POLÍTICA DE PRIVACIDADE

O Surgr é uma plataforma de treino fitness com inteligência artificial, disponível em surgr.com.br.

Para questões de privacidade, contacte o nosso Encarregado de Proteção de Dados (DPO): privacidade@surgr.com.br

Recolhemos os seguintes dados pessoais:

• Identificação: nome, email, senha (hash), foto de perfil — para criar e autenticar a sua conta
• Dados de saúde: peso, altura, idade, objetivos fitness, restrições físicas/lesões — para gerar o plano de treino personalizado
• Histórico de treinos: exercícios realizados, séries, pesos, duração — para acompanhamento do progresso
• Dados de nutrição: refeições e calorias registadas — para suporte nutricional
• Interações com o Treinador IA: mensagens e respostas — para personalizar a assistência
• Dados de pagamento: processados exclusivamente pela Stripe; não armazenamos dados de cartão

O tratamento dos seus dados baseia-se em:

• Consentimento (Art. 7, I): para dados de saúde e uso do Treinador IA
• Execução de contrato (Art. 7, V): para dados necessários ao funcionamento da plataforma
• Legítimo interesse (Art. 7, IX): para segurança e prevenção de fraudes

Os dados de saúde (peso, altura, lesões, objetivos) são tratados com base no consentimento específico e destacado (Art. 11, I) que pedimos durante o cadastro.

Os seus dados podem ser partilhados com:

• Google Gemini (IA): dados de perfil, treinos e alimentação são enviados para o modelo de IA para gerar respostas do Treinador. A Google processa estes dados nos EUA ao abrigo das suas políticas de privacidade.
• Google Analytics 4: dados de navegação e comportamento agregados (páginas visitadas, eventos de produto) para análise de tráfego. Processado nos EUA pela Google LLC.
• PostHog: análise de produto e gravação de sessão (session replay) para entender como os usuários interagem com o app. Campos de formulário são mascarados automaticamente. Processado nos EUA pela PostHog Inc.
• Stripe: dados de pagamento para processamento de assinaturas PRO (EUA)
• Supabase / Google Cloud: base de dados e infraestrutura em cloud

Transferências internacionais baseiam-se em garantias adequadas (Art. 33 LGPD), incluindo cláusulas contratuais padrão.

Mantemos os seus dados enquanto a sua conta estiver ativa. Após eliminação da conta, todos os dados são apagados de forma permanente e irreversível (exceto logs de segurança, mantidos por 90 dias por obrigação legal).

Tem direito a:

• Acesso: saber quais dados temos sobre si
• Correção: corrigir dados inexatos no seu perfil
• Portabilidade: exportar os seus dados em formato JSON (disponível em Perfil → Exportar dados)
• Eliminação: apagar a sua conta e todos os dados associados (disponível em Perfil → Eliminar conta)
• Revogação do consentimento: pode retirar o seu consentimento a qualquer momento
• Oposição: opor-se a tratamentos baseados em legítimo interesse

Para exercer os seus direitos, contacte: privacidade@surgr.com.br

Aplicamos medidas técnicas para proteger os seus dados:

• Senhas armazenadas com hash bcrypt (custo 12)
• Comunicações encriptadas via HTTPS/TLS
• Sessões protegidas por JWT assinado
• Rate limiting para prevenir ataques de força bruta
• Infraestrutura em Google Cloud com encriptação em repouso

O Surgr não é destinado a menores de 16 anos. Se tiver entre 16 e 18 anos, necessita do consentimento de um responsável legal. Se tomarmos conhecimento de que recolhemos dados de menor sem consentimento parental, eliminaremos esses dados imediatamente.

Utilizamos as seguintes tecnologias de armazenamento local e rastreio:

• Cookie de sessão (httpOnly): estritamente necessário para autenticação. Não acessível por JavaScript.
• Google Analytics 4: utiliza cookies (_ga, _gid) para medir tráfego e comportamento agregado de navegação.
• PostHog: utiliza armazenamento local (localStorage) para análise de produto e gravação de sessão. Nenhuma imagem de formulário sensível é gravada — todos os campos de input são mascarados automaticamente.

As ferramentas de análise são utilizadas com base no nosso legítimo interesse (Art. 7, IX LGPD) em melhorar a experiência do produto. Não utilizamos cookies de publicidade ou retargeting.

Notificamos alterações significativas por email ou notificação na app. O uso continuado após notificação constitui aceitação das alterações.

DPO / Encarregado de Proteção de Dados: privacidade@surgr.com.br

Pode também apresentar reclamação à ANPD (Autoridade Nacional de Proteção de Dados): gov.br/anpd