Política de Privacidade

Como cuidamos dos seus dados

Última atualização: 19 de maio de 2026 · Em vigor desde: 19 de maio de 2026

Esta Política de Privacidade explica como o Ritmo ("Ritmo", "nós", "nosso"), operado em focanoritmo.com, coleta, usa, armazena, compartilha e protege seus dados pessoais e dados sensíveis de saúde quando você utiliza nossos serviços, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), o Regulamento Geral sobre a Proteção de Dados da União Europeia (Regulation (EU) 2016/679 — GDPR) e demais legislações aplicáveis.

Ao criar uma conta ou utilizar nossos serviços, você declara ter lido e compreendido esta Política. O tratamento de dados sensíveis (saúde) requer consentimento específico e destacado, prestado no momento da coleta.

1. Controlador dos dados

O controlador dos dados pessoais é o Ritmo, com contato pelo email privacidade@focanoritmo.com. Para o GDPR, o representante na União Europeia será indicado assim que o app for disponibilizado na UE.

Encarregado de Dados (DPO): dpo@focanoritmo.com.

2. Dados que coletamos

2.1. Dados de identificação e cadastro

  • Nome, nome de usuário (@username), email, idade, gênero
  • Foto de perfil (opcional)
  • Cidade autodeclarada (opcional, usada apenas no feed social)
  • Vínculo com profissional (personal trainer, nutricionista, coach) quando aplicável

2.2. Dados sensíveis de saúde

Tratamento ocorre somente com seu consentimento específico e destacado (LGPD art. 11, I; GDPR art. 9(2)(a)) e tem como única finalidade a execução do serviço de acompanhamento de treinos, nutrição e recuperação. Tipos:

  • Treino e cárdio: séries, repetições, cargas, distâncias, tempos, frequência cardíaca, rota GPS, calorias, potência (cycling), elevação.
  • Nutrição: peso, altura, refeições registradas, macros, hidratação, alergias e restrições autodeclaradas.
  • Recuperação: qualidade do sono, FC de repouso, variabilidade da FC (HRV), nível de estresse, humor autodeclarado.
  • Anamnese opcional: objetivos, lesões prévias, equipamentos disponíveis — preenchimento voluntário.

2.3. Dados de wearables (relógios e anéis)

Se você conectar um dispositivo, coletaremos da nuvem do fabricante somente os dados estritamente necessários ao serviço:

  • Apple Health, Health Connect: atividades, frequência cardíaca, distância, calorias, sono, passos.
  • Garmin, Polar, COROS, Suunto, Wahoo: resumo de treinos, arquivos FIT/TCX (rota, FC por segundo, laps, potência), zonas de FC e potência.
  • WHOOP, Oura: recuperação, ciclos, sono, strain, spo2 (Oura).
  • Fitbit / Google Health API: atividade, FC, sono, perfil de saúde.

Cada conexão é feita por OAuth 2.0 diretamente com o fabricante, com tela própria onde você consente exatamente os escopos solicitados. Você pode revogar a qualquer momento em Configurações > Wearables.

2.4. Dados de uso, dispositivo e técnicos

  • Modelo do dispositivo, versão do sistema operacional, idioma, timezone, identificador de instalação (não rastreador publicitário)
  • Logs de erros e crashes (via Sentry, anonimizados)
  • Datas de criação e último acesso da conta
  • Endereço IP usado apenas para detecção de fraude e segurança; não armazenado por mais de 30 dias

Não coletamos identificadores publicitários (IDFA/AAID), não fazemos fingerprinting, não usamos cookies de terceiros para rastreio.

2.5. Conteúdo social

  • Posts, comentários, fotos publicadas no feed social do Ritmo
  • Lista de seguidores, grupos dos quais participa
  • Mensagens em chat de grupo (quando aplicável)

2.6. Microfone, câmera e localização

Acessamos esses sensores somente quando você usa funcionalidades que os exigem (ex.: registro de treino por voz, foto de progresso, rota GPS). Áudio do microfone é processado on-device ou enviado temporariamente para o serviço de transcrição apenas durante a captura — não armazenamos áudio bruto.

3. Finalidades do tratamento

  • Prestação dos serviços contratados (registro de treinos, planos, diagnósticos, social)
  • Personalização do conteúdo e do diagnóstico semanal por IA
  • Compartilhamento com o profissional vinculado, quando você autorizar
  • Comunicação com você sobre o serviço (suporte, atualizações)
  • Segurança, prevenção a fraude e auditoria interna
  • Cumprimento de obrigações legais e regulatórias
  • Não fazemos publicidade comportamental nem vendemos seus dados.

