3.3. Dados financeiros e patrimoniais
Posições, saldos, movimentações, rentabilidades, classificações de ativos, extratos consolidados e dados de custodiantes integrados (BTG, XP, Avenue e outros conforme integração do Cliente).
3.4. Wealth planning e advisory
Patrimônio declarado, renda, passivos, objetivos, planos de previdência e seguros existentes, estruturas societárias/familiares informadas, preferências de investimento, documentos enviados voluntariamente para planejamento.
3.5. Câmbio, viagens e seguros (quando utilizados)
Dados de identificação, documentos, informações de pagamento/liquidação, preferências de viagem, propostas de seguro, declarações de saúde quando necessárias à contratação — sempre limitados ao necessário para intermediação com Parceiros.
3.6. Dados técnicos e de auditoria
Logs de acesso, trilhas de auditoria, registros de aceite de termos legais (`UserLegalAcceptance`), alterações relevantes em configurações, metadados de geração de relatórios/PDFs.
3.7. Comunicações
Conteúdo de e-mails e solicitações enviadas a hello@pomwm.com ou canais oficiais, incluindo pedidos de privacidade (DSAR).
---
4. Finalidades e bases legais por tratamento
| Finalidade | Dados envolvidos | Base legal típica |
|------------|------------------|-------------------|
| Prover acesso e autenticação | Cadastrais, autenticação | Execução de contrato; legítimo interesse (segurança) |
| Prover consolidação patrimonial (wealth tech) | Financeiros, cadastrais | Execução de contrato |
| Gerar relatórios e PDFs | Financeiros, cadastrais | Execução de contrato |
| Wealth planning e advisory | Patrimoniais declarados | Execução de contrato; consentimento quando aplicável |
| Intermediar câmbio, viagens, seguros | Conforme módulo | Execução de contrato; obrigação legal/regulatória |
| Registrar aceite de termos | Cadastrais, técnicos | Execução de contrato; obrigação legal |
| Prevenção a fraudes e PLD/CFT | Autenticação, financeiros, logs | Obrigação legal; legítimo interesse |
| Suporte e atendimento | Cadastrais, comunicações | Execução de contrato |
| Melhoria da Plataforma (métricas agregadas/anônimas) | Técnicos agregados | Legítimo interesse |
| Cumprimento de ordens judiciais e regulatórias | Conforme solicitação | Obrigação legal |
| Enriquecimento assistido por IA de ativos | Dados de ativos minimizados | Legítimo interesse; execução de contrato |
Não vendemos dados pessoais. Não utilizamos dados patrimoniais para publicidade comportamental de terceiros.
---
5. Dados sensíveis
5.1. Categorias
Conforme art. 5º, II, LGPD, podemos tratar, quando estritamente necessário e com base legal adequada (art. 11):
- Dados de saúde — em propostas de seguro saúde/vida ou planos, mediante consentimento específico ou hipótese legal aplicável.
Não coletamos atualmente dados biométricos na Plataforma.
5.2. Minimização
Coletamos apenas o necessário para a finalidade informada. Dados sensíveis não são utilizados para finalidades incompatíveis com aquelas que fundamentaram a coleta.
---
6. Origem dos dados
- Do titular ou Usuário — cadastro, declarações, uploads, formulários de planning/seguros/viagens;
- De custodiantes e Parceiros — integrações autorizadas (APIs, arquivos, feeds);
- De entidades do grupo — quando o Cliente já possui relacionamento contratual;
- Automaticamente — logs, cookies estritamente necessários, metadados técnicos.
