Política de Privacidade

0. Controlador dos Dados

O controlador responsável pelo tratamento dos seus dados pessoais é:

Para fins desta Política, sempre que mencionarmos "Grupo Rocha Saúde", "GRS" ou "Controlador", entende-se a pessoa jurídica acima.

1. Dados Coletados

Coletamos as seguintes categorias de dados para oferecer uma experiência personalizada:

Dados de identificação:

• Nome completo
• Endereço de e-mail

Dados de saúde e composição corporal (dados sensíveis):

• Peso corporal
• Percentual de gordura corporal
• Percentual de massa muscular
• Percentual de água corporal
• Densidade óssea
• Índice de Massa Corporal (IMC)
• Idade metabólica
• Taxa Metabólica Basal (TMB)
• Fotos de progresso (enviadas voluntariamente pelo usuário)

Dados de saúde de sensores e plataformas de saúde (dados sensíveis) — quando você autoriza a integração com o Health Connect (Android) ou o Apple Saúde / HealthKit (iOS):

• Passos e nível de atividade física
• Frequência cardíaca
• Sono
• Calorias ativas gastas
• Peso e treinos concluídos (registrados por você no app e sincronizados de volta à plataforma de saúde)

Imagens (capturadas ou enviadas por você):

• Fotos de progresso
• Fotos de alimentos (scanner de alimentos) e leitura corporal (body scan)

Áudio:

• Gravações de voz, quando você utiliza comandos de voz ou o onboarding por voz

Localização:

• Localização precisa (GPS) durante corridas e atividades ao ar livre, quando autorizada — utilizada apenas durante a atividade e em primeiro plano

Dados de compras:

• Histórico de pedidos e compras realizadas na loja do aplicativo

Dados de uso do aplicativo:

• Histórico de treinos realizados
• Preferências alimentares e objetivos
• Mensagens trocadas com a assistente de IA (Rosa)
• Token de dispositivo para envio de notificações push

2. Dados Sensíveis e Base Legal

Os dados de saúde coletados (composição corporal, IMC, TMB, idade metabólica) são considerados dados sensíveis nos termos do Art. 5º, II da LGPD.

O tratamento desses dados é realizado com base nas seguintes hipóteses legais:

• Consentimento do titular (Art. 7º, I e Art. 11, I da Lei 13.709/18), obtido de forma livre, informada e inequívoca no momento do cadastro;
• Execução do contrato (Art. 7º, V), necessário para prestação dos serviços de personalização de treinos e dieta.

Você pode revogar seu consentimento a qualquer momento, conforme descrito na seção "Direitos do Titular" desta política.

3. Finalidade do Tratamento

Seus dados são utilizados exclusivamente para:

• Personalização de planos de treino e dieta por meio de inteligência artificial;
• Acompanhamento de evolução corporal e histórico de desempenho;
• Envio de notificações relevantes (lembretes de treino, conquistas, atualizações);
• Integração com balança de bioimpedância via Bluetooth;
• Integração com Health Connect (Android) e Apple Saúde (iOS) para leitura e registro de dados de saúde;
• Registro e análise de corridas e atividades ao ar livre com GPS;
• Reconhecimento de comandos de voz e do onboarding por voz;
• Análise de fotos de alimentos (scanner) e de leitura corporal por inteligência artificial;
• Processamento e acompanhamento de pedidos da loja do aplicativo;
• Geração de relatórios de progresso para o próprio usuário;
• Melhoria contínua dos serviços do aplicativo.

Não utilizamos seus dados para fins publicitários de terceiros, criação de perfis comerciais ou venda de dados.

4. Uso de Inteligência Artificial

O GRS FIT utiliza modelos de inteligência artificial do Google (Gemini) para gerar planos de treino e dieta, recomendações personalizadas, respostas da assistente Rosa (em texto e voz) e para interpretar comandos de voz e imagens enviadas por você (por exemplo, no scanner de alimentos).

Como tratamos os dados enviados à IA:

• Reduzimos os dados ao mínimo necessário para a funcionalidade e, sempre que possível, evitamos enviar identificadores diretos (como nome e e-mail) junto ao conteúdo;
• Conforme a funcionalidade utilizada, o conteúdo enviado para processamento pode incluir dados de saúde, mensagens da conversa com a Rosa, áudio de comandos de voz e imagens (ex.: foto de alimento);
• O Google atua como nosso operador/prestador de serviço, processando os dados em nosso nome conforme os termos da API do Google e suas políticas de privacidade e segurança;
• O áudio de comandos de voz é processado de forma transitória para gerar a transcrição e a resposta, e não é armazenado por nós após o processamento; o arquivo de áudio é apagado do seu dispositivo após o envio.

As sugestões geradas pela IA são de caráter informativo e não substituem orientação de profissional de saúde, médico ou educador físico.

5. Permissões do Dispositivo e Integrações

Algumas funcionalidades exigem permissões do seu dispositivo. Todas são opcionais, solicitadas no momento do uso, e podem ser revogadas a qualquer momento nas configurações do aparelho.

Bluetooth (balança de bioimpedância):

• O app se conecta a balanças inteligentes via Bluetooth Low Energy (BLE) para coletar dados de composição corporal;
• Os dados da balança são processados localmente e depois enviados de forma segura (TLS 1.2+) aos nossos servidores;
• Não coletamos outros dados via Bluetooth além dos provenientes da balança pareada.

Localização (GPS):

• Com sua permissão, usamos a localização precisa para registrar trajetos e métricas de corridas e atividades ao ar livre;
• A localização é usada apenas durante a atividade, em primeiro plano — não fazemos rastreamento em segundo plano nem usamos a localização para publicidade.

