Política de Privacidade

Versão: 1.0
Data de vigência: 1º de junho de 2026
Última atualização: 1º de junho de 2026

Sumário

1. Sobre esta política
2. Quem somos
3. Informações que coletamos
4. Como usamos suas informações
5. Bases legais do tratamento
6. Armazenamento e segurança dos dados
7. Compartilhamento de dados e terceiros
8. Retenção de dados
9. Seus direitos
10. Exclusão de conta e dados
11. Privacidade de crianças
12. Transferências internacionais de dados
13. Cookies e rastreamento no site
14. Alterações nesta política
15. Contato

Adendos regionais:

• A. Espaço Econômico Europeu, Reino Unido e Suíça
• B. Estados Unidos e Canadá
• C. Brasil
• D. América Latina — México e Argentina
• E. Japão e Coreia do Sul
• F. Oriente Médio — EAU e Arábia Saudita
• G. Índia e Indonésia
• H. Turquia
• I. Rússia e CEI — Cazaquistão, Uzbequistão
• J. Austrália
• K. África — África do Sul, Nigéria, Quênia, Egito
• L. Requisitos de idade mínima por região

1. Sobre esta política {#about}

Esta Política de Privacidade explica como a HelAI («nós», «nosso») coleta, usa, armazena e protege informações pessoais quando você usa o aplicativo móvel HelAI (disponível para iOS e Android) e o site helai.app (coletivamente, o «Serviço»).

2. Quem somos {#who-we-are}

Controlador: Konstantin Yeftifeyev (operando como HelAI)
Jurisdição: República do Cazaquistão
Contato de privacidade: [email protected]
Site: https://helai.app

3. Informações que coletamos {#information-we-collect}

3.1 Dados de conta

Ao criar uma conta, coletamos: endereço de e-mail, nome de exibição, provedor de autenticação (Google, Apple ou e-mail/senha), ID de usuário do Firebase, data de criação da conta.

3.2 Dados de saúde e condicionamento físico

Se você conceder permissão, a HelAI pode ler do Apple Health (iOS) ou Google Health Connect (Android): duração e qualidade do sono, frequência cardíaca em repouso e variabilidade da frequência cardíaca (VFC), peso e altura, percentual de gordura corporal, passos diários e minutos ativos.

Esses dados são armazenados exclusivamente no seu dispositivo. Nunca são transmitidos a servidores externos nem compartilhados com terceiros.

3.3 Dados de treino

Sessões, séries, repetições, pesos, recordes pessoais, objetivos e histórico, armazenados localmente em um banco de dados criptografado e sincronizados seletivamente via Firebase Data Connect.

Funcionalidade futura planejada: Backup na nuvem e sincronização completa de dados de treino como funcionalidade paga opcional.

3.4 Dados da câmera

Quadros de vídeo ao vivo são processados localmente para detecção de pose e contagem de repetições. Dados da câmera nunca são armazenados, transmitidos ou gravados.

3.5 Dados técnicos e de diagnóstico

Modelo do dispositivo, versão do sistema operacional e do aplicativo, relatórios de falhas (via Firebase Crashlytics).

3.6 Dados analíticos

Visualizações de tela, interações com funcionalidades, taxas de conclusão de sessões, coletados via Firebase Analytics para melhorar o Serviço.

3.7 Dados de dispositivo vestível

Eventos de treino trocados via Bluetooth Low Energy com seu relógio Garmin. Nenhum dado é transmitido aos servidores da Garmin.

3.8 Dados do site

Preferência de idioma (armazenada no localStorage), envios do formulário de contato (nome, e-mail, assunto, mensagem).

4. Como usamos suas informações {#how-we-use}

• Fornecimento do Serviço: autenticação, sincronização de treinos
• Funcionalidades de IA: detecção de exercícios e feedback de forma no dispositivo
• Acompanhamento de progresso: recordes pessoais, objetivos e análises
• Diagnóstico: relatórios de falhas e dados técnicos
• Melhoria do Serviço: análise de uso anonimizada
• Suporte: respostas a formulários de contato
• Obrigações legais: conformidade com as leis aplicáveis

5. Bases legais do tratamento {#legal-bases}

6. Armazenamento e segurança dos dados {#storage-security}

• Armazenamento local: banco de dados SQLite criptografado (SQLCipher, AES-256)
• Armazenamento na nuvem: Firebase / Google Cloud Platform, região europe-southwest1 (Espanha)
• Dados de saúde: somente no dispositivo, nunca na nuvem
• Trânsito: TLS 1.3 para todas as comunicações de rede

7. Compartilhamento de dados e terceiros {#data-sharing}

Não vendemos seus dados. Compartilhamos apenas com:

Sem parceiros de publicidade, sem corretores de dados, sem análises de terceiros além do Firebase Analytics.