---
7. Compartilhamento, operadores e subprocessadores
Compartilhamos dados apenas quando necessário, com cláusulas contratuais de proteção (DPA/acordos de tratamento). Subprocessadores e parceiros de dados registrados na operação atual:
| Subprocessador / parceiro | Função | Dados tratados | Região principal |
|---------------------------|--------|----------------|------------------|
| Amazon Web Services (AWS) — EC2, RDS, S3, SSM, CloudWatch, KMS | Hospedagem, persistência, logs, segredos | Cadastrais, financeiros de carteira, autenticação, logs técnicos | `us-east-1` (EUA) |
| XP (APIs de Data Access / integrações contratadas) | Fonte de posições e movimentações | Dados financeiros e identificadores de cliente/carteira | Brasil (origem); processamento PoM em AWS |
| BTG Pactual (APIs contratadas) | Fonte de dados financeiros | Carteira, movimentações, metadados operacionais | Brasil (origem); processamento PoM em AWS |
| Avenue (APIs contratadas) | Fonte de dados financeiros internacionais | Conta, posição, eventos de carteira | EUA/Brasil (origem); processamento PoM em AWS |
| EBURY BANCO DE CÂMBIO S.A. | Instituição parceira de câmbio (via MGN correspondente) | Dados cadastrais e financeiros para operações de câmbio | Brasil |
| Google Gemini API | Enriquecimento e extração assistida em fluxos autorizados | Subconjunto de documentos/metadados enviados ao fluxo | Infraestrutura do provedor (fora do Brasil) |
A lista efetiva depende das integrações habilitadas para cada Cliente.
---
8. Transferências internacionais
Parte do processamento ocorre fora do Brasil, principalmente pela hospedagem em AWS (`us-east-1`) e pelo Google Gemini API em fluxos autorizados de IA. Adotamos salvaguardas compatíveis com LGPD e, quando aplicável:
- Cláusulas Contratuais Padrão (SCC) da Comissão Europeia;
- Avaliações de impacto de transferência (TIA), quando necessárias;
- Medidas técnicas complementares (criptografia, minimização).
Titulares na UE/EEE podem solicitar informações sobre salvaguardas conforme Addendum GDPR.
---
9. Retenção e descarte
Prazos aplicados na operação PoM (salvo obrigação legal superior ou ordem judicial):
| Tipo de dado | Retenção padrão |
|--------------|-----------------|
| Posições e movimentações (banco principal) | 10 anos |
| Dados cadastrais de Cliente ativo | Relação ativa + 5 anos após encerramento |
| Logs de segurança e auditoria | 24 meses (mínimo; prazo maior se houver investigação ativa) |
| Protocolos de direitos do titular | 5 anos após encerramento do caso |
| Artefatos de incidente de segurança/privacidade | Duração da investigação + 5 anos (mínimo) |
| Relatórios PDF gerados | 24 meses em armazenamento operacional |
| Metadados de job de PDF | 24 meses |
| Aceites legais (`UserLegalAcceptance`) | Prazo de auditoria e defesa de direitos aplicável |
| Dados enviados a IA | Apenas durante o processamento autorizado e trilha mínima necessária |
Solicitações de eliminação são atendidas salvo hipóteses legais de retenção (art. 16, LGPD). Descarte com medidas técnicas que impossibilitem recuperação indevida, quando aplicável.
---
10. Segurança da informação
Empregamos medidas técnicas e organizacionais, incluindo:
- Criptografia em trânsito (TLS/HTTPS);
- Controles de acesso por perfil (RBAC): `PLATFORM_ADMIN`, `ORG_OWNER`, `BANKER`, `INVESTOR`, `END_CLIENT`;
- Gestão de credenciais e políticas de senha;
- Hospedagem em infraestrutura AWS com controles de acesso;
- Monitoramento e trilhas de auditoria;
- Processos internos de resposta a incidentes.
Detalhes user-facing: Aviso de Segurança. Nenhum sistema é 100% seguro; incentivamos boas práticas do Usuário.
