Política de Privacidade — Dufit
Última atualização: 16 de abril de 2026 Vigência: a partir de 16 de abril de 2026
Esta Política de Privacidade descreve como o aplicativo Dufit ("Aplicativo", "Serviço") coleta, utiliza, armazena, compartilha e protege as informações pessoais dos seus usuários. Ao criar uma conta ou utilizar o Aplicativo, você concorda com os termos desta Política.
1. Quem somos
O Dufit é operado por Duosis Sistemas ("Duosis", "nós"), responsável pelo tratamento dos dados pessoais coletados pelo Aplicativo.
- Razão social: Duosis Sistemas [preencher razão social completa]
- CNPJ: [preencher CNPJ]
- Endereço: [preencher endereço completo]
- E-mail de contato / Encarregado de Dados (DPO): privacidade@duosis.com.br
Em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018), a Duosis atua como controladora dos dados pessoais tratados no Aplicativo.
2. Público-alvo
O Dufit é destinado a maiores de 18 anos, especificamente:
- Personal Trainers profissionais de educação física que prestam serviços a alunos.
- Alunos cadastrados por um Personal Trainer para receber treinos personalizados.
O Aplicativo não é direcionado a crianças nem coleta intencionalmente dados de menores de 18 anos. Caso identifiquemos coleta indevida de dados de menor, excluiremos imediatamente.
3. Quais dados coletamos
3.1 Dados fornecidos por você
No cadastro e uso normal:
- Nome completo
- Endereço de e-mail
- Senha (armazenada com hash
bcrypt, nunca em texto plano) - Telefone (opcional)
- Foto de perfil / avatar (opcional)
- Para Personal Trainers: número e status do registro no CREF (Conselho Regional de Educação Física)
- Para Alunos: dados de avaliação física opcionais (altura, peso, medidas corporais, notas)
No uso do Aplicativo:
- Treinos criados (nome, exercícios, séries, repetições, tempo de descanso)
- Execução de treinos (peso, repetições, percepção de esforço — RPE, duração)
- Fotos e vídeos de exercícios enviados pelo usuário
- Comunicação entre Personal Trainer e Aluno (convites, planos atribuídos)
- Agendamentos e disponibilidade
3.2 Dados de pagamento (Personal Trainers)
Para assinatura do plano pago, processamos pagamentos através do parceiro Asaas. Coletamos:
- Nome do titular do cartão
- Últimos 4 dígitos do cartão
- Bandeira do cartão
- Token do método de pagamento
Não armazenamos o número completo do cartão nem o CVV. Esses dados são tokenizados diretamente pelo Asaas, que é certificado PCI-DSS.
3.3 Dados coletados automaticamente
- Dados técnicos do dispositivo: sistema operacional (iOS/Android), versão do app, modelo do dispositivo, identificadores de instalação.
- Tokens de notificação push: para envio de lembretes e avisos (via Expo Push Notifications).
- Dados de uso: logs de erros, métricas de performance, horários de acesso.
- Endereço IP: para segurança, rate-limiting e detecção de fraude.
3.4 Permissões do dispositivo
O Aplicativo pode solicitar as seguintes permissões:
| Permissão | Finalidade |
|---|---|
| Câmera | Capturar fotos/vídeos de exercícios e avatar |
| Galeria / Fotos | Selecionar imagens e vídeos existentes para envio |
| Armazenamento | Salvar mídias processadas antes do upload |
| Notificações | Enviar lembretes de treino e comunicações |
Você pode revogar qualquer permissão nas configurações do seu dispositivo a qualquer momento.
4. Como usamos os dados
Utilizamos suas informações para:
- Fornecer o Serviço: autenticar usuários, exibir treinos, registrar execuções, sincronizar dados entre dispositivos.
- Comunicação essencial: enviar e-mails de confirmação, redefinição de senha, convites de Personal Trainer para Aluno.
- Notificações: lembretes de treino, avisos de cobrança, atualizações do Aplicativo.
- Cobrança (Trainers pagantes): processar assinaturas e pagamentos via Asaas.
- Segurança: prevenir fraude, uso indevido, acessos não autorizados, ataques de força bruta.
- Melhoria do produto: análise agregada e anônima de uso, correção de bugs, novas funcionalidades.
- Cumprimento legal: atender obrigações fiscais, regulatórias e ordens judiciais.