8. Retenção de dados {#data-retention}

9. Seus direitos {#your-rights}

• Direito de acesso: obter uma cópia de seus dados
• Direito de retificação: corrigir dados imprecisos
• Direito ao apagamento: excluir todos os seus dados pessoais
• Portabilidade de dados: receber seus dados em formato legível por máquina
• Direito de oposição: opor-se ao tratamento para fins analíticos
• Direito à limitação: limitar o tratamento de seus dados
• Retirada do consentimento: revogar o acesso a dados de saúde a qualquer momento

Para exercer seus direitos: escreva para [email protected] ou use as configurações do aplicativo.
Prazo de resposta: em até 30 dias.

10. Exclusão de conta e dados {#account-deletion}

Método 1: No aplicativo

Perfil → Configurações → Excluir conta → Confirmar

Método 2: Por e-mail

Envie uma solicitação para [email protected] com o endereço de e-mail de sua conta.

O que é excluído: conta do Firebase, dados da nuvem, dados locais, dados de saúde (automaticamente na desinstalação).

Prazo de processamento: em até 30 dias. A exclusão é irreversível.

11. Privacidade de crianças {#childrens-privacy}

O Serviço é destinado a pessoas com 16 anos ou mais. Não coletamos conscientemente dados pessoais de pessoas com menos de 16 anos. Se descobrirmos que coletamos tais dados, os excluiremos imediatamente.

12. Transferências internacionais de dados {#international-transfers}

• Controlador: República do Cazaquistão
• Processamento: Google Cloud Platform, região europe-southwest1 (UE/Espanha)
• Mecanismo de transferência: Cláusulas contratuais padrão (CCP) com o Google
• Dados de saúde: sem transferência internacional (somente no dispositivo)

13. Cookies e rastreamento no site {#cookies}

• Apenas essenciais: preferência de idioma (localStorage)
• Sem cookies de rastreamento, sem cookies de terceiros
• Cloudflare Turnstile: apenas verificação de segurança, sem rastreamento de usuários
• Sem retargeting, sem pixels de rastreamento, sem rastreadores de redes sociais

14. Alterações nesta política {#changes}

Alterações importantes serão comunicadas via notificação no aplicativo. A data de «Última atualização» será atualizada. O uso continuado após a data de vigência implica aceitação.

15. Contato {#contact}

Consultas de privacidade: [email protected]
Suporte geral: [email protected]
Prazo de resposta: em até 30 dias corridos

Adendos regionais

Adendo A: Espaço Econômico Europeu, Reino Unido e Suíça {#region-eea}

Bases legais do RGPD (Art. 6 e Art. 9): veja a Seção 5 para a tabela detalhada.

Seus direitos ao abrigo do RGPD incluem os direitos dos Arts. 15 a 22: acesso, retificação, apagamento, limitação, portabilidade, oposição e direito a não estar sujeito a decisões automatizadas.

Direito de reclamação: você tem o direito de apresentar reclamação à autoridade supervisora competente.

DPIA: uma Avaliação de Impacto sobre a Proteção de Dados foi realizada para o tratamento de dados de saúde.

Transferências transfronteiriças para o Google (Firebase) baseiam-se nas cláusulas contratuais padrão da UE (Art. 46 do RGPD).

Adendo B: Brasil {#region-brazil}

O tratamento de dados pessoais de usuários brasileiros é realizado em conformidade com a Lei Geral de Proteção de Dados (LGPD).

Bases legais (LGPD Arts. 7 e 11): execução de contrato, interesse legítimo, consentimento explícito (dados de saúde).

Seus direitos (LGPD Art. 18): confirmação, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, revogação do consentimento.

Encarregado (DPO): Konstantin Yeftifeyev — [email protected]

ANPD: você pode apresentar reclamações à Autoridade Nacional de Proteção de Dados.

Esta Política de Privacidade serve como o aviso de privacidade exigido pela LGPD. Ao aceitar esta política, você consente com o tratamento de seus dados conforme descrito.

Adendo C: Estados Unidos e Canadá {#region-us-ca}

CCPA/CPRA (Califórnia): não vendemos nem compartilhamos seus dados pessoais no sentido do CCPA. Você tem o direito de saber, excluir, corrigir e recusar o uso de informações pessoais sensíveis. Envie solicitações para [email protected].

PIPEDA (Canadá): o tratamento é baseado em «finalidade razoável» com consentimento explícito para dados de saúde. Lei 25 (Quebec): avaliação de privacidade realizada; política de privacidade disponível em francês em /fr/privacy.

