Política de Privacidade

O Treinei é uma plataforma para personal trainers brasileiros. Esta política explica como coletamos, usamos e protegemos seus dados pessoais, em conformidade com a Lei nº 13.709/2018 (LGPD) e com as diretrizes da Meta para integração com Instagram.

O Controlador responsável pelo tratamento de dados pessoais na plataforma Treinei, nos termos do art. 5º, VI, da LGPD, é KINGSYS SOLUCOES EM SOFTWARE LTDA (nome fantasia "KINGSYS SOLUCOES"), sociedade empresária limitada inscrita no CNPJ sob nº 42.161.987/0001-76, com sede em Goiânia/GO, representada por seu sócio administrador Eduardo Reis. Canal de contato: contato@treinei.app.br.

1.1 Papel dual (importante para personal trainers)

Quando você usa o Treinei como personal trainer, você assume o papel de Controlador dos dados pessoais dos seus alunos, ou seja, é você quem decide as finalidades e os meios do tratamento desses dados. O Treinei atua, em relação aos dados dos seus alunos, como Operador (art. 5º, VII, LGPD), tratando-os exclusivamente conforme suas instruções e os Termos de Uso:

• A KINGSYS SOLUCOES EM SOFTWARE LTDA, operando a marca Treinei, é o Controlador dos seus dados pessoais (você como personal trainer: cadastro, preferências, uso da plataforma).
• Você (personal trainer) é o Controlador dos dados dos seus alunos que você cadastra. O Treinei atua como Operador desses dados, tratando-os exclusivamente conforme suas instruções e conforme os Termos de Uso.
• Consequência prática: solicitações de acesso, correção, portabilidade ou exclusão feitas por um aluno devem primeiro ser dirigidas ao personal trainer que o cadastrou. Se o aluno não obtiver resposta adequada, pode escalar ao Treinei via contato@treinei.app.br.

2.1 Dados de cadastro (personal trainer):

• Nome, email, senha (armazenada como hash), telefone
• CPF (quando você configura pagamentos via Asaas)
• Foto de perfil, bio, localização
• Se você conectar o Instagram: nome de usuário, foto de perfil, posts públicos da sua conta e dados básicos do perfil de negócios. Escopos solicitados: instagram_business_basic (leitura do perfil e das mídias) e instagram_business_content_publish (publicação agendada no seu nome, apenas quando você configurar posts programados)

2.2 Dados de cadastro (aluno do personal):

• Nome, email, telefone (inserido pelo personal trainer)
• Histórico de treinos e pagamentos

2.3 Dados sensíveis de saúde (art. 11 da LGPD)

Para atender ao propósito da plataforma, o Treinei processa dados pessoais sensíveis relacionados à saúde dos alunos:

• Medidas corporais (peso, altura, circunferências) via avaliações físicas
• Objetivos e restrições físicas declarados
• Anotações médicas inseridas pelo personal trainer
• Fotos de progresso (voluntárias)
• Registros de treinos completados e frequência

O tratamento desses dados ocorre cumulativamente com base em:

• Tutela da saúde (art. 11, II, "f", da LGPD), exercida por personal trainer profissionalmente habilitado pelo CREF, que utiliza a plataforma como ferramenta de apoio à sua atividade profissional de saúde;
• Consentimento específico e destacado do titular (art. 11, I), coletado em momento próprio no cadastro do aluno, com finalidades claramente apresentadas.

Esses dados não são usados para publicidade, perfilamento comercial ou compartilhamento fora dos provedores listados na cláusula 5. A revogação do consentimento implica a interrupção do tratamento de dados sensíveis adicionais, mas não afeta o tratamento já realizado nem os dados retidos por obrigação legal.

2.4 Dados de uso:

• Páginas visitadas e ações realizadas no app
• Endereços IP (armazenados como hash, nunca em texto puro)
• Crashes e erros, com dados sensíveis redatados automaticamente

2.5 Dados de pagamento:

• Processados 100% pela Asaas. Não armazenamos dados de cartão.

Cada atividade de tratamento tem uma base legal específica:

• Prover o serviço contratado
• Cobrar mensalidades (via Asaas)
• Enviar notificações transacionais (confirmações, lembretes)
• Melhorar o produto (análise agregada)
• Cumprir obrigações legais (fiscais, LGPD, etc.)

