Voltar
Legal · GDPR / RGPD

Política de Privacidade

Última atualização: 21 de junho de 2026

1. Introdução e Responsáveis pelo Tratamento

Esta Política de Privacidade explica como o MyFitnessClient — plataforma operada por Vasco José Cardoso Correia, empresário em nome individual, com o número de identificação fiscal (NIF) 262045630 e morada na Rua de Campezinhos, 27, Lomba, 4600-663 Amarante, Portugal («MyFitnessClient», «nós») — recolhe, utiliza, partilha e protege dados pessoais, em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD). Para qualquer questão sobre privacidade, pode contactar-nos através de [email protected]. Aplica-se ao website myfitnessclient.com, à aplicação web (incluindo a versão instalável/PWA) e a todos os serviços associados.

O MyFitnessClient atua em dois papéis distintos: (i) como responsável pelo tratamento dos dados das contas, da faturação, da segurança e do website; e (ii) como subcontratante relativamente aos dados que cada profissional gere sobre os seus clientes — incluindo dados de saúde —, caso em que o profissional é o responsável pelo tratamento e nós tratamos os dados segundo as suas instruções. Os clientes podem exercer os seus direitos sobre esses dados junto do profissional e/ou diretamente connosco.

2. Dados que Recolhemos

Recolhemos os dados que nos fornece, os dados registados pelo profissional no âmbito do acompanhamento e os dados técnicos gerados pela utilização da plataforma:

2.1 Informações da Conta

  • Nome completo
  • Email e palavra-passe (guardada com hashing seguro — nunca em texto legível)
  • Número de telefone, fotografia de perfil, data de nascimento e género (opcionais)
  • Idioma, fuso horário, moeda e preferências da aplicação
  • Quando inicia sessão com Google: identificador e email da conta Google (o nome utilizado é o que indica ao criar a conta)

2.2 Dados dos Profissionais

  • Biografia, especialidades, certificações, anos de experiência e galeria
  • Conteúdo do perfil público/microsite, quando ativado (serviços, preços indicativos, testemunhos, FAQ, redes sociais, contacto público)
  • Dados de subscrição e faturação: plano, estado, histórico de faturas e tipo e últimos 4 dígitos do método de pagamento (os dados completos do cartão ficam apenas na Stripe)
  • Dados fiscais para faturação, quando fornecidos (nome fiscal, NIF, morada)
  • Distintivo de apoiante (founder/beta), quando atribuído

2.3 Dados dos Clientes (incluindo dados de saúde)

  • Medições corporais e composição corporal (peso, altura, perímetros, pregas cutâneas, percentagem de massa gorda, entre outras)
  • Resultados de testes e avaliações físicas
  • Fotografias de progresso e de avaliação
  • Questionários de saúde/anamnese, que podem incluir historial médico, lesões e limitações
  • Registos de treino, nutrição e hábitos
  • Objetivos e notas de acompanhamento
  • Respostas a formulários criados pelo profissional (incluindo formulários partilhados por link público)

2.4 Comunicações

  • Mensagens de chat, incluindo ficheiros, mensagens de áudio, reações e GIFs
  • Metadados de chamadas de vídeo/áudio (participantes, início e duração) — o conteúdo das chamadas não é gravado
  • Pedidos de suporte e mensagens enviadas pelos formulários de contacto
  • Preferências de notificações

2.5 Registos de Pagamentos entre Profissional e Cliente

  • Valores, datas, estados, método e notas dos pagamentos registados pelo profissional
  • Confirmações de pagamento submetidas pelo cliente
  • Estes registos são meramente informativos — não processamos esses pagamentos (ver Termos de Serviço)

2.6 Dados Técnicos

  • Endereço IP, tipo de navegador e dispositivo, sistema operativo
  • Histórico de início de sessão (incluindo tentativas falhadas) e tokens de sessão
  • Subscrições de notificações push
  • Relatórios automáticos de erros, com contexto técnico da ação
  • Registos de auditoria de ações sensíveis
  • Dados guardados localmente no dispositivo (preferências e estado de utilização da aplicação)

3. Finalidades e Fundamentos Jurídicos

Tratamos os seus dados para as seguintes finalidades, com os respetivos fundamentos do RGPD:

  • Prestação do Serviço (execução do contrato): criação e gestão de contas, funcionalidades da plataforma, ligação entre profissional e cliente, integrações que ativar e suporte.
  • Faturação e obrigações legais (obrigação legal): processamento de subscrições, emissão de faturas (incluindo faturação certificada em Portugal) e cumprimento de obrigações fiscais e contabilísticas.
  • Segurança e prevenção de fraude (interesse legítimo): autenticação, registos de acesso e auditoria, deteção e bloqueio de abusos, limites técnicos e proteção anti-bot.
  • Comunicações de serviço (execução do contrato e interesse legítimo): emails transacionais, avisos de conta, lembretes e notificações — configuráveis nas definições.
  • Melhoria do Serviço (interesse legítimo): estatísticas agregadas de utilização do website e diagnóstico e correção de erros.
  • Dados de saúde dos clientes (consentimento explícito): tratados por conta do profissional responsável, a quem cabe assegurar o consentimento explícito do cliente (artigo 9.º do RGPD) — ver secção 4.

4. Dados de Saúde

Os dados de saúde dos clientes (medições, avaliações, anamnese, fotografias de progresso e registos) são tratados exclusivamente no âmbito do acompanhamento prestado pelo profissional e segundo as suas instruções. Nunca os utilizamos para publicidade nem os vendemos.

O profissional, enquanto responsável pelo tratamento, deve obter o consentimento explícito dos seus clientes antes de recolher estes dados. O cliente pode retirar o consentimento a qualquer momento e exercer os seus direitos junto do profissional e/ou contactando-nos diretamente (secção 9).

Não utilizamos os dados pessoais dos utilizadores nem os dados de saúde dos clientes para treinar, afinar ou desenvolver modelos de inteligência artificial ou de aprendizagem automática, nem os disponibilizamos a terceiros para esse fim. Caso venhamos a introduzir alguma funcionalidade de inteligência artificial, será divulgada e, quando exigido, sujeita a consentimento próprio.

5. Com Quem Partilhamos os Seus Dados

Nunca vendemos os seus dados pessoais. Partilhamos dados apenas nas seguintes situações:

  • Entre profissional e cliente: o profissional — e os membros da sua equipa a quem atribuir permissões — acede aos dados dos seus clientes no âmbito do acompanhamento; o cliente acede aos conteúdos que lhe forem atribuídos.
  • Perfis públicos (opcionais): se o profissional ativar o marketplace/microsite, as informações do perfil tornam-se públicas e indexáveis por motores de busca; o mural de apoiantes mostra publicamente nome, fotografia e distintivo.
  • Alojamento e infraestrutura: fornecedores de infraestrutura cloud que alojam a aplicação e a base de dados (servidores localizados na União Europeia) e asseguram o envio de email transacional, a rede de entrega de conteúdos (CDN), a proteção do website (incluindo proteção anti-DDoS e anti-bot) e o armazenamento de ficheiros.
  • Processador de pagamentos: a Stripe processa os pagamentos das subscrições em conformidade com PCI-DSS; não armazenamos os dados completos do cartão — apenas o tipo e os últimos 4 dígitos.
  • Faturação certificada: a Moloni (Portugal) emite as faturas das subscrições e recebe, quando fornecidos, o nome fiscal, o NIF e a morada.
  • Google: início de sessão com Google (se utilizar essa opção) e sincronização com o Google Calendar — apenas se ligar voluntariamente a sua conta Google; nesse caso enviamos os eventos a sincronizar. Pode desligar a integração a qualquer momento.
  • Serviços consultados a pedido: pesquisa de alimentos (Open Food Facts — termos de pesquisa e códigos de barras), pesquisa de GIFs (Klipy — termos de pesquisa) e pesquisa de localização (OpenStreetMap/Nominatim — o texto introduzido).
  • Vídeos incorporados: ao reproduzir vídeos do YouTube ou do Vimeo incorporados na plataforma, esses serviços recebem o seu endereço IP e dados do navegador.
  • Notificações push: se as ativar, são entregues através do serviço de push do seu navegador ou dispositivo (Google, Mozilla ou Apple).
  • Análise de utilização do website: Google Analytics 4 (Google LLC), apenas no website público — ver secção 10.
  • Autoridades: apenas quando exigido por obrigação legal aplicável ou para o exercício e defesa de direitos em processos judiciais.
  • Operações societárias: em caso de fusão, aquisição ou venda de ativos, os dados podem ser transferidos com salvaguardas equivalentes às desta política, sendo os utilizadores informados.