4. Bases legais (LGPD / GDPR)

  • Execução de contrato (LGPD art. 7º, V; GDPR art. 6(1)(b)) — para prestar o serviço.
  • Consentimento específico (LGPD art. 7º, I e art. 11, I; GDPR art. 6(1)(a) e art. 9(2)(a)) — para dados sensíveis de saúde e conexão com wearables.
  • Legítimo interesse (LGPD art. 7º, IX; GDPR art. 6(1)(f)) — para segurança, antifraude e melhoria do serviço.
  • Cumprimento de obrigação legal (LGPD art. 7º, II; GDPR art. 6(1)(c)) — quando exigido por lei.

5. Compartilhamento de dados

5.1. Com o profissional vinculado

Quando você se vincula a um personal, nutri ou coach, ele tem acesso aos dados estritamente necessários ao acompanhamento (treinos, métricas, evolução). Você pode revogar o vínculo a qualquer momento em Configurações.

5.2. Operadores (processors)

Utilizamos prestadores que processam dados em nosso nome, sob contrato com cláusulas de proteção:

  • Supabase (banco de dados, autenticação, storage, edge functions) — servidores nos Estados Unidos
  • Vercel (hospedagem do site institucional) — servidores globais
  • Sentry (relatórios de erro, anonimizados)
  • Anthropic, Google, OpenAI (processamento de IA para diagnóstico semanal e transcrição de voz, sem treinamento de modelo a partir dos seus dados)
  • Mapbox (renderização de mapas; dados de rota agregados/anonimizados)
  • Apple, Google (lojas, push notifications)

5.3. Transferência internacional

Alguns desses operadores armazenam dados em servidores fora do Brasil e da União Europeia. Realizamos transferência com base em cláusulas-padrão (SCCs) e/ou seu consentimento, garantindo o padrão de proteção exigido pela LGPD (art. 33) e pelo GDPR (Capítulo V).

5.4. Autoridades públicas

Compartilharemos dados se exigido por ordem judicial, requisição de autoridade competente ou para proteger direitos, segurança e integridade do serviço.

5.5. Posts públicos

Conteúdo que você marca como público no feed social fica visível para outros usuários do app. Posts em grupos privados ficam visíveis apenas aos membros do grupo.

6. Seus direitos

Como titular dos dados, você pode a qualquer momento (LGPD art. 18; GDPR art. 15-22):

  • Confirmar a existência de tratamento
  • Acessar e exportar seus dados (portabilidade)
  • Corrigir dados incompletos, inexatos ou desatualizados
  • Solicitar anonimização, bloqueio ou eliminação
  • Eliminar dados tratados com base no consentimento
  • Revogar consentimento a qualquer momento
  • Solicitar informação sobre compartilhamento
  • Opor-se a tratamentos baseados em legítimo interesse
  • Apresentar reclamação à ANPD (Brasil) ou autoridade da UE

Para exercer qualquer direito, escreva para privacidade@focanoritmo.com. Respondemos em até 15 dias.

7. Retenção de dados

  • Conta ativa: dados são mantidos enquanto sua conta existir.
  • Conta inativa por mais de 24 meses: notificamos e excluímos após 30 dias se você não reativar.
  • Após exclusão: dados são removidos em até 60 dias, mantendo apenas registros mínimos exigidos por lei (ex.: fiscal, contábil) pelo prazo legal.
  • Backups: dados em backup são purgados nos ciclos seguintes (até 90 dias).
  • Logs de auditoria de segurança: 6 meses.

8. Segurança

  • Criptografia em trânsito (HTTPS/TLS 1.3) e em repouso (AES-256)
  • Tokens de acesso a wearables armazenados criptografados com Supabase Vault
  • Row-Level Security no banco de dados
  • Autenticação multifator opcional
  • Auditoria periódica de acessos

Nenhum sistema é 100% seguro. Em caso de incidente envolvendo dados pessoais, notificaremos você e a ANPD (ou DPA competente) conforme exigido pela LGPD/GDPR.

9. Crianças e adolescentes

O Ritmo é destinado a pessoas com 13 anos ou mais. Para usuários entre 13 e 17 anos no Brasil, o tratamento dos dados depende de consentimento específico e destacado dado por ao menos um dos pais ou responsável legal (LGPD art. 14). Para a UE, idade mínima é 16 anos sem consentimento parental.

10. Cookies e tecnologias similares

O site institucional focanoritmo.com usa armazenamento local apenas para preferências (tema, idioma) e medição agregada e anonimizada de tráfego. Não usamos cookies de publicidade ou rastreio entre sites. O aplicativo móvel não usa cookies.

11. Alterações nesta Política

Podemos atualizar esta Política quando necessário. Mudanças materiais serão comunicadas por email e por banner no app com antecedência mínima de 15 dias. A versão em vigor estará sempre publicada em /privacy.

12. Contato