Seus dados são compartilhados apenas com provedores necessários para operação do serviço:

• Asaas (pagamentos, Brasil) — dados de cobrança
• Meta / Instagram (se você conectar) — fluxo bidirecional: leitura dos dados públicos do seu perfil e feed (para exibição na página pública da sua bio link) e publicação agendada em seu nome quando você utilizar a funcionalidade de posts programados. Você pode revogar o acesso a qualquer momento em Configurações > Instagram ou diretamente em Facebook > Apps e Sites.
• Anthropic (Claude API) — geração de treinos com IA no plano Studio. Quando o treinador aciona a geração de treinos por IA, enviamos para a Anthropic, em texto claro: idade do aluno (calculada a partir da data de nascimento, que não é transmitida), gênero, objetivo de treino, anotações médicas e restrições, histórico de até 3 treinos anteriores, métricas da última avaliação física, preferências do treinador (foco, equipamentos, duração) e a lista de exercícios disponíveis. Não enviamos o nome, email, telefone, CPF ou foto do aluno. Dados de alunos menores de 18 anos não são processados pela funcionalidade de geração por IA. Os dados trafegam por servidores da Anthropic nos Estados Unidos. Conforme os Termos Comerciais da Anthropic aplicáveis à API, o conteúdo enviado não é utilizado para treinar modelos de IA e é retido por até 30 dias para fins de detecção de abuso, sendo excluído após esse período, salvo obrigação legal. Esta funcionalidade é exclusiva do plano Studio (opt-in pago) — você pode optar por não utilizá-la simplesmente não acionando o botão de geração de treinos com IA.
• Resend (provedor de emails transacionais — confirmação de cadastro, redefinição de senha, notificações) — email do destinatário e conteúdo do email transacional. Servidores nos Estados Unidos.
• Sentry (monitoramento de erros) — payloads de erros não-sensíveis (stack traces, identificadores de usuário e tenant, contexto da requisição). PII é redatada automaticamente; cabeçalhos de autenticação e cookies nunca são enviados. Servidores nos Estados Unidos.
• Microsoft Azure Application Insights (telemetria de uso e performance) — métricas agregadas, identificadores opacos. Servidores na região Brazil South (São Paulo).
• Microsoft Azure (hospedagem do banco de dados, armazenamento de arquivos, gerenciamento de chaves criptográficas) — região Brazil South / São Paulo. Dados em repouso criptografados em disco; chaves sensíveis (tokens do Instagram, chaves de API do Asaas) protegidas por envelope-encryption via Azure Key Vault.

Não vendemos seus dados. Não usamos para publicidade.

Prioritariamente, o tratamento dos seus dados ocorre em território nacional (Microsoft Azure, região Brazil South / São Paulo, e Asaas, com sede no Brasil).

Os seguintes provedores listados na cláusula 5 processam dados em servidores fora do Brasil:

• Anthropic (Claude API) — Estados Unidos. Recebe os dados clínicos e de perfil enumerados na cláusula 5 quando você aciona a geração de treinos com IA.
• Resend — Estados Unidos. Recebe email do destinatário e conteúdo de mensagens transacionais.
• Sentry — Estados Unidos. Recebe payloads de erros já redatados de PII.
• Meta / Instagram — Estados Unidos. Recebe os dados necessários para a integração quando você opta por conectar a sua conta do Instagram.

As transferências internacionais ocorrem com base em:

• Execução do contrato com o titular (art. 33, V) quando necessário para prestar o serviço contratado (envio de email transacional, hospedagem de imagens, monitoramento de erros);
• Consentimento específico do titular (art. 33, VIII) quando você opta por conectar serviços externos (Instagram) ou utilizar funcionalidades opcionais (geração de treinos com IA — recurso pago do plano Studio).

Como garantia adicional ao titular, mantemos com os provedores listados Acordos de Tratamento de Dados (DPAs) que incluem cláusulas contratuais com nível de proteção equivalente ao exigido pela LGPD, nos termos da Resolução CD/ANPD nº 19/2024. Você pode solicitar cópia ou resumo desses DPAs entrando em contato pelo email da cláusula 14.

Microsoft Azure, região Brazil South (São Paulo) quando disponível. Dados em trânsito: TLS 1.2+. Dados em repouso: criptografados em disco.

