Política de Privacidade

Versão 1.4 (v1.4) · Rascunho de política pré-lançamento datado de 30 de maio de 2026 (2026-05-30) · Substitui o rascunho v1.3 de 28 de maio de 2026 — veja o histórico na Seção 14.

Construímos o Pepti porque nós mesmos tomamos medicação e queríamos um app de acompanhamento que respeitasse nossa privacidade. Esta página explica o que coletamos, por quê, quem nos ajuda a processar esses dados e como você controla tudo isso. Linguagem direta, sem juridiquês quando dá para evitar.

Se você só tem trinta segundos: o Pepti é local-first para seus registros de saúde. Peso, histórico de doses, medidas, biomarcadores inseridos manualmente, diário, fotos de progresso e configurações ficam no seu celular, a menos que você exporte explicitamente, escolha backup em nuvem, conecte um repositório de saúde do sistema operacional ou use um fluxo de loja/compra que precise validar benefícios. Analytics de produto fica desligado até você consentir. Quando ligado, analytics usa um identificador pseudonimizado de instalação e payloads documentados em categorias/faixas. Serviços operacionais rodam separadamente: Crashlytics recebe diagnósticos de falha, RevenueCat gerencia compras, e a sincronização opcional com Health Connect / Apple Health lê ou escreve apenas os tipos de saúde que você autorizar. Durante o trial gratuito do Pepti Premium, processamos um token pseudonimizado de dispositivo para prevenir abuso do benefício (veja a Seção 4). Não vendemos dados pessoais nem usamos identificadores de publicidade.

1. Quem opera o Pepti (Controlador)

O Pepti é operado pela andremilk solutions, no Brasil. Para solicitações de privacidade e exercício de direitos, entre em contato pelo e-mail privacy@pepti.app.

2. Contato de Privacidade

Para qualquer pergunta, solicitação ou preocupação de privacidade, escreva para privacy@pepti.app. Respondemos em até 15 dias, o prazo padrão da LGPD. Não há terceiro entre você e nós — a mensagem chega diretamente ao contato de privacidade. Se a solicitação for incomum em complexidade, vamos explicar e propor um prazo maior antes de iniciar o trabalho.

3. Bases legais para tratamento

O Pepti trata seus dados sob duas finalidades distintas, cada uma com base legal própria:

Finalidade A — Dados de saúde e melhoria de produto

Base legal: consentimento específico e destacado (LGPD art. 11, I). Aplica-se a: (a) registro pessoal do seu protocolo medicamentoso, armazenado localmente no seu dispositivo; (b) sincronização opcional com o repositório de saúde do sistema operacional via Health Connect ou Apple Health, apenas após permissão do sistema; (c) análise pseudonimizada e bucketizada de produto (PostHog), apenas se você consentir explicitamente na tela de finalização do onboarding ou em Configurações → Privacidade.

Você pode revogar este consentimento a qualquer momento em Configurações → Privacidade sem perder acesso ao app. A revogação interrompe novos eventos de analytics; eventos já enviados são excluídos do PostHog mediante solicitação (veja a Seção 9).

Finalidade B — Prevenção de abuso do trial gratuito

Base legal: legítimo interesse (LGPD art. 7º, IX, combinado com art. 10). Aplica-se ao processamento de um token pseudonimizado de dispositivo durante o período de trial gratuito de 14 dias, com a finalidade exclusiva de prevenir reinstalações repetidas do app no mesmo dispositivo para abuso do benefício. A avaliação de balanceamento de interesses (LIA) que fundamenta esta base está documentada e pode ser disponibilizada mediante solicitação em privacy@pepti.app.

Você pode opor-se a este tratamento a qualquer momento em privacy@pepti.app (LGPD art. 18, §2º). Caso a oposição impeça a validação anti-fraude, o trial gratuito pode não estar disponível naquele dispositivo (LGPD art. 9º §3º + art. 10 §2º). Detalhes técnicos na Seção 4.

4. Dados que coletamos

Dividimos esta seção em dados locais, transferências opcionais escolhidas por você, sincronização opcional com repositório de saúde do sistema operacional, dados de serviços pagos, analytics com consentimento, diagnósticos de falha e token anti-fraude do trial.

Dados no dispositivo (local-first por padrão)

O Pepti armazena no seu dispositivo registros de peso, histórico de doses, medidas, biomarcadores inseridos manualmente, diário, nutrição, intestino, efeitos colaterais, fotos de progresso, configurações, agendas de notificações locais e dados importados do repositório de saúde com sua permissão. Esses dados não saem do dispositivo a menos que você escolha exportar, escolher um provedor de backup em nuvem, conectar um repositório de saúde do sistema operacional ou fazer uma compra dentro do app que precise validar benefícios.

