Documento legal

Política de Privacidade

FitShare Tecnologia e Saúde Ltda.

Versão 1.0 · março de 2026 · Vigência: 09/03/2026

privacidade@fitshare.com.br · LGPD · GDPR · ANPD Compliant

1. Quem Somos e Identificação do Controlador· Art. 41 LGPD · Art. 13 GDPR

A FitShare Tecnologia e Saúde Ltda. ("FitShare", "nós" ou "Controlador") é uma healthtech brasileira cujo objeto é promover saúde, bem-estar e hábitos ativos por meio de plataformas digitais gamificadas. Nossa missão é transformar a jornada de saúde em uma experiência motivadora, colaborativa e tecnologicamente segura.

Dado do Controlador	Informação
Razão Social	FitShare Tecnologia e Saúde Ltda.
CNPJ	[CNPJ da empresa]
Endereço Sede	[Endereço completo — Rua, nº, Bairro, Cidade/UF, CEP]
E-mail Geral	contato@fitshare.com.br
E-mail DPO	dpo@fitshare.com.br
Nome do Encarregado (DPO)	Maria Beatriz Pinheiro Cavalcante
Telefone	[Telefone com DDD]
Autoridade Supervisora BR	ANPD — anpd.gov.br
Autoridade Supervisora UE	Autoridade de proteção de dados do país de estabelecimento do titular

A FitShare atua como Controladora dos dados pessoais tratados por meio de seus aplicativos, plataformas web, APIs e demais canais digitais ("Serviços").

2. Categorias de Dados Pessoais Coletados· Art. 5º, I LGPD · Art. 4º GDPR

2.1 Dados de Cadastro e Identificação

Nome completo, CPF, data de nascimento, sexo/gênero
Endereço de e-mail, número de telefone
Nome de usuário (username) e foto de perfil (opcional)
Senha (armazenada em hash criptográfico — nunca em texto puro)
Dados de login social (Google, Apple ID) quando utilizados

2.2 Dados de Saúde e Biométricos ⚠️ Dados Sensíveis

Atenção — Categoria especial de dado

Os dados listados nesta seção são considerados DADOS SENSÍVEIS pela LGPD (Art. 5º, II) e pelo GDPR (Art. 9º), exigindo proteção e bases legais reforçadas.

Frequência cardíaca (repouso, exercício, recuperação)
Peso, altura, IMC, percentual de gordura corporal
Pressão arterial e nível de saturação de oxigênio (SpO₂)
Histórico de condições de saúde declaradas voluntariamente
Informações sobre medicamentos e restrições físicas
Dados de ciclo menstrual e saúde reprodutiva (quando compartilhados)
Qualidade e duração do sono
Nível de estresse / HRV (variabilidade da frequência cardíaca)

2.3 Dados de Atividade Física e Performance

Registro de exercícios: tipo, duração, intensidade, calorias
Geolocalização durante atividades ao ar livre (apenas se autorizada)
Passos diários, distância percorrida, andares subidos
Dados sincronizados de wearables (Garmin, Fitbit, Apple Watch, Samsung Health etc.)
Metas pessoais de saúde e respectivo progresso

2.4 Dados de Gamificação e Comportamento

Pontuações, ranking, conquistas, badges e streaks
Desafios participados e resultados obtidos
Interações sociais na plataforma (seguir, curtir, comentar)
Histórico de uso das funcionalidades do aplicativo

2.5 Dados Técnicos e de Dispositivo

Endereço IP, tipo de navegador, sistema operacional
Identificadores de dispositivo (IMEI, IDFA, GAID)
Logs de acesso, timestamps e eventos de sistema
Dados de diagnóstico e crashlogs

2.6 Dados de Pagamento

Dados de transações (processados por gateway certificado PCI-DSS)
Histórico de assinaturas e planos contratados

Importante — Cartão de crédito

Números de cartão de crédito NUNCA são armazenados pela FitShare. O processamento financeiro é delegado integralmente a parceiros certificados PCI-DSS, que seguem padrões internacionais de segurança.

