Política de Privacidade

FitMesh Sync ("nós", "nosso", "o app") respeita sua privacidade e se compromete a proteger seus dados pessoais. Esta Política de Privacidade explica como coletamos, usamos e protegemos informações de saúde quando você usa nosso aplicativo móvel FitMesh Sync (com.fitmeshsync.app no Google Play).

Base legal do tratamento: art. 6(1)(b) do GDPR (execução do serviço solicitado pelo usuário) e art. 9(2)(a) do GDPR (consentimento explícito para o tratamento de dados relativos à saúde, concedido por meio das permissões do Health Connect/Samsung Health dentro do app).

FitMesh Sync lê os seguintes dados de saúde do seu dispositivo Android por meio de serviços autorizados (Health Connect, Samsung Health Data SDK):

• •Atividade física: passos, distância percorrida, calorias queimadas (ativas e totais), andares subidos
• •Frequência cardíaca: média, mínimo/máximo, frequência cardíaca em repouso, HRV
• •Sono: duração total, fases (profundo, REM, leve, acordado), horários de início e fim
• •Composição corporal: peso, altura, IMC (quando fornecidos pelo usuário)
• •Outros parâmetros: saturação de oxigênio (SpO₂), VO₂ máx, temperatura da pele, ganho de elevação
• •Sessões de treino: tipo de atividade, duração, distância, calorias
• •Conta: endereço de e-mail (para autenticação via Supabase Auth) e identificador do dispositivo

Os dados coletados são usados exclusivamente para:

• •Sincronização: receber e armazenar suas métricas de saúde no nosso backend na nuvem
• •Visualização: exibir os dados no painel do app
• •Suporte: diagnosticar problemas técnicos quando você os reporta por e-mail
• •Notificações: enviar lembretes configuráveis (por exemplo, avisos de sincronização) via Firebase Cloud Messaging

Não vendemos, compartilhamos nem usamos seus dados para publicidade ou marketing. Não realizamos nenhuma criação de perfis automatizada que produza efeitos jurídicos sobre o usuário.

Os dados sincronizados são enviados ao backend do FitMesh Sync hospedado em:

• •Vercel Inc.: hospedagem da API serverless de fitmesh.fit (região preferencial: Europa fra1; algumas funções edge são executadas na região mais próxima do usuário)
• •Supabase Inc.: banco de dados PostgreSQL gerenciado + autenticação + armazenamento (projeto na região da UE, eu-central-1 Frankfurt)

Os dados permanecem no seu dispositivo Android em um cache local até o momento da sincronização. Após a confirmação de recebimento, o cache local é limpo.

O banco de dados principal (Supabase Postgres) está hospedado na União Europeia (Frankfurt, Alemanha). No entanto, alguns serviços auxiliares envolvem transferência para países terceiros, em especial os Estados Unidos:

• •Vercel (EUA): edge runtime e registro de requisições. Transferência baseada nas Cláusulas Contratuais Padrão (SCC) aprovadas pela Comissão Europeia (Decisão 2021/914) e no Adendo de Processamento de Dados assinado com a Vercel
• •Resend (EUA): envio de e-mails transacionais (confirmação de cadastro beta, comunicações de suporte). Transferência baseada em SCC + DPA
• •Firebase Cloud Messaging (Google LLC, EUA): transporte de notificações push. O Google adere às SCC e ao EU-US Data Privacy Framework
• •Google Sign-In (Google LLC, EUA): autenticação opcional via conta Google. Transferência baseada em SCC + DPF

Antes de transferir dados para os EUA, realizamos uma Avaliação de Impacto da Transferência: os dados transferidos são limitados e não incluem identificadores biométricos puros; as SCC incluem cláusulas de suspensão em caso de solicitações de autoridades governamentais; os fornecedores escolhidos aderem ao EU-US Data Privacy Framework quando disponível.