Exportações opcionais e backup em nuvem

Se você exporta PDF/CSV ou compartilha um relatório, o arquivo é criado por sua solicitação. Se você ativa backup em nuvem, o Pepti envia o arquivo de backup para o provedor escolhido no app, como Google Drive ou Dropbox quando disponíveis e configurados.

Health Connect / Apple Health (sincronização opcional com repositório local de saúde)

Se você conectar o Health Connect no Android ou Apple Health / HealthKit no iOS, o Pepti pede permissão do sistema operacional antes de ler ou escrever. O app atual solicita permissão para ler peso, passos, glicose no sangue, frequência cardíaca, variabilidade da frequência cardíaca e sono, e para escrever apenas registros de peso. Usamos esses dados para mostrar tendências de saúde e sincronizar registros que você escolher sincronizar. Valores brutos do Health Connect / Apple Health não são enviados para analytics de produto; analytics de produto permanece limitado a campos documentados em categorias/faixas ou vocabulário fechado quando você consente.

Acesso pago

A RevenueCat gerencia o acesso pago ao Pepti Premium por compras dentro do app. Se você compra ou restaura o Premium dentro do app, RevenueCat e as lojas de aplicativos processam identificadores de compra, recibos, IDs de produto e estado de benefícios para liberar os recursos corretos.

Analytics de produto (apenas após consentimento)

Quando você opta por consentir, o Pepti envia analytics de produto ao PostHog usando um identificador pseudonimizado de instalação do Pepti. Usamos um allowlist de release com categorias e faixas amplas para entender progresso no onboarding, interações com lembretes e configurações, uso de nutrição e hidratação, registros intestinais, efeitos colaterais, ajustes de estoque e agenda, cartões educativos no app e estabilidade.

Nós não enviamos pesos brutos, medidas brutas, doses exatas ou horários exatos de dose, arquivos de foto, texto do diário, nomes de refeições, ou notas livres de sintomas ou refeições em analytics de produto. Quando analytics deriva de registros relacionados à saúde, o Pepti reduz a precisão antes do envio; exemplos incluem faixas de dose, faixas de peso, nomes de locais de medida, tipo ou pseudônimo de medicamento, categoria/severidade de efeito colateral, valores arredondados de nutrição e faixas de passos. O PostHog pode receber metadados técnicos de requisição, como localização aproximada derivada de IP ou propriedades de sistema do SDK; o Pepti não usa esses dados para publicidade.

Token anti-fraude do trial gratuito

Durante o período de trial gratuito de 14 dias do Pepti Premium, geramos um identificador pseudonimizado baseado no número de série do seu aparelho Android, para impedir que o mesmo dispositivo abuse do trial com reinstalações repetidas.

• O que é processado: um código pseudonimizado derivado do identificador do seu aparelho. O código resultante é usado apenas para reconhecer tentativas repetidas de trial no mesmo dispositivo e é processado separadamente dos registros de saúde.
• O que NÃO contém: peso, dose, medicamento, fotos, sintomas, journal, ou qualquer dado que você insira no app. Não é compartilhado com terceiros para fins de publicidade, perfilamento, ou diferenciação de preço.
• Onde é armazenado: por Cloudflare Inc. (Estados Unidos), operadora contratada exclusivamente pelo Pepti para essa finalidade. Junto ao código, são processados metadados técnicos transitórios mínimos da requisição (como endereço IP e timestamp), descartados conforme política de retenção do serviço.
• Por quanto tempo: 24 meses a partir do início do trial. Após esse período, o registro é purgado automaticamente.
• Base legal: legítimo interesse (LGPD art. 7º, IX). LIA disponível mediante solicitação em privacy@pepti.app.
• Direito de oposição: você pode opor-se a qualquer momento via privacy@pepti.app. Analisaremos seu pedido conforme a LGPD. Se a oposição impedir a validação anti-fraude, o trial gratuito pode não estar disponível naquele dispositivo.

5. Dados que não coletamos

As categorias abaixo não são recebidas pelo pipeline de analytics do Pepti e não são enviadas aos servidores do Pepti pelo uso normal local-first:

• Nome, e-mail, telefone, lista de contatos ou agenda.
• Peso bruto, altura bruta, medidas brutas, horários exatos de dose, texto exato de refeições, texto do diário, arquivos de foto ou descrições livres de sintomas.
• Imagens de exames, texto de OCR ou arquivos de importação de exames.
• Detalhes de protocolos Biohacker / Peptide Stacks ou dados de benefício Pepti Lab.
• IDs de publicidade ou dados usados para vender anúncios segmentados. O Pepti não vende dados pessoais.
• Dados de push/in-app messaging do OneSignal. O OneSignal não está ativo no build de lançamento atual: o SDK não está incluído, configurado ou inicializado.

