Política de Privacidade

Versão 1.1 · Vigente a partir de 18 de maio de 2026

Esta Política de Privacidade descreve como o Z3 Triathlon ("nós", "o app") coleta, usa, armazena e protege os seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

Ao utilizar o app, você concorda com as práticas descritas aqui. Caso não concorde, por favor, não utilize o serviço.

1. Quem somos

Z3 Triathlon é uma plataforma de treinos de natação, corrida e ciclismo para atletas e treinadores CREF-verificados. Atuamos como controladores de dados para as informações que você fornece ao criar sua conta e usar o app.

2. Quais dados coletamos

2.1 Dados de cadastro

Nome completo
E-mail
Senha (armazenada com hash, nunca em texto claro)
Papel no app (atleta ou treinador)
Iniciais de avatar (derivadas do nome)

2.2 Dados de perfil (opcional)

Telefone: contato fornecido por sua iniciativa em "Editar Perfil" para que seu treinador possa entrar em contato direto após aceitar a afiliação. Você pode remover a qualquer momento.
Ano de nascimento: usado para cálculo de FCmáx estimada via fórmula de Tanaka (208 − 0,7 × idade) e segmentação real das zonas de FC Z1-Z5 nas análises do Strava.
Nível de prontidão (P0 Estreante a P4 Performance): personaliza volume e intensidade dos treinos gerados pela Forja.
Esportes ativos (natação/corrida/ciclismo)
Tamanho da piscina preferida (25m, 33m ou 50m)
Benchmarks (tempos de referência por distância)

2.3 Dados de saúde — categoria especial (LGPD art. 11)

Coletamos dados de saúde somente com seu consentimento explícito e granular. Você pode ativar/desativar cada categoria a qualquer momento em Configurações → Saúde:

Recuperação: sono, frequência cardíaca (contínua e repouso), HRV, calorias
Treinos: atividades importadas do HealthKit (iOS) ou Health Connect (Android) — incluindo duração, distância, série de FC, calorias
Localização: traçado GPS apenas durante execução de treinos de corrida/ciclismo, exclusivamente para cálculo de pace/distância. Nunca em background.

Esses dados são criptografados em repouso com AES-256 no dispositivo e em trânsito via HTTPS.

2.4 Dados de uso

Treinos realizados, RPE (percepção de esforço), comentários
Feedback trocado entre atleta e treinador
Relatos de dor (opcional, criptografado)
Data/hora de cada ação

2.5 Dados técnicos

Plataforma do dispositivo (iOS/Android)
Logs de erro (anonimizados) para manutenção

2.6 Dados do treinador

Se você se cadastra como treinador, coletamos adicionalmente: número do CREF, documento de comprovação (foto), biografia profissional, especialidades, cidade e valor de mensalidade (opcional). O CREF é verificado manualmente para garantir credibilidade.

2.7 Integrações externas (opt-in)

Você pode, a seu critério, conectar contas em plataformas externas para importar histórico ou sincronizar atividades. Em todos os casos a conexão é explicitamente autorizada por você e pode ser desfeita a qualquer momento em Configurações → [Integração].

Strava: importamos suas atividades dos últimos 12 meses para calibrar paces e melhorar a geração automática de treinos. A partir desses dados, derivamos localmente: paces de melhor esforço por distância (1/5/10/21/42 km), volume semanal por esporte, consistência, FTP estimada para ciclismo (a partir de weighted_average_watts em treinos com medidor de potência) e distribuição em zonas de FC (usando sua idade quando informada). Os dados são processados localmente no seu dispositivo; o Z3 nunca envia suas atividades Strava para nossos servidores. Ao desconectar, todas as atividades importadas e análises derivadas (incluindo o histórico de calibração) são removidas do dispositivo.
Apple Saúde / Health Connect: acesso leitura a dados do próprio dispositivo (descrito em 2.3). Requer permissão granular do sistema operacional.

Os tokens OAuth dessas integrações são guardados em Keychain (iOS) ou EncryptedSharedPreferences (Android) — nunca no nosso backend.

3. Base legal do tratamento

Tratamos seus dados com base em:

Consentimento (art. 7º, I e art. 11, I): dados de saúde e localização, com opt-in explícito.
Execução de contrato (art. 7º, V): dados de cadastro e de uso necessários para prover o serviço.
Legítimo interesse (art. 7º, IX): logs técnicos para segurança e manutenção.