• •Métricas de saúde: mantidas enquanto a conta do usuário estiver ativa. A exclusão da conta é executada automaticamente em até 24 horas após a solicitação (processo agendado ativo), eliminando definitivamente os dados de saúde associados
• •Logs de aplicação e sincronização: mantidos por 90 dias para fins de diagnóstico, depois excluídos automaticamente
• •E-mails de contato (privacidade/suporte): mantidos por 24 meses para garantir a continuidade do suporte, depois excluídos
• •Backups do banco de dados: rotação de 7 dias via recuperação point-in-time do Supabase
• •Dados de cadastro beta: mantidos até o lançamento público, depois anonimizados ou excluídos

FitMesh Sync requer as seguintes permissões:

• •Health Connect: para ler dados de saúde do sistema operacional Android
• •Samsung Health (opcional): se você possui uma Galaxy Watch, para dados adicionais não disponibilizados pelo Health Connect
• •Acesso à internet: para sincronizar os dados com o backend do FitMesh Sync
• •Sincronização em segundo plano: para enviar dados periodicamente mesmo quando o app está fechado
• •Notificações: para receber lembretes de sincronização e avisos do sistema
• •Isenção de otimização de bateria: para garantir a sincronização regular (necessário no Android 14+)

Todas as permissões são solicitadas explicitamente e você pode revogá-las a qualquer momento nas configurações do dispositivo ou do aplicativo.

• •Transporte: todos os dados trafegam via HTTPS/TLS 1.2+ para fitmesh.fit
• •Persistência local: o cache local é limpo após a entrega confirmada pelo servidor
• •Tokens de autenticação: JWT do Supabase armazenados no Android Keystore (flutter_secure_storage)
• •Row-Level Security: cada usuário pode ler e gravar apenas seus próprios registros (políticas RLS do Supabase em todas as tabelas expostas)
• •Sem rastreadores de terceiros no app: não incluímos SDKs de análise, publicidade ou criação de perfis no app

De acordo com o GDPR, você tem o direito de:

• •Acesso: solicitar uma cópia dos seus dados armazenados nos nossos sistemas
• •Retificação: corrigir dados inexatos ou incompletos
• •Exclusão: solicitar a exclusão completa da sua conta e dos dados associados. A solicitação é executada automaticamente em até 24 horas
• •Limitação: solicitar a limitação do tratamento em casos específicos
• •Portabilidade: exportar todos os seus dados por conta própria, em formato JSON estruturado, na página de exportação disponível na área do usuário (/app/export)
• •Oposição: se opor ao tratamento por motivos legítimos
• •Retirar o consentimento: desativar as permissões de acesso a dados de saúde a qualquer momento (a retirada não afeta a licitude do tratamento realizado antes dela)

Você pode exercer por conta própria os direitos de portabilidade (exportação de dados) e exclusão diretamente na área do usuário. Para os demais direitos, ou se preferir, escreva para privacy@fitmesh.fit. Respondemos em até 30 dias conforme exigido pelo art. 12 do GDPR.

FitMesh Sync utiliza os seguintes operadores de dados:

• •Health Connect (Google LLC): fonte de dados de saúde Android, lidos localmente, não comunicados por nós ao Google
• •Samsung Health Data SDK (Samsung Electronics): fonte de dados da Galaxy Watch, lidos localmente
• •Supabase Inc.: PostgreSQL gerenciado + Auth (Frankfurt, DE), DPA assinado
• •Vercel Inc.: hospedagem de API serverless (EUA, edge global), DPA assinado + SCC
• •Resend, Inc.: entrega de e-mails transacionais (EUA), DPA + SCC
• •Google LLC (Firebase Cloud Messaging): transporte de notificações push (EUA), DPA + SCC + DPF
• •Google LLC (Google Sign-In, opcional): autenticação OAuth (EUA), DPA + SCC + DPF
• •Google LLC (Google Play Billing): gerenciamento de compras no app, sujeito aos Termos do Google Play
• •Google Analytics 4 (somente site, opt-in): análise anônima ativada apenas após consentimento explícito via banner de cookies

Mais detalhes sobre os cookies do site em nossa Política de Cookies.

Podemos atualizar esta Política de Privacidade periodicamente. Para alterações significativas, notificaremos você por e-mail ou com um aviso no app antes da próxima sincronização. A data da última atualização é indicada no topo desta página.

FitMesh Sync não se destina a usuários com menos de 16 anos (idade mínima para consentimento digital segundo o art. 8 do GDPR). Não coletamos conscientemente dados pessoais de menores de 16 anos sem o consentimento de quem detém a responsabilidade parental.

Se você acredita que o tratamento dos seus dados viola o GDPR, pode apresentar uma reclamação à autoridade de proteção de dados do seu país. Para residentes na Itália, a autoridade competente é o Garante per la Protezione dei Dati Personali: garanteprivacy.it. Se você residir em outro Estado-Membro da UE, pode recorrer à sua autoridade nacional competente.