Câmera:

• Com sua permissão, a câmera é usada para tirar fotos de progresso, escanear alimentos e fazer a leitura corporal (body scan);
• As imagens dos scanners podem ser enviadas à IA do Google para análise, conforme descrito na seção 4.

Microfone (voz):

• Com sua permissão, o microfone é usado para comandos de voz e para o onboarding por voz;
• O áudio é enviado de forma segura aos nossos servidores e processado pela IA do Google para gerar a transcrição, sendo descartado após o processamento; o arquivo local é apagado do seu dispositivo após o envio.

Health Connect (Android) e Apple Saúde / HealthKit (iOS):

• Com sua permissão, integramos com essas plataformas para ler dados como passos, frequência cardíaca, sono e calorias ativas — para exibir seu progresso e ajustar recomendações;
• E para gravar dados que você registra no app, como peso e treinos concluídos;
• Dados de saúde dessas plataformas não são usados para publicidade e não são vendidos.

6. Body Scan e Imagens Corporais (Dados Faciais)

O GRS FIT oferece um recurso opcional de "Body Scan", no qual você pode enviar fotos do seu corpo (frente/lado) para estimar sua composição corporal (por exemplo, a faixa aproximada de gordura corporal) por análise de imagem com inteligência artificial (Google Gemini).

Como tratamos a foto do Body Scan:

• A foto é usada uma única vez para gerar uma estimativa de composição corporal não identificável;
• É enviada ao nosso provedor de IA (Google Gemini) apenas para essa análise pontual, na condição de operador, e não é armazenada por nós;
• É descartada imediatamente após o processamento — não mantemos o arquivo da foto;
• Guardamos apenas o resultado numérico não identificável (ex.: faixa de gordura corporal) no seu perfil;
• Nunca é usada para publicidade, criação de perfis comerciais, nem compartilhada com terceiros além do provedor de IA para a análise pontual.

Você pode solicitar a exclusão desses dados a qualquer momento (ver seção "Direitos do Titular").

7. Notificações Push

Para envio de notificações, armazenamos o token de dispositivo gerado pela plataforma (iOS/Android).

• O token é utilizado exclusivamente para envio de notificações do GRS Fitness App;
• Você pode desativar as notificações a qualquer momento nas configurações do seu dispositivo ou dentro do aplicativo;
• Não compartilhamos o token de dispositivo com terceiros.

8. Compartilhamento de Dados

O Grupo Rocha Saúde não vende, aluga ou compartilha seus dados pessoais com terceiros para fins comerciais.

Poderemos compartilhar dados somente nas seguintes situações:

• Com prestadores de serviço essenciais: infraestrutura de nuvem (Oracle Cloud), serviço de inteligência artificial (Google — Gemini) e processadores de pagamento (para compras na loja) — sob obrigações contratuais de confidencialidade e tratando os dados em nosso nome;
• Por obrigação legal: quando exigido por lei, decisão judicial ou autoridade regulatória competente;
• Com sua autorização expressa: em qualquer outro caso não previsto acima.

9. Armazenamento e Segurança

Seus dados são armazenados em servidores da Oracle Cloud Infrastructure, localizada em São Paulo, Brasil, garantindo que seus dados permaneçam sob jurisdição brasileira e sujeitos à LGPD.

Adotamos as seguintes medidas técnicas de segurança:

• Comunicação criptografada com TLS 1.2 ou superior em todas as transmissões;
• Senhas armazenadas com hash bcrypt (nunca em texto simples);
• Autenticação via tokens JWT com tempo de expiração;
• Acesso restrito aos dados por princípio de menor privilégio.

10. Retenção de Dados

• Seus dados são mantidos enquanto sua conta estiver ativa;
• Após solicitação de exclusão de conta, os dados serão eliminados em até 15 dias, salvo obrigação legal de retenção;
• Backups de segurança são mantidos por até 30 dias e então eliminados automaticamente.

11. Direitos do Titular (Art. 18 da LGPD)

Como titular dos dados, você tem direito a:

• Confirmação da existência de tratamento dos seus dados;
• Acesso aos dados que mantemos sobre você;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização de dados desnecessários ou tratados em desconformidade com a LGPD;
• Portabilidade dos seus dados (exportação em formato legível);
• Eliminação dos dados tratados com base no seu consentimento;
• Revogação do consentimento a qualquer momento.

Como exercer seus direitos:

• Diretamente no aplicativo: Configurações → Exportar Dados ou Configurações → Excluir Conta;
• Por e-mail ao Encarregado de Dados (DPO): [email protected].

Responderemos às solicitações em até 15 dias úteis.

12. Cookies

O GRS FIT App é um aplicativo móvel e não utiliza cookies. Esta política não se aplica ao site grsfit.app, que pode possuir política de cookies própria.

13. Menores de Idade

O GRS FIT App é destinado a pessoas com 18 anos ou mais. Não coletamos intencionalmente dados de menores de 18 anos.

Se tomarmos conhecimento de que coletamos dados de menor de 18 anos, excluiremos tais dados imediatamente.

14. Encarregado de Dados (DPO)

Designamos um Encarregado de Proteção de Dados (DPO) para atender solicitações relacionadas à privacidade:

15. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente. Quando houver alterações significativas, notificaremos você por meio do aplicativo com antecedência mínima de 30 dias.

A data da última atualização está sempre indicada no topo desta página. Recomendamos consultar esta política periodicamente.

16. Lei Aplicável

Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, em especial pela Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e pelo Código de Defesa do Consumidor.

Eventuais disputas serão resolvidas no foro da comarca de São Paulo — SP, sede do Controlador.