5. Base legal para o tratamento (LGPD)
| Atividade | Base legal (LGPD Art. 7º / 11) |
|---|---|
| Criação e uso da conta | Execução de contrato (VI) |
| Cobrança e pagamentos | Execução de contrato (VI) + Cumprimento de obrigação legal (II) |
| Envio de e-mails operacionais | Execução de contrato (VI) |
| Notificações push | Consentimento (I) |
| Coleta de dados técnicos e segurança | Legítimo interesse (IX) |
| Avaliação física (dados de saúde) | Consentimento específico do Aluno (LGPD Art. 11 II a) |
6. Compartilhamento com terceiros
Compartilhamos dados com os seguintes operadores, estritamente para operação do Serviço:
| Parceiro | Finalidade | Dados compartilhados | Jurisdição |
|---|---|---|---|
| Railway | Hospedagem da API e banco de dados | Todos os dados da aplicação | EUA |
| AWS S3 / Railway Bucket | Armazenamento de mídias (fotos, vídeos) | Arquivos enviados pelo usuário | EUA |
| Asaas | Processamento de pagamentos e assinaturas | Nome, e-mail, dados tokenizados do cartão, histórico de cobranças | Brasil |
| Resend | Envio de e-mails transacionais | Nome, e-mail, conteúdo da mensagem | EUA |
| Expo Push (Expo Inc.) | Entrega de notificações push | Token do dispositivo, conteúdo da notificação | EUA |
Não vendemos seus dados. Não compartilhamos com terceiros para fins publicitários.
Transferências internacionais seguem o Art. 33 da LGPD, com cláusulas contratuais de proteção equivalentes.
Relação Trainer ↔ Aluno: ao aceitar o convite de um Personal Trainer, o Aluno concorda que seus dados de treino e execução sejam visíveis para o Trainer vinculado. O Aluno pode desvincular a relação a qualquer momento.
7. Armazenamento e segurança
- Todos os dados são transmitidos via HTTPS com TLS.
- Senhas são armazenadas com bcrypt (fator de custo 12).
- Tokens de autenticação JWT com expiração de 15 minutos; refresh tokens com expiração de 7 dias.
- Banco de dados PostgreSQL com acesso restrito por credenciais, hospedado em infraestrutura gerenciada (Railway).
- Mídias armazenadas em S3-compatível com URLs pré-assinadas de acesso temporário.
- Rate-limiting aplicado para prevenir ataques de força bruta.
Apesar de empregarmos boas práticas, nenhum sistema é 100% seguro. Em caso de incidente de segurança com risco aos titulares, notificaremos a ANPD e os usuários afetados conforme LGPD Art. 48.
8. Retenção de dados
| Categoria | Prazo |
|---|---|
| Dados de conta ativa | Enquanto a conta existir |
| Dados após exclusão da conta | Até 30 dias (backup), após exclusão permanente |
| Dados financeiros (pagamentos) | 5 anos após encerramento (obrigação fiscal) |
| Logs técnicos e de segurança | 6 meses |
9. Seus direitos (LGPD Art. 18)
Você tem direito a:
- Confirmação da existência de tratamento de seus dados.
- Acesso aos dados que mantemos sobre você.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade dos dados a outro fornecedor de serviço (mediante requisição expressa).
- Eliminação dos dados tratados com base em consentimento.
- Informação sobre com quem compartilhamos seus dados.
- Revogação do consentimento a qualquer momento.
Para exercer qualquer direito, envie e-mail para: privacidade@duosis.com.br.
Responderemos em até 15 dias, conforme prazo legal.
10. Como excluir sua conta
Você pode excluir sua conta de duas formas:
- No próprio Aplicativo: acesse Perfil → Configurações → Excluir conta.
- Por e-mail: envie solicitação para privacidade@duosis.com.br com o e-mail cadastrado.
Após a exclusão, seus dados pessoais serão removidos em até 30 dias, exceto os retidos por obrigação legal (ver seção 8).
11. Cookies e rastreamento
O Aplicativo mobile não utiliza cookies. Armazenamos localmente no dispositivo:
- Tokens de autenticação (em SecureStore criptografado)
- Preferências do usuário (tema, idioma)
- Cache de dados do React Query (para funcionamento offline)
Você pode limpar esses dados desinstalando o Aplicativo.
12. Menores de idade
O Dufit não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Se um Personal Trainer desejar cadastrar aluno menor, deverá obter consentimento expresso do responsável legal e atuar como responsável pelo tratamento desses dados.
13. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Alterações materiais serão comunicadas por e-mail ou notificação no Aplicativo com antecedência mínima de 15 dias. Alterações menores (correção ortográfica, ajustes de formatação) tomam efeito imediato na publicação.
Recomendamos revisar esta página ocasionalmente.
14. Legislação aplicável e foro
Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela LGPD (Lei nº 13.709/2018) e pelo Marco Civil da Internet (Lei nº 12.965/2014).
Fica eleito o foro da comarca de [preencher cidade/UF da sede] para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia expressa a qualquer outro, por mais privilegiado que seja.
15. Autoridade de controle
Caso entenda que não atendemos adequadamente suas solicitações, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):
- Site: https://www.gov.br/anpd
- E-mail: comunicacao@anpd.gov.br
16. Contato
Dúvidas, solicitações ou reclamações relacionadas a esta Política de Privacidade:
- E-mail: privacidade@duosis.com.br
- Suporte geral: suporte@duosis.com.br
Este documento é de leitura livre e pode ser copiado para registro pessoal. Versão vigente sempre disponível em: [URL pública onde você hospedar].