Politica de Privacidade

Ultima atualizacao: 13 de abril de 2026 — Em conformidade com a Lei 13.709/18 (LGPD)

1. Controlador dos Dados

Grupo Rocha Saude Ltda
E-mail do DPO: [email protected]

2. Dados Coletados

• 2.1 Dados de identificacao: nome, e-mail, data de nascimento, genero
• 2.2 Dados de saude (SENSIVEIS): peso, altura, medidas corporais, treinos, alimentacao, sono, hidratacao, frequencia cardiaca, passos, 1RM, tempos de WOD
• 2.3 Dados de uso: telas acessadas, funcoes utilizadas, horarios de uso
• 2.4 Dados de dispositivo: modelo, sistema operacional, push token
• 2.5 Imagens: fotos de alimentos, corpo e quadros de treino (processadas e descartadas)
• 2.6 Dados de localizacao: GPS durante corridas (armazenado localmente, enviado apenas para calculo de distancia)
• 2.7 Dados financeiros: historico de compras (dados do cartao NAO armazenados — processados pelo Mercado Pago)

3. Base Legal (Art. 7 e 11 da LGPD)

• Dados de identificacao: execucao de contrato (Art. 7, V)
• Dados de saude: consentimento expresso do titular (Art. 11, I)
• Dados de uso: legitimo interesse (Art. 7, IX)
• Dados financeiros: execucao de contrato (Art. 7, V)

4. Finalidade do Tratamento

• Prover servicos de fitness e bem-estar personalizados
• Gerar planos de treino e dieta via IA
• Analisar fotos de alimentos e estimar valores nutricionais
• Rastrear corridas via GPS e monitorar frequencia cardiaca
• Recomendar produtos naturais relevantes
• Enviar notificacoes de lembrete (treino, agua, sono)
• Processar compras e programa de fidelidade (Folhas Rocha)
• Melhorar a experiencia do usuario

5. Compartilhamento de Dados

Compartilhamos dados APENAS com:

• Anthropic (Claude IA) — textos para gerar planos (sem identificacao pessoal)
• Google (Gemini IA) — fotos para analise nutricional/corporal
• Mercado Pago — dados para processar pagamentos
• Tiny ERP — dados de pedido para logistica

Todos os parceiros possuem politicas de privacidade compativeis.

6. Armazenamento e Seguranca

• Dados armazenados em servidor seguro (Oracle Cloud, Sao Paulo/BR)
• Criptografia em transito (TLS 1.3) e em repouso
• Senhas hasheadas com bcrypt (nao armazenamos senhas em texto)
• Tokens JWT com expiracao
• Rate limiting e protecao contra ataques
• Backups diarios criptografados

7. Retencao dos Dados

• Dados mantidos enquanto a conta estiver ativa
• Apos exclusao da conta: dados removidos em ate 30 dias
• Dados financeiros: mantidos por 5 anos (obrigacao fiscal)
• Logs de acesso: mantidos por 6 meses (Marco Civil da Internet)

8. Seus Direitos (Art. 18 da LGPD)

Voce tem direito a:

• a) Confirmacao da existencia de tratamento
• b) Acesso aos seus dados
• c) Correcao de dados incompletos ou desatualizados
• d) Anonimizacao, bloqueio ou eliminacao de dados
• e) Portabilidade dos dados (exportar em JSON)
• f) Eliminacao dos dados tratados com consentimento
• g) Informacao sobre compartilhamento
• h) Revogacao do consentimento

Para exercer seus direitos:

• No app: Perfil > Configuracoes > Meus Dados (LGPD)
• E-mail: [email protected]
• Prazo de resposta: 15 dias uteis

9. Cookies e Rastreamento

O app mobile NAO utiliza cookies. Notificacoes push requerem consentimento expresso.

10. Transferencia Internacional

Dados podem ser processados por servidores da Anthropic (EUA) e Google (EUA) exclusivamente para funcionalidades de IA. A transferencia e feita com base em clausulas contratuais padrao (Art. 33, II, b da LGPD).

11. Alteracoes Nesta Politica

Alteracoes serao comunicadas por notificacao push e/ou e-mail com 15 dias de antecedencia. O uso continuado apos a notificacao constitui aceitacao.

12. Contato do DPO

Data Protection Officer: [email protected]
Autoridade Nacional de Protecao de Dados (ANPD): www.gov.br/anpd