⚠️ RASCUNHO — pendente de revisão jurídica qualificada antes da publicação.
Este documento deve ser revisto por um profissional qualificado de proteção de dados da UE antes de ser disponibilizado aos utilizadores. Não é juridicamente final e não deve ser publicado aos titulares de dados nesta forma.
Tradução de conveniência. Esta versão em português é disponibilizada por conveniência. Em caso de divergência, prevalece a versão inglesa.
Data de entrada em vigor: Ainda não em vigor
Versão: 1.1-rascunho
Última atualização: 2026-07-07
A Nutians é construída UE-primeiro e privacidade-primeiro: os seus dados são alojados na União Europeia, processados por um fornecedor de IA alojado na UE com um acordo de retenção zero, nunca vendidos e nunca usados para treinar modelos de IA. Esta política explica o que recolhemos, porquê, quem o processa, por quanto tempo o guardamos e os direitos que tem ao abrigo do RGPD (artigos 13.º a 22.º).
Quem somos
A Nutians é atualmente desenvolvida e operada por um programador individual sediado no Porto, Portugal. O nome legal final, o registo comercial, a situação de IVA e a morada postal completa serão concluídos antes do lançamento público. Esse operador é o responsável pelo tratamento dos seus dados pessoais. Operamos uma plataforma de acompanhamento nutricional e de bem-estar.
Contacto de proteção de dados: [email protected]
Não nomeámos formalmente um Encarregado de Proteção de Dados (DPO) nesta fase. Se um DPO é exigido ao abrigo do art. 37.º do RGPD será determinado na revisão jurídica. Até lá, todas as questões de proteção de dados devem ser dirigidas ao contacto acima.
O que esta política cobre
Esta Política de Privacidade explica que dados pessoais recolhemos, porque os recolhemos, quem os recebe, por quanto tempo os guardamos e que direitos tem ao abrigo do RGPD (arts. 13.º e 14.º).
Esta política cobre a app móvel Nutians, a aplicação web, o site, a API e serviços relacionados. Não cobre websites ou serviços de terceiros ligados a partir da nossa plataforma.
Dados próximos da saúde e consentimento explícito
A Nutians é uma ferramenta de bem-estar, não um serviço médico, mas alguns dados que escolha introduzir — como peso, medidas corporais, objetivos nutricionais, restrições alimentares, sinais de risco de perturbações alimentares, registos do ciclo menstrual, dados de atividade importados ou registos alimentares que revelem uma condição — podem qualificar-se como dados relativos à saúde ou outros dados sensíveis ao abrigo do artigo 9.º do RGPD.
Quando o artigo 9.º se aplica, baseamo-nos no seu consentimento explícito ao abrigo do art. 9.º, n.º 2, alínea a), além da base do art. 6.º indicada abaixo. O consentimento é recolhido separadamente durante o onboarding ou antes de a funcionalidade relevante ser usada. Pode retirar esse consentimento a qualquer momento em Tu → Privacidade e dados na app ou contactando [email protected]. Se o retirar, podemos não conseguir fornecer funcionalidades que precisem de dados nutricionais, corporais ou próximos da saúde, mas a retirada não afeta o tratamento já realizado licitamente antes dela.
Se não fornecer os dados necessários
Alguns dados são necessários para fornecer o Serviço: credenciais de conta, dados essenciais de perfil e os dados alimentares ou corporais que escolha registar. Se não fornecer dados de conta, não podemos criar uma conta. Se não fornecer dados de nutrição ou de perfil, o Serviço só pode oferecer funcionalidade limitada ou genérica.
Dados que recolhemos e porquê
1. Dados de conta e autenticação
O que recolhemos: Endereço de email, nome, palavra-passe com hash (se se registar com email/palavra-passe) ou credenciais e tokens do fornecedor OAuth (se iniciar sessão com um fornecedor terceiro). Também guardamos tokens de sessão, tokens de verificação de email, o seu endereço IP e o agente do navegador (associados a cada sessão, por motivos de segurança), a sua atestação de idade 18+, e — se o verificar — o seu número de telefone e o respetivo estado de verificação (ver a secção “Número de telefone e verificação por SMS” abaixo). Mantemos ainda um registo de eventos de início de sessão e verificação por segurança; este guarda um hash com chave (HMAC) do número de telefone, nunca o texto em claro.
