Politica de Privacidade
1. Introducao
O PhysicFY tem o compromisso de proteger a privacidade e os dados pessoais dos seus usuarios. Esta Politica de Privacidade descreve quais dados coletamos, como os utilizamos, com quem os compartilhamos e quais sao os seus direitos.
Esta politica esta em conformidade com a Lei Geral de Protecao de Dados Pessoais (LGPD — Lei n. 13.709/2018) e com o Marco Civil da Internet (Lei n. 12.965/2014).
Ao utilizar a plataforma, voce declara que leu e compreendeu esta politica. Para informacoes sobre regras de uso do servico, consulte nossos Termos de Uso.
2. Controlador dos dados
O controlador dos dados pessoais tratados pela plataforma e:
- Controladora: MPM COMPUTADORES E SERVICOS LTDA
- CNPJ: 66.156.993/0001-01
- Co-Controlador: Daniel Chrisostomo
- Email de contato: contato@physicfy.com.br
- Localidade: Ribeirao Preto — SP, Brasil
Nota sobre a relacao treinador-cliente: Dentro da plataforma, o treinador atua como controlador dos dados dos seus proprios clientes — ele decide quais avaliacoes realizar e como utilizar as informacoes. O PhysicFY atua como operador, armazenando e processando os dados conforme as acoes do treinador.
3. Dados coletados
A tabela abaixo descreve todos os tipos de dados pessoais coletados pela plataforma, organizados por categoria:
| Categoria | Dados | Obrigatorio? | Finalidade |
|---|---|---|---|
| Conta | Nome, email, senha (armazenada em hash criptografico) | Sim | Autenticacao e identificacao |
| Perfil do treinador | CREF, celular, biografia, foto de perfil | Parcial | Perfil profissional e contato |
| Perfil do cliente | Data de nascimento, celular, foto de perfil | Parcial | Identificacao e calculo de idade para avaliacoes |
| Anamnese (dados de saude) | Historico medico (hipertensao, diabetes, osteoporose, doenca coronariana, colesterol, reumatismo, artrose), lesoes, medicamentos em uso, cirurgias anteriores, habitos (tabagismo, alcool), classificacao de saude | Nao | Avaliacao fisica profissional e prescricao segura de treinos |
| Fotos corporais | 4 angulos (frente, costas, lado direito, lado esquerdo) | Nao | Avaliacao fisica e acompanhamento postural |
| Avaliacoes fisicas | Adipometria (dobras cutaneas), perimetria (medidas corporais), flexibilidade, avaliacao postural, VO2 maximo, forca | Nao | Acompanhamento evolutivo do cliente |
| Financeiro | Chave PIX (CPF, CNPJ, email, telefone ou aleatoria), nome do titular, banco | Condicional | Recebimento de pagamentos de clientes pelo treinador |
| Dados tecnicos | Endereco IP, User-Agent (navegador/dispositivo), cookies de sessao | Automatico | Seguranca, prevencao de fraude e funcionamento da autenticacao |
4. Base legal para tratamento (LGPD)
Cada categoria de dados e tratada com base em uma fundamentacao legal especifica da LGPD:
| Categoria de dados | Base legal (LGPD) | Fundamentacao |
|---|---|---|
| Dados de conta e perfil | Execucao de contrato | Art. 7, V — necessario para prestacao do servico contratado |
| Dados financeiros (PIX) | Execucao de contrato | Art. 7, V — necessario para viabilizar cobranca de clientes |
| Dados de saude (anamnese) | Consentimento | Art. 11, I — dados sensiveis requerem consentimento, concedido ao aceitar os Termos de Uso |
| Fotos corporais | Consentimento | Art. 11, I — dados sensiveis (imagem vinculada a saude), consentimento concedido ao aceitar os Termos de Uso |
| Dados tecnicos (IP, User-Agent) | Interesse legitimo | Art. 7, IX — seguranca da plataforma e prevencao de fraude |
| TrialHistorico (email apos exclusao) | Interesse legitimo | Art. 7, IX — prevencao de fraude na reutilizacao do trial |
5. Compartilhamento com terceiros
O PhysicFY compartilha dados pessoais apenas com os terceiros estritamente necessarios para o funcionamento do servico:
| Terceiro | Dados compartilhados | Finalidade |
|---|---|---|
| Mercado Pago | Email do treinador, identificador da assinatura, valor | Processamento de pagamento da assinatura |
| Resend | Email do destinatario, nome | Envio de emails transacionais (verificacao, pagamento, alertas) |
| Sentry | Stack traces de erros, endereco IP (email parcialmente mascarado) | Monitoramento e correcao de erros da aplicacao |
| Render | Toda a aplicacao (hospedagem) | Hospedagem dos servidores da plataforma |
O PhysicFY nao vende, aluga ou comercializa dados pessoais. Nao utilizamos seus dados para publicidade direcionada, marketing de terceiros ou qualquer finalidade alem das descritas nesta politica.
