Política de Privacidade

A operação do RumoPace, com sede em Curitiba/PR, é o Controlador dos dados pessoais tratados nesta plataforma, nos termos da LGPD (Lei 13.709/2018).

Razão social, CNPJ e nome do Encarregado de Dados (DPO) serão publicados aqui após a constituição formal da empresa.

Identificação básica (todos os usuários):

• Nome completo
• E-mail e telefone
• Cidade e estado
• Senha (armazenada apenas como hash criptográfico bcrypt, NUNCA em texto puro)

Identificação fiscal (quando aplicável — assessoria contratante):

• CPF ou CNPJ
• Endereço completo

Dados de saúde ⚠️ (apenas alunos, voluntariamente fornecidos):

• Anamnese (condições prévias, atestado médico, medicamentos)
• Medidas (peso, estatura, FC repouso, FC máx, IMC)
• Lesões reportadas durante o uso
• Atividades sincronizadas (Garmin/Strava — pace, FC, GPS)

Dados de saúde são categoria especial protegida pela LGPD (art. 11). Recebem tratamento reforçado (ver §6).

Dados comportamentais (uso da plataforma):

• Logs de acesso (data/hora, IP, navegador) — pra detectar abuso e debugar incidentes
• Eventos de uso (login, pageview, treino executado) — pra métricas internas
• Mensagens trocadas entre treinador e aluno dentro da plataforma

Tratamos os dados pra:

• Prestar o serviço: manter sua conta, atribuir treinos, processar pagamentos via gateway integrado, sincronizar com Garmin/Strava se autorizado
• Comunicar com você: notificações sobre treinos, mensagens do treinador, alertas de mensalidade, atualizações de termos
• Segurança: detectar uso fraudulento, prevenir vazamentos entre assessorias diferentes, responder a incidentes
• Métricas internas: entender uso agregado da plataforma (sem identificar pessoas individualmente em relatórios)
• Cumprir obrigações legais: guardar registros mínimos exigidos pela legislação brasileira

Não usamos seus dados pra: vender pra terceiros, treinar modelos de IA externos, segmentar publicidade. A operação é puramente B2B com a assessoria contratante.

• Consentimento (art. 7º I): aceite dos termos no cadastro
• Execução de contrato (art. 7º V): processar o serviço contratado pela assessoria
• Cumprimento de obrigação legal (art. 7º II): retenção fiscal e tributária
• Interesse legítimo (art. 7º IX): segurança, prevenção a fraude, métricas anonimizadas
• Dados de saúde (art. 11): consentimento específico do titular + interesse legítimo do treinador na prestação do serviço

Compartilhamento estritamente necessário pro funcionamento da plataforma:

• Sua assessoria contratante: dono, treinadores e assistente financeira vinculados a você acessam seus dados conforme papel (ver Termos §4 — Permissões)
• Provedores de infraestrutura (apenas processadores de dados, sem direito de uso próprio):
  • Supabase (banco de dados, hospedagem em AWS São Paulo)
  • Vercel (hospedagem do frontend)
  • Railway (hospedagem do backend)
  • Resend (envio de e-mails transacionais)
  • Sentry (monitoramento de erros, com PII automaticamente mascarada)
• Integrações que você autoriza (apenas após consentimento explícito): Garmin Connect, Strava, WhatsApp Business
• Autoridades públicas apenas mediante ordem judicial ou obrigação legal

Não compartilhamos com: outras assessorias contratantes, corretoras, anunciantes, redes de afiliação ou qualquer terceiro com interesse comercial nos seus dados.

Dados de saúde são categoria especial (LGPD art. 11). Adotamos proteções reforçadas:

• Acesso restrito: só você (aluno) e seu treinador responsável veem. Suporte e assistente financeira NÃO acessam.
• Auditoria: toda leitura/escrita gera log (quem acessou, quando, qual dado)
• Nunca em logs públicos: filtros automáticos no monitoramento (Sentry) garantem que FC, lesão, peso, medicamento jamais sejam enviados pra ferramentas externas
• Nunca em URL: sempre transmitidos via body POST criptografado (HTTPS)
• Criptografia em repouso (em breve via pgcrypto) pra campos críticos

• Conta ativa: dados mantidos enquanto você usar a plataforma
• Após cancelamento: 30 dias pra você exportar tudo
• Após 30 dias: soft delete (anonimização preservando estatística agregada)
• Após 90 dias: hard delete completo de PII
• Exceção fiscal/legal: documentos exigidos por lei brasileira (notas, contratos) mantidos pelo prazo legal (até 5 anos após o fim do contrato)
• Logs de segurança: 6 meses (após são anonimizados)

Você pode, a qualquer momento:

• Confirmar se tratamos seus dados (e quais)
• Acessar seus dados (via painel ou solicitação)
• Corrigir dados incompletos, inexatos ou desatualizados
• Anonimizar ou bloquear dados desnecessários ou tratados em desconformidade
• Portabilidade dos seus dados em formato estruturado (JSON ou CSV)
• Excluir sua conta (botão Excluir minha conta nas configurações, com janela de 7 dias pra retratação — após isso, exclusão definitiva)
• Informação sobre com quem seus dados são compartilhados
• Revogar consentimento a qualquer momento (algumas funcionalidades podem ficar indisponíveis)
• Reclamar à ANPD (Autoridade Nacional de Proteção de Dados) caso entenda que seus direitos foram violados

Pra exercer qualquer direito, fale com a gente pelo @rumopace no Instagram (canal principal nesta fase). Respondemos em até 15 dias úteis.

Adotamos práticas técnicas e administrativas pra proteger seus dados:

• HTTPS/TLS em toda comunicação
• Senhas armazenadas como hash bcrypt (12 rounds) — nunca em texto puro
• Cookies HttpOnly com SameSite=Strict (proteção XSS + CSRF)
• Isolamento total entre assessorias via Row-Level Security do Postgres — uma assessoria NUNCA enxerga dados de outra, mesmo em caso de bug
• Monitoramento de erros via Sentry com PII automaticamente mascarada
• Backup automático diário com retenção de pelo menos 7 dias
• Rate limiting pra prevenir abuso (login, esqueci-senha, etc)
• Auditoria de ações sensíveis (deleções, mudanças administrativas)

Em caso de incidente de segurança que afete seus dados, comunicaremos você e a ANPD nos prazos legais.

Usamos cookies apenas pro funcionamento essencial:

• auth-token (HttpOnly, Secure, SameSite=Strict): mantém você logado. Vida útil: 7 dias ou até logout.
• rumopace-theme (localStorage): lembra sua preferência dark/light.

Não usamos cookies de marketing, retargeting, analytics de terceiros ou rastreamento entre sites.

A plataforma é destinada a maiores de 18 anos pra criar conta. Atletas menores podem ser cadastrados como alunos por responsável legal junto à assessoria — neste caso, o consentimento parental é obtido pela assessoria e registrado na anamnese.

Podemos atualizar esta política periodicamente. Mudanças MATERIAIS são comunicadas com antecedência razoável (e-mail e notificação) e exigem novo aceite no próximo login. Mudanças menores entram em vigor sem aviso prévio.

A versão atual é sempre acessível em rumopace.com.br/privacidade.

Dúvidas sobre privacidade, exercício de direitos ou denúncias:

• Instagram: @rumopace (canal principal nesta fase de lançamento)
• Sede: Curitiba/PR, Brasil
• Encarregado de Dados (DPO), e-mail formal e endereço completo: serão publicados após constituição da empresa
• ANPD (Autoridade Nacional de Proteção de Dados): gov.br/anpd