Política de Privacidade
Última atualização: 26 de maio de 2026 · Versão 1.1
Resumo em uma frase: coletamos só o que precisamos pra montar seu plano de treino, armazenamos com criptografia, não vendemos nada, e você pode apagar tudo a qualquer momento.
Esta Política de Privacidade descreve como o aplicativo RunCoach ("nós", "nosso") coleta, usa, armazena e compartilha informações pessoais de seus usuários, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) e com o Marco Civil da Internet (Lei nº 12.965/2014).
Ao usar o RunCoach, você concorda com as práticas descritas neste documento. Se discordar, por favor não use o aplicativo.
Sumário
- Controlador dos dados
- Dados que coletamos
- Finalidade da coleta
- Onde e como armazenamos
- Compartilhamento com terceiros
- Integração com Garmin Connect
- Integração com Strava
- Outros wearables (Apple Health, Google Fit)
- Uso de inteligência artificial
- Seus direitos
- Cookies e tecnologias similares
- Menores de idade
- Tempo de retenção
- Segurança
- Alterações nesta política
- Contato e DPO
1. Controlador dos dados
O controlador dos dados pessoais coletados pelo RunCoach é:
- Responsável: EJ Labs
- E-mail de contato: contato@runcoach.net.br
- E-mail do Encarregado (DPO): contato@runcoach.net.br
- País: Brasil
2. Dados que coletamos
Coletamos exclusivamente os dados necessários pra que o aplicativo funcione e gere planos de treino personalizados:
2.1 Dados de cadastro
- Endereço de e-mail (obrigatório, usado pra autenticação)
- Senha (armazenada de forma criptografada via bcrypt através do Supabase Auth)
2.2 Dados do perfil de corredor
- Nome (autoinformado, pode ser apelido)
- Idade, peso, altura
- Nível de experiência (iniciante, intermediário, avançado)
- Objetivo (5K, 10K, meia maratona, maratona, recreativo)
- Ritmo atual de corrida (min/km)
- Volume semanal atual (km)
- Histórico de lesões (autoinformado, opcional)
2.3 Dados de uso do aplicativo
- Treinos completados, parciais ou pulados
- Distância e duração efetivamente realizadas (autoinformadas)
- Tênis cadastrados (marca, modelo, quilometragem)
- Datas de uso do aplicativo
2.4 Dados técnicos automáticos
- Versão do sistema operacional (iOS / Android)
- Versão do aplicativo
- Logs de erro anônimos (pra resolver bugs)
2.5 Dados de saúde (sensíveis — Art. 11 LGPD)
Alguns dados que tratamos têm classificação sensível pela LGPD (Art. 5º, II e Art. 11), exigindo consentimento específico e destacado:
- Peso, altura, idade (autoinformados no perfil)
- Histórico de lesões (autoinformado, opcional)
- Frequência cardíaca (apenas quando você conecta um wearable — Apple Health, Garmin, Strava)
- Ritmo, volume e duração de treino
Estes dados são tratados exclusivamente mediante seu consentimento específico, dado no cadastro e renovável na tela Perfil → Privacidade do aplicativo. Finalidade única: gerar e adaptar seu plano de treino personalizado. Você pode revogar o consentimento a qualquer momento — isso desabilita a personalização do plano. Não há outro uso, nem compartilhamento com seguradoras, planos de saúde ou empregadores.
Não coletamos: CPF, RG, número de telefone, localização GPS contínua, dados bancários (pagamentos são processados por terceiros — App Store / Google Play / RevenueCat), conteúdo de mensagens, fotos, contatos.
3. Finalidade da coleta
Cada categoria de dado tem uma finalidade específica e legítima:
| Dado | Finalidade | Base legal (LGPD) |
|---|---|---|
| Autenticar acesso à conta | Execução de contrato (art. 7º, V) | |
| Perfil de corredor | Gerar plano de treino personalizado | Execução de contrato |
| Treinos realizados | Adaptar plano em tempo real | Execução de contrato |
| Tênis cadastrados | Sugerir tênis adequado por treino | Execução de contrato |
| Logs de erro | Resolver problemas técnicos | Legítimo interesse (art. 7º, IX) |
Os dados não são usados pra envio de marketing de terceiros, perfilagem comercial, venda a parceiros, nem treinamento de modelos de inteligência artificial.
