Política de Privacidade

1. Controlador dos Dados

Kodo Performance é uma marca operada por R&K Ltda, sociedade limitada brasileira, com sede no Brasil. Para fins de LGPD (Lei 13.709/2018), a R&K Ltda é a controladora dos seus dados pessoais. CNPJ disponível mediante solicitação em contato@kodoperformance.com.br.

2. Dados que Coletamos

• Conta: nome, email, senha (hash bcrypt)
• Perfil: data de nascimento, peso, altura, esporte, objetivo
• Wearables: dados de sono, HRV, frequência cardíaca, treinos, passos, calorias — via Terra API (Garmin, Polar, Whoop, Oura, Apple Health, Fitbit, Suunto, Withings, COROS, Wahoo, TrainingPeaks) e Strava (OAuth direto)
• Documentos: PDFs de exames e planos alimentares que você faz upload voluntariamente
• Uso: logs de acesso, páginas visitadas, erros — pra melhorar o produto

3. Como Usamos os Dados

• Gerar briefings diários e insights de performance com IA
• Exibir seu histórico de treinos e métricas de saúde
• Processar pagamentos via Stripe
• Enviar emails transacionais (boas-vindas, cobrança, alertas)
• Melhorar o produto com dados agregados e anonimizados

4. Compartilhamento com Terceiros

Compartilhamos dados apenas com:

• Supabase — banco de dados e autenticação (EUA, AWS)
• Stripe — processamento de pagamentos (EUA)
• Groq — processamento de IA (dados de saúde enviados pra geração de insights, sem armazenamento permanente, sem treino de modelos)
• Google — apenas Sign-In (escopos básicos de perfil); ver seção 5 abaixo
• Resend — envio de emails transacionais
• Terra API (tryterra.co) — integração com wearables conforme sua autorização
• Vercel — hospedagem da aplicação web (EUA)

Não vendemos seus dados. Não usamos pra publicidade de terceiros. Não treinamos modelos de IA com seus dados.

5. Login com Google (Google OAuth)

Quando você opta por entrar no Kodo Performance usando "Sign in with Google", solicitamos permissão pra acessar somente os escopos básicos do seu perfil Google:

• openid — identificador único da sua conta Google
• email — seu endereço de email
• profile — nome completo e foto de perfil

O que fazemos com esses dados:

• Criar e identificar sua conta Kodo Performance
• Exibir seu nome e foto na interface (somente pra você)
• Enviar emails transacionais (boas-vindas, recibos, alertas) pro email da sua conta Google

O que NÃO fazemos:

• Não usamos seus dados Google pra treinar modelos de IA, próprios ou de terceiros
• Não compartilhamos nem vendemos seus dados Google a anunciantes ou data brokers
• Não acessamos Gmail, Drive, Calendar, Contacts, YouTube ou qualquer outro escopo restrito
• Não usamos seus dados Google pra personalização de anúncios

Como revogar o acesso: a qualquer momento, você pode remover o Kodo Performance da sua conta Google em myaccount.google.com/permissions. Após revogar, sua conta Kodo permanece ativa, mas o login via Google não funciona mais — use email/senha ou exclua a conta em Configurações → Conta.

Conformidade Limited Use: nosso uso e transferência de informações recebidas das APIs do Google obedecem à Google API Services User Data Policy, incluindo os requisitos de Limited Use. Dados Google jamais são usados pra publicidade, treinamento de modelos de IA, ou repassados a terceiros que não sejam essenciais pra prestação do Serviço.

6. Dados de Saúde (Dados Sensíveis)

Sob a LGPD, dados de saúde são classificados como sensíveis. Coletamos apenas com seu consentimento explícito (aceite nesta política) e utilizamos exclusivamente pra prestação do Serviço. Você pode revogar consentimento a qualquer momento excluindo sua conta.

7. Aplicativos Móveis (iOS e Android)

Quando você usa o aplicativo Kodo Performance no seu iPhone ou dispositivo Android, coletamos dados específicos do contexto mobile:

7.1 Dados de saúde via Apple HealthKit / Google Health Connect

Com sua autorização explícita concedida via prompts nativos do iOS/Android, o app lê os seguintes tipos de dado dos repositórios oficiais Apple Saúde (HealthKit) ou Health Connect (Android):

• Contagem de passos diários
• Duração total de sono
• Variabilidade da frequência cardíaca (HRV)
• Frequência cardíaca de repouso

Esses dados são lidos sob demanda, criptografados em trânsito (TLS 1.3) e armazenados na sua conta Kodo no Supabase pra alimentar seu Kodo Score, briefings diários e análises do seu Coach. Apple e Google não recebem cópia desses dados via Kodo — permanecem no seu dispositivo.

Você pode revogar essa permissão a qualquer momento:

• iOS: Configurações → Saúde → Acesso a Dados e Dispositivos → Kodo
• Android: Configurações → Health Connect → Permissões do app

7.2 Identificadores do dispositivo

• User-agent e versão do app: diagnóstico de bugs e métricas operacionais
• Push token (quando ativa notificações): identificador anônimo emitido pela Apple (APNs) ou Google (FCM) pra entregar briefings diários e alertas de saúde
• NÃO coletamos: IDFA (Apple Advertising Identifier), Android Advertising ID, dados de localização precisa, contatos, ou histórico de outros apps

7.3 Sessão e autenticação

Tokens de acesso e atualização da sua conta Supabase são armazenados localmente em Apple Keychain (iOS) ou Android Keystore (Android) via SecureStore. Esses tokens permitem manter sua sessão ativa entre aberturas do app e nunca são compartilhados com terceiros.