Porquê: Para criar e proteger a sua conta e autenticar as suas sessões.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato (fornecer o serviço exige uma conta). Art. 6.º, n.º 1, alínea f) para o registo de eventos de segurança (proteção da conta e prevenção de abusos).
Retenção: Os tokens de sessão são válidos até à sua expiração. Os tokens de verificação de email expiram em 24 horas. Os eventos de segurança de início de sessão/verificação são eliminados após 90 dias. Os dados de conta são retidos durante a vida da sua conta e eliminados no prazo de 30 dias após um pedido confirmado de apagamento da conta.
2. Perfil e objetivos nutricionais
O que recolhemos: Idade, sexo biológico (opcional), altura, peso (último valor registado), percentagem de massa gorda (opcional), nível de atividade, objetivo nutricional, prioridades de macros, restrições alimentares, indicador de risco de perturbação alimentar (interno; derivado do nosso rastreio no onboarding; nunca partilhado), preferências de unidades (métrico / imperial, kcal / kJ).
Porquê: Para calcular os seus objetivos personalizados de calorias e macros com a fórmula de Mifflin-St Jeor e adequar a orientação nutricional ao seu perfil.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato. Quando estes dados se qualifiquem como dados de saúde ou outros dados do artigo 9.º, art. 9.º, n.º 2, alínea a) — consentimento explícito.
Retenção: Vida da sua conta; eliminados com o apagamento da conta.
3. Registos alimentares (texto em bruto) e entradas de refeição
O que recolhemos: O texto original do seu registo (p. ex., “salada de frango, tigela grande, almoço”), as entradas estruturadas extraídas pela IA a partir dele (nome do alimento, quantidade, unidade, valores de macros, pontuação de confiança, data/hora, notas de validação) e a referência do alimento de origem.
Porquê: Para acompanhar a sua ingestão nutricional, calcular os seus totais diários e semanais de macros e gerar insights.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato. Quando estes dados revelem informação de saúde ou outros dados do artigo 9.º, art. 9.º, n.º 2, alínea a) — consentimento explícito.
Retenção: O texto em bruto do registo é retido durante 18 meses a contar da submissão. Depois disso, o texto e os metadados de extração são removidos (anonimizados), mantendo-se o esqueleto da linha como âncora referencial para as entradas de refeição associadas. As entradas de refeição estruturadas são retidas durante a vida da sua conta.
4. Métricas corporais
O que recolhemos: Peso corporal, percentagem de massa gorda, medidas de cintura, anca e pescoço, registadas com data/hora e associadas ao registo original que as capturou.
Porquê: Para acompanhar a composição corporal a par dos dados nutricionais e incluir tendências nos seus resumos semanais.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato. Quando estes dados se qualifiquem como dados de saúde, art. 9.º, n.º 2, alínea a) — consentimento explícito.
Retenção: Vida da sua conta; eliminados com o apagamento da conta.
5. Resumos nutricionais
O que recolhemos: Documentos de resumo diários, semanais e mensais. Cada um contém: métricas calculadas (calorias consumidas, adesão de macros face aos objetivos, tendências face ao período anterior); uma narrativa gerada por IA que cita essas métricas; e, opcionalmente, uma sugestão de ajuste de objetivo (sempre apresentada como proposta que tem de aceitar explicitamente — nunca é aplicada automaticamente).
Porquê: Para lhe dar visibilidade sobre os seus padrões nutricionais ao longo do tempo e evidenciar tendências relevantes.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato. Quando as métricas ou narrativas dos resumos revelem dados do artigo 9.º, art. 9.º, n.º 2, alínea a) — consentimento explícito.
Retenção: Vida da sua conta; eliminados com o apagamento da conta.
6. Correções de alimentos e personalizações
O que recolhemos: As suas personalizações de alimentos (definições de alimentos personalizados e valores de macros) e mapeamentos de alias (p. ex., “batido de proteína” → um alimento específico com macros específicas, guardado quando corrige uma extração e escolhe “guardar como correção”).
Porquê: Para melhorar a precisão da extração para alimentos que regista repetidamente, sem os re-resolver de cada vez.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato. Quando alimentos personalizados ou correções revelem dados do artigo 9.º, art. 9.º, n.º 2, alínea a) — consentimento explícito.
Retenção: Vida da sua conta; eliminados com o apagamento da conta.