3. Bases Legais para o Tratamento· Art. 7º e 11º LGPD · Art. 6º e 9º GDPR

Todo tratamento de dados pessoais realizado pela FitShare possui uma base legal específica, conforme exigido pela LGPD e pelo GDPR. A tabela abaixo apresenta o mapeamento completo:

Base Legal	LGPD	GDPR	Aplicação Principal
Consentimento	Art. 7º, I	Art. 6(1)(a)	Dados sensíveis de saúde, geolocalização, marketing personalizado
Execução de Contrato	Art. 7º, V	Art. 6(1)(b)	Cadastro, prestação dos Serviços, cobrança
Obrigação Legal	Art. 7º, II	Art. 6(1)(c)	Obrigações fiscais, trabalhistas e regulatórias
Legítimo Interesse	Art. 7º, IX	Art. 6(1)(f)	Segurança da plataforma, antifraude, análises agregadas
Proteção da Vida / Saúde	Art. 7º, VII	Art. 9(2)(c)	Monitoramento de indicadores de risco à saúde do titular
Tutela da Saúde (sensíveis)	Art. 11, II, f	Art. 9(2)(h)	Tratamento de dados sensíveis em contexto de saúde preventiva

Consentimento para dados sensíveis

O consentimento para dados de saúde e biométricos é sempre específico, destacado, livre e informado, coletado por mecanismo granular dentro do aplicativo. Você pode revogá-lo a qualquer momento sem prejuízo ao uso básico da plataforma.

4. Finalidades do Tratamento· Art. 6º, I LGPD · Art. 5(1)(b) GDPR

#	Finalidade	Dados Utilizados	Base Legal	Retenção
1	Criação e gestão de conta	Identificação, e-mail, senha	Contrato	5 anos
2	Personalização da jornada de saúde	Dados de saúde, metas, histórico	Consentimento	20 anos
3	Sistema de gamificação (pontos, ranking)	Atividade, desempenho, comportamento	Contrato	5 anos
4	Recomendações via IA/ML	Saúde, comportamento, histórico	Consentimento	20 anos
5	Comunicações sobre os Serviços	E-mail, telefone	Contrato / Leg. Interesse	5 anos
6	Marketing e notificações (opt-in)	E-mail, uso, preferências	Consentimento	Até revogação
7	Pesquisa e melhoria da plataforma	Logs, comportamento (anonimizados)	Legítimo Interesse	Anonimizados
8	Prevenção à fraude e segurança	IP, dispositivo, padrão de uso	Legítimo Interesse	6 meses
9	Cumprimento de obrigações legais	Conforme exigido por lei	Obrigação Legal	Var.
10	Alertas de saúde e emergências	Dados biométricos em tempo real	Proteção da Vida	20 anos

Princípio da finalidade

Os dados são tratados exclusivamente para as finalidades declaradas nesta tabela. Qualquer novo tratamento incompatível com a finalidade original exigirá nova base legal ou novo consentimento expresso do titular.

5. Dados Sensíveis de Saúde — Tratamento Especial· Art. 11 LGPD · Art. 9 GDPR

Os dados de saúde são reconhecidos tanto pela LGPD (Art. 5º, II) quanto pelo GDPR (Art. 9º) como categorias especiais que demandam nível de proteção elevado. A FitShare adota medidas reforçadas para este tipo de dado.

5.1 Medidas e Princípios Reforçados Aplicados

Minimização: coletamos apenas os dados de saúde estritamente necessários para cada funcionalidade ativada
Granularidade do consentimento: cada categoria de dado sensível é consentida separadamente, com linguagem acessível e sem juridiquês
Revogação simplificada: o titular pode revogar o consentimento para dados sensíveis de forma granular via "Configurações de Privacidade" no app
Acesso restrito: apenas colaboradores com necessidade legítima (need-to-know) acessam dados de saúde identificados
Pseudonimização: dados de saúde são pseudonimizados nas camadas analíticas e de IA
Segregação de ambiente: dados sensíveis são armazenados em bancos de dados segregados com controles adicionais de acesso e criptografia

5.2 Hipóteses de Tratamento Sem Consentimento (Art. 11, II LGPD)

Cumprimento de obrigação legal ou regulatória
Proteção da vida ou da incolumidade física do titular ou de terceiros
Tutela da saúde, exclusivamente em procedimento realizado por profissionais habilitados ou entidades sanitárias
Exercício regular de direitos em processo judicial, administrativo ou arbitral

Proibição absoluta

A FitShare NUNCA vende, cede ou monetiza dados de saúde para fins de publicidade comportamental, para empresas de seguros, planos de saúde ou empregadores sem consentimento expresso e específico do titular, em conformidade com o Art. 11, § 4º da LGPD.

6. Gamificação, Inteligência Artificial e Decisões Automatizadas· Art. 20 LGPD · Art. 22 GDPR

6.1 Como a Gamificação Utiliza Seus Dados

O sistema de gamificação da FitShare processa dados de atividade física, metas e comportamento para gerar pontuações, conquistas, rankings e recompensas. Esses processamentos são baseados em regras predefinidas e/ou modelos de aprendizado de máquina desenvolvidos e auditados internamente.

