Política de Privacidade

1. Responsável pelo tratamento

O responsável pelo tratamento dos dados pessoais recolhidos através da aplicação e serviços Pernu é a Pernu, Unipessoal Lda., com sede em Quinta do Anjo, Setúbal, Portugal, contactável para questões de privacidade e direitos dos titulares no endereço eletrónico geral@pernu.pt.

A Pernu não vende listas de contactos nem aluga bases de dados a terceiros para fins alheios aos descritos nesta política.

2. Âmbito e finalidade deste documento

Esta Política de Privacidade explica que dados pessoais são tratados, para quê, com que fundamento jurídico, durante quanto tempo, com quem podem ser partilhados e que direitos assistem ao utilizador, nos termos do Regulamento (UE) 2016/679 (RGPD), da Lei n.º 58/2019 e demais legislação da União Europeia e nacional aplicável à sociedade da informação, comércio eletrónico e proteção de consumidores.

O utilizador deve ler também os Termos de Serviço e o CLUF. A eventual versão web desta política no site da Pernu reproduz o mesmo teor para efeitos de transparência perante lojas de aplicações e terceiros interessados.

3. Categorias de dados tratados

Dados de identificação e conta: nome ou alcunha, endereço de correio eletrónico, palavra‑passe submetida à derivação criptográfica segura no servidor, identificador interno de utilizador, preferências de perfil (por exemplo, biografia, idade ou data de nascimento quando indicada, género se fornecido), fotografia de perfil e estado da conta.

Dados de atividade e treino: planos, sessões de treino, exercícios, séries, repetições, cargas, tempos, notas, calendário de treinos, desafios, progressões, ficheiros multimédia associados ao treino ou ao progresso (por exemplo, fotos de evolução), e metadados técnicos de sincronização.

Dados de localização aproximada ou precisa: quando utiliza treino ao ar livre ou mapas, podem ser tratadas coordenadas GPS, polilinhas codificadas do percurso, timestamps e informação derivada para visualização em Apple Mapas ou Google Maps no dispositivo.

Dados de comunicação social: conteúdo de publicações no feed, comentários, reações, relações de seguimento, participação em grupos, identificadores de conversação, conteúdo de mensagens privadas ou de grupo, ficheiros de voz ou anexos que envie, e registos de leitura ou entrega na medida necessária ao funcionamento do chat.

Dados de saúde e bem‑estar: quando, e só quando, o utilizador concede permissão explícita no dispositivo, podem ser lidas amostras de frequência cardíaca ou outras quantidades expostas pelas APIs Apple Saúde (HealthKit) ou equivalentes Android, estritamente para correlacionar com o intervalo de tempo do treino que o utilizador regista na Pernu.

Dados técnicos e de registo: endereço IP, identificadores de sessão ou de dispositivo, tipo de aparelho, sistema operativo, versão da aplicação, registos de diagnóstico (crash, latência, falhas de API), e identificadores de publicidade do sistema operativo quando disponíveis e permitidos.

Dados de pagamento e faturação: a Pernu recebe da Apple ou da Google identificadores de transação, estado da subscrição e tipo de produto; não armazena números de cartão nem dados de pagamento completos.

4. Finalidades e fundamentos jurídicos

Prestação do serviço e execução do contrato (artigo 6.º, n.º 1, alínea b), RGPD): criação e gestão da conta, sincronização de treinos, feed social, grupos, mensagens, mapas e histórico, processamento de subscrições validadas pelas lojas, suporte ao cliente dentro do pedido.

Consentimento (artigo 6.º, n.º 1, alínea a), e artigo 9.º, n.º 2, alínea a), quando aplicável): permissões opcionais do sistema para dados de saúde ou localização precisa quando essas finalidades não possam fundar‑se apenas no contrato; ajustes de privacidade na aplicação ou no sistema; futuros pedidos de consentimento para publicidade personalizada ou cookies não estritamente necessários, quando implementados.

Interesses legítimos da Pernu (artigo 6.º, n.º 1, alínea f)): melhoria contínua e estatísticas agregadas, segurança da informação, prevenção de fraude e abuso, defesa em litígio, testes A/B de interface desde que com salvaguardas e impacto limitado nos direitos dos titulares.

Obrigação legal (artigo 6.º, n.º 1, alínea c)): conservação de faturação ou comunicações às autoridades quando ordenado.

Publicidade de terceiros: o tratamento associado ao SDK Google Mobile Ads (AdMob) pode incluir apresentação de anúncios, medição, atribuição e prevenção de fraude. Em parte dos territórios pode fundar‑se no consentimento do utilizador através de formulário de consentimento da Google ou interesse legítimo ajustado conforme jurisprudência e orientações aplicáveis; a Pernu documenta a configuração atual na secção dedicada abaixo e acompanha a evolução normativa.

5. Google AdMob e ecossistema publicitário

A Pernu integra o SDK Google Mobile Ads (AdMob) da Google Ireland Limited (ou afiliada aplicável) para veicular anúncios em faixas reservadas na aplicação. A Google pode tratar identificadores do dispositivo, endereço IP, dados de desempenho e diagnóstico do SDK, e informação relativa à interação com anúncios, para finalidades descritas na política de privacidade e desenvolvedor da Google aplicável ao AdMob e ao SDK de anúncios móveis.

Na configuração técnica atual da aplicação, os pedidos de anúncios podem permitir anúncios não estritamente limitados ao modo não personalizado, o que, consoante o contexto, pode implicar tratamentos qualificáveis como “rastreio” nas definições da Apple ou como publicidade comportamental ao abrigo do Diretiva ePrivacy transposta — estando a Pernu a avaliar a integração do mecanismo de mensagens de privacidade da Google (UMP) e outras ferramentas de consentimento para utilizadores no Espaço Económico Europeu e Reino Unido, de harmonia com as exigências da Google e da Autoridade de Supervisão competente.

O utilizador pode limitar o rastreio entre apps nas definições do iOS (“Privacidade e segurança → Rastreio”) e reiniciar ou limitar o ID de publicidade nas definições do Google Android; estas ações podem reduzir a personalização mas não eliminam sempre todos os tratamentos necessários à entrega técnica ou à estatística agregada.

6. Apple, Google, ImageKit, Resend e outros prestadores

Apple Inc.: distribuição da aplicação iOS, compras integradas, Apple Mapas quando utilizados no dispositivo, e APIs Apple Saúde quando autorizadas. O tratamento pela Apple na loja e no sistema regem‑se pelas condições Apple aplicáveis ao utilizador.

Google LLC e afiliadas: Google Play, bibliotecas de mapas em Android, serviços de localização do dispositivo, e Google Mobile Ads conforme acima.

ImageKit.io (ImageKit Private Limited ou entidade contratual aplicável): armazenamento, otimização e entrega de ficheiros multimédia carregados através da Pernu, com acesso baseado em URLs ou políticas assinadas controladas pelos servidores da Pernu.

Resend, Inc. (ou entidade sucessora): envio de correio eletrónico transacional (por exemplo, verificação de conta, recuperação de acesso, avisos de serviço), com endereços de remetente configurados pela Pernu.

Fornecedores de infraestrutura em nuvem, base de dados, cópias de segurança e rede: tratam dados enquanto encarregados de tratamento, nos termos de contratos que impõem cláusulas tipo de proteção de dados da Comissão Europeia sempre que o tratamento implique acesso desde fora do Espaço Económico Europeu.

Outros encarregados de tratamento podem ser adicionados (por exemplo, ferramenta de registo de erros); a lista atualizada poderá ser publicada numa página de subprocessadores no site da Pernu; alterações materialmente relevantes serão comunicadas com a antecedência razoável.

7. Transferências internacionais

Alguns prestadores sediados fora do Espaço Económico Europeu (nomeadamente nos Estados Unidos da América) podem aceder a dados pessoais apenas na medida necessária à prestação do serviço. Nesses casos, a Pernu aplica Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia, decisões de adequação quando existentes, e medidas complementares de carácter técnico e organizativo adequadas ao risco, incluindo avaliação de impacto das transferências quando exigido.

8. Prazos de conservação

Dados de perfil e treino: conservados enquanto a conta estiver ativa; após pedido de eliminação de conta, apagamento ou anonimização no prazo máximo de trinta dias, salvo obrigação legal em contrário ou necessidade de defesa de direitos em processo judicial.

Cópias de segurança: rotinas de backup podem conservar dados residualmente até noventa dias, com restauro controlado e eliminação segura subsequente.

Registos técnicos e de segurança: até noventa dias, salvo extensão justificada por investigação de incidente ou ordem judicial.

Mensagens e anexos: conservados enquanto a conversação existir e a conta estiver ativa; eliminação em cascata quando o utilizador apaga a conta ou solicita apagamento compatível com a natureza do grupo ou conversação.

Dados de faturação: prazos legais contábeis e fiscais portugueses (geralmente mínimo de dez anos para documentos relevantes, quando aplicável).

9. Direitos dos titulares

O utilizador tem direito de acesso, retificação, apagamento (“direito a ser esquecido”), limitação do tratamento, portabilidade dos dados fornecidos e gerados no serviço em formato estruturado de uso corrente, oposição a tratamentos baseados em interesse legítimo e retirada do consentimento quando o tratamento se baseie em consentimento, sem prejudicar a licitude do tratamento efetuado até à retirada.

Para exercer direitos: envie pedido para geral@pernu.pt com identificação razoável do titular; pode ser solicitada informação adicional para evitar divulgação a terceiros fraudulentos. Tem direito a apresentar reclamação à Comissão Nacional de Proteção de Dados (www.cnpd.pt) ou à autoridade do Estado‑Membro de residência habitual.

10. Segurança

A Pernu aplica medidas técnicas e organizativas adequadas ao risco, incluindo ligações HTTPS, segregação de ambientes, controlo de acessos, gestão de segredos, revisão de dependências, monitorização de erros e plano de resposta a incidentes, com notificação à CNPD e aos titulares quando exigido pelo artigo 34.º do RGPD.

11. Decisões automatizadas e perfis

A Pernu não toma decisões unicamente automatizadas que produzam efeitos jurídicos ou o afetem significativamente de modo semelhante. Podem ser utilizados algoritmos de ordenação de feed ou recomendações internas com impacto limitado; o utilizador pode solicitar informação sobre a lógica aplicada nos termos do artigo 15.º, n.º 1, alínea h), RGPD.

12. Menores

O serviço não se dirige a menores de dezesseis anos. Se tomar conhecimento de registo de menor em incumprimento desta regra, a Pernu apagará a conta e os dados após verificação razoável.

13. Alterações

A Pernu pode atualizar esta política; a data de vigência no topo do documento será revista. Alterações substanciais serão comunicadas por meio adequado (por exemplo, aviso na aplicação ou correio eletrónico). A utilização continuada após o período de aviso razoável implica aceitação, salvo direito de oposição quando aplicável.

1. Concessão de licença

A Pernu concede ao utilizador uma licença pessoal, limitada, revogável, não exclusiva e não transferível para instalar e executar a aplicação nos seus dispositivos, exclusivamente para fins privados relacionados com fitness, de acordo com estes Termos e com as regras das lojas digitais.

2. Restrições

É proibida a engenharia reversa, descompilação ou tentativa de extração do código‑fonte, exceto na medida expressamente permitida pela lei imperativa aplicável. É proibida a utilização de interfaces automatizadas não autorizadas que imponham carga desrazoável aos servidores.

3. Atualizações e rescisão

A licença termina quando o utilizador desinstala a aplicação ou quando a Pernu encerra o serviço com informação prévia razoável sempre que possível. Atualizações podem ser necessárias para segurança ou conformidade legal.

4. Contactos

Questões sobre este CLUF: geral@pernu.pt.

1. Princípios

A conservação obedece ao princípio da limitação da conservação (artigo 5.º, n.º 1, alínea e), RGPD): os dados são mantidos apenas durante o tempo necessário às finalidades descritas na Política de Privacidade ou imposto por lei.

2. Eliminação de conta

Após pedido de eliminação, a Pernu inicia o apagamento lógico e físico dos dados pessoais nas bases de dados de produção no prazo máximo de trinta dias, com exceção dos blocos legalmente retidos ou presentes em backups que serão sobrescritos no ciclo seguinte, até noventa dias.

3. Multimédia e mensagens

Ficheiros armazenados no ImageKit associados a contas eliminadas serão apagados ou desassociados de identificadores pessoais no mesmo prazo global, salvo conservação anonimizada para estatísticas de armazenamento agregado.

1. Governação

A Pernu designa responsáveis internos pela segurança da informação e pela proteção de dados, revê permissões periodicamente e regista acessos privilegiados.

2. Criptografia e comunicações

As comunicações cliente‑servidor utilizam TLS. Palavras‑passe são armazenadas apenas como resumo criptográfico de sentido único com parâmetros modernos. Segredos de API e chaves de assinatura de uploads não são embutidos em código público.

1. Necessidade da avaliação

O tratamento inclui dados de saúde (frequência cardíaca opcional), localização precisa de treinos ao ar livre, dados sensíveis de rotina de exercício combinados com identificadores, e integração com fornecedores internacionais de publicidade e multimédia. A Pernu elaborou esta avaliação sumária nos termos do artigo 35.º do RGPD, concluindo que, com as medidas descritas na Política de Privacidade e na política de segurança, o risco residual para os direitos e liberdades dos titulares é gerível e compatível com o serviço oferecido; a documentação interna completa pode ser partilhada com a CNPD em caso de consulta prévia se o tratamento evoluir substancialmente.

2. Medidas de minimização e segregação

A Pernu limita a recolha de dados de saúde ao estritamente necessário ao intervalo temporal do treino, não explora esses dados para publicidade própria nem os vende, e segrega ambientes de teste e produção.