4. Onde e como armazenamos
Os dados são armazenados em servidores Supabase (PostgreSQL gerenciado), hospedados em infraestrutura da Amazon Web Services (AWS). A região atual é us-east-1 (Estados Unidos). Estamos avaliando migração pra sa-east-1 (São Paulo) conforme a base de usuários cresce.
Todos os dados em trânsito usam criptografia TLS 1.3. Dados sensíveis em repouso (senhas) usam criptografia bcrypt. Não há backup descriptografado.
O acesso aos servidores é restrito por:
- Row-Level Security (RLS) do PostgreSQL — cada usuário só vê os próprios dados
- Autenticação obrigatória via JWT em todas as requisições
- Logs de auditoria de acesso administrativo
5. Compartilhamento com terceiros
Compartilhamos dados com terceiros apenas quando estritamente necessário pra operação do aplicativo. Cada parceiro é submetido a contrato de processamento de dados (DPA — Data Processing Agreement) ou termo equivalente.
| Parceiro | Dado compartilhado | Finalidade | Localização |
|---|---|---|---|
| Supabase Inc. | Todos os dados de usuário | Hospedagem de banco e autenticação | EUA (AWS us-east-1) |
| Anthropic PBC | Perfil pseudonimizado (sem seu nome) pra geração de plano | Geração de plano via API de IA | EUA |
| Apple Inc. | Cobrança e assinatura | Processamento de pagamento (App Store) | EUA / Brasil |
| Google LLC | Cobrança e assinatura | Processamento de pagamento (Google Play) | EUA / Brasil |
| RevenueCat Inc. | ID de assinatura | Gestão unificada de assinaturas (futuro) | EUA |
| Strava Inc. | ID Strava do atleta, atividades de corrida (data, distância, duração, ritmo, FC média) | Sincronizar treinos realizados com o plano e calibrar o pace inicial | EUA |
Nunca compartilhamos com: agências de marketing, brokers de dados, redes sociais, anunciantes, seguradoras, planos de saúde.
Transferência internacional de dados: os parceiros Supabase, Anthropic, RevenueCat e Strava têm operações nos Estados Unidos. Realizamos essa transferência com base no Art. 33, II e VIII da LGPD: (i) cláusulas contratuais específicas (Data Processing Agreements) com cada parceiro garantindo nível de proteção equivalente ao brasileiro e (ii) consentimento específico do titular ao aceitar esta política. Você pode solicitar cópia dos compromissos contratuais ao DPO via contato@runcoach.net.br.
6. Integração com Garmin Connect
O RunCoach oferece uma integração experimental e não-oficial com o Garmin Connect, que permite enviar os treinos do seu plano para o calendário do seu relógio Garmin.
6.1 Como funciona
- A integração é opcional e experimental. O aplicativo funciona normalmente sem ela.
- Para ativar, o login é feito na própria página do Garmin: você digita seu e-mail e senha diretamente no site do Garmin. O RunCoach não armazena sua senha — guardamos apenas um token de acesso, no seu aparelho.
- Por ser experimental e não-oficial, a integração pode parar de funcionar caso a Garmin altere o sistema deles. Você pode revogar o acesso a qualquer momento, no aplicativo ou na sua conta Garmin Connect.
6.2 Quais dados Garmin usamos
- Identificador da atividade (Activity ID)
- Data e hora da atividade
- Distância total (km)
- Duração total (min)
- Ritmo médio (min/km)
- Tipo da atividade (corrida ao ar livre, esteira, trilha)
6.3 Como usamos
Os dados Garmin são usados exclusivamente pra:
- Auto-marcar treinos do plano como completados, comparando data e distância
- Calcular sua quilometragem semanal real
- Atualizar a quilometragem dos tênis (se você indicar qual tênis usou)
6.4 O que não fazemos
- Não republicamos atividades em redes sociais ou plataformas externas
- Não compartilhamos dados Garmin com outros usuários nem com terceiros
- Não usamos dados Garmin pra treinar modelos de IA
- Não armazenamos dados Garmin que excedam o necessário (rotas GPS detalhadas, frequência cardíaca segmentada, etc.)