Exceção importante: se você escolhe backup em nuvem, o provedor de armazenamento escolhido recebe o arquivo. Essa é uma ação solicitada por você.

6. Finalidade do tratamento

• Rodar o app localmente: manter no dispositivo seu histórico de medicação, peso, medidas, biomarcadores, nutrição, fotos e diário.
• Backup/exportação opcional: criar os arquivos ou sincronização em nuvem que você solicitar.
• Acesso Premium: validar o Pepti Premium comprado dentro do app via RevenueCat e lojas de aplicativos.
• Melhoria do produto: entender onde usuários travam, quais lembretes ajudam e quais recursos são úteis, usando apenas analytics pseudonimizado consentido.
• Falhas e estabilidade: diagnosticar crashes e erros não fatais.
• Anti-fraude do trial: prevenir reinstalações repetidas no mesmo dispositivo para abuso do trial gratuito.

7. Retenção de dados

• Registros no dispositivo: ficam até você apagar, desinstalar o app ou substituir dados por um backup.
• Eventos de analytics: retidos por janela rolante de 12 meses. Contagens agregadas podem permanecer após exclusão de eventos, mas as linhas de evento são deletadas mediante solicitação.
• Relatórios de falha: o Firebase Crashlytics retém stack traces de falhas, dados extraídos de minidump e identificadores associados por 90 dias antes de iniciar a remoção dos sistemas ativos e de backup.
• RevenueCat/lojas de aplicativos: retido conforme necessário para gerenciar compras dentro do app, restaurar acesso, prevenir fraude e cumprir obrigações de loja/contabilidade.
• Token anti-fraude do trial (Cloudflare): 24 meses a partir do início do trial. Após esse período, o registro é purgado automaticamente.

8. Operadores e provedores escolhidos pelo usuário

Operadores atuais usados quando você ativa os recursos correspondentes do app:

• PostHog Inc. — Estados Unidos — analytics pseudonimizado de produto com consentimento — https://posthog.com/privacy
• Google Firebase / Crashlytics — Estados Unidos — relatórios de falhas e estabilidade — https://firebase.google.com/support/privacy
• RevenueCat Inc. — Estados Unidos — gestão de compras dentro do app/benefícios do Pepti Premium — https://www.revenuecat.com/privacy
• Cloudflare Inc. — Estados Unidos — anti-fraude do trial gratuito (Worker + Durable Object) — https://www.cloudflare.com/cloudflare-customer-dpa/

Provedores de armazenamento/conta escolhidos pelo usuário também podem processar dados quando você os ativa:

• Google Sign-In / Google Drive — login opcional e destino de backup de dados do app escolhido por você.
• Dropbox — destino opcional de backup de dados do app escolhido por você.
• Health Connect / Apple Health — superfícies opcionais de sincronização com repositório de saúde do sistema operacional, controladas pelas permissões que você concede no dispositivo.

8-bis. Relatórios de falha

Quando o app trava ou encontra um erro não fatal, o Firebase Crashlytics recebe as informações técnicas necessárias para diagnosticar o problema, como stack traces, estado relevante do app, metadados do dispositivo, identificadores de instalação Crashlytics/Firebase e horário da falha. O Pepti envia relatórios por um wrapper seguro que sanitiza custom keys, logs e strings de motivo para que dados de saúde sensíveis, como peso, sintomas, medicamentos, diário e fotos, não sejam adicionados pelo Pepti aos relatórios de falha.

9. Seus direitos (LGPD Art. 18)

1. Confirmação da existência de tratamento.
2. Acesso aos dados que mantemos sobre você.
3. Correção de dados incompletos, inexatos ou desatualizados.
4. Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
5. Portabilidade quando tecnicamente viável.
6. Eliminação dos dados tratados com base em consentimento.
7. Informação sobre entidades públicas e privadas com as quais compartilhamos dados.
8. Informação sobre a possibilidade de negar consentimento e as consequências.
9. Revogação do consentimento a qualquer momento.
10. Oposição a tratamento realizado sob legítimo interesse (Art. 18 §2º) — aplicável especificamente ao token anti-fraude do trial (Seção 4 — Finalidade B).

10. Como exercer seus direitos

Use Configurações → Privacidade para desligar analytics imediatamente. Para acesso, exclusão, portabilidade, correção, oposição ao tratamento sob legítimo interesse, ou perguntas sobre operadores, escreva para privacy@pepti.app. Respondemos em até 15 dias (LGPD art. 19, II) para confirmação ou acesso; pedidos incomuns em complexidade serão respondidos no prazo legal aplicável, com explicação prévia se for necessário maior tempo.

