Política de Privacidade

1. Quem somos

UltraPT é uma plataforma SaaS operada por Alex Guimarães Dos Santos, CPF 075.316.036-67. Disponível em ultrapt.com.br.

2. Papéis (controlador e operador)

2.1. Em relação aos dados pessoais do Personal Trainer (titular da conta), o UltraPT atua como controlador. Base legal: execução de contrato e legítimo interesse (Art. 7º, V e IX, LGPD).

2.2. Em relação aos dados pessoais dos Alunos cadastrados pelo Personal Trainer (incluindo dados sensíveis de saúde da anamnese, Art. 5º, II, LGPD), o Personal Trainer atua como controlador e o UltraPT atua como operador (Art. 5º, VI e VII, LGPD), tratando os dados exclusivamente conforme instruções do Personal Trainer e as finalidades deste serviço.

3. Dados coletados e finalidades

3.1. Do Personal Trainer (titular)

• Nome, e-mail, senha (hash) — autenticação, comunicação operacional. Base: execução de contrato.
• CPF — emissão de cobranças via Asaas. Base: obrigação legal fiscal (Art. 7º, II).
• Foto, bio, CREF, redes sociais — exibição na página pública do PT (se preenchidos pelo próprio). Base: consentimento e execução de contrato.
• Histórico de pagamentos e plano — gestão da assinatura. Base: execução de contrato e obrigação legal fiscal.

3.2. Dos Alunos do Personal Trainer

• Nome, e-mail, telefone, data de nascimento, foto — identificação e contato. Controlador é o PT.
• Anamnese: dados sensíveis de saúde (condições médicas, lesões, medicações, peso, altura, gênero, hábitos alimentares e de sono) — prescrição segura de treino. Base: consentimento específico e destacado do aluno no momento do preenchimento (Art. 11, II "a", LGPD).
• Treinos atribuídos, execução de exercícios, mensagens de chat — funcionalidade do serviço.

3.3. Dados técnicos

• Logs de acesso (data/hora, endpoint, status HTTP, IP do provedor) — segurança, prevenção a fraude e diagnóstico. Base: legítimo interesse (Art. 7º, IX). Retidos por até 90 dias.
• Cookies essenciais (autenticação, idioma) — indispensáveis ao funcionamento. Não dependem de consentimento.
• Cookies de analytics e marketing — apenas se você autorizar no banner de cookies. Hoje o UltraPT não opera cookies de tracking; esta cláusula vigora preventivamente.

4. Compartilhamento e subprocessadores

Pra operar o serviço, compartilhamos dados estritamente necessários com os seguintes operadores subcontratados:

• Supabase Inc. (EUA) — banco de dados, autenticação, armazenamento de arquivos.
• Vercel Inc. (EUA) — hospedagem da aplicação, CDN, edge functions.
• Asaas Gestão Financeira S.A. (Brasil) — processamento de cobranças Pix.

Lista atualizada nesta página. Adições serão comunicadas antes de entrarem em operação.

5. Transferência internacional de dados

Os dados podem ser armazenados e processados em servidores fora do Brasil (principalmente Estados Unidos), em provedores que aderem a cláusulas contratuais padrão e oferecem nível de proteção adequado, nos termos do Art. 33 da LGPD.

6. Retenção e exclusão

• Conta ativa: dados mantidos enquanto a assinatura existir.
• Após exclusão da conta: dados pessoais são anonimizados imediatamente. Apenas registros fiscais (pagamentos, identificadores Asaas) são retidos por 5 anos em cumprimento ao Código Tributário Nacional.
• Backups: dados anonimizados também ficam em backups por até 30 dias adicionais, após o que são definitivamente destruídos.
• Logs técnicos: retidos por 90 dias.

7. Seus direitos (Art. 18 LGPD)

O titular pode, a qualquer momento:

• Confirmar a existência de tratamento
• Acessar e exportar seus dados (Perfil → Exportar dados)
• Corrigir dados incompletos ou desatualizados
• Excluir a conta e ter seus dados anonimizados (Perfil → Excluir minha conta)
• Revogar consentimento quando for a base legal
• Solicitar portabilidade dos dados
• Ser informado sobre compartilhamentos

Alunos do Personal Trainer: devem exercer esses direitos diretamente com seu Personal Trainer, que é o controlador dos seus dados. O UltraPT, na qualidade de operador, dará suporte técnico ao atendimento da requisição.

8. Segurança técnica

• Senhas armazenadas com hash bcrypt (Supabase Auth)
• Isolamento de dados por tenant via Row Level Security (PostgreSQL RLS)
• Conexões protegidas por TLS
• Buckets de arquivos com policies restritivas por proprietário
• Auditoria de código contínua e revisões de segurança

9. Incidentes de segurança

Em caso de incidente de segurança envolvendo dados pessoais com risco relevante aos titulares, o UltraPT comunicará a ANPD e os titulares afetados em prazo razoável, em até 3 dias úteis da ciência do incidente, conforme orientação da ANPD.

10. Cookies

Essenciais (autenticação, idioma): não exigem consentimento, pois são indispensáveis ao funcionamento do serviço.

Analíticos e de marketing: caso sejam ativados futuramente, só serão carregados após aceite explícito no banner de cookies. O consentimento pode ser revogado a qualquer momento limpando as preferências do navegador ou solicitando ao encarregado.

11. Inteligência artificial

O UltraPT atualmente não envia dados pessoais para serviços de inteligência artificial. Caso integre IA futuramente (ex: sugestão de treino), garantirá que:

• Apenas dados estritamente necessários sejam enviados, com minimização e pseudonimização sempre que possível
• O fornecedor de IA esteja contratualmente proibido de usar os dados para treinar modelos próprios
• Esta política será atualizada antes da ativação

12. Encarregado de proteção de dados (DPO)

Para exercer direitos, esclarecer dúvidas ou reportar incidentes, contate o encarregado:

Alex Guimarães Dos Santos
E-mail: privacidade@ultrapt.com.br

Resposta em até 15 dias da requisição (Art. 19, §1º, LGPD).

13. Alterações

Esta política pode ser atualizada periodicamente. Mudanças relevantes serão notificadas com antecedência mínima de 30 dias por e-mail e/ou no painel.