6.5 Como desconectar
No aplicativo: Perfil → Integrações → Garmin Connect → Desconectar. Ao desconectar, removemos todos os dados Garmin do nosso banco em até 30 dias.
Alternativa: você pode revogar o acesso direto na sua conta Garmin Connect em connect.garmin.com.
7. Integração com Strava
O RunCoach oferece integração opcional com o Strava, autorizada via OAuth oficial (botão "Connect with Strava"). A integração permite calibrar seu plano de treino com base no histórico real e marcar treinos do plano como concluídos automaticamente.
7.1 Como funciona
- A integração é opcional — o aplicativo funciona normalmente sem ela.
- O login é feito na própria página do Strava via OAuth 2.0: você aprova explicitamente quais permissões concede. O RunCoach nunca recebe sua senha.
- Os tokens de acesso são armazenados de forma criptografada no servidor (AES-256-GCM) e nunca expostos ao aplicativo cliente.
- Você pode revogar o acesso a qualquer momento, tanto no aplicativo quanto na sua conta Strava.
7.2 Quais dados Strava usamos
- ID Strava do atleta e nome público de exibição (apenas pra confirmar a conexão na tela do perfil)
- Atividades de corrida dos últimos 90 dias na primeira sincronização (calibração inicial do plano)
- Para cada atividade: data, distância, duração, ritmo médio, FC média (se disponível), tipo de atividade
7.3 Como usamos
Os dados Strava são usados exclusivamente pra:
- Calibrar o ritmo (pace) e o volume semanal iniciais do seu plano com base no histórico real
- Auto-marcar treinos do plano como completados, casando data e distância da atividade Strava com o treino planejado
- Atualizar a quilometragem dos tênis quando você indica qual usou
7.4 O que não fazemos
- Não publicamos atividades no Strava em nome do usuário (a sincronização é unidirecional: Strava → RunCoach)
- Não compartilhamos dados Strava com outros usuários nem com terceiros
- Não usamos dados Strava pra treinar modelos de IA
- Não armazenamos dados de rota GPS detalhada, segmentos ou velocidades segmentadas
- Não exibimos publicamente nenhuma informação do Strava — todo dado Strava só aparece pro próprio usuário logado
7.5 Como desconectar
No aplicativo: Perfil → Integrações → Strava → Desconectar. Ao desconectar, removemos os tokens criptografados imediatamente e os metadados de atividades em até 30 dias.
Alternativa: você pode revogar o acesso direto na sua conta Strava em strava.com/settings/apps.
8. Outros wearables
O RunCoach pretende suportar futuramente:
- Apple HealthKit (iOS) — usando o framework oficial da Apple, com autorização explícita e granular do usuário
- Google Fit (Android) — usando a Health Connect API, com autorização explícita e granular do usuário
Cada integração seguirá os mesmos princípios da integração Garmin: opcional, dados mínimos necessários, sem compartilhamento com terceiros.
9. Uso de inteligência artificial
Usamos a API da Anthropic pra gerar planos de treino personalizados. O processo é:
- Quando você solicita um novo plano, enviamos pra API um resumo do seu perfil (idade, peso, nível, objetivo, ritmo, volume, histórico de lesão) e o número de semanas até a prova.
- A API processa essas informações e retorna um plano em formato JSON.
- Salvamos o plano no nosso banco de dados.
Importante:
- O e-mail e a senha nunca são enviados pra API de IA.
- Nome no perfil pode ser apelido — você decide.
- De acordo com o contrato comercial da Anthropic, dados enviados via API não são usados pra treinar modelos, ao contrário do que ocorre com o uso gratuito do chat público.