---
11. Direitos do titular (LGPD)
Nos termos dos arts. 17 a 22 da LGPD, você pode solicitar:
1. Confirmação de tratamento e acesso aos dados;
2. Correção de dados incompletos, inexatos ou desatualizados;
3. Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
4. Portabilidade a outro fornecedor, quando aplicável;
5. Informação sobre compartilhamentos e possibilidade de não consentir;
6. Revogação do consentimento, quando esta for a base legal;
7. Revisão de decisões automatizadas que afetem interesses, conforme art. 20;
8. Oposição a tratamento em hipóteses legais aplicáveis.
Como exercer
- E-mail: hello@pomwm.com (assunto: “Privacidade — direitos do titular”)
- Formulário: Solicitação de Privacidade
Prazos e validação
- Resposta inicial: até 5 dias úteis após validação do pedido
- Conclusão: conforme complexidade e prazos legais aplicáveis (LGPD: em regra, até 15 dias corridos, prorrogáveis mediante justificativa)
Podemos solicitar confirmação de identidade antes de atender pedidos.
---
12. Decisões automatizadas e inteligência artificial
Utilizamos IA em fluxos autorizados (enriquecimento de ativos, categorização, conteúdo assistido em relatórios). Detalhes: Aviso de Uso de Inteligência Artificial.
- Não tomamos decisões exclusivamente automatizadas com efeitos jurídicos significativos sobre o titular sem base legal adequada e informação prévia, conforme art. 20, LGPD.
- Outputs de IA podem conter imprecisões; informações críticas devem ser confirmadas em fontes oficiais.
---
13. Crianças e adolescentes
A Plataforma não se destina a menores de 18 anos. Não coletamos intencionalmente dados de crianças. Se identificarmos tratamento indevido, adotaremos medidas de exclusão conforme aplicável.
---
14. Incidentes de segurança
Em incidente com risco ou dano relevante aos titulares, adotaremos contenção, mitigação, registro interno e, quando exigido, comunicação à ANPD e aos titulares afetados, nos prazos da LGPD. Titulares na UE: conforme Addendum GDPR. Canal de reporte: hello@pomwm.com (urgência de segurança).
---
15. Addendum GDPR (UE/EEE/Reino Unido)
Quando aplicável a titulares na União Europeia, Espaço Econômico Europeu ou Reino Unido:
| Tema | Disposição |
|------|------------|
| Controlador | PoM Wealth Management LTDA |
| Base legal | Conforme Seções 2 e 4; arts. 6 e 9 GDPR quando dados sensíveis |
| Direitos | Acesso, retificação, apagamento, restrição, portabilidade, oposição, retirada de consentimento, não submissão a decisão automatizada (art. 22), reclamação perante autoridade de supervisão |
| Transferências | SCC, TIA e medidas suplementares conforme Seção 8 |
| Prazo de resposta | Até 30 dias, prorrogáveis conforme GDPR |
| Contato | hello@pomwm.com |
---
16. Addendum Estados Unidos (CCPA/CPRA e leis estaduais)
Para residentes de estados dos EUA com leis aplicáveis (ex.: California CCPA/CPRA):
- Não vendemos informações pessoais conforme definido na lei aplicável;
- Não compartilhamos para publicidade comportamental cross-context sem base legal;
- Direitos podem incluir conhecimento, acesso, exclusão, correção e opt-out de “sale/sharing” quando aplicável;
- Não discriminaremos por exercício de direitos de privacidade;
- Categorias de dados e finalidades: conforme Seções 3 e 4;
- Solicitações: hello@pomwm.com ou formulário de privacidade.
---
17. Alterações desta Política
Podemos atualizar esta Política para refletir mudanças legais, regulatórias, tecnológicas ou operacionais. Alterações materiais serão comunicadas (e-mail, in-app ou aviso na Plataforma) e, quando necessário, exigirão novo aceite conforme Termos de Uso.
A versão vigente indica data de revisão no topo deste documento.
---
18. Contato
Canal de privacidade: hello@pomwm.com
Formulário: Solicitação de Privacidade
PoM Wealth Management LTDA
Avenida Angélica, 2529, 4º andar, Bela Vista, São Paulo/SP, CEP 01227-200
Autoridade nacional (Brasil): ANPD — www.gov.br/anpd