7. Histórico de chat
O que recolhemos: As suas conversas com o assistente de IA — as suas mensagens, as respostas do assistente, quaisquer propostas de ação feitas pelo assistente (log_entry, update_target, request_export) e as suas decisões de aceitar ou rejeitar.
Porquê: Para fornecer o assistente conversacional e manter a continuidade da conversa numa sessão. O histórico de chat é um registo de auditoria; o registo estruturado (entradas de refeição, objetivos) continua a ser os dados de referência — eliminar o histórico de chat nunca afeta o seu registo nutricional.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato. Quando o conteúdo de chat que fornece revele dados do artigo 9.º, art. 9.º, n.º 2, alínea a) — consentimento explícito.
Retenção: 90 dias a contar de cada mensagem. As mensagens são eliminadas automaticamente após este período.
8. Utilização de IA (contabilidade de custos anonimizada)
O que recolhemos: Contagens de tokens, custo em EUR, nome do fornecedor de IA, nome do modelo e o passo de processamento (extração, resumo, chat), associados ao seu ID de utilizador enquanto a sua conta estiver ativa.
Porquê: Para monitorizar o custo de IA por utilizador e aplicar o teto de custos do serviço, para preços sustentáveis.
Base legal: Art. 6.º, n.º 1, alínea f) do RGPD — interesse legítimo (gestão de custos e prestação sustentável do serviço). Avaliámos que este interesse não é sobreposto pelos seus interesses ou direitos fundamentais: os dados são minimizados (sem conteúdo, apenas tokens e custo) e anonimizados no apagamento da conta.
Retenção: 24 meses. O seu ID de utilizador é removido (definido como nulo) no apagamento da conta, deixando uma linha de custo anonimizada.
9. Monitorização de erros e desempenho (operacional)
O que recolhemos: Registos de erros da aplicação, stack traces e metadados de pedidos (que podem incluir incidentalmente identificadores de utilizador anonimizados, endereços IP ou agentes de navegador). Estes dados são processados pela Sentry e pela Better Stack. Configuramo-las para minimizar PII no contexto dos registos — conteúdo dos registos nutricionais e tokens de autenticação não devem aparecer em registos de erros.
Porquê: Para identificar e corrigir erros de software e manter a fiabilidade do serviço.
Base legal: Art. 6.º, n.º 1, alínea f) do RGPD — interesse legítimo (fiabilidade operacional do serviço).
Retenção: Conforme a configuração do subcontratante (tipicamente ≤90 dias).
10. Análise de produto
O que recolhemos: Eventos de utilização anonimizados e dados de interação com funcionalidades. Não enviamos conteúdo dos registos nutricionais, dados de perfil ou valores de macros para ferramentas de análise.
Porquê: Para compreender como o produto é usado e melhorá-lo.
Base legal: Art. 6.º, n.º 1, alínea a) do RGPD — consentimento, para armazenamento ou cookies de análise não essenciais na web; caso contrário, art. 6.º, n.º 1, alínea f) — interesse legítimo, para métricas operacionais essenciais próprias.
Retenção: Até 13 meses.
11. Registo do ciclo (opcional)
O que recolhemos: Eventos do ciclo menstrual que escolha registar — datas dos eventos e sintomas. Esta funcionalidade é estritamente opcional.
Porquê: Para mostrar o contexto do ciclo a par das suas tendências nutricionais e corporais.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato, e art. 9.º, n.º 2, alínea a) — consentimento explícito, recolhido antes de a funcionalidade ser ativada.
Retenção e proteção: Os dados do ciclo são encriptados ao nível da aplicação com uma chave dedicada por utilizador, separada de todos os seus outros dados. São mantidos durante a vida da sua conta e incluídos (desencriptados) na sua exportação de dados. Se retirar o consentimento do ciclo, os registos são eliminados e a chave dedicada é destruída (“crypto-shredding”), o que torna quaisquer cópias encriptadas residuais permanentemente ilegíveis.
12. Número de telefone e verificação por SMS
O que recolhemos: Se verificar um número de telefone (necessário para iniciar o teste gratuito): o número de telefone e o seu estado de verificação na sua conta; um registo de auditoria de envios/recusas de SMS, apenas com acréscimos, que guarda apenas hashes com chave (HMAC-SHA256) do número de telefone e do endereço IP — nunca o texto em claro; e, na web, o resultado de uma verificação anti-bot Cloudflare Turnstile.
