SADU
Legal

Política de
privacidade

Versão 2.0 · Última atualização: 5 de maio de 2026.

1. Introdução

A Sadu ("nós", "nosso") está comprometida com a proteção dos seus dados pessoais. Esta Política de Privacidade explica como coletamos, usamos, armazenamos e protegemos suas informações, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).

2. Controlador de Dados

A Sadu é a controladora dos dados pessoais tratados nesta plataforma. Para exercer seus direitos ou esclarecer dúvidas, entre em contato com nosso Encarregado de Proteção de Dados (DPO) pelo email privacidade@sadu.fit.

3. Dados Coletados

Coletamos os seguintes tipos de dados:

3.1. Dados pessoais fornecidos por você

  • Nome completo, email, telefone e cidade.
  • Foto de perfil (opcional).
  • Para Treinadores: número e imagem do CREF, especialidades, biografia, preço por hora, anos de experiência, galeria de fotos e localização de atendimento.
  • Gênero (opcional, usado apenas para filtros de busca de profissionais).

3.2. Dados pessoais sensíveis (LGPD Art. 11)

Alguns recursos da plataforma envolvem o tratamento de dados sensíveis relacionados à saúde, sempre mediante consentimento específico e destacado:

  • Anamnese: questionário de saúde preenchido pelo Cliente quando o Treinador solicita (peso, altura, condições médicas, lesões, medicamentos, objetivos). Compartilhada apenas com o Treinador autorizado.
  • Fotos de progresso: imagens corporais que o Cliente envia voluntariamente. Visíveis apenas para o Cliente e, quando autorizado, para o Treinador.
  • Medidas e métricas físicas: peso, % de gordura, circunferências e outros marcadores que o Cliente registra ao longo do tempo.
  • Dados de atividade física: sessões executadas, séries, repetições, cargas, frequência cardíaca (quando integrações são conectadas).

Esses dados são tratados com base no consentimento específico do titular (Art. 11, I) e podem ser revogados a qualquer momento, com a consequente exclusão dos registros sensíveis.

3.3. Dados de uso coletados automaticamente

  • Endereço IP, tipo de navegador e dispositivo.
  • Páginas visitadas, horários de acesso e interações na plataforma.
  • Geolocalização aproximada (apenas se você autorizar, para encontrar Treinadores próximos).
  • Cookies e tecnologias semelhantes (veja nossa Política de Cookies).
  • Endpoints de notificação push (VAPID) quando você habilita notificações no navegador.
  • Dados armazenados localmente no seu dispositivo (IndexedDB, Service Worker cache) para funcionalidade offline do PWA.

3.4. Dados financeiros

  • Os pagamentos são processados pelo Stripe. Não armazenamos dados completos de cartão de crédito em nossos servidores.
  • Registramos valores de transações, status de pagamento, histórico financeiro e dados fiscais necessários (chaves PIX para repasse a Treinadores, quando aplicável).

3.5. Dados de integrações (Strava, Garmin)

Quando você conecta sua conta Strava ou Garmin, recebemos dados de atividades físicas (corridas, treinos, métricas) por meio das APIs desses serviços. Você pode desconectar essas integrações a qualquer momento no painel de integrações, o que interrompe o recebimento de novos dados.

4. Base Legal para Tratamento

Tratamos seus dados com base nas seguintes hipóteses da LGPD (Art. 7º e 11):

  • Consentimento: quando você aceita esta política ao se cadastrar ou autoriza tratamento de dados sensíveis (anamnese, fotos de progresso, integrações).
  • Execução de contrato: para prestar os serviços contratados (agendamentos, pagamentos, chat, treinos personalizados).
  • Legítimo interesse: para melhorias na plataforma, prevenção de fraudes, segurança e comunicações relevantes.
  • Cumprimento de obrigação legal: quando exigido por legislação fiscal, regulatória ou para atender requisições de autoridades competentes.
  • Tutela da saúde (Art. 11, II, "f"): quando dados sensíveis são tratados em procedimentos realizados por profissional do esporte regulamentado (Treinador com CREF ativo).

5. Finalidades do Tratamento

  • Criar e gerenciar sua conta na plataforma.
  • Conectar Clientes e Treinadores e facilitar agendamentos.
  • Processar pagamentos, comissões e repasses.
  • Permitir a prescrição segura de exercícios com base em dados de saúde fornecidos pelo Cliente.
  • Enviar comunicações sobre agendamentos, pagamentos, treinos e atualizações do serviço (in-app, email, push).
  • Aplicar regras de moderação, score de penalidades por cancelamento e ranqueamento de buscas (veja item 13 sobre decisões automatizadas).
  • Melhorar a plataforma com base em dados de uso agregados e anonimizados.
  • Prevenir fraudes e garantir a segurança da plataforma.

6. Compartilhamento de Dados

Seus dados podem ser compartilhados com os seguintes operadores e parceiros, sempre com cláusulas contratuais que asseguram o nível de proteção exigido pela LGPD:

  • Supabase (PostgreSQL + Auth + Storage): infraestrutura de banco de dados, autenticação e armazenamento de mídia (servidores nos EUA).
  • Vercel: hospedagem da aplicação web e funções serverless (servidores nos EUA).
  • Stripe: processamento de pagamentos, assinaturas e antifraude (certificação PCI DSS Nível 1).
  • Cloudflare: resolução de DNS e proteção contra ataques.
  • Google Maps Platform: renderização de mapas e geocodificação aproximada de endereços (somente quando você autoriza geolocalização).
  • Strava e Garmin: recebem chamadas de API quando você conecta voluntariamente sua conta nessas plataformas.
  • Outros Usuários: Treinadores veem dados de Clientes que os contatam (incluindo anamnese, se autorizada) e vice-versa, limitado ao necessário para a prestação do serviço.
  • Autoridades públicas: mediante ordem judicial, requisição legal válida ou para cumprimento de obrigação legal.