5.1 Lista de Subcontratantes

Recorremos às seguintes categorias de subcontratantes (sub-processadores), que tratam dados em nosso nome ao abrigo de contratos que impõem as garantias do RGPD. A lista detalhada e atualizada dos subcontratantes específicos está disponível, mediante pedido, para os profissionais responsáveis pelo tratamento:

  • Fornecedor de infraestrutura cloud — alojamento da aplicação e da base de dados e envio de email transacional — União Europeia
  • Fornecedor de CDN e segurança web — entrega de conteúdos, proteção do website (anti-DDoS e anti-bot) e armazenamento de ficheiros — rede global, com Cláusulas Contratuais-Tipo
  • Stripe — processamento dos pagamentos das subscrições — EUA, ao abrigo do EU-U.S. Data Privacy Framework e de Cláusulas Contratuais-Tipo
  • Moloni — emissão das faturas das subscrições — Portugal
  • Google — início de sessão e sincronização com o Google Calendar (apenas se ativados por si) — EUA, ao abrigo do EU-U.S. Data Privacy Framework e de Cláusulas Contratuais-Tipo
  • Serviços consultados a pedido (Open Food Facts, Klipy, OpenStreetMap/Nominatim) e vídeos incorporados (YouTube, Vimeo) — redes globais
  • Servidores STUN públicos — estabelecimento técnico das chamadas de vídeo/áudio (WebRTC); recebem os endereços IP dos participantes

5.2 Integração com o Google Calendar (Google API Services)

Se ligar voluntariamente a sua conta Google, acedemos apenas aos dados do Google Calendar necessários para criar, atualizar e remover, no seu calendário, os eventos correspondentes às suas sessões e compromissos na plataforma (eventos, datas, títulos, descrições e identificadores técnicos). A sincronização é apenas num sentido — da plataforma para o Google Calendar; não lemos nem importamos os eventos do seu Google Calendar.

A utilização de dados obtidos através das APIs Google respeita a Google API Services User Data Policy, incluindo os requisitos de Limited Use. Os dados do Google Calendar não são utilizados para publicidade, não são vendidos nem transferidos para terceiros e não são utilizados para treinar modelos de inteligência artificial ou de aprendizagem automática.

Pode desligar a integração a qualquer momento, na própria plataforma ou nas definições de permissões da sua conta Google; a partir desse momento deixamos de aceder aos dados do Google Calendar.

6. Transferências Internacionais

Os servidores principais (aplicação e base de dados) estão alojados na União Europeia. Alguns fornecedores identificados na secção 5 (como o fornecedor de CDN e segurança web e serviços como a Stripe, a Google, a Apple, a Mozilla e a Klipy) operam redes globais e podem tratar dados fora do Espaço Económico Europeu. Nesses casos, asseguramos salvaguardas adequadas nos termos do Capítulo V do RGPD — decisões de adequação da Comissão Europeia (incluindo o EU-U.S. Data Privacy Framework, quando aplicável) e/ou Cláusulas Contratuais-Tipo.

7. Segurança

Aplicamos medidas técnicas e organizativas adequadas, em conformidade com o artigo 32.º do RGPD, incluindo:

  • Encriptação em trânsito (HTTPS/TLS) em todas as comunicações
  • Palavras-passe protegidas com hashing seguro; segredos sensíveis (2FA, ligações OAuth) encriptados em repouso
  • Autenticação de dois fatores (2FA) por email ou aplicação de autenticação, com códigos de recuperação
  • Controlo de acessos por conta e por permissões, segundo o princípio do menor privilégio
  • Limites de tentativas, proteção anti-bot e monitorização de acessos
  • Registos de auditoria de ações sensíveis
  • Cópias de segurança regulares com retenção limitada
  • Revisões de segurança periódicas

Em caso de violação de dados pessoais suscetível de implicar risco para os titulares, notificaremos a autoridade de controlo e, quando exigido, os utilizadores afetados, nos termos dos artigos 33.º e 34.º do RGPD.

8. Conservação e Eliminação de Dados

Conservamos os seus dados enquanto a conta existir. Pode pedir a eliminação da conta contactando o suporte: a conta é desativada e os dados pessoais são eliminados ou anonimizados de forma irreversível no prazo máximo de 30 dias, salvo quando a lei exigir a sua conservação (por exemplo, documentos de faturação, conservados até 10 anos por obrigação fiscal). Os dados eliminados podem persistir em cópias de segurança por um período adicional máximo de 30 dias, até estas expirarem.

Prazos específicos: os ficheiros alojados (fotografias, vídeos, documentos) são eliminados definitivamente 90 dias após o termo de uma subscrição paga, com avisos prévios por email; tokens de sessão expirados são removidos após 7 dias; relatórios de erros são conservados no máximo 90 dias (30 dias após resolução); registos de atividade de equipa, 90 dias; lembretes processados, 30 dias. O histórico de início de sessão e os registos de auditoria são conservados apenas pelo período necessário às finalidades de segurança e de cumprimento legal.