6.2 Seus Direitos sobre Decisões Automatizadas

Quando utilizamos IA para recomendar planos de treino, dietas ou gerar alertas de saúde, você tem o direito de:

Solicitar revisão humana da decisão automatizada
Expressar seu ponto de vista sobre a recomendação gerada
Contestar decisões que afetem seus interesses de forma significativa
Receber explicação clara sobre os critérios e a lógica utilizados no processamento

Transparência algorítmica

Nossos modelos de IA são auditados periodicamente para prevenção de vieses relacionados a gênero, idade, etnia ou condição de saúde. Relatórios de auditoria estão disponíveis mediante solicitação ao DPO.

6.3 Dados Analíticos e Pesquisa

Dados anonimizados e/ou pseudonimizados podem ser utilizados para pesquisas sobre comportamento de saúde e eficácia de programas. Quando genuinamente anonimizados, esses dados não permitem identificação individual e deixam de estar sujeitos à LGPD ou ao GDPR (Art. 12 LGPD; Recital 26 GDPR).

7. Compartilhamento com Terceiros· Art. 7º, § 5º e Art. 26 LGPD · Art. 28 GDPR

A FitShare NÃO VENDE seus dados pessoais. O compartilhamento ocorre apenas nas hipóteses abaixo, sempre amparado por contrato ou obrigação legal:

Categoria de Terceiro	Dados Compartilhados	Finalidade	Base Legal
Operadores de infraestrutura (AWS, GCP, Azure)	Todos (armazenamento)	Hospedagem e computação	Contrato + DPA
Gateway de pagamento (PCI-DSS certificado)	Dados transacionais	Processamento financeiro	Contrato
Parceiros de saúde (clínicas, wearables)	Dados de saúde (consentidos)	Integração de serviços	Consentimento
Ferramentas de analytics	Dados pseudonimizados	Melhoria da plataforma	Legítimo Interesse
Autoridades públicas e judiciais	Conforme requisitado	Cumprimento de ordens legais	Obrigação Legal
Sucessores em M&A (com aviso prévio)	Todos (com aviso prévio ao titular)	Reestruturação societária	Legítimo Interesse

Data Processing Agreements (DPA)

Todos os terceiros que tratam dados em nosso nome assinam um Data Processing Agreement (DPA) com cláusulas de segurança, confidencialidade e limitação de finalidade, conforme Art. 26 da LGPD e Art. 28 do GDPR.

8. Transferência Internacional de Dados· Art. 33 a 36 LGPD · Capítulo V GDPR

Alguns dos nossos parceiros de infraestrutura e tecnologia estão localizados fora do Brasil e da União Europeia. Quando realizamos transferências internacionais, garantimos proteção adequada por meio de:

Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia, incorporadas em nossos contratos com todos os parceiros internacionais
Adequação reconhecida pela ANPD para países com nível de proteção equivalente ao brasileiro, conforme regulamentação vigente
Consentimento específico do titular, quando nenhuma outra salvaguarda adequada estiver disponível
Normas Corporativas Vinculantes (BCRs) quando aplicável a grupos empresariais multinacionais

Principais destinos das transferências

Estados Unidos (AWS / Google Cloud Platform), União Europeia (backup), Brasil (sede e processamento principal). Todos os destinos possuem DPAs firmados e salvaguardas adequadas documentadas no Registro de Atividades de Tratamento (RAT).

9. Prazos de Retenção e Exclusão de Dados· Art. 15 a 16 LGPD · Art. 17 GDPR

Categoria de Dado	Prazo de Retenção	Fundamento Legal
Dados de cadastro e identificação	Vigência da conta + 5 anos	Prazo prescricional — Código Civil/2002
Dados de saúde e biométricos	Vigência + 20 anos	Resolução CFM 1.821/2007 (adaptada à healthtech)
Logs de acesso à aplicação	6 meses	Art. 15, Marco Civil da Internet (Lei 12.965/2014)
Dados de transações financeiras	5 anos após a transação	Lei 9.613/1998 (anti-lavagem de dinheiro)
Dados de marketing (opt-in)	Até revogação do consentimento	LGPD Art. 7º, I
Dados de suporte ao cliente	2 anos após encerramento do ticket	Legítimo Interesse / CDC
Backups (cópias de segurança)	90 dias (ciclo de rotação incremental)	Política Interna de TI