11. Transferência internacional de dados

Os operadores da Seção 8 processam dados principalmente nos Estados Unidos. Dados de backup opcional via Google Drive ou Dropbox são processados conforme os termos do provedor que você escolheu.

As bases legais para transferência internacional combinam: (a) seu consentimento específico (LGPD art. 33, I) para finalidades sujeitas a consentimento; (b) necessidade para execução de contrato (art. 33, IX) para conta/assinatura; e (c) cláusulas-padrão contratuais (art. 33, II) nos termos da Resolução CD/ANPD nº 19/2024, aplicáveis a todos os operadores. Cada operador opera sob DPA compatível com a LGPD.

12. Segurança

1. Em trânsito: chamadas de rede usam TLS 1.2 ou superior.
2. Armazenamento local-first: registros de saúde ficam no app no seu dispositivo, salvo exportação ou backup. O backup automático do Android (Google Auto Backup) está desabilitado pelo app (allowBackup=false) para impedir replicação de dados de saúde no Google Drive sem sua escolha explícita. Dados da compra Premium são tratados separadamente pelas lojas de aplicativos e pela RevenueCat.
3. Pseudonimização: analytics de produto usa um identificador de instalação do Pepti; o token anti-fraude do trial usa um código pseudonimizado de dispositivo. Ambos ficam separados dos registros brutos de saúde.
4. Minimização: analytics usa categorias e faixas amplas em vez de registros brutos de saúde sempre que possível. Metadados técnicos de requisição, como localização aproximada derivada de IP, podem ser processados por provedores de infraestrutura, mas o Pepti não usa isso para publicidade.
5. Sanitização de crashes: o Crashlytics é configurado para não capturar dados de saúde sensíveis em logs de erro.

13. Crianças e adolescentes

O Pepti não é destinado a menores de 18 anos. Não coletamos conscientemente dados de pessoas com menos de 18 anos. Caso você seja responsável por um menor que acessou o aplicativo, entre em contato em privacy@pepti.app para que possamos providenciar a exclusão de qualquer dado eventualmente coletado. Como os dados ficam no celular e não em nossos servidores, o caminho mais simples é quase sempre desinstalar o app.

Esta posição alinha-se com a LGPD (art. 14) e com o regime brasileiro de proteção integral da criança e do adolescente no ambiente digital.

14. Alterações nesta política e histórico de versões

Quando alterarmos esta política de modo que afete o que coletamos, por que coletamos ou com quem compartilhamos, atualizaremos a versão do documento e mostraremos a nova versão antes de iniciar a nova coleta. Edições cosméticas não geram nova versão. Os itens abaixo registram rascunhos da política, não lançamentos do app; o Pepti ainda não teve lançamento público do aplicativo.

Histórico de versões

• 1.4 — 30 de maio de 2026 — rascunho atual. Reconcilia a política com Apple App Privacy / Google Play Data Safety, divulga Health Connect / Apple Health, separa PostHog, RevenueCat e Crashlytics, remove declarações não verificadas sobre IP e vínculo de identidade, e registra a exclusão do OneSignal enquanto inativo.
• 1.3 — 28 de maio de 2026 — rascunho pré-lançamento anterior. Adiciona declaração dual-purpose distinguindo Finalidade A (consentimento, dados de saúde) e Finalidade B (legítimo interesse, anti-fraude do trial); adiciona Cloudflare Inc. como operador com mecanismo de transferência internacional nos termos da Resolução CD/ANPD nº 19/2024; adiciona categoria “token anti-fraude do trial” com retenção de 24 meses; adiciona direito de oposição (Art. 18 §2º); atualiza cláusula de menores para “não destinado a menores de 18 anos”.
• 1.2 — 14 de maio de 2026 — rascunho pré-lançamento anterior. Simplifica a explicação de analytics para usuários, esclarece a coleta no escopo de lançamento, remove referências a serviços inativos e atualiza a lista de processadores/provedores.
• 1.1 — 13 de maio de 2026 — rascunho pré-lançamento anterior.
• 1.0 — 16 de abril de 2026 — rascunho inicial de política pré-lançamento preparado para testes.

15. Vigência e versão

Versão 1.4 (v1.4) — rascunho de política pré-lançamento datado de 30 de maio de 2026 (2026-05-30). Substitui a Versão 1.3 de 28 de maio de 2026.

16. Jurisdição

Esta política é regida pela lei brasileira — LGPD (Lei nº 13.709/2018), Marco Civil da Internet e Código de Defesa do Consumidor (CDC). Disputas são resolvidas na comarca do foro do titular dos dados (foro do consumidor) quando a relação for regida pelo CDC, o que se aplica para usuários individuais do Pepti.