Contas inativas: após 12 meses sem qualquer atividade, enviamos avisos por email; sem resposta, a conta é desativada e, decorrida uma janela de recuperação de 30 dias, os dados pessoais são anonimizados de forma permanente. Contas com subscrição ativa e profissionais com clientes ativos não são abrangidos por este processo.

8.1 Prazos de Conservação (resumo)

  • Conta e perfil — enquanto a conta existir; eliminados ou anonimizados até 30 dias após o pedido de eliminação
  • Documentos de faturação — 10 anos (obrigação fiscal)
  • Ficheiros alojados (fotografias, vídeos, documentos) — 90 dias após o fim de uma subscrição paga
  • Tokens de sessão expirados — 7 dias
  • Relatórios de erro — até 90 dias (30 dias após resolução)
  • Registos de atividade de equipa — 90 dias
  • Cópias de segurança — até 30 dias adicionais
  • Contas inativas — anonimização permanente após 12 meses sem atividade e uma janela de recuperação de 30 dias

9. Os Seus Direitos (RGPD)

Enquanto titular dos dados, tem os seguintes direitos:

  • Acesso: obter confirmação e cópia dos seus dados pessoais
  • Retificação: corrigir dados inexatos ou incompletos
  • Apagamento: pedir a eliminação dos seus dados («direito a ser esquecido»)
  • Portabilidade: receber os seus dados num formato estruturado e de uso corrente
  • Oposição: opor-se a tratamentos baseados em interesse legítimo e, em qualquer caso, a marketing direto
  • Limitação: restringir o tratamento dos seus dados em determinadas circunstâncias
  • Retirar o consentimento: a qualquer momento, sem afetar a licitude do tratamento já efetuado

Para exercer qualquer um destes direitos, contacte-nos em [email protected].

Respondemos no prazo máximo de um mês. Quando os dados forem geridos por um profissional na qualidade de responsável pelo tratamento, pode também exercer os seus direitos diretamente junto dele. Tem ainda o direito de apresentar reclamação a uma autoridade de controlo — em Portugal, a CNPD (Comissão Nacional de Proteção de Dados, cnpd.pt).

10. Cookies e Armazenamento Local

Utilizamos cookies estritamente necessários à autenticação e ao funcionamento da plataforma. Os cookies de sessão e de autenticação são HttpOnly (inacessíveis a scripts). Alguns cookies estritamente necessários ou de preferência são legíveis por scripts apenas quando o funcionamento desses processos o exige. Não utilizamos cookies de publicidade nem partilhamos dados com redes publicitárias. A aplicação guarda ainda algumas informações no armazenamento local do dispositivo (preferências e estado de utilização), que pode limpar terminando a sessão ou nas definições do navegador.

O website público utiliza o Google Analytics 4 (Google LLC) para estatísticas agregadas de visitas; esta medição não é utilizada nas áreas autenticadas da aplicação (dashboard do profissional e aplicação do cliente). Pode opor-se bloqueando cookies de terceiros no navegador ou utilizando o suplemento de desativação do Google Analytics.

11. Notificações e Comunicações

Enviamos comunicações transacionais e de serviço: verificação de conta, segurança, avisos de subscrição e faturação, convites, lembretes e notificações de atividade. Pode gerir as notificações push e por email, por categoria, nas definições; as notificações push exigem a sua autorização no navegador e podem ser desativadas a qualquer momento. Não enviamos newsletters nem comunicações de marketing sem o seu consentimento.

12. Chamadas de Vídeo e Áudio

As chamadas entre profissional e cliente são estabelecidas diretamente entre os participantes (tecnologia WebRTC, ponto-a-ponto) sempre que tecnicamente possível. Para estabelecer a ligação são utilizados servidores STUN públicos, que tratam os endereços IP dos participantes. Não gravamos nem armazenamos o conteúdo das chamadas — apenas metadados (participantes, início e duração) associados à conversa.

13. Alterações a Esta Política

Esta política pode ser atualizada periodicamente. Sempre que houver alterações relevantes, será avisado por email ou através da plataforma antes de estas produzirem efeitos. A data da última atualização consta no topo desta página.

14. Contacto

Para questões sobre privacidade ou sobre o tratamento dos seus dados:

  • Email: [email protected]
  • Morada: Rua de Campezinhos, 27, Lomba, 4600-663 Amarante, Portugal