Porquê: Para confirmar que é uma pessoa real, proteger o orçamento de envio de SMS contra abusos e aplicar a regra de um teste gratuito por pessoa.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato (a verificação que solicita); art. 6.º, n.º 1, alínea f) — interesse legítimo (prevenção de fraude e abuso) para os registos de auditoria com hash.
Retenção: O número de telefone permanece na sua conta durante a vida desta e é eliminado no apagamento. O registo com hash de resgate do teste é retido após o apagamento para prevenir abuso do teste — ver “O que é retido após o apagamento” abaixo.
13. Importações de plataformas de saúde (opcional)
O que recolhemos: Contagens diárias de passos importadas do Apple Health ou do Health Connect, mais o estado da ligação (que fonte está associada, estado de sincronização). As importações só acontecem depois de conceder permissão ao nível do sistema operativo.
Porquê: Para mostrar a sua atividade como contexto a par dos dados nutricionais. A atividade importada é apenas contexto — nunca é usada para calcular os seus objetivos energéticos.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato; art. 9.º, n.º 2, alínea a) — consentimento explícito (dados de saúde).
Retenção: Vida da sua conta; eliminados com o apagamento da conta. Desligar a fonte interrompe todas as leituras futuras. A atividade importada é incluída na sua exportação de dados.
14. Notificações
O que recolhemos: O token push do seu dispositivo (gerido pela WonderPush), um registo das notificações que lhe enviámos (tipo, data, se as abriu ou dispensou) e as suas preferências e silenciamentos de notificações.
Porquê: Para entregar os lembretes e sugestões que ativar, evitar duplicados e respeitar as dispensas.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato.
Retenção: Vida da sua conta; eliminados com o apagamento da conta. O histórico de notificações e as suas preferências são incluídos na sua exportação de dados.
15. Refeições guardadas, planos e modelos
O que recolhemos: Refeições guardadas e os seus itens, modelos de plano reutilizáveis, planos de refeições com data e a associação entre um item planeado e a entrada de registo que o cumpriu.
Porquê: Registo repetido com um toque e planeamento de refeições.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato.
Retenção: Vida da sua conta; eliminados com o apagamento da conta; incluídos na sua exportação de dados.
16. Referências e marcos
O que recolhemos: O seu código pessoal de referência, registos de atribuição de referências (que conta referiu qual), prémios de marcos (p. ex., “primeiro registo”) e créditos de mensagens do assistente ganhos.
Porquê: Para operar o programa de referências e os marcos de progresso.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato; art. 6.º, n.º 1, alínea f) — interesse legítimo (prevenção de fraude em referências).
Retenção: Vida da sua conta. No apagamento, os registos de atribuição de referências são anonimizados (as referências à conta são removidas) em vez de eliminados, para que a referência não possa voltar a ser creditada eliminando e recriando contas.
17. Partilha com coach (opcional)
O que recolhemos: Se convidar um coach ou parceiro: a autorização de partilha — o endereço de email do convidado, o âmbito partilhado e o seu estado (pendente / ativa / revogada).
O que é partilhado: Uma vista semanal só de leitura: resumo semanal, tendência de peso, calendário de adesão e histórico de objetivos. O conteúdo do chat e os registos alimentares em bruto nunca são partilhados.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — tratamento sob a sua direção; o email do convidado é processado por sua instrução para entregar o convite.
Retenção: Até revogar o link ou até uma das contas ser apagada; as suas autorizações de partilha são incluídas na sua exportação de dados.
18. Dados de subscrição e permissões
O que recolhemos: O estado e o nível da sua subscrição, e um registo de eventos do ciclo de compra recebidos da RevenueCat e das lojas de aplicações (renovação, cancelamento, reembolso). Nunca recebemos nem armazenamos os dados do seu cartão de pagamento.
Porquê: Para saber a que funcionalidades a sua conta tem direito.
Base legal: Art. 6.º, n.º 1, alínea b) do RGPD — execução de um contrato.
Retenção: Vida da sua conta; eliminados com o apagamento da conta (o registo financeiro de referência permanece na Apple, Google ou Stripe, ao abrigo das respetivas obrigações de retenção). Incluídos na sua exportação de dados.