9.1 Processo de Exclusão (Right to Erasure)

Ao encerrar sua conta ou solicitar a exclusão de dados, aplicamos o seguinte processo:

Desativação imediata do acesso à conta
Exclusão lógica dos dados ativos em até 30 dias corridos
Exclusão física dos backups ao final do ciclo de rotação (90 dias)
Confirmação por e-mail do processo de exclusão com número de protocolo
Dados sujeitos a retenção legal são mantidos de forma segregada, bloqueada e sem acesso operacional

10. Segurança da Informação· Art. 46 a 51 LGPD · Art. 32 GDPR

A FitShare adota medidas técnicas e organizacionais alinhadas ao estado da arte (state of the art) para proteger seus dados contra acesso não autorizado, perda, alteração ou destruição.

10.1 Medidas Técnicas Implementadas

Criptografia em trânsito: TLS 1.3 em todas as comunicações
Criptografia em repouso: AES-256 para dados sensíveis de saúde e biométricos
Autenticação multifator (MFA): disponível e incentivada para todos os usuários
Pseudonimização: chaves separadas por ambiente (produção / analytics / IA)
Monitoramento contínuo: SIEM com alertas em tempo real para anomalias de segurança
Testes de penetração (pentest): realizados anualmente por empresa independente certificada
Controle de acesso: RBAC (Role-Based Access Control) com princípio do menor privilégio
WAF (Web Application Firewall) e proteção DDoS implementados em toda a infraestrutura

10.2 Medidas Organizacionais

Programa de treinamento em privacidade e segurança para todos os colaboradores (LGPD + GDPR)
Política interna de segurança da informação (ISO/IEC 27001 como referência de boas práticas)
Cláusulas de confidencialidade em todos os contratos com parceiros e fornecedores
Privacy by Design e Privacy by Default aplicados em todos os novos desenvolvimentos
Comitê de Privacidade multidisciplinar com reuniões trimestrais e registro de atas

10.3 Gestão de Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a FitShare adotará as seguintes medidas:

Notificação à ANPD em prazo razoável (preferencialmente até 72 horas após a ciência, alinhado ao GDPR)
Comunicação aos titulares afetados de forma clara, acessível e sem jargão técnico
Adoção imediata de medidas de contenção, remediação e investigação forense
Documentação do incidente no Registro de Atividades de Tratamento (RAT) com lições aprendidas

11. Direitos dos Titulares de Dados· Art. 17 a 22 LGPD · Art. 15 a 22 GDPR

Você possui os seguintes direitos garantidos por lei, exercíveis de forma gratuita e a qualquer momento:

Direito	O que garante	LGPD	GDPR
Acesso	Confirmar a existência de tratamento e acessar seus dados pessoais	Art. 18, I e II	Art. 15
Correção	Corrigir dados incompletos, inexatos ou desatualizados	Art. 18, III	Art. 16
Eliminação	Solicitar a exclusão de dados tratados com base em consentimento	Art. 18, VI	Art. 17
Portabilidade	Receber seus dados em formato estruturado e interoperável	Art. 18, V	Art. 20
Oposição	Opor-se a tratamentos desnecessários, excessivos ou ilegítimos	Art. 18, IX	Art. 21
Bloqueio	Bloquear dados desnecessários ou tratados em desconformidade	Art. 18, IV	Art. 18
Informação de terceiros	Saber com quais entidades seus dados foram compartilhados	Art. 18, VII	Art. 15(1)(c)
Revogação do Consentimento	Retirar consentimento a qualquer momento, sem ônus	Art. 18, IX	Art. 7(3)
Revisão Humana (IA)	Solicitar revisão humana de decisão tomada automaticamente	Art. 20	Art. 22
Base Legal	Conhecer a base legal utilizada para cada tratamento	Art. 18, VIII	Art. 13/14

11.1 Como Exercer Seus Direitos

Via App: acesse Configurações → Privacidade → Gerenciar Meus Dados
Por e-mail: envie para privacidade@fitshare.com.br com assunto "Exercício de Direito — [seu nome]"
Por formulário online: fitshare.com.br/privacidade/solicitacao

Prazo de resposta

Respondemos às solicitações de titulares em até 15 dias úteis (conforme LGPD) ou 30 dias corridos prorrogáveis por mais 60 dias quando justificado (conforme GDPR). Em todos os casos, comunicamos o andamento da solicitação de forma transparente.

11.2 Reclamação à Autoridade Supervisora

Se considerar que seus direitos não foram devidamente atendidos pela FitShare, você pode registrar uma reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD) em anpd.gov.br ou, se aplicável o GDPR, junto à autoridade de proteção de dados da União Europeia do seu país de residência.