• Conta ativa: enquanto você usar o serviço
• Conta cancelada: o acesso é encerrado imediatamente, e os dados são mantidos por até 30 dias para permitir reversão de cancelamento acidental. Após esse prazo, os dados são excluídos ou anonimizados, exceto aqueles sujeitos à retenção legal abaixo.
• Registros fiscais e de pagamento: 5 anos (art. 173, CTN, e art. 195, parágrafo único, da Constituição Federal), mantidos de forma segregada do perfil do usuário e acessíveis apenas para cumprimento de obrigação fiscal ou determinação de autoridade competente.
• Logs de auditoria administrativa: 2 anos
• Contas inativas por mais de 24 meses consecutivos: dados podem ser anonimizados ou eliminados em observância ao princípio da necessidade (art. 6º, III).

Você tem direito a:

• Confirmação da existência de tratamento
• Acesso aos seus dados
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários/excessivos
• Portabilidade (export dos seus dados em formato estruturado) — disponível diretamente no app em Configurações > Exportar meus dados
• Eliminação completa (vide /exclusao-de-dados)
• Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
• Revogação de consentimento
• Oposição a tratamento realizado com fundamento em uma das hipóteses do art. 7º
• Peticionar à ANPD (Autoridade Nacional de Proteção de Dados), em caso de descumprimento — gov.br/anpd

Para exercer qualquer direito: contato@treinei.app.br. Responderemos dentro dos prazos previstos em lei (em regra, 15 dias).

A Plataforma utiliza as seguintes categorias de cookies e tecnologias similares:

• Estritamente necessários (autenticação, manutenção de sessão, preferências de idioma): essenciais ao funcionamento da Plataforma, não exigem consentimento (art. 7º, V, LGPD).
• Analíticos próprios, sem identificação pessoal (análise de uso agregada via Microsoft Azure Application Insights): tratados com base em legítimo interesse (art. 7º, IX), com possibilidade de oposição pelo titular.

Não utilizamos cookies de publicidade, retargeting ou rastreamento por terceiros. Você pode gerenciar cookies pelas configurações do seu navegador, ciente de que a desativação de cookies estritamente necessários pode inviabilizar o uso da Plataforma.

O cadastro de personal trainer no Treinei é destinado exclusivamente a maiores de 18 anos. Não coletamos dados de menores como usuários diretos.

Quando um personal trainer cadastra um aluno menor de 18 anos: o trainer, na qualidade de Controlador dos dados do aluno, é responsável por obter o consentimento específico e destacado de pelo menos um dos pais ou do responsável legal antes de inserir dados do menor na plataforma, nos termos do art. 14 da LGPD.

Para apoiar essa obrigação, a plataforma exige, no cadastro de aluno menor de 18 anos:

• Identificação do responsável legal (nome completo, CPF, email);
• Declaração de que o consentimento foi obtido na forma do art. 14, §1º da LGPD;
• Registro auditável da data e do meio de coleta do consentimento.

O Treinei, como Operador, trata esses dados exclusivamente conforme as instruções do trainer e no melhor interesse do menor (art. 14, caput, LGPD). Dados de menores não são utilizados em geração de treinos por IA, recomendações automatizadas ou qualquer finalidade não estritamente necessária ao serviço.

Se você é pai, mãe ou responsável e acredita que seu filho foi cadastrado sem consentimento adequado, contate-nos imediatamente em contato@treinei.app.br.

• Senhas armazenadas de forma segura (hash criptográfico moderno)
• Tokens de sessão com expiração curta e renovação automática
• Isolamento estrito de dados entre contas
• Auditoria administrativa de todas as ações sensíveis
• Dados sensíveis redatados em logs
• Transporte protegido por TLS; criptografia em repouso

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, contendo: descrição da natureza dos dados afetados, titulares envolvidos, medidas técnicas e de segurança utilizadas, riscos relacionados, razões de eventual atraso e medidas adotadas ou a adotar para reverter ou mitigar os efeitos do incidente.

Encarregado: Eduardo Reis (transitório — pré-lançamento)
Canal de contato: dpo@treinei.app.br

O Encarregado atua com autonomia técnica e é responsável por: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD; orientar o controlador quanto às práticas da LGPD; manter registro das operações de tratamento (ROPA) nos termos do art. 37 da LGPD.

Em fase de pré-lançamento, as funções de Encarregado são exercidas internamente pelo sócio administrador. Antes do escalonamento da operação comercial, o Encarregado será formalmente designado em pessoa distinta, em conformidade com a Resolução CD/ANPD nº 18/2024.

O contato com o Encarregado pode ser feito a qualquer momento e a resposta segue os prazos do art. 19 da LGPD.

Notificaremos mudanças materiais por email e no app com pelo menos 30 dias de antecedência.