6. Retencao de dados
| Dado | Periodo de retencao | Motivo |
|---|---|---|
| Conta ativa (todos os dados) | Enquanto a conta existir | Prestacao do servico contratado |
| Dados pessoais apos exclusao de conta | Eliminados ou anonimizados de forma irreversivel na conclusao da exclusao, ressalvados os registros financeiros mantidos por obrigacao legal/fiscal (ver linha abaixo). A exclusao de conta de treinador com assinatura ativa exige o cancelamento previo da assinatura. | Cumprimento da LGPD — direito a eliminacao (Art. 18, VI), ressalvadas as hipoteses de conservacao (Art. 16) |
| Registros financeiros da assinatura (treinador) apos exclusao | Para viabilizar a comprovacao de pagamento e a defesa em eventuais disputas (ex.: chargeback), o nome e o email do titular sao mantidos vinculados aos registros financeiros pelo prazo de ate 5 (cinco) anos, com acesso restrito. Apos esse prazo, esses dados sao anonimizados de forma definitiva. Aplica-se apenas a assinaturas do treinador que tiveram pagamento aprovado (receita efetivamente recebida via Mercado Pago); assinaturas sem nenhum pagamento aprovado e contas de cliente nao possuem registros financeiros retidos. | Obrigacao legal/fiscal e exercicio regular de direitos (LGPD Art. 7, II e VI, e Art. 16, I) |
| Auditoria da exclusao de conta | Mantido registro minimo sem identificacao pessoal (identificador irreversivel, datas e status da exclusao) | Prestacao de contas e prova de cumprimento do direito de eliminacao |
| TrialHistorico (email) | Permanente | Prevencao de fraude — interesse legitimo (Art. 7, IX) |
| Logs de webhook (Mercado Pago) | Indefinido | Auditoria financeira e resolucao de disputas |
| Logs de acesso ao servidor | Conforme politica do provedor (Render) | Seguranca e conformidade com Marco Civil da Internet |
7. Direitos do titular (LGPD Art. 18)
Como titular dos seus dados pessoais, voce tem os seguintes direitos garantidos pela LGPD:
| Direito | Como exercer |
|---|---|
| Confirmacao de tratamento | Este documento confirma quais dados tratamos e para quais finalidades |
| Acesso aos dados | Pelo dashboard do aplicativo — perfil, avaliacoes, treinos e financeiro estao disponiveis na interface |
| Retificacao (correcao) | Pela edicao do perfil e das anamneses diretamente no aplicativo |
| Eliminacao | Pela funcao "Excluir minha conta" em Minha Conta — executa a exclusao definitiva dos dados pessoais da conta, ressalvada a retencao fiscal descrita na secao 6 (Retencao de dados) |
| Anonimizacao | Apos a exclusao da conta, os dados pessoais sao eliminados ou anonimizados de forma irreversivel. Determinados registros financeiros (assinatura do treinador que teve pagamento aprovado) sao mantidos por obrigacao legal/fiscal e para o exercicio regular de direitos: o nome e o email do titular permanecem vinculados a esses registros, com acesso restrito, pelo prazo de ate 5 (cinco) anos, sendo anonimizados de forma definitiva apos esse periodo. Assinaturas sem nenhum pagamento aprovado e contas de cliente nao possuem registros financeiros retidos. |
| Portabilidade | Nao disponivel nesta versao da plataforma. Funcionalidade planejada para versao futura |
| Revogacao de consentimento | Via exclusao da conta ou via contato por email |
7.1. Prazo de resposta
Solicitacoes relativas aos direitos do titular serao respondidas em ate 15 (quinze) dias uteis, contados a partir do recebimento da solicitacao pelo email contato@physicfy.com.br.