Adendo D: América Latina — México e Argentina {#region-latam}

México (LFPDPPP): esta política de privacidade serve como Aviso de Privacidad. Os direitos ARCO (Acesso, Retificação, Cancelamento, Oposição) são exercidos via [email protected].

Argentina (Lei 25.326): os direitos de acesso, retificação e exclusão são exercidos via [email protected]. As transferências são realizadas com consentimento.

Adendo E: Japão e Coreia do Sul {#region-japan-korea}

Japão (APPI): dados pessoais são transferidos para a República do Cazaquistão, que não possui proteção equivalente à APPI. A transferência é realizada com seu consentimento explícito no momento da criação da conta. Direitos: divulgação, correção, cessação do uso, exclusão — envie solicitações para [email protected].

Coreia do Sul (PIPA): consentimento separado é obtido para o tratamento de dados de saúde. Transferência transfronteiriça: dados processados pelo Google Cloud (UE) e pelo operador no Cazaquistão. Direitos: acesso, correção, exclusão, suspensão do tratamento. Responsável pela proteção de dados pessoais: Konstantin Yeftifeyev.

Adendo F: Oriente Médio — EAU e Arábia Saudita {#region-gulf}

O tratamento está em conformidade com o Decreto-Lei Federal dos EAU n.º 45/2021 e a PDPL saudita. Consentimento explícito é obtido para dados de saúde (dados sensíveis). Transferências transfronteiriças baseadas em consentimento e garantias contratuais. Direitos: acesso, correção, exclusão, limitação, oposição, portabilidade. Contato: [email protected].

Adendo G: Índia e Indonésia {#region-india-indonesia}

Índia (DPDPA): usuários menores de 18 anos devem ter consentimento de um pai ou responsável. Direitos: acesso, correção, apagamento, recurso.

Indonésia (Lei PDP): usuários menores de 17 anos devem ter consentimento de um pai ou responsável. Dados sensíveis (saúde) tratados com consentimento explícito. Direitos: acesso, correção, exclusão, revogação do consentimento.

Adendo H: Turquia {#region-turkey}

O tratamento está em conformidade com o KVKK turco (Lei n.º 6698). Dados de saúde são dados de categoria especial tratados com consentimento explícito. O Cazaquistão não consta da lista turca de países adequados; a transferência baseia-se em consentimento explícito. Direitos: informação, acesso, correção, exclusão, oposição, indenização. Contato: [email protected].

Adendo I: Rússia e CEI — Cazaquistão, Uzbequistão {#region-cis}

Rússia (Lei Federal n.º 152-FZ): dados pessoais são tratados fora da Federação Russa (Google Cloud, servidores UE). A criação de conta implica consentimento à transferência internacional nos termos do Art. 12. Direitos: acesso, correção, bloqueio, exclusão, revogação do consentimento.

Cazaquistão (Lei n.º 94-V): jurisdição de origem do operador. Dados de saúde classificados como «dados de acesso restrito» e tratados com consentimento explícito. Direitos: acesso, correção, exclusão, revogação do consentimento.

Uzbequistão (Lei de Dados Pessoais 2019): tratamento realizado com consentimento. Direitos: acesso, correção, exclusão, revogação do consentimento.

Adendo J: Austrália {#region-australia}

O tratamento está em conformidade com os Princípios Australianos de Privacidade (APP). Destinatários no exterior: Google LLC (dados na região UE). Se um destinatário no exterior tratar mal os dados, o operador permanece responsável nos termos do APP 8. Dados de saúde tratados com consentimento expresso como «informações sensíveis». Reclamações: [email protected]; se não resolvidas, para o OAIC.

Adendo K: África — África do Sul, Nigéria, Quênia, Egito {#region-africa}

África do Sul (POPIA): consentimento obtido para informações pessoais especiais (saúde). Usuários menores de 18 anos requerem consentimento de pessoa competente.

Nigéria (NDPR/NDPA): avaliação de impacto de proteção de dados realizada. Tratamento baseado em consentimento.

Quênia (DPA 2019): direitos dos titulares de dados nos termos da Seção 26. Usuários menores de 18 anos requerem consentimento parental.

Egito (Lei 151/2020): dados sensíveis tratados com consentimento explícito.

Transferências transfronteiriças realizadas com consentimento conforme a lei aplicável. Reclamações: [email protected].

Adendo L: Requisitos de idade mínima por região {#region-age-table}

Esta Política de Privacidade foi atualizada pela última vez em 1º de junho de 2026. A HelAI é operada por Konstantin Yeftifeyev, República do Cazaquistão.