Se utilizar a Conta Sapplify com uma aplicação
Esta política aplica-se para além de a Política de Privacidade de cada aplicação Sapplify que utiliza. A política da sua aplicação descreve o que a aplicação faz no seu dispositivo. Esta política descreve o que fazemos com os dados que a sua Sapplify Account envia para os nossos servidores. Ambas aplicam-se ao mesmo tempo.
1. Introdução
Em resumo: Esta política abrange os dados associados à sua Conta Sapplify: a sua identidade de início de sessão, o seu perfil e os dados que fluem para os nossos servidores quando utiliza o Sapplify Sync. Sobrepõe-se à Política de Privacidade própria de cada aplicação.
Uma Conta Sapplify é uma identidade única que funciona em todas as aplicações Sapplify. Após iniciar sessão, pode subscrever o Sapplify Sync para manter os seus dados guardados e disponíveis em todos os seus dispositivos.
Esta Política de Privacidade explica quais dados a sua Conta Sapplify contém, quem os processa em nosso nome, quanto tempo os mantemos e que direitos tem sobre os mesmos. Não substitui a Política de Privacidade própria de cada aplicação: a política de cada aplicação continua a reger o que essa aplicação faz localmente no seu dispositivo.
Ao criar uma Conta Sapplify, confirma que leu e compreendeu esta política.
2. Controlador de Dados
O responsável pelo tratamento dos seus dados pessoais é:
Anthony Eli Rasch - sapplify
Caixa Postal 004
91501 Nove Mesto nad Vahom
Eslováquia
ICO: 56665032
Informações gerais: contact@sapplify.com
Privacidade e proteção de dados: privacy@sapplify.com
Encarregado de Proteção de Dados
Sapplify opera em escala que não exige a designação de um Encarregado de Proteção de Dados nos termos do Artigo 37 GDPR. Para qualquer questão sobre proteção de dados, contacte privacy@sapplify.com.
3. Definições
- Sapplify Account: a identidade que cria connosco e utiliza para iniciar sessão em aplicações Sapplify.
- Sapplify Sync: a subscrição de âmbito de suite que faz cópia de segurança e sincroniza os seus dados entre dispositivos para as aplicações em que iniciou sessão.
- Sub-processador: uma terceira parte que processa dados pessoais em nosso nome, sob contrato.
- Direito: o nosso registo de que uma subscrição ativa ou compra vitalícia lhe concede acesso ao Sync.
- Dados Pessoais: qualquer informação relativa a uma pessoa identificada ou identificável.
- Dados Pessoais Sensíveis: um subconjunto de Dados Pessoais que recebe proteção reforçada nos termos do Artigo 9 do GDPR, como dados relativos à saúde.
- Fornecedor de Autenticação: Apple, Google ou o nosso início de sessão por email/palavra-passe (fornecido pela Supabase).
- Dados de Sync: os dados por aplicação que a sua conta detém nos nossos servidores quando o Sync está ativo.
4. Que Dados a Sua Conta Sapplify Recolhe
A sua conta Sapplify mantém seis categorias de dados nos nossos servidores.
Identidade e perfil
- Endereço de correio eletrónico (obrigatório)
- Nome de exibição (opcional)
- Identificadores de fornecedor de autenticação (identificador de utilizador Sign in with Apple, ID de assunto Sign in with Google) quando utiliza esses fornecedores
- Idioma preferido
- Registos de data e hora de criação e última atualização da conta
Dados de autenticação e sessão
- Palavras-passe com hash (geridas por Supabase Auth; nunca vemos o texto simples)
- Tokens de sessão ativos (JWTs) emitidos aos seus dispositivos autenticados
- Registos de data e hora de eventos de autenticação e endereços IP, retidos transitoriamente pela Supabase Auth para investigações de segurança
Dados de sincronização entre aplicações
Se tem uma subscrição ativa de Sapplify Sync e se autenticou numa aplicação Sapplify, essa aplicação carrega os seus dados nos nossos servidores. Cada aplicação Sapplify descreve a forma exata dos seus dados na sua própria Política de Privacidade:
- sWeight: registos de peso e medidas corporais
- sCycle: eventos do ciclo
- sMoment: registos de humor, diário e respiração
- sLists: listas e registos de listas
- sTrain: sessões de treino e exercícios
- sBudget: registos de orçamento
Só tem dados nos nossos servidores para uma aplicação se se autenticou nessa aplicação enquanto o Sync estiver ativo. As aplicações nas quais nunca se autenticou não têm dados para a sua conta.
Registos de subscrição e direitos
- O estado da sua subscrição de Sync (ativo, em período de teste, em período de tolerância, suspenso, cancelado, expirado ou vitalício)
- A loja através da qual comprou (Apple App Store, Google Play) e o identificador do produto na loja
- Metadados de validação de recibo devolvidos pela Apple e Google, utilizados para confirmar que a subscrição ainda é válida
- Eventos do ciclo de vida da subscrição (renovações, cancelamentos, suspensões) recebidos de Notificações do Servidor do Apple App Store e Notificações de Programador em Tempo Real do Google
Registo de aceitação legal
- Que versão de que documento legal Sapplify aceitou
- Registo de data e hora de aceitação
- A aplicação Sapplify na qual aceitou
Este registo é apenas adição e é utilizado para demonstrar, se solicitado, que aceitou as políticas em vigor no momento em que se registou ou se autenticou novamente.
Dados de funcionalidades de IA (condicional)
Se utiliza funcionalidades de IA numa aplicação Sapplify, o conteúdo dos seus pedidos e as respostas de IA são processados pela Anthropic em nosso nome (ver Sub-fornecedores) e armazenados na sua conta para que a IA possa recuperar contexto para questões de seguimento. Nenhuma aplicação Sapplify Sync utiliza funcionalidades de IA no momento da redação, mas o esquema faz parte da base de dados de conta partilhada.
O que a Sapplify Account NÃO recolhe
- NÃO recolhemos o seu nome real, endereço postal ou identificação governamental.
- NÃO recolhemos dados de cartão de pagamento. Toda a faturação é tratada pela Apple ou Google.
- NÃO recolhemos a localização do dispositivo.
- NÃO operamos análise, publicidade ou rastreamento comportamental em utilizadores autenticados.
- NÃO vendemos nem partilhamos os seus dados com anunciantes ou mediadores de dados.
5. Base Legal para o Tratamento
Nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD) e leis equivalentes, processamos os seus dados pessoais com base nas seguintes bases legais:
Contrato (Artigo 6.º(1)(b))
Necessitamos processar a identidade da sua conta, autenticação, perfil, estado da subscrição e dados de Sync para fornecer os serviços Sapplify Account e Sync que solicitou. Sem este processamento, os serviços não podem funcionar.
Interesse legítimo (Artigo 6.º(1)(f))
- Prevenção de fraude e detecção de abuso
- Segurança do serviço (detecção de intrusão, rotação de segredos)
- Investigação de erros e incidentes
- Retenção de registos de segurança de curta duração
Pode opor-se ao processamento baseado em interesse legítimo. Consulte a Secção 12 para saber como.
Consentimento (Artigo 6.º(1)(a))
Algum processamento depende do seu consentimento explícito: fornecer um nome de apresentação, optar por notificações opcionais e utilizar funcionalidades de IA. Pode retirar o consentimento em qualquer momento; fazer isso não afeta o processamento já realizado.
Dados de categorias especiais (Artigo 9.º(2)(a))
Algumas aplicações Sapplify processam dados de saúde (por exemplo, registos de peso do sWeight, eventos de ciclo do sCycle, registos de humor do sMoment). Quando ativa o Sync numa tal aplicação enquanto autenticado, dá consentimento explícito para que esses dados de saúde sejam processados nos nossos servidores para fins de sincronização entre os seus dispositivos.
Obrigação legal (Artigo 6.º(1)(c))
Podemos processar e reter dados quando exigido por lei, por exemplo, registos fiscais ou respostas a pedidos legítimos de autoridades.
Tomada de decisão automatizada e criação de perfis
Não utilizamos tomada de decisão automatizada ou criação de perfis que produza efeitos jurídicos que o concernem ou que o afete de forma igualmente significativa nos termos do Artigo 22.º RGPD. As funcionalidades de IA nas aplicações Sapplify fornecem apenas sugestões informativas; não executam ações, não alteram os seus dados nem tomam decisões em seu nome.
6. Sub-processadores
Os seguintes sub-processadores tratam os seus dados da Sapplify Account em nosso nome sob contratos escritos. Cada entrada liga-se à política de privacidade própria desse sub-processador.
| Sub-processador | Função | Localização | Política de privacidade |
|---|---|---|---|
| Supabase | Autenticação, base de dados primária (Postgres), Edge Functions, cópias de segurança encriptadas, transporte de correio eletrónico transacional | União Europeia (Frankfurt) | supabase.com/privacy |
| Apple | Início de sessão com Apple; faturação da App Store para Sync; Notificações do Servidor da App Store | Global | apple.com/legal/privacy |
| Início de sessão com Google; Faturação do Google Play para Sync; Notificações do Programador em Tempo Real via Google Cloud Pub/Sub | Global | policies.google.com/privacy | |
| Resend | Entrega de correio eletrónico transacional (confirmação de inscrição, reposição de palavra-passe, avisos de faturação) | Estados Unidos, com Cláusulas Contratuais Tipo para transferências da UE | resend.com/legal/privacy-policy |
| Anthropic | Inferência de IA. Condicional: apenas invocada se utilizar funcionalidades de IA dentro de uma aplicação Sapplify. | Estados Unidos, com Cláusulas Contratuais Tipo para transferências da UE | anthropic.com/legal/privacy |
Informaremos quando adicionarmos ou alterarmos sub-processadores. As alterações materiais (um novo processador, uma alteração de função) acionam uma porta de reaceitação da próxima vez que inicia sessão.
7. Residência de Dados e Transferências Internacionais
A sua base de dados de conta principal, incluindo perfil, direitos de acesso e dados do Sync, encontra-se na região da União Europeia da Supabase (Frankfurt, Alemanha). É aí que os dados residem em repouso.
Alguns sub-processadores operam globalmente. Quando os dados saem da UE para os atingir, confiamos em Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia como base legal para a transferência.
- A Apple e a Google tratam da autenticação e da faturação globalmente; a transferência é necessária para executar o contrato que tem com cada loja.
- A Resend tem sede nos Estados Unidos; as transferências são cobertas por SCCs.
- A Anthropic (apenas se utilizar funcionalidades de IA) encontra-se nos Estados Unidos; as transferências são cobertas por SCCs no adendo de processamento de dados da Anthropic.
8. Retenção de Dados
O tempo durante o qual conservamos os seus dados depende do que acontece à sua conta.
| Evento | O que acontece aos seus dados |
|---|---|
| Conta ativa | Os dados do perfil, direito de acesso e Sync são conservados enquanto a sua conta existir. |
| Cancelamento de Sync (você cancela, a sua subscrição expira ou recebe um reembolso) | Os dados de Sync do lado do servidor são preservados. Se voltar a subscrever mais tarde, os seus dados continuam lá. O seu registo de direito de acesso é marcado como cancelado. |
| Eliminação de conta (elimina de dentro de qualquer aplicação Sapplify) | Eliminação permanente imediata em todos os esquemas de aplicações Sapplify, do seu perfil, do seu registo de direito de acesso e do seu registo de autenticação. Sem período de carência, sem recuperação. |
| Cópias de segurança encriptadas | As cópias de segurança encriptadas geridas pela Supabase expiram no prazo de 7 dias após a eliminação. Após 7 dias, nenhuma cópia dos seus dados permanece nos nossos sistemas. |
| Registos fiscais e de faturação | Os registos agregados anonimizados são conservados conforme exigido pela lei fiscal eslovaca (tipicamente 10 anos). Não contêm dados pessoais após a eliminação da conta. |
9. Segurança
Levamos a segurança a sério, mas nenhum serviço online é isento de riscos. Aqui está o que fazemos e onde estão os limites.
O que fazemos
- Todo o tráfego de rede entre os seus dispositivos e os nossos servidores utiliza TLS 1.2 ou superior.
- Os dados em repouso são encriptados utilizando AES-256 gerido pela Supabase.
- As políticas de segurança ao nível das linhas na nossa base de dados isolam os dados de cada utilizador para que um utilizador não possa ler as linhas de outro utilizador.
- As chaves de base de dados com função de serviço são mantidas apenas em variáveis de ambiente do lado do servidor e nunca incluídas nas aplicações Sapplify.
- Todos os eventos de início de sessão, eventos de subscrição e eventos de eliminação de conta são registados para investigações de segurança.
O que NÃO afirmamos
Sem encriptação de ponta a ponta
O Sapplify Sync não é encriptado de ponta a ponta. Os seus dados são encriptados em trânsito e em repouso, mas o acesso de serviço do lado Sapplify poderia, em princípio, ler os conteúdos (não o fazemos, exceto conforme necessário para manter o serviço). Não utilize Sync para armazenar informações que exijam encriptação de ponta a ponta.
O que pode fazer
- Escolha uma palavra-passe forte e única.
- Bloqueie o seu dispositivo com PIN, palavra-passe ou autenticação biométrica.
- Revogue a concessão Sapplify OAuth na sua conta Apple ou Google se um dispositivo foi perdido.
- Termine sessão nos dispositivos que já não utiliza.
10. Notificação de Violação de Dados
Se um incidente de segurança expõe dados pessoais que possuímos sobre si, esta secção descreve como respondemos.
O que poderia ser afectado
Porque a cópia principal dos seus dados de conta reside nos nossos servidores na região da UE de Supabase, um incidente do lado do servidor poderia em princípio expor:
- o seu endereço de correio electrónico, campos de perfil e identificadores de fornecedor de autenticação;
- o conteúdo dos seus dados sincronizados para as aplicações Sapplify em que iniciou sessão;
- os seus registos de subscrição e direitos.
O seguinte não é armazenado nos nossos servidores e, portanto, não pode ser exposto por uma violação do nosso lado:
- a sua palavra-passe (Supabase Auth só contém uma hash);
- os seus dados de cartão de pagamento (Apple ou Google os detêm);
- dados só locais em dispositivos onde o Sync não está ativo.
Processo de notificação
Se tomarmos conhecimento de uma violação de dados pessoais nos nossos servidores ou num dos nossos sub-processadores:
- Notificaremos o Escritório Eslovaco para a Proteção de Dados Pessoais no prazo de 72 horas após tomarmos conhecimento, conforme exigido pelo Artigo 33 GDPR, a menos que a violação seja improvável que resulte num risco para os seus direitos.
- Se for provável que a violação resulte num risco elevado para os seus direitos e liberdades, notificá-lo-emos directamente sem demora injustificada, conforme exigido pelo Artigo 34 GDPR. A notificação é enviada para o endereço de correio electrónico da sua Conta Sapplify.
A notificação informá-lo-á, em linguagem clara: o que aconteceu, que dados foram afectados, as prováveis consequências, o que fizemos sobre isso e o que pode fazer para se proteger.
O que pode fazer
- Altere a sua palavra-passe de Conta Sapplify se utilizar a autenticação por correio electrónico/palavra-passe.
- Termine a sessão em todos os dispositivos e inicie sessão novamente para invalidar tokens de sessão.
- Se estiver preocupado, elimine a sua Conta Sapplify (consulte a Secção 13).
Até à data, não temos experiência de uma violação de dados pessoais que afecte utilizadores de Conta Sapplify.
11. Partilha e Divulgação
Não vendemos os seus dados
- NÃO vendemos os seus dados a ninguém.
- NÃO partilhamos os seus dados com anunciantes, profissionais de marketing, intermediários de dados ou plataformas de redes sociais.
- NÃO utilizamos os seus dados para treinar modelos de inteligência artificial entre clientes.
- NÃO enviamos correios eletrónicos de marketing ou promocionais através da sua Conta Sapplify. Os únicos correios eletrónicos que enviamos são transacionais (confirmação de registo, reposição de palavra-passe, notificações de faturação).
Quem realmente vê os seus dados
Apenas os cinco sub-processadores listados na Secção 6, e apenas para as funções descritas nela. Nenhuma outra terceira parte tem acesso aos dados da sua conta.
Pedidos legais e de aplicação da lei
Podemos divulgar dados se exigido por uma ordem judicial válida, uma lei, ou um pedido de aplicação da lei que cumpra os padrões legais da Eslováquia ou da União Europeia. Notificá-lo-emos quando for permitido fazê-lo. Até à data desta política, não recebemos nenhum pedido deste tipo.
12. Os Seus Direitos
Tem direitos abrangentes sobre os seus dados de conta. A lista exata depende de onde vive.
Direitos GDPR (União Europeia e Espaço Económico Europeu)
- Direito de acesso (Art. 15): pedir-nos que dados pessoais detemos sobre si.
- Direito de retificação (Art. 16): fazer corrigir dados imprecisos.
- Direito ao esquecimento (Art. 17): fazer eliminar os seus dados. A forma mais rápida é eliminar a sua Sapplify Account a partir de qualquer aplicação Sapplify.
- Direito à limitação do tratamento (Art. 18): limitar a forma como tratamos os seus dados enquanto uma disputa é resolvida.
- Direito à portabilidade dos dados (Art. 20): receber os seus dados num formato legível por máquina. Ver a nota abaixo.
- Direito de oposição (Art. 21): opor-se ao tratamento baseado em interesse legítimo.
- Direito de retirar o consentimento (Art. 7): retirar o consentimento em qualquer altura para tratamento que dependa do consentimento.
- Direito de apresentar uma reclamação: junto da Autoridade Eslovaca de Proteção de Dados Pessoais (ver Secção 17) ou da sua autoridade supervisora local.
Direitos UK GDPR (Reino Unido)
Os utilizadores do Reino Unido têm os mesmos direitos que os utilizadores da UE sob UK GDPR. As reclamações podem ser apresentadas junto do Information Commissioner's Office em ico.org.uk.
Direitos CCPA e CPRA (Califórnia)
- Direito de saber que informação pessoal recolhemos e como a utilizamos.
- Direito de eliminar a sua informação pessoal.
- Direito de corrigir informação imprecisa.
- Direito de optar pela não participação na venda ou partilha. (Não vendemos nem partilhamos para publicidade comportamental em contextos múltiplos.)
- Direito a não discriminação pelo exercício dos seus direitos.
- Direito de limitar a utilização de informação pessoal sensível. A nossa arquitetura local-first e a ausência de utilizações secundárias satisfazem inerentemente isto para os dados que detemos.
Direitos LGPD (Brasil)
Os utilizadores brasileiros têm direitos equivalentes aos da GDPR, incluindo confirmação, acesso, retificação, anonimização, eliminação, portabilidade dos dados e informação sobre partilha. Contacte-nos em privacy@sapplify.com para os exercer.
Como exercer os seus direitos
Nota sobre portabilidade
A Sapplify ainda não oferece um único botão "descarregar todos os meus dados de conta". Cada aplicação Sapplify tem a sua própria funcionalidade de exportação de dados (CSV). Para uma exportação de portabilidade de toda a conta, envie um e-mail para privacy@sapplify.com e nós a montaremos manualmente.
Para acesso, retificação, limitação, oposição, ou qualquer outro direito, envie um e-mail para privacy@sapplify.com. Respondemos no prazo de 30 dias, prorrogável a 60 dias para pedidos complexos com aviso prévio.
13. Eliminação da Sua Conta Sapplify
Pode eliminar a sua Conta Sapplify no interior de qualquer aplicação Sapplify (Definições > Conta > Eliminar conta). Quando confirmar, nós eliminamos imediatamente e permanentemente:
- o seu registo de conta no nosso sistema de autenticação,
- o seu perfil (nome de apresentação, preferência de idioma),
- todos os dados associados à sua conta em todos os esquemas de aplicações Sapplify em que se autenticou (sWeight, sCycle, sMoment, sLists, sTrain, sBudget),
- o seu registo de direitos e histórico de eventos de subscrição,
- o seu registo de aceitação legal.