7.2. Autoridade competente
Caso entenda que o tratamento dos seus dados viola a LGPD, voce pode apresentar reclamacao a Autoridade Nacional de Protecao de Dados (ANPD) por meio do site gov.br/anpd.
8. Seguranca
O PhysicFY adota as seguintes medidas tecnicas para proteger seus dados pessoais:
- Comunicacao criptografada: Toda a comunicacao entre seu navegador e nossos servidores e protegida por HTTPS (TLS)
- Senhas: Armazenadas exclusivamente em hash criptografico (bcrypt) — nunca em texto legivel
- Autenticacao: Cookies httpOnly (nao acessiveis por JavaScript), com atributos sameSite e secure em producao
- Tokens de sessao: Access token com validade de 15 minutos; refresh token com validade de 7 dias e rotacao automatica
- Webhooks: Validacao de assinatura HMAC para webhooks do Mercado Pago, prevenindo requisicoes fraudulentas
- Controle de acesso: Dados de clientes sao acessiveis apenas pelo treinador vinculado e pelo proprio cliente, com isolamento por vinculo ativo
- Rate limiting: Limitacao de requisicoes por minuto para prevenir ataques de forca bruta, especialmente em rotas de autenticacao
Nenhum sistema e 100% seguro. Embora adotemos medidas tecnicas adequadas, nao e possivel garantir seguranca absoluta contra todos os tipos de ameaca.
10. Menores de idade
- Treinadores: O servico e destinado exclusivamente a profissionais maiores de 18 anos
- Clientes menores de 18 anos: Podem utilizar a plataforma mediante convite do treinador, desde que com consentimento do responsavel legal. A responsabilidade pelo consentimento e do treinador que realiza o convite
- Menores de 13 anos: O PhysicFY nao coleta intencionalmente dados de menores de 13 anos. Caso tenhamos conhecimento de tal coleta, os dados serao excluidos imediatamente
11. Transferencia internacional
Os dados pessoais tratados pelo PhysicFY podem ser processados em servidores localizados fora do Brasil, conforme a infraestrutura dos provedores de servico utilizados:
- Render (hospedagem) — servidores nos Estados Unidos
- Sentry (monitoramento de erros) — servidores nos Estados Unidos
- Resend (envio de emails) — servidores nos Estados Unidos
Essas transferencias sao realizadas com base em clausulas contratuais padrao e em conformidade com o Art. 33 da LGPD, que autoriza transferencias internacionais quando o pais de destino proporciona grau adequado de protecao ou quando ha garantias contratuais suficientes.
12. Alteracoes nesta politica
O PhysicFY pode atualizar esta Politica de Privacidade periodicamente. Em caso de alteracoes significativas:
- O usuario sera notificado por email com no minimo 30 (trinta) dias de antecedencia
- A data de ultima atualizacao sera atualizada no topo deste documento
- O uso continuado da plataforma apos a data de vigencia das alteracoes implica aceitacao da nova politica
13. Contato
Para questoes relacionadas a privacidade, protecao de dados ou para exercer seus direitos como titular, entre em contato:
- Email: contato@physicfy.com.br
- Prazo de resposta: Ate 15 (quinze) dias uteis
- Controladora: MPM COMPUTADORES E SERVICOS LTDA (CNPJ 66.156.993/0001-01)
- Co-Controlador: Daniel Chrisostomo
Este canal e exclusivo para questoes de privacidade e protecao de dados. Para suporte tecnico, utilize suporte@physicfy.com.br.