12. Cookies, Rastreadores e Tecnologias Similares· Art. 7º LGPD · Diretiva ePrivacy UE

Tipo de Cookie	Finalidade	Duração	Base Legal
Essenciais / Sessão	Funcionamento básico, autenticação, segurança	Sessão	Legítimo Interesse (dispensam consentimento)
Preferências	Idioma, tema, configurações do aplicativo	1 ano	Consentimento
Analytics	Métricas de uso anonimizadas	2 anos	Consentimento
Marketing (opt-in exclusivo)	Publicidade relevante, apenas se consentido	90 dias	Consentimento

Você pode gerenciar suas preferências de cookies a qualquer momento por meio do Centro de Preferências de Privacidade, disponível no rodapé do site e nas configurações do aplicativo. A revogação do consentimento para cookies não essenciais não afeta a usabilidade básica da plataforma.

13. Proteção de Crianças e Adolescentes· Art. 14 LGPD · Art. 8º GDPR · ECA

Crianças menores de 13 anos

A FitShare NÃO coleta intencionalmente dados de crianças com menos de 13 anos. Caso seja identificado tratamento inadvertido de dados de menores de 13 anos, os dados serão excluídos imediatamente. Responsáveis legais devem reportar ao DPO: dpo@fitshare.com.br.

14. Alterações desta Política de Privacidade· Art. 8º, § 6º LGPD · Art. 7º GDPR

Esta Política pode ser atualizada periodicamente para refletir mudanças nos Serviços, na legislação aplicável ou nas nossas práticas de privacidade. Nos comprometemos a:

Notificar você com antecedência mínima de 30 dias antes de mudanças materiais entrarem em vigor
Comunicar alterações por e-mail, notificação push no aplicativo e banner destacado no site
Manter o histórico de versões anteriores disponível em fitshare.com.br/politica/historico
Obter novo consentimento, quando a mudança afetar tratamentos baseados em consentimento

A continuidade do uso dos Serviços após o prazo de aviso implica concordância com a versão atualizada. Em caso de alterações materiais que afetem dados sensíveis de saúde, a FitShare solicitará confirmação ativa do titular antes de dar continuidade ao tratamento.

15. Encarregado de Dados (DPO) e Canais de Contato· Art. 41 LGPD · Art. 37 GDPR

A FitShare designou um Encarregado de Proteção de Dados (DPO), conforme exigido pelo Art. 41 da LGPD e Art. 37 do GDPR, responsável por:

Receber e atender solicitações, reclamações e comunicações dos titulares de dados
Comunicar-se com a ANPD e demais autoridades de proteção de dados
Orientar colaboradores e operadores sobre boas práticas de privacidade e segurança
Coordenar o programa interno de proteção de dados pessoais
Responder a incidentes de segurança e coordenar notificações regulatórias

Encarregado / DPO (Brasil)

Maria Beatriz Pinheiro Cavalcante

E-mail: dpo@fitshare.com.br

Telefone: (84) 99935-3353

Horário: Seg–Sex · 09h–18h (BRT)

Prazo de resposta: 15 dias úteis

Canal de Privacidade

privacidade@fitshare.com.br

Portal: fitshare.com.br/privacidade

Endereço: [Endereço completo]

A/C: Encarregado de Dados

16. Disposições Finais e Lei Aplicável· LGPD · GDPR · Marco Civil da Internet

Esta Política de Privacidade é regida e interpretada de acordo com:

Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018)
Marco Civil da Internet (Lei nº 12.965/2014)
Código de Defesa do Consumidor (Lei nº 8.078/1990)
Regulamento Geral de Proteção de Dados da União Europeia (GDPR — Reg. UE 2016/679), no que for aplicável
Diretrizes e Notas Técnicas publicadas pela ANPD

Para usuários localizados na União Europeia, além dos direitos acima, também se aplicam integralmente os direitos previstos no Capítulo III do GDPR. Você pode exercê-los perante a autoridade supervisora do seu país de residência sem prejuízo de qualquer recurso judicial.

Fica eleito o foro da Comarca de [Cidade/Estado] para dirimir quaisquer controvérsias decorrentes desta Política, ressalvadas as hipóteses de competência exclusiva ou de eleição de foro pelo consumidor nos termos do CDC.

Versão e vigência

Versão 1.0 — Publicada em: 09/03/2026 — Vigência a partir de: 10/03/2026. Próxima revisão programada: 01/07/2026.