As cópias de segurança encriptadas da nossa base de dados expiram no prazo de 7 dias após a eliminação. Após 7 dias, nenhuma cópia dos seus dados permanece nos nossos sistemas.
Duas coisas NÃO são removidas pela eliminação da conta
- Dados locais nos seus dispositivos. Cada aplicação Sapplify mantém uma cópia local no seu dispositivo. Desinstale a aplicação ou utilize a opção "Eliminar todos os dados" dentro da aplicação para removê-la.
- A sua subscrição na App Store ou Google Play. A eliminação da sua Conta Sapplify não cancela a subscrição cobrada pela loja. Para interromper futuras cobranças, cancele separadamente nas definições de subscrição da sua loja.
Consulte também o nosso Guia de Eliminação de Conta para instruções passo a passo.
14. Privacidade das Crianças
Requisito de idade
A Sapplify Account destina-se a utilizadores com 16 anos ou mais. Ao criar uma conta, confirma que cumpre este requisito.
Nas jurisdições onde uma idade mínima superior se aplica ao tratamento de dados pessoais ou de saúde, essa idade superior aplica-se.
Se é progenitor ou representante legal e acredita que uma criança com menos de 16 anos criou uma Sapplify Account, contacte-nos em privacy@sapplify.com e procederemos à eliminação da conta.
15. Cookies e Rastreamento Web
O fluxo de acesso da Sapplify Account ocorre dentro das aplicações Sapplify, não num navegador web. O próprio fluxo de Account não define cookies no seu dispositivo.
O site de marketing da Sapplify (sapplify.com) tem a sua própria Política de Privacidade que abrange cookies e análises no próprio site.
Controlo de Privacidade Global
Uma vez que o fluxo de Sapplify Account não coloca cookies de rastreamento nem partilha dados para publicidade comportamental entre contextos, não há nada para o Controlo de Privacidade Global (GPC) ou sinais Do Not Track para se optar por não usar. Honramos estes sinais por predefinição.
16. Alterações à Política
Podemos atualizar esta Política de Privacidade quando as nossas práticas se alterem, quando adicionemos ou removamos sub-processadores, ou quando a lei o exija.
Alterações materiais
As alterações materiais (um novo sub-processador, uma alteração nos fluxos de dados, uma alteração na retenção) atualizam a versão da política. Da próxima vez que se conectar a qualquer aplicação Sapplify, será solicitado que leia e reaceite a política atualizada antes de continuar. A sua aceitação é registada no servidor.
Alterações não-materiais
Correções de erros tipográficos, alterações de informações de contacto e reformatação são implementadas silenciosamente com uma data de \"Última atualização\" atualizada no topo desta página.
Histórico de versões
Cada versão é datada. As versões anteriores estão disponíveis mediante solicitação em privacy@sapplify.com.
17. Lei Aplicável e Autoridade Supervisora
Esta Política de Privacidade rege-se pelas leis da República Eslovaca, sem ter em conta os princípios de conflito de leis.
Autoridade supervisora responsável
Estamos sediados na Eslováquia. A nossa autoridade supervisora responsável em matéria de proteção de dados é:
Urad na ochranu osobnych udajov Slovenskej republiky
(Gabinete para a Proteção de Dados Pessoais da República Eslovaca)
Hranicna 12
820 07 Bratislava 27
Slovak Republic
Website: dataprotection.gov.sk
Email: statny.dozor@pdp.gov.sk
Os utilizadores da UE e do EEE podem também interpor reclamações junto da sua autoridade supervisora local.
18. Contacte-nos
Em caso de dúvidas sobre esta Política de Privacidade ou para exercer qualquer um dos direitos descritos na Secção 12:
Privacidade e proteção de dados: privacy@sapplify.com
Consultas gerais: contact@sapplify.com
Endereço postal:
Anthony Eli Rasch - sapplify
PO Box 004
91501 Nove Mesto nad Vahom
Slovakia
Para pedidos de exercício de direitos do titular dos dados associados à sua Conta Sapplify, inclua o endereço de correio eletrónico da conta na sua mensagem para que possamos verificar a sua identidade. Respondemos no prazo de 30 dias.