- A Anthropic retém logs de inferência por até 30 dias pra fins de segurança e auditoria, depois os apaga.
10. Seus direitos
De acordo com a LGPD (art. 18), você tem direito a, a qualquer momento:
- Confirmação da existência de tratamento dos seus dados
- Acesso aos dados que temos sobre você
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
- Portabilidade dos dados a outro fornecedor
- Eliminação de dados tratados com base em consentimento
- Revogação do consentimento e oposição a tratamento
- Informação sobre com quem compartilhamos
Pra exercer qualquer direito, mande e-mail pra contato@runcoach.net.br. Respondemos em até 15 dias.
Você também pode apagar sua conta direto no aplicativo: Perfil → Configurações → Apagar conta. Esta ação remove permanentemente todos os seus dados em até 30 dias.
11. Cookies e tecnologias similares
O aplicativo móvel não usa cookies — usa armazenamento local nativo (AsyncStorage no iOS, SharedPreferences no Android) pra manter sua sessão ativa.
O site institucional (esta página) usa:
- Cookies estritamente necessários pra funcionamento técnico (sessão, preferências de navegação).
- Google Analytics 4 (ID
G-X41DVPYZGV) para mensurar tráfego agregado (páginas visitadas, origem, dispositivo, tempo de permanência), sob base legal de legítimo interesse (Art. 7º, IX, LGPD). Os dados são pseudonimizados (IP anonimizado via IP-anonymization da Google) e não são cruzados com dados da sua conta no aplicativo.
Você pode bloquear cookies de análise via configurações do navegador, extensões (uBlock Origin, Ghostery) ou pelo banner de consentimento exibido na primeira visita. Não usamos Facebook Pixel, TikTok Pixel, pixels de remarketing, nem cookies de terceiros pra perfilagem comercial.
12. Menores de idade
O RunCoach é destinado a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Se você é responsável legal por menor que tenha cadastrado dados, entre em contato pra remoção imediata.
13. Tempo de retenção
- Dados ativos da conta: enquanto sua conta estiver ativa
- Conta inativa por 24 meses: enviamos aviso por e-mail e iniciamos processo de exclusão
- Após exclusão da conta: dados são apagados em até 30 dias dos sistemas ativos e em até 90 dias dos backups
- Logs de auditoria e fiscais: retidos pelo prazo legal mínimo (5 anos pra dados fiscais, conforme Receita Federal)
14. Segurança
Medidas técnicas e organizacionais que adotamos:
- Criptografia TLS 1.3 em trânsito
- Criptografia bcrypt em senhas
- Row-Level Security em todas as tabelas
- Autenticação JWT obrigatória
- Atualizações regulares de dependências
- Backup automático com criptografia
- Acesso administrativo apenas via 2FA
Em caso de incidente de segurança que envolva dados pessoais, você será notificado em até 72 horas, conforme determinação da ANPD (Autoridade Nacional de Proteção de Dados). Os canais usados serão:
- E-mail cadastrado na sua conta, com descrição do incidente, dados afetados e medidas tomadas
- Aviso público em
runcoach.ia.br/incidentes(página publicada apenas quando houver incidente relevante) - Notificação à ANPD via canal oficial em gov.br/anpd, conforme prazo legal
15. Alterações nesta política
Podemos atualizar esta política periodicamente pra refletir mudanças no produto, na legislação, ou em integrações com parceiros. Mudanças relevantes serão comunicadas:
- Por e-mail cadastrado, com pelo menos 15 dias de antecedência
- Mediante aceite obrigatório no próximo login após a mudança
- Atualização do campo "Última atualização" no topo deste documento
16. Contato e DPO (Encarregado)
Pra qualquer dúvida sobre esta política ou sobre o tratamento dos seus dados pessoais, entre em contato:
- E-mail geral: contato@runcoach.net.br
- Encarregado de Dados (DPO): contato@runcoach.net.br
- Responsável: EJ Labs
Você também pode contatar a ANPD (Autoridade Nacional de Proteção de Dados) em gov.br/anpd em caso de reclamação não resolvida diretamente conosco.