Duosis
Duosis
Fale conosco
|
Blumenau, SC — Brasil

Política de Privacidade — Dufit

Última atualização: 16 de abril de 2026

Vigência: a partir de 16 de abril de 2026

Esta Política de Privacidade descreve como o aplicativo Dufit ("Aplicativo", "Serviço") coleta, utiliza, armazena, compartilha e protege as informações pessoais dos seus usuários. Ao criar uma conta ou utilizar o Aplicativo, você concorda com os termos desta Política.

1. Quem somos

O Dufit é operado por Duosis Sistemas ("Duosis", "nós"), responsável pelo tratamento dos dados pessoais coletados pelo Aplicativo.

  • Razão social: DUOSIS SOLUCOES LTDA
  • CNPJ: 62.626.322/0001-06
  • Endereço: Rua Marianna Bronnemann, 230 Sala 7
  • E-mail de contato / Encarregado de Dados (DPO): contato@duosis.com.br

Em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018), a Duosis atua como controladora dos dados pessoais tratados no Aplicativo.

2. Público-alvo

O Dufit é destinado a maiores de 18 anos, especificamente:

  • Personal Trainers — profissionais de educação física que prestam serviços a alunos.
  • Alunos — cadastrados por um Personal Trainer para receber treinos personalizados.

O Aplicativo não é direcionado a crianças nem coleta intencionalmente dados de menores de 18 anos. Caso identifiquemos coleta indevida de dados de menor, excluiremos imediatamente.

3. Quais dados coletamos

3.1 Dados fornecidos por você

No cadastro e uso normal:

  • Nome completo
  • Endereço de e-mail
  • Senha (armazenada com hash bcrypt, nunca em texto plano)
  • Telefone (opcional)
  • Foto de perfil / avatar (opcional)
  • Para Personal Trainers: número e status do registro no CREF (Conselho Regional de Educação Física)
  • Para Alunos: dados de avaliação física opcionais (altura, peso, medidas corporais, notas)

No uso do Aplicativo:

  • Treinos criados (nome, exercícios, séries, repetições, tempo de descanso)
  • Execução de treinos (peso, repetições, percepção de esforço — RPE, duração)
  • Fotos e vídeos de exercícios enviados pelo usuário
  • Comunicação entre Personal Trainer e Aluno (convites, planos atribuídos)
  • Agendamentos e disponibilidade

3.2 Dados de pagamento (Personal Trainers)

Para assinatura do plano pago, processamos pagamentos através do parceiro Asaas. Coletamos:

  • Nome do titular do cartão
  • Últimos 4 dígitos do cartão
  • Bandeira do cartão
  • Token do método de pagamento

Não armazenamos o número completo do cartão nem o CVV. Esses dados são tokenizados diretamente pelo Asaas, que é certificado PCI-DSS.

3.3 Dados coletados automaticamente

  • Dados técnicos do dispositivo: sistema operacional (iOS/Android), versão do app, modelo do dispositivo, identificadores de instalação.
  • Tokens de notificação push: para envio de lembretes e avisos (via Expo Push Notifications).
  • Dados de uso: logs de erros, métricas de performance, horários de acesso.
  • Endereço IP: para segurança, rate-limiting e detecção de fraude.

3.4 Permissões do dispositivo

O Aplicativo pode solicitar as seguintes permissões:

  • Câmera — capturar fotos/vídeos de exercícios e avatar.
  • Galeria / Fotos — selecionar imagens e vídeos existentes para envio.
  • Armazenamento — salvar mídias processadas antes do upload.
  • Notificações — enviar lembretes de treino e comunicações.

Você pode revogar qualquer permissão nas configurações do seu dispositivo a qualquer momento.

4. Como usamos os dados

Utilizamos suas informações para:

  1. Fornecer o Serviço: autenticar usuários, exibir treinos, registrar execuções, sincronizar dados entre dispositivos.
  2. Comunicação essencial: enviar e-mails de confirmação, redefinição de senha, convites de Personal Trainer para Aluno.
  3. Notificações: lembretes de treino, avisos de cobrança, atualizações do Aplicativo.
  4. Cobrança (Trainers pagantes): processar assinaturas e pagamentos via Asaas.
  5. Segurança: prevenir fraude, uso indevido, acessos não autorizados, ataques de força bruta.
  6. Melhoria do produto: análise agregada e anônima de uso, correção de bugs, novas funcionalidades.
  7. Cumprimento legal: atender obrigações fiscais, regulatórias e ordens judiciais.

5. Base legal para o tratamento (LGPD)

  • Criação e uso da conta — Execução de contrato (LGPD Art. 7º, VI).
  • Cobrança e pagamentos — Execução de contrato (VI) + Cumprimento de obrigação legal (II).
  • Envio de e-mails operacionais — Execução de contrato (VI).
  • Notificações push — Consentimento (I).
  • Coleta de dados técnicos e segurança — Legítimo interesse (IX).
  • Avaliação física (dados de saúde) — Consentimento específico do Aluno (LGPD Art. 11, II, "a").