Como a IA processa os seus dados
A Nutians usa modelos de linguagem da Mistral AI, um fornecedor sediado na UE, para alimentar três funcionalidades:
- Extração de registos alimentares — o texto do seu registo e, para captura por fotografia ou rótulo, a imagem submetida são enviados a um modelo de IA para identificar alimentos, quantidades e datas/horas. Este é o único processamento de IA que vê o texto em bruto do seu registo ou as imagens.
- Narrativas de resumo — a IA recebe apenas métricas numéricas calculadas e um extrato do perfil (não o texto em bruto dos registos) para gerar o comentário narrativo dos seus resumos diários e semanais.
- Assistente conversacional — a IA recebe um contexto composto do seu perfil, resumos recentes e objetivos. Os registos em bruto não são incluídos por defeito; são obtidos no momento apenas se referir uma data passada específica.
Alojada na UE, retenção zero, sem treino: A Mistral processa os seus dados na UE, ao abrigo de um acordo de processamento de dados que proíbe reter o seu conteúdo para além do pedido e proíbe usar os seus dados para treinar modelos. Quando elimina a sua conta, não há dados a apagar no fornecedor de IA.
Propostas, não decisões: As propostas de ajuste de objetivos geradas por IA nunca são aplicadas automaticamente — tem de clicar num botão explícito de “Aplicar”. As entradas de registo ou alterações de objetivos propostas pelo assistente de chat também exigem a sua confirmação explícita antes de serem executadas. A plataforma está arquitetada para que nenhum resultado da IA produza efeitos sem a sua aprovação.
Subcontratantes
Os seguintes subcontratantes processam dados pessoais em nosso nome. Todos estão vinculados por um Acordo de Processamento de Dados (DPA) ou salvaguarda contratual equivalente. Esta lista é sincronizada com o nosso Registo de Tratamento (art. 30.º).
| Subcontratante | Função | Dados recebidos | Localização |
|---|---|---|---|
| Neon | Base de dados PostgreSQL gerida | Todos os dados pessoais residentes na BD | UE |
| Mistral AI | Inferência de IA (extração, visão, resumos, coach) | Texto dos registos / imagens / métricas calculadas (transitório, retenção zero, sem treino) | UE (França) |
| Brevo | Email transacional + códigos de verificação SMS | Email, número de telefone, conteúdo das mensagens | UE |
| RevenueCat | Gestão de subscrições e permissões | ID pseudónimo de utilizador da app, estado da compra | EUA (SCC) |
| Apple App Store / Google Play | Processamento de compras na app | Token de compra; pagamento gerido pela loja | Conforme a loja |
| Stripe | Processamento de pagamentos por cartão na web via RevenueCat Web Billing | Email, estado do pagamento (dados do cartão na Stripe) | EUA (SCC) |
| WonderPush | Notificações push | Token push do dispositivo, conteúdo das notificações | UE |
| Backblaze B2 | Armazenamento de ficheiros de exportação e relatórios PDF (links assinados) | Os seus pacotes de exportação / relatório | UE |
| Cloudflare (Turnstile) | Proteção contra bots nas páginas web de início de sessão e verificação por telefone | Token do desafio Turnstile, endereço IP, sinais do navegador | Global (SCC) |
| Sentry | Monitorização de erros | Stack traces, metadados de pedidos anonimizados | EUA (SCC) |
| Better Stack | Agregação de registos, monitorização de disponibilidade | Registos da aplicação | UE |
A análise de produto é própria (first-party): eventos de utilização anonimizados são armazenados na nossa própria base de dados na UE (ver a categoria 10 acima). Nenhum serviço de análise de terceiros recebe os seus dados.
Consultas a bases de dados de alimentos: para resolver alimentos e códigos de barras, os nossos servidores consultam as bases de dados públicas OpenFoodFacts (França) e USDA FoodData Central (EUA). Apenas o nome do alimento ou o código de barras do seu registo é enviado — nunca a sua identidade, identificadores de conta ou quaisquer outros dados pessoais.
Notificá-lo-emos antes de qualquer novo subcontratante que afete materialmente os seus dados pessoais ser adicionado.
Transferências internacionais
Os seus dados pessoais são alojados na UE (região UE da Neon). Quando subcontratantes fora do Espaço Económico Europeu (EEE) processam os seus dados — especificamente RevenueCat, Stripe e Sentry — baseamo-nos nas Cláusulas Contratuais-Tipo (SCC) como mecanismo de transferência ao abrigo do Capítulo V do RGPD. O processamento central — base de dados, IA, email/SMS, push e armazenamento de exportações — permanece na UE.
Os seus direitos ao abrigo do RGPD
Direito de acesso (art. 15.º)
Pode pedir uma cópia dos dados pessoais que temos sobre si. Use a funcionalidade na app Tu → Privacidade e dados → Exportar os meus dados, ou contacte [email protected]. Responderemos no prazo de um mês.
Direito de retificação (art. 16.º)
Pode corrigir o seu perfil, editar qualquer entrada de refeição, atualizar os seus objetivos e ajustar as suas correções de alimentos diretamente na app, a qualquer momento.
Direito ao apagamento (art. 17.º)
Pode eliminar a sua conta e todos os dados pessoais associados. O processo funciona assim:
- Vá a Tu → Privacidade e dados → Eliminar conta e confirme a sua intenção.
- Receberá um email de confirmação com um link em que tem de clicar para prosseguir. Este processo em dois passos protege contra eliminações acidentais ou não autorizadas.
- Assim que clicar no link de confirmação, o seu início de sessão é desativado imediatamente e é agendada uma eliminação definitiva de todos os seus dados pessoais, concluída no prazo de 30 dias.
- Concluída a eliminação, receberá um email de conclusão.
Pode cancelar a eliminação antes de esta ser concluída contactando [email protected].
O que é retido após o apagamento:
- Um registo mínimo de conformidade na tabela
erasure_audit— contendo apenas um hash opaco e não reversível do seu ID de utilizador, as datas/horas do pedido, da confirmação e da conclusão, e a lista de categorias de dados eliminadas. Não contém nome, email nem dados nutricionais, não tem ligação na base de dados à sua conta eliminada e é retido durante 7 anos como prova de cumprimento do art. 17.º. - Se resgatou o teste gratuito: um hash com chave (HMAC) do seu número de telefone verificado no registo de resgate do teste. Este é retido após o apagamento ao abrigo do art. 6.º, n.º 1, alínea f) — interesse legítimo (prevenir o resgate repetido do teste gratuito através da eliminação e recriação de contas). O registo não contém o número de telefone em claro e não pode ser revertido sem um segredo do lado do servidor. Pode opor-se a esta retenção (ver “Direito de oposição” abaixo).
- Linhas operacionais anonimizadas: as linhas de contabilidade de custos de IA e os eventos de segurança de início de sessão têm a referência à conta removida (definida como nula); os registos anonimizados de atribuição de referências são mantidos para prevenção de fraude. Nenhum destes pode ser associado de novo a si.
Dados no fornecedor de IA: Como a Mistral opera com termos de retenção zero para este processamento, não há dados de utilizador a apagar no fornecedor de IA quando elimina a sua conta.
Direito à portabilidade dos dados (art. 20.º)
Pode pedir uma exportação legível por máquina dos seus dados pessoais (formato JSON e CSV por categoria):
- Vá a Tu → Privacidade e dados → Exportar os meus dados e escolha o intervalo de datas (ou peça todo o histórico).
- Preparamos a sua exportação em segundo plano e enviamos-lhe um link de descarregamento por email.
- O link de descarregamento é válido durante 7 dias.
A exportação inclui todas as categorias de dados visíveis para o utilizador: identidade da conta, perfil, objetivos, registos em bruto, entradas de refeição, métricas corporais, resumos, correções de alimentos, histórico de chat, registos do ciclo (desencriptados), histórico e preferências de notificações, histórico de consentimentos, registos de subscrição, correções manuais de métricas, histórico de inícios de sessão, prémios de marcos, refeições guardadas, atividade de saúde importada, estimativas de gasto energético, modelos de plano, planos de refeições e autorizações de partilha com coach. Um ficheiro de manifesto no ZIP lista exatamente o que foi incluído. Dados operacionais (tokens de autenticação, contadores de quota e estado da bateria de mensagens, linhas de utilização de IA, infraestrutura de entrega de push, códigos de referência) não são incluídos.
Direito à limitação do tratamento (art. 18.º)
Pode pedir que limitemos o tratamento dos seus dados em determinadas circunstâncias (p. ex., enquanto contesta a exatidão dos dados). Contacte [email protected].
Direito de oposição (art. 21.º)
Quando o tratamento se baseia em interesse legítimo (contabilidade de custos de IA, monitorização de erros, métricas operacionais essenciais), pode opor-se. Contacte [email protected]. Avaliaremos se os nossos fundamentos legítimos prevalecem sobre os seus interesses. Chamamos explicitamente a atenção para este direito porque o RGPD exige que o direito de oposição seja apresentado de forma clara e separada.
Direito de retirar o consentimento (art. 7.º, n.º 3)
Quando o tratamento se baseia no seu consentimento, pode retirá-lo a qualquer momento: os consentimentos de funcionalidades próximas da saúde (incluindo o registo do ciclo) em Tu → Privacidade e dados na app, e o consentimento de análise do website no aviso de cookies do site (ou limpando o armazenamento do navegador). Pode também contactar [email protected]. A retirada não afeta a licitude do tratamento anterior à retirada.
Direito de apresentar reclamação (art. 77.º)
Tem o direito de apresentar reclamação junto da sua autoridade nacional de controlo de proteção de dados. Uma lista das autoridades de controlo da UE está disponível em: edpb.europa.eu/about-edpb/board/members_en. Em Portugal, a autoridade de controlo é a CNPD (Comissão Nacional de Proteção de Dados).
Decisões automatizadas e definição de perfis (art. 22.º)
A plataforma usa IA e processamento algorítmico para extrair estrutura dos seus registos, gerar resumos e alimentar o assistente de chat. Estes processos constituem definição de perfis (art. 4.º, n.º 4, do RGPD), na medida em que analisam os seus dados pessoais para produzir insights sobre os seus padrões nutricionais.
Não são tomadas decisões exclusivamente automatizadas com efeitos jurídicos ou similarmente significativos sobre si (art. 22.º). Em concreto:
- Os ajustes de objetivos sugeridos pela IA nos resumos são propostas que exigem a sua aceitação explícita.
- As entradas de registo ou alterações de objetivos propostas pela IA via chat exigem a sua confirmação explícita.
- As regras de validação que bloqueiam uma entrada em rascunho retêm-na para a sua revisão — nunca descartam os seus dados em silêncio e pode anulá-las.
Pode editar ou eliminar qualquer entrada, objetivo ou correção a qualquer momento.
Dados de menores
O nosso serviço destina-se a utilizadores com 18 anos ou mais. Exigimos uma atestação de idade no registo. Não processamos conscientemente dados pessoais de menores de 18 anos. Se tivermos conhecimento de que um menor criou uma conta, eliminaremos essa conta prontamente.
Segurança
Protegemos os seus dados pessoais com encriptação em repouso (gerida pelo nosso fornecedor de base de dados, Neon) e em trânsito (TLS). Adicionalmente, o conteúdo mais sensível — texto em bruto dos registos alimentares, mensagens de chat e registos do ciclo — é encriptado uma segunda vez ao nível da aplicação com chaves por utilizador, ficando armazenado como texto cifrado mesmo dentro da base de dados; os dados do ciclo usam a sua própria chave dedicada, para que a retirada do consentimento do ciclo os possa destruir de forma independente (“crypto-shredding”). O acesso está restrito a utilizadores autenticados, apenas aos seus próprios dados. As chamadas à API do fornecedor de IA são feitas por TLS para endpoints na UE, operando com acordos de retenção zero. Mantemos um registo de auditoria para operações privilegiadas.
Um modelo de ameaças detalhado e a descrição dos nossos controlos de segurança são mantidos internamente e revistos regularmente.
Alterações a esta política
Notificá-lo-emos por email e por aviso na app antes de fazermos alterações materiais a esta política. A data de entrada em vigor acima será atualizada. A utilização continuada do serviço após a data de entrada em vigor constitui aceitação. Mantém o direito de eliminar a sua conta se não aceitar a política atualizada.
Contacte-nos
Para todas as questões de proteção de dados:
Email: [email protected]
Morada postal: Nutians, Porto, Portugal (nome legal completo, número de registo, dados de IVA e morada postal completa a finalizar antes do lançamento, quando aplicável)
Este documento é um rascunho pronto para revisão. Não foi revisto por aconselhamento jurídico qualificado e não é juridicamente final. Deve ser revisto e aprovado por um profissional qualificado de proteção de dados da UE antes de ser publicado aos utilizadores.