Política de Privacidade
Última atualização: 15 de maio de 2026
Responsável pelo tratamento: Plyko, aplicação publicada a partir de França e sujeita ao direito europeu e francês.
Contacto: privacy@plyko.app
Esta política explica que dados o Plyko («nós») recolhe quando usas a app e o backend, porquê, com quem partilhamos e que direitos tens. Cumprimos o RGPD e a Lei francesa Informatique et Libertés. A autoridade competente é a CNIL.
1. Resumo em claro
- Os teus dados de treino, nutrição, peso e passos vivem maioritariamente no teu telefone numa BD SQLite local. Só replicamos um subconjunto na cloud para restaurar.
- Fotos enviadas à IA (prato, frigorífico, rótulo) vão para a API Claude da Anthropic e não são armazenadas além do pedido.
- Não vendemos os teus dados. Sem publicidade de terceiros. Sem tracking inter-apps.
- Podes eliminar a tua conta a partir da app a qualquer momento. Todas as cópias cloud apagadas em 30 dias.
2. Dados recolhidos
| Categoria | Exemplos | Finalidade | Base legal |
|---|---|---|---|
| Conta | Email, hash da palavra-passe, ID de utilizador | Início de sessão, identificação multi-dispositivo | Contrato (art. 6.1.b RGPD) |
| Perfil | Handle, avatar, género, altura, peso, % gordura, objetivos, preferências | Adaptar app e macros | Contrato |
| Treino | Sessões, séries, exercícios, custom, recordes, templates | Teu diário de treino | Contrato |
| Nutrição | Refeições, alimentos, receitas, códigos de barras, objetivos | Teu diário nutricional | Contrato |
| Métricas corporais | Histórico peso, gordura, água, passos | Composição + atividade | Contrato |
| Apple Health / Health Connect | Passos e kcal ativas lidos do OS | Mostrar atividade diária | Consentimento (via OS) |
| Fotos para IA | Pratos / frigoríficos / rótulos | Análise IA pontual, depois descartada | Consentimento (tu inicias) |
| Subscrição | Estado e ID de transação via RevenueCat — nunca dados bancários | Gerir acesso Pro | Contrato |
| Diagnósticos | Crash logs anónimos, contadores IA | Corrigir bugs, aplicar quotas | Interesse legítimo (art. 6.1.f) |
| Social | Lista de amigos, handle, foto | Funções sociais opcionais | Consentimento |
Nunca recolhemos: GPS preciso, contactos, áudio, histórico de navegação, números de cartão (Apple/Google tratam a faturação).
3. Para onde vão os dados
O Plyko apoia-se nos subcontratantes seguintes, cada um sob DPA.
| Subcontratante | Dados recebidos | Local | Porquê |
|---|---|---|---|
| Supabase Inc. (USA, instância EU) | Todos os dados acima exceto fotos e diagnósticos | Frankfurt, Alemanha | BD, auth, edge functions |
| Anthropic, PBC (USA) | Fotos e prompts IA | EUA | API Claude |
| RevenueCat (USA) | App user ID + IDs de transação | EUA | Subscrições |
| Apple Inc. | Transações IAP, push tokens, Apple Health (no dispositivo) | Servidores Apple | StoreKit + APNs |
| Sentry (USA / Alemanha) | Stack traces anónimos, versão de app/dispositivo | Região EU Frankfurt | Reporte de erros |
| USDA / Open Food Facts | Pesquisas de alimentos (sem identificador) | EUA / França | Dados nutricionais |
Transferências para os EUA assentam nas Cláusulas Contratuais-Tipo (CCT) e, para fornecedores aderentes, no Quadro UE-EUA de Proteção de Dados.
4. Tempo de conservação
- Conta ativa — conservada enquanto existir a tua conta.
- Conta eliminada — apagada das BDs ativas em 30 dias. Backups encriptados purgados em 90 dias.
- Diagnósticos Sentry — 90 dias, depois purgados.
- Fotos IA — nunca armazenadas. Em memória apenas durante a chamada API.
- Transações — conservadas 10 anos (Code de commerce, art. L123-22), pseudonimizadas após eliminação.
5. Os teus direitos
Sob o RGPD tens direito a:
- acesso aos dados sobre ti (art. 15)
- retificação de dados inexatos (art. 16)
- apagamento dos teus dados (art. 17) — disponível na app
- limitação do tratamento (art. 18)
- portabilidade em formato estruturado (art. 20)
- oposição ao tratamento por interesse legítimo (art. 21)
- retirar o consentimento a qualquer momento
Para exercer um direito, escreve para privacy@plyko.app. Respondemos em 30 dias.
Podes também apresentar reclamação à CNIL: www.cnil.fr / 3 Place de Fontenoy, 75007 Paris.
6. Segurança
- BDs Supabase encriptadas em repouso (AES-256) e em trânsito (TLS 1.2+).
- Palavras-passe hasheadas com bcrypt — não as vemos.
- Edge functions autenticadas por chaves rotativas.
- SQLite local protegida por sandbox iOS/Android e encriptação de disco.
- Sem acesso manual aos teus dados exceto suporte solicitado ou requisição legal.
Nenhum sistema é inviolável. Em caso de violação, notificamos-te e à CNIL em 72h (art. 33–34 RGPD).
7. Menores
Plyko é 12+ e não se destina a menores de 13. Não recolhemos dados de menores de 13 conscientemente. Se suspeitas, escreve para privacy@plyko.app.
8. Cookies
A app móvel não usa cookies. O site não usa cookies analíticos nem tags de terceiros.
9. Alterações
Atualizamos esta política quando as nossas práticas mudam ou a lei exige. Alterações substanciais anunciadas na app pelo menos 30 dias antes.
10. Contacto
Plyko — publicado a partir de França. Email: privacy@plyko.app. Para informações legais detalhadas, ver Aviso Legal ou escreve para contact@plyko.app.