Política de Privacidade — INSYD

Versão 1.0 — Atualizada em 15/09/2025

1) Quem somos

Controladora: Serviços de Saúde Costa de Oliveira ("INSYD", "nós")

CNPJ: 31.124.139/0001-70

Endereço: RUA VICENTE LINHARES, 521 — SALAS 1301 e 1302, ALDEOTA, Fortaleza/CE, CEP 60135-270

E-mail do DPO/Encarregado: dpo@insyd.com.br

Esta política descreve como tratamos dados pessoais no app iOS, web (insyd.com.br) e canal de WhatsApp.

2) Escopo e base legal

Tratamos dados conforme a LGPD (Lei 13.709/2018). Para dados pessoais sensíveis de saúde (ex.: sono, treinos, exames), utilizamos consentimento específico e destacado (art. 11, I). Para outras finalidades, utilizamos: execução de contrato (art. 7, V), cumprimento de obrigação legal (art. 7, II) e legítimo interesse (art. 7, IX) quando adequado.

3) Quais dados coletamos

  • Conta e contato: nome, e-mail, telefone E.164 (+55), UID do Firebase, identificadores de login (Apple/Google).
  • Dados de saúde (sensíveis): Apple Health/HealthKit (sono, treinos, passos, FC repouso, HRV, VO₂ máx., composição corporal), questionários/anamnese e exames enviados (PDF/JPG) processados por IA para JSON estruturado (mantemos o arquivo original).
  • Engajamento e métricas: registros de entregas e cliques (deliveries/<data>/<uid>/<sid>) e votos por conteúdo (content_stats/<content_id>).
  • Técnicos/analíticos: eventos de uso, crash logs, IP aproximado, device/OS, tokens de push (FCM), cookies/identificadores da web.

Transparência HealthKit (exigência Apple): dados do HealthKit são usados exclusivamente para finalidades de saúde/fitness do app; não são usados para publicidade, não são vendidos e não são compartilhados com terceiros para fins de marketing.

4) Para que usamos (finalidades + bases)

  • Prestar o serviço principal (conteúdos personalizados, dashboards e tendências; sincronizar HealthKit; histórico) — execução de contrato.
  • Envio de 1 conteúdo/dia por WhatsApp (seg–sex) e comunicação operacional (opt-in/opt-out; testes) — consentimento.
  • Personalização por IA (ajuste por votos/cliques/perfil) — consentimento (sensíveis) e legítimo interesse para métricas agregadas e melhorias.
  • Compartilhamento com profissionais escolhidos por você (com escopos e auditoria) — consentimento específico.
  • Segurança, prevenção a fraudes, suporte — legítimo interesse e/ou obrigação legal.
  • Cumprimento de obrigações legais/regulatórias — obrigação legal.
  • Estatística e P&D com dados anonimizados — fora do escopo da LGPD.

5) WhatsApp

  • O envio diário só ocorre após opt-in (no app/web).
  • Você pode parar a qualquer momento, respondendo “PARAR”.
  • Evitamos dados sensíveis específicos na mensagem; o detalhamento fica no app/web via deep link seguro.

6) Compartilhamento com terceiros

Operadores (tratamento em nosso nome):

  • Google Cloud/Firebase (Auth, Firestore, Storage, Analytics, Crashlytics) — infraestrutura e dados de app.
  • Vercel (hosting web/Edge) — site e APIs.
  • Twilio/WhatsApp Business API — envio e recebimento de mensagens.
  • Apple (HealthKit frameworks) — permissões e integrações no iOS.

Profissionais de saúde indicados por você: quando habilitado o compartilhamento (shared_with com escopos), atuam como controladores independentes para a porção de dados que recebem. O acesso pode ser revogado a qualquer momento no app.

7) Transferência internacional

Dados podem ser processados/armazenados fora do Brasil por nossos provedores. Adotamos medidas contratuais e técnicas para garantir níveis adequados de proteção (ex.: cláusulas específicas, criptografia, controles de acesso).

8) Retenção

Mantemos seus dados enquanto sua conta estiver ativa e conforme necessidades contratuais/legais. Após pedido de exclusão, aplicamos prazos técnicos de eliminação/backup (ex.: até 30–90 dias), salvo retenções exigidas por lei.

9) Segurança

Criptografia em trânsito (TLS) e em repouso (serviços cloud), princípio do menor privilégio, auditoria de acessos sensíveis, monitoramento e backups. Nenhum método é 100% seguro; mantemos planos de resposta a incidentes e, quando aplicável, notificaremos conforme a LGPD.

10) Seus direitos (LGPD)

  • Confirmação e acesso aos dados;
  • Correção de dados incompletos/inexatos;
  • Anonimização, bloqueio ou eliminação de dados desnecessários/excessivos;
  • Portabilidade;
  • Eliminação de dados tratados com consentimento;
  • Informação sobre compartilhamentos e sobre a possibilidade de não consentir;
  • Revogação do consentimento;
  • Revisão de decisões automatizadas que afetem seus interesses.

Para exercer, contate: dpo@insyd.com.br.

11) Crianças e adolescentes

A INSYD é destinada a maiores de 18 anos. Não coletamos intencionalmente dados de menores.

12) Mudanças nesta política

Podemos atualizar este documento a qualquer momento. A versão vigente será publicada no site/app com a data de atualização. Mudanças materiais poderão requerer novo consentimento.

Anexo — Resumo para “App Store Privacy”

  • Coletados com sua permissão
    • Informações de contato: nome, e-mail, telefone (associados à sua identidade).
    • Dados de saúde: sono, treinos, fisiologia (associados à sua identidade; finalidade saúde/fitness).
    • Identificadores: UID Firebase, tokens de push (associados à sua identidade).
    • Diagnóstico/uso: logs, crashes, analytics (não rastreamos você em apps/sites de terceiros).

Não usamos dados para rastreamento publicitário. HealthKit: uso exclusivo para recursos de saúde/fitness; sem publicidade/venda/data mining.