Política de Privacidade e Proteção de Dados

O responsável pelo tratamento dos dados é João Aquino, residente em Portugal.

Contacto: joao.aquino@joaofaquino.run

• Execução de contrato (Art. 6(1)(b)): Processamento necessário para fornecer os serviços (dashboard, sincronização, planos de treino).
• Consentimento explícito (Art. 9(2)(a)): Dados de saúde (HRV, sono, stress, body battery) são categoria especial. Só processamos após consentimento ao conectar Garmin/Strava via OAuth.
• Interesse legítimo (Art. 6(1)(f)): Logs técnicos, segurança e melhoria do serviço.

• Identificação: Nome, email, foto de perfil (Google/GitHub OAuth).
• Dados de Saúde (categoria especial): HRV, frequência cardíaca, sono, stress, body battery, SpO2, temperatura, passos, calorias, VO2 Max — via Garmin, Strava.
• Dados Sensíveis Opcionais: Condições médicas, alergias e lesões para personalização do AI Coach.
• Dados Técnicos: IP, browser, logs (Vercel Analytics, Sentry, Axiom).

• Dashboard personalizado com métricas de saúde e treino.
• AI Coach (GPT-4o-mini) para feedback e planos de treino.
• Deteção de erros, segurança e melhoria do serviço.
• Gamificação (badges, XP, streaks).

O AI Coach inclui protocolos de segurança médica que podem restringir recomendações:

• Modo de recuperação forçado pós-cirurgia sem alta médica.
• Bloqueio de pliométricos nas primeiras 6 semanas pós-cirurgia.
• Recomendações adaptadas para ex-fumadores recentes (< 90 dias).

Estas decisões são baseadas em protocolos de segurança. Podes contactar-nos para revisão humana.

Não vendemos dados. Partilhamos com:

• Supabase (AWS eu-west-1): Base de dados e auth. Dados na UE.
• OpenAI (EUA): AI Coach. Dados biométricos no contexto. OpenAI não usa dados da API para treinar.
• Garmin Health API: Sincronização via webhooks. Garmin® é marca da Garmin Ltd.
• Strava: Sincronização via OAuth.
• Vercel: Alojamento e CDN.
• Sentry / Axiom: Monitorização de erros.
• LemonSqueezy / Asaas: Pagamentos. Sem dados de cartão armazenados.

Transferências para EUA (OpenAI, LemonSqueezy) protegidas por SCCs e EU-US Data Privacy Framework.

• Essenciais: Sessão Supabase (necessários).
• Analíticos: Vercel Analytics (anonimizados).
• Afiliados: AWIN/Rakuten ao clicar em links de parceiros.

• Conta ativa: Dados mantidos enquanto ativa.
• Desconexão: Tokens apagados. Histórico até eliminar conta.
• Eliminação: Dados pessoais em 30 dias. Logs técnicos até 90 dias.
• Webhooks: Sucesso: 30d. Falha: 90d.

• HTTPS/TLS em todas as comunicações.
• Tokens OAuth encriptados com AES-256-GCM.
• Row Level Security (RLS) no Supabase.
• HMAC SHA-256 nos webhooks Garmin.

• Acesso (Art. 15): Exportar dados nas definições.
• Retificação (Art. 16): Corrigir dados no perfil.
• Apagamento (Art. 17): Eliminar conta e dados.
• Portabilidade (Art. 20): Exportar em JSON.
• Oposição (Art. 21): Opor-te ao tratamento.
• Retirar consentimento (Art. 7(3)): Desconectar integrações.

Contacto: joao.aquino@joaofaquino.run

Reclamações à CNPD: www.cnpd.pt

Destinado a utilizadores com 16+ anos. Não recolhemos dados de menores.

Participamos em programas AWIN, Rakuten, Amazon. Cookies de terceiros podem ser definidos.