4. Como usamos seus dados

Exibir seus treinos, analytics, PMC (fitness/fadiga), recomendações.
Permitir que seu treinador visualize sua execução (apenas se você autorizou o compartilhamento).
Adaptar treinos automaticamente com base em readiness e histórico (Forge).
Gerar notificações de treino (push).
Enviar e-mails transacionais (confirmação, reset de senha).

Nunca vendemos seus dados. Não exibimos publicidade de terceiros.

5. Com quem compartilhamos

5.1 Seu treinador (opt-in)

Se você afilia-se a um treinador e ativa o compartilhamento, ele vê seus treinos, dados de saúde agregados (sono/HRV/recuperação) e dá feedback. Você pode revogar a qualquer momento em Configurações.

5.2 Infraestrutura AWS (sa-east-1 / São Paulo)

Seus dados ficam em servidores AWS na região Brasil (São Paulo). Usamos Cognito (autenticação), DynamoDB (banco), S3 (arquivos), Lambda (processamento). A AWS atua como operadora de dados sob contrato conforme LGPD art. 39.

5.3 Firebase (notificações push)

Usamos Firebase Cloud Messaging do Google exclusivamente para enviar notificações. Apenas o token do dispositivo é compartilhado — nenhum dado pessoal.

5.4 Não compartilhamos com terceiros de marketing.

6. Seus direitos (LGPD art. 18)

Você tem direito de:

Acessar seus dados — tudo visível no próprio app, incluindo resumo por categoria em Perfil → Meus Dados.
Corrigir dados incompletos ou desatualizados — Editar Perfil.
Anonimizar ou bloquear dados desnecessários ou excessivos.
Portabilidade (art. 18 V) — exporte todos os seus dados pessoais em formato JSON estruturado direto no app: Perfil → Meus Dados → Exportar meus dados. O arquivo gerado é enviado para onde você escolher (e-mail, Drive, etc.) pelo próprio compartilhamento do sistema operacional.
Eliminação (art. 18 VI) — excluir sua conta em Perfil → Excluir minha conta. Apaga tudo em cascata (local + DynamoDB + S3 + Cognito).
Revogar consentimento — desativar toggles de saúde/localização, desconectar Strava ou revogar autorização de coach destacar conquistas, a qualquer momento.
Informação sobre compartilhamento — listado na seção 5 desta política.

7. Retenção de dados

Dados ativos: enquanto sua conta existir.
Backups automáticos (PITR): até 35 dias.
Após exclusão de conta: dados removidos imediatamente; backups expiram em até 35 dias.
Logs técnicos anonimizados: até 1 mês.
Documentos CREF (compliance regulatório): até 365 dias após expiração.

8. Segurança

Senhas com política mínima de 12 caracteres + símbolos.
MFA TOTP opcional para qualquer conta; recomendado para treinadores.
Dados de saúde criptografados AES-256 em repouso (dispositivo + servidor).
Comunicação exclusivamente via HTTPS/TLS.
Tokens de autenticação armazenados em Secure Enclave (iOS) / Keystore (Android).
Monitoramento contínuo de anomalias (CloudWatch).

9. Menores de idade

O Z3 Triathlon é destinado a maiores de 18 anos. Menores podem usar apenas com consentimento expresso de seus responsáveis legais, nos termos da LGPD art. 14.

10. Transferência internacional

Seus dados permanecem no Brasil (AWS São Paulo). Não realizamos transferência internacional para processamento principal. Firebase pode processar tokens de push fora do Brasil sob Cláusulas Contratuais Padrão da autoridade brasileira (ANPD).

11. Alterações nesta política

Podemos atualizar esta política conforme evoluímos o serviço. Notificaremos mudanças materiais via e-mail e no próprio app. A versão vigente estará sempre em z3triathlon.com.br/privacidade.

12. Contato

Encarregado de Proteção de Dados (DPO):

Bruno Olímpio

E-mail: privacidade@z3triathlon.com.br

Para exercer seus direitos LGPD, use os canais do app ou o e-mail acima. Responderemos em até 15 dias.