7.4 Notificações push

Se você optar por receber notificações:

• Briefing diário (geralmente entre 6h e 8h da manhã)
• Alertas de mudanças significativas em recuperação ou treino
• Resumos pós-treino pra usuários Elite Plus

Você pode desativar a qualquer momento nas configurações do sistema operacional ou na tela "Conta" dentro do app. Notificações são entregues via Apple APNs e Google FCM — esses provedores recebem apenas tokens anônimos, não os conteúdos das mensagens (que são compostos pelos nossos servidores).

7.5 Apagar Sua Conta no App

Você pode apagar sua conta diretamente dentro do app: tela "Conta" → "Apagar conta" (ação irreversível). Ao apagar:

1. Todos os seus dados Kodo são marcados pra exclusão (incluindo health_metrics sincronizados via HealthKit/Health Connect)
2. Seu push token é imediatamente revogado
3. Sua sessão é encerrada em todos os dispositivos
4. A exclusão definitiva ocorre em até 30 dias úteis (período de carência pra resolver pendências fiscais com o Stripe, se houver)

Em conformidade com a Apple Guideline 5.1.1(v) e a Google Play Personal & Sensitive Information Policy.

8. Retenção de Dados

Mantemos seus dados enquanto sua conta estiver ativa. Após exclusão da conta, removemos seus dados em até 30 dias, exceto onde a lei exija retenção maior. Detalhamento por categoria:

• Dados de conta (email, hash de senha): excluídos em até 30 dias após pedido
• Dados de saúde (HRV, sono, treinos, etc): excluídos em até 30 dias após pedido
• Documentos médicos enviados: excluídos imediatamente após exclusão de conta
• Dados de cobrança Stripe: retidos por 5 anos (obrigação fiscal brasileira)
• Tokens de sessão mobile: persistem no dispositivo até logout ou desinstalação
• Push tokens: retidos enquanto conta está ativa; deletados imediatamente ao apagar
• Logs de acesso anonimizados: retidos por 12 meses pra debug e auditoria

9. Seus Direitos (LGPD)

Conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018), você tem direito a:

• Acesso aos dados que temos sobre você
• Correção de dados incorretos
• Exclusão dos seus dados (anonimização ou eliminação)
• Portabilidade dos dados
• Revogação do consentimento
• Informação sobre compartilhamento

Exerça seus direitos enviando email pra dpo@kodoperformance.com.br. Respondemos em até 15 dias.

10. Crianças e Adolescentes

O Kodo Performance não é destinado a menores de 16 anos. Não coletamos intencionalmente dados de menores de 16 anos sem o consentimento explícito dos pais ou responsáveis legais, conforme o art. 14 da LGPD.

Pra menores entre 16 e 18 anos, recomendamos uso supervisionado por responsável. Se você é responsável e descobriu que seu filho menor de 16 criou uma conta sem autorização, entre em contato em dpo@kodoperformance.com.br que excluímos a conta imediatamente.

11. Aviso pra Residentes na União Europeia / Reino Unido

Se você está na UE, EEE, Suíça ou Reino Unido, processamos seus dados pessoais com as seguintes bases legais (GDPR Art. 6):

• Execução de contrato — prestação do Serviço que você contratou
• Consentimento explícito — dados de saúde sensíveis (Art. 9)
• Interesse legítimo — melhorias e segurança do produto

Você tem direito a portabilidade, acesso, retificação, exclusão (right to be forgotten), restrição de processamento e objeção. Pra exercer, envie email pra dpo@kodoperformance.com.br. Você também pode registrar reclamação junto à autoridade de proteção de dados do seu país (CNIL, ICO, DPC, etc).

Transferências internacionais de dados pra fora da UE são protegidas por Standard Contractual Clauses (SCCs) aprovadas pela Comissão Europeia.

12. Segurança

Utilizamos criptografia em trânsito (HTTPS/TLS 1.3) e em repouso (AES-256 no Supabase). Senhas são armazenadas com hash bcrypt. Acesso ao banco de dados é restrito por Row Level Security (RLS) — cada usuário só vê seus próprios dados. Documentos médicos têm controle de acesso adicional via signed URLs.

13. Cookies

Utilizamos cookies de sessão pra autenticação (necessários) e cookies analíticos (opcionais). Você pode desativar cookies analíticos nas configurações do seu navegador.

14. Mudanças nesta Política

Podemos atualizar essa política periodicamente. Mudanças materiais (que afetam como tratamos seus dados) serão notificadas por email com pelo menos 30 dias de antecedência. Mudanças menores entram em vigor na data de publicação. A data "Atualizada em" no topo desta página sempre reflete a versão vigente.

15. Contato e DPO

Encarregado de Proteção de Dados (DPO): dpo@kodoperformance.com.br

Contato geral: contato@kodoperformance.com.br

Tempo médio de resposta: 1-3 dias úteis (DPO) · até 15 dias (resposta formal LGPD).