Não vendemos, alugamos ou compartilhamos seus dados pessoais com terceiros para fins de marketing externo.

7. Seus Direitos (LGPD)

Como titular dos dados, você tem direito a:

  • Acesso: saber quais dados pessoais possuímos sobre você.
  • Correção: solicitar a atualização de dados incompletos ou incorretos.
  • Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade.
  • Portabilidade: receber seus dados em formato estruturado e interoperável.
  • Eliminação: solicitar a exclusão dos dados tratados com base em consentimento.
  • Informação: sobre as entidades públicas e privadas com as quais a Sadu compartilhou seus dados.
  • Revogação do consentimento: retirar seu consentimento a qualquer momento, com a consequente eliminação dos dados tratados sob essa base.
  • Oposição: opor-se ao tratamento baseado em legítimo interesse.
  • Revisão de decisão automatizada: solicitar revisão humana de decisões tomadas exclusivamente por sistemas automatizados (veja item 13).

Para exercer seus direitos, envie um email para privacidade@sadu.fit. Responderemos em até 15 dias úteis.

8. Retenção de Dados

  • Seus dados são mantidos enquanto sua conta estiver ativa.
  • Após a exclusão da conta, mantemos dados necessários por até 5 anos para cumprimento de obrigações legais, fiscais, contábeis e regulatórias (Código Civil, Código Tributário, LGPD).
  • Dados sensíveis (anamnese, fotos de progresso) são excluídos imediatamente após a revogação do consentimento, salvo retenção justificada por obrigação legal específica.
  • Dados anonimizados podem ser mantidos indefinidamente para fins estatísticos e de melhoria do produto.
  • Contas inativas por 24 meses podem ser encerradas após aviso prévio, com a mesma regra de retenção pós-exclusão.

9. Segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:

  • Criptografia em trânsito (HTTPS/TLS) e em repouso (Supabase).
  • Controle de acesso por Row Level Security (RLS) no banco de dados — cada usuário só vê seus próprios dados.
  • Autenticação segura com tokens JWT e sessões de 30 dias.
  • Cabeçalhos de segurança HTTP (HSTS, CSP, X-Frame-Options, etc.).
  • Rate limiting em endpoints sensíveis para prevenir ataques de força bruta.
  • Verificação de credenciais profissionais (CREF) para Treinadores.
  • Monitoramento de acessos e logs de auditoria.

Nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável conforme regulamentação da ANPD (atualmente, em até 3 dias úteis a contar da ciência), conforme exige o Art. 48 da LGPD.

10. Transferência Internacional

Alguns de nossos prestadores de serviço (Supabase, Stripe, Vercel, Cloudflare, Google) podem processar dados em servidores localizados nos Estados Unidos ou em outros países. Essas transferências são realizadas com base em garantias adequadas, incluindo cláusulas contratuais padrão, certificações de segurança internacionais e acordos de processamento de dados (DPA), em conformidade com o Art. 33 da LGPD.

11. Cookies e Armazenamento Local

Utilizamos cookies essenciais (autenticação, segurança), além de armazenamento local no seu navegador para o funcionamento do PWA:

  • Service Worker cache: armazena recursos estáticos para que a plataforma funcione offline.
  • IndexedDB: guarda mensagens de chat enviadas offline para sincronização posterior.
  • localStorage: preferências da interface (tema, último email usado).

Veja a Política de Cookies para detalhes.

12. Crianças e Adolescentes

A Sadu é destinada a maiores de 16 anos. Adolescentes entre 16 e 17 anos só podem usar a plataforma com consentimento expresso de pelo menos um dos pais ou responsável legal. Não coletamos intencionalmente dados de crianças menores de 16 anos. Se identificarmos qualquer conta criada por menor de 16 anos, ela será encerrada e os dados eliminados.

13. Decisões Automatizadas

A plataforma utiliza processamento automatizado em alguns recursos:

  • Ranqueamento de Treinadores: a ordem de exibição na busca leva em conta avaliações, distância, plano contratado, atividade recente e outros sinais.
  • Score de penalidades: Treinadores acumulam pontos por cancelamentos próximos à data agendada. Atingidos certos limiares, há consequências automáticas (alerta, ocultação temporária, suspensão para mediação).
  • Antifraude: bloqueamos automaticamente Clientes que cancelam reservas de forma reiterada em curto período.

Conforme o Art. 20 da LGPD, você tem direito a solicitar revisão humana dessas decisões. Envie um email para privacidade@sadu.fit com o assunto "Revisão de decisão automatizada" descrevendo o caso.

14. Alterações

Esta Política pode ser atualizada periodicamente. Alterações significativas serão comunicadas por email ou notificação na plataforma com pelo menos 15 dias de antecedência, quando aplicável. Recomendamos revisar esta página regularmente.

15. Contato

Para questões sobre privacidade e proteção de dados, entre em contato com nosso Encarregado de Proteção de Dados (DPO) pelo email privacidade@sadu.fit. Em caso de não atendimento ou divergência, você pode também recorrer à Autoridade Nacional de Proteção de Dados (ANPD).

Veja também: Termos de Uso · Política de Cookies · Política de Reembolso