6. Compartilhamento com terceiros

Compartilhamos dados com os seguintes operadores, estritamente para operação do Serviço:

  • Railway (EUA) — hospedagem da API e banco de dados; recebe todos os dados da aplicação.
  • AWS S3 / Railway Bucket (EUA) — armazenamento de mídias (fotos, vídeos) enviadas pelo usuário.
  • Asaas (Brasil) — processamento de pagamentos e assinaturas; recebe nome, e-mail, dados tokenizados do cartão e histórico de cobranças.
  • Resend (EUA) — envio de e-mails transacionais; recebe nome, e-mail e conteúdo da mensagem.
  • Expo Push (Expo Inc.) (EUA) — entrega de notificações push; recebe token do dispositivo e conteúdo da notificação.

Não vendemos seus dados. Não compartilhamos com terceiros para fins publicitários.

Transferências internacionais seguem o Art. 33 da LGPD, com cláusulas contratuais de proteção equivalentes.

Relação Trainer ↔ Aluno: ao aceitar o convite de um Personal Trainer, o Aluno concorda que seus dados de treino e execução sejam visíveis para o Trainer vinculado. O Aluno pode desvincular a relação a qualquer momento.

7. Armazenamento e segurança

  • Todos os dados são transmitidos via HTTPS com TLS.
  • Senhas são armazenadas com bcrypt (fator de custo 12).
  • Tokens de autenticação JWT com expiração de 15 minutos; refresh tokens com expiração de 7 dias.
  • Banco de dados PostgreSQL com acesso restrito por credenciais, hospedado em infraestrutura gerenciada (Railway).
  • Mídias armazenadas em S3-compatível com URLs pré-assinadas de acesso temporário.
  • Rate-limiting aplicado para prevenir ataques de força bruta.

Apesar de empregarmos boas práticas, nenhum sistema é 100% seguro. Em caso de incidente de segurança com risco aos titulares, notificaremos a ANPD e os usuários afetados conforme LGPD Art. 48.

8. Retenção de dados

  • Dados de conta ativa — enquanto a conta existir.
  • Dados após exclusão da conta — até 30 dias (backup); após esse período, exclusão permanente.
  • Dados financeiros (pagamentos) — 5 anos após encerramento (obrigação fiscal).
  • Logs técnicos e de segurança — 6 meses.

9. Seus direitos (LGPD Art. 18)

Você tem direito a:

  1. Confirmação da existência de tratamento de seus dados.
  2. Acesso aos dados que mantemos sobre você.
  3. Correção de dados incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
  5. Portabilidade dos dados a outro fornecedor de serviço (mediante requisição expressa).
  6. Eliminação dos dados tratados com base em consentimento.
  7. Informação sobre com quem compartilhamos seus dados.
  8. Revogação do consentimento a qualquer momento.

Para exercer qualquer direito, envie e-mail para: [privacidade@duosis.com.br](mailto:privacidade@duosis.com.br).

Responderemos em até 15 dias, conforme prazo legal.

10. Como excluir sua conta

Você pode excluir sua conta de duas formas:

  1. No próprio Aplicativo: acesse Perfil → Configurações → Excluir conta.
  2. Por e-mail: envie solicitação para [contato@duosis.com.br](mailto:privacidade@duosis.com.br) com o e-mail cadastrado.

Após a exclusão, seus dados pessoais serão removidos em até 30 dias, exceto os retidos por obrigação legal (ver seção 8).

11. Cookies e rastreamento

O Aplicativo mobile não utiliza cookies. Armazenamos localmente no dispositivo:

  • Tokens de autenticação (em SecureStore criptografado)
  • Preferências do usuário (tema, idioma)
  • Cache de dados do React Query (para funcionamento offline)

Você pode limpar esses dados desinstalando o Aplicativo.

12. Menores de idade

O Dufit não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Se um Personal Trainer desejar cadastrar aluno menor, deverá obter consentimento expresso do responsável legal e atuar como responsável pelo tratamento desses dados.

13. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Alterações materiais serão comunicadas por e-mail ou notificação no Aplicativo com antecedência mínima de 15 dias. Alterações menores (correção ortográfica, ajustes de formatação) tomam efeito imediato na publicação.

Recomendamos revisar esta página ocasionalmente.

14. Legislação aplicável e foro

Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela LGPD (Lei nº 13.709/2018) e pelo Marco Civil da Internet (Lei nº 12.965/2014).

Fica eleito o foro da comarca de Blumenau/SC para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

15. Autoridade de controle

Caso entenda que não atendemos adequadamente suas solicitações, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):

16. Contato

Dúvidas, solicitações ou reclamações relacionadas a esta Política de Privacidade: