PT-PT

Politica de Privacidade

Repz AI — Ultima atualizacao: 3 de abril de 2026

1. Responsavel pelo Tratamento de Dados

O responsavel pelo tratamento dos seus dados pessoais e:

• Nome: Francisco Pereira
• NIF: 211519260
• Pais: Portugal
• Email: franciscojesuspereira2007@gmail.com
• Website: app-store-site-nu.vercel.app

Para qualquer questao relacionada com a protecao dos seus dados pessoais, pode contactar-nos atraves do email franciscojesuspereira2007@gmail.com.

2. Categorias de Dados Pessoais Recolhidos

Recolhemos e tratamos as seguintes categorias de dados:

2.1 Dados da Conta

Email, nome completo, data de nascimento e genero. Estes dados sao necessarios para criar e gerir a sua conta.

2.2 Dados Corporais e de Saude

Peso, altura, medidas corporais, fotografias corporais, preferencias alimentares, alergias, nivel de fitness e historico de treinos. Estes dados sao considerados dados sensiveis ao abrigo do RGPD (Artigo 9) e requerem o seu consentimento explicito para processamento.

2.3 Dados de Nutricao

Digitalizacoes de alimentos (fotografias), registos de refeicoes e monitorizacao de calorias e macronutrientes.

2.4 Dados do Apple HealthKit

Peso e treinos (leitura e escrita). Esta integracao e opcional e requer a sua autorizacao explicita. Os dados do HealthKit nao sao utilizados para publicidade e nao sao partilhados com terceiros, exceto quando diretamente relacionados com o beneficio para a sua saude dentro da aplicacao.

2.5 Dados do Dispositivo

Modelo do dispositivo, versao do sistema operativo, idioma e fuso horario.

2.6 Dados de Utilizacao

Interacoes com a aplicacao e utilizacao de funcionalidades, recolhidos atraves da plataforma de analitica PostHog (servidores na UE).

2.7 Dados de Erros

Registos de erros e falhas da aplicacao, recolhidos atraves do Sentry para melhoria da estabilidade.

2.8 Dados de Pagamento

Estado da subscricao, gerido atraves da RevenueCat e Apple. Nao armazenamos dados de pagamento (cartoes de credito, informacoes bancarias). Esses dados sao tratados diretamente pela Apple e RevenueCat.

2.9 Tokens de Notificacao Push

Identificadores do dispositivo para envio de notificacoes push, utilizados exclusivamente para comunicacoes relacionadas com a aplicacao.

2.10 Historico de Conversas com IA

Mensagens trocadas com o assistente de IA integrado na aplicacao, para fornecer respostas personalizadas e contextualizadas.

3. Finalidades e Base Legal do Tratamento

Tratamos os seus dados pessoais com base nas seguintes bases legais:

Dados	Finalidade	Base Legal
Dados da Conta	Criacao e gestao da conta, prestacao do servico	Execucao do contrato (Art. 6(1)(b))
Dados de Saude e Corporais	Planos de treino e nutricao personalizados	Consentimento explicito (Art. 6(1)(a) e Art. 9(2)(a))
Dados de Nutricao	Analise nutricional, monitorizacao de macros	Consentimento explicito (Art. 6(1)(a))
Dados HealthKit	Sincronizacao de peso e treinos	Consentimento explicito (Art. 6(1)(a))
Dados do Dispositivo	Compatibilidade e localizacao da app	Execucao do contrato (Art. 6(1)(b))
Dados de Utilizacao	Melhoria da experiencia e funcionalidades	Consentimento (Art. 6(1)(a))
Dados de Erros	Estabilidade e seguranca da aplicacao	Interesse legitimo (Art. 6(1)(f))
Estado da Subscricao	Gestao de acessos e funcionalidades premium	Execucao do contrato (Art. 6(1)(b))
Tokens Push	Envio de notificacoes relevantes	Consentimento (Art. 6(1)(a))
Conversas com IA	Assistencia personalizada de fitness e nutricao	Consentimento (Art. 6(1)(a))

4. Processamento por Inteligencia Artificial

A Repz AI utiliza modelos de inteligencia artificial para fornecer funcionalidades essenciais da aplicacao:

• Analise Nutricional: As fotografias de alimentos sao enviadas para o Google Gemini 2.5 Flash-Lite para identificacao e calculo de valores nutricionais.
• Assistente de IA: As mensagens de chat sao processadas pelo OpenAI GPT-4.1-nano para fornecer orientacao personalizada.
• Planos de Treino: Os dados de fitness sao processados pelo Google Gemini para geracao de planos de treino adaptados.

Todas as chamadas a APIs de IA sao feitas do lado do servidor (atraves de Supabase Edge Functions). Os seus dados nao sao utilizados para treinar modelos de IA. Os dados sao processados exclusivamente atraves de chamadas API, sendo tratados de acordo com as politicas de privacidade dos respetivos fornecedores.

4.1 Decisoes Automatizadas (Art. 22 RGPD)

A aplicacao utiliza IA para gerar automaticamente planos de refeicoes e planos de treino com base nos seus dados pessoais (peso, altura, objetivos, nivel de fitness, preferencias alimentares e alergias). Estas recomendacoes sao geradas automaticamente, mas:

• Nao produzem efeitos juridicos sobre si;
• Pode sempre modificar, ignorar ou rejeitar as sugestoes;
• Pode contactar-nos para solicitar intervencao humana na revisao de qualquer recomendacao.

5. Destinatarios e Subcontratantes

Os seus dados pessoais podem ser partilhados com os seguintes subcontratantes:

Subcontratante	Finalidade	Localizacao	Acordo de Protecao de Dados
Supabase	Base de dados, autenticacao e funcoes serverless	Frankfurt, UE	DPA Supabase
Google (Gemini API)	Analise nutricional e geracao de planos de treino	UE/EUA	Google Cloud DPA
OpenAI	Assistente de chat com IA	EUA	OpenAI DPA
PostHog	Analitica e metricas de utilizacao	Frankfurt, UE	PostHog DPA
Sentry	Relatorio de erros e falhas	EUA	Sentry DPA
RevenueCat	Gestao de subscricoes	EUA	RevenueCat DPA
Apple	Pagamentos e HealthKit	EUA/Irlanda	Apple DPA

6. Transferencias Internacionais de Dados

Alguns dos nossos subcontratantes estao localizados fora do Espaco Economico Europeu (EEE), nomeadamente nos Estados Unidos da America. Nestas situacoes, asseguramos que existem garantias adequadas para a protecao dos seus dados, incluindo:

• Clausulas Contratuais-Tipo (CCT) aprovadas pela Comissao Europeia;
• Decisoes de adequacao, quando aplicavel;
• Certificacoes e codigos de conduta dos subcontratantes.

Os dados armazenados na Supabase e PostHog encontram-se em servidores localizados em Frankfurt, Alemanha (UE).

7. Periodos de Conservacao

Conservamos os seus dados pessoais durante o periodo em que a sua conta estiver ativa. Apos a eliminacao da conta:

• Os seus dados pessoais sao eliminados no prazo de 30 dias;
• Copias de seguranca anonimizadas podem ser mantidas por razoes tecnicas por um periodo adicional de 30 dias;
• Dados necessarios para obrigacoes legais (por exemplo, dados fiscais) podem ser conservados pelo periodo legalmente exigido.

8. Os Seus Direitos

Ao abrigo do Regulamento Geral sobre a Protecao de Dados (RGPD), tem os seguintes direitos:

• Direito de Acesso (Art. 15): Solicitar uma copia dos seus dados pessoais.
• Direito de Retificacao (Art. 16): Corrigir dados pessoais inexatos ou incompletos.
• Direito ao Apagamento (Art. 17): Solicitar a eliminacao dos seus dados pessoais.
• Direito a Limitacao do Tratamento (Art. 18): Restringir o tratamento dos seus dados em determinadas circunstancias.
• Direito a Portabilidade (Art. 20): Receber os seus dados num formato estruturado, de uso corrente e leitura automatica.
• Direito de Oposicao (Art. 21): Opor-se ao tratamento dos seus dados com base em interesse legitimo.
• Direito de Retirar o Consentimento: Pode retirar o consentimento a qualquer momento, sem comprometer a licitude do tratamento baseado no consentimento previamente dado.

Para exercer qualquer um destes direitos, envie um email para franciscojesuspereira2007@gmail.com. Responderemos no prazo maximo de 30 dias.

8.1 Direito de Reclamacao

Tem o direito de apresentar uma reclamacao junto da autoridade de controlo competente:

• Comissao Nacional de Protecao de Dados (CNPD)
• Av. D. Carlos I, 134 - 1.o, 1200-651 Lisboa
• Telefone: +351 213 928 400
• Website: www.cnpd.pt

9. Privacidade de Menores

A Repz AI nao se destina a menores de 16 anos. Nao recolhemos intencionalmente dados pessoais de menores de 16 anos. Se tomarmos conhecimento de que recolhemos dados de um menor de 16 anos, eliminaremos esses dados imediatamente. Se acredita que um menor forneceu dados pessoais, contacte-nos em franciscojesuspereira2007@gmail.com.

10. Seguranca dos Dados

Implementamos medidas tecnicas e organizativas adequadas para proteger os seus dados pessoais, incluindo:

• Encriptacao em transito: Todas as comunicacoes sao protegidas por TLS/HTTPS.
• Encriptacao em repouso: Os dados armazenados na base de dados sao encriptados.
• Row-Level Security (RLS): Politicas de seguranca ao nivel da linha garantem que cada utilizador so acede aos seus proprios dados.
• Autenticacao segura: Tokens JWT e sessoes geridas pelo Supabase Auth.
• Processamento server-side: Todas as chamadas a APIs de IA sao feitas do lado do servidor, nunca a partir do dispositivo do utilizador.

11. Dados do Apple HealthKit

Quando autoriza a integracao com o Apple HealthKit:

• Os dados sao acedidos localmente no seu dispositivo;
• Nao utilizamos dados do HealthKit para fins publicitarios;
• Nao partilhamos dados do HealthKit com terceiros, exceto quando diretamente relacionados com o beneficio para a sua saude;
• Nao vendemos dados do HealthKit a corretores de dados ou terceiros;
• Pode revogar o acesso ao HealthKit a qualquer momento nas Definicoes do iOS.

12. Alteracoes a Esta Politica

Podemos atualizar esta Politica de Privacidade periodicamente. Em caso de alteracoes significativas:

• Sera notificado com pelo menos 30 dias de antecedencia atraves da aplicacao ou por email;
• A data de ultima atualizacao no topo deste documento sera atualizada;
• A continuacao da utilizacao da aplicacao apos o periodo de notificacao constitui aceitacao das alteracoes.

13. Contacto

Para questoes sobre esta politica de privacidade ou sobre o tratamento dos seus dados pessoais:

• Email: franciscojesuspereira2007@gmail.com
• Responsavel: Francisco Pereira
• Website: app-store-site-nu.vercel.app

---

EN

Privacy Policy

Repz AI — Last updated: April 3, 2026

1. Data Controller

The data controller responsible for your personal data is:

• Name: Francisco Pereira
• Tax ID (NIF): 211519260
• Country: Portugal
• Email: franciscojesuspereira2007@gmail.com
• Website: app-store-site-nu.vercel.app

For any questions regarding the protection of your personal data, please contact us at franciscojesuspereira2007@gmail.com.

2. Categories of Personal Data Collected

We collect and process the following categories of data:

2.1 Account Data

Email address, full name, date of birth, and gender. This data is necessary to create and manage your account.

2.2 Body and Health Data

Weight, height, body measurements, body photos, dietary preferences, allergies, fitness level, and workout history. This data is considered sensitive under GDPR (Article 9) and requires your explicit consent for processing.

2.3 Nutrition Data

Food scans (photos), meal logs, and calorie/macronutrient tracking.

2.4 Apple HealthKit Data

Weight and workouts (read and write access). This integration is optional and requires your explicit authorization. HealthKit data is not used for advertising and is not shared with third parties, except when directly related to providing a health benefit to you within the app.

2.5 Device Data

Device model, operating system version, language, and timezone.

2.6 Usage Data

App interactions and feature usage, collected through the PostHog analytics platform (EU servers).

2.7 Crash Data

Error logs and application crash reports, collected through Sentry to improve app stability.

2.8 Payment Data

Subscription status, managed through RevenueCat and Apple. We do not store payment details (credit cards, bank information). Payment data is handled directly by Apple and RevenueCat.

2.9 Push Notification Tokens

Device identifiers for delivering push notifications, used exclusively for app-related communications.

2.10 AI Conversation History

Messages exchanged with the in-app AI assistant, used to provide personalized and contextual responses.

3. Purposes and Legal Basis for Processing

We process your personal data based on the following legal grounds:

Data	Purpose	Legal Basis
Account Data	Account creation and management, service delivery	Performance of contract (Art. 6(1)(b))
Health and Body Data	Personalized workout and nutrition plans	Explicit consent (Art. 6(1)(a) and Art. 9(2)(a))
Nutrition Data	Nutritional analysis, macro tracking	Explicit consent (Art. 6(1)(a))
HealthKit Data	Weight and workout synchronization	Explicit consent (Art. 6(1)(a))
Device Data	App compatibility and localization	Performance of contract (Art. 6(1)(b))
Usage Data	Improving user experience and features	Consent (Art. 6(1)(a))
Crash Data	App stability and security	Legitimate interest (Art. 6(1)(f))
Subscription Status	Managing access and premium features	Performance of contract (Art. 6(1)(b))
Push Tokens	Delivering relevant notifications	Consent (Art. 6(1)(a))
AI Conversations	Personalized fitness and nutrition assistance	Consent (Art. 6(1)(a))

4. Artificial Intelligence Processing

Repz AI uses artificial intelligence models to provide core app functionalities:

• Nutritional Analysis: Food photos are sent to Google Gemini 2.5 Flash-Lite for identification and calculation of nutritional values.
• AI Assistant: Chat messages are processed by OpenAI GPT-4.1-nano to provide personalized guidance.
• Workout Plans: Fitness data is processed by Google Gemini to generate tailored workout plans.

All AI API calls are made server-side (through Supabase Edge Functions). Your data is not used to train AI models. Data is processed exclusively via API calls and handled in accordance with the respective providers' privacy policies.

4.1 Automated Decision-Making (Art. 22 GDPR)

The app uses AI to automatically generate meal plans and workout plans based on your personal data (weight, height, goals, fitness level, dietary preferences, and allergies). These recommendations are generated automatically, however:

• They do not produce legal effects concerning you;
• You can always modify, ignore, or reject any suggestions;
• You may contact us to request human intervention in reviewing any recommendation.

5. Data Recipients and Processors

Your personal data may be shared with the following processors:

Processor	Purpose	Location	Data Processing Agreement
Supabase	Database, authentication, and serverless functions	Frankfurt, EU	Supabase DPA
Google (Gemini API)	Nutritional analysis and workout plan generation	EU/US	Google Cloud DPA
OpenAI	AI chat assistant	US	OpenAI DPA
PostHog	Analytics and usage metrics	Frankfurt, EU	PostHog DPA
Sentry	Crash and error reporting	US	Sentry DPA
RevenueCat	Subscription management	US	RevenueCat DPA
Apple	Payments and HealthKit	US/Ireland	Apple DPA

6. International Data Transfers

Some of our processors are located outside the European Economic Area (EEA), namely in the United States. In these cases, we ensure that adequate safeguards are in place to protect your data, including:

• Standard Contractual Clauses (SCCs) approved by the European Commission;
• Adequacy decisions, where applicable;
• Processor certifications and codes of conduct.

Data stored in Supabase and PostHog is located on servers in Frankfurt, Germany (EU).

7. Data Retention Periods

We retain your personal data for as long as your account is active. After account deletion:

• Your personal data is deleted within 30 days;
• Anonymized backups may be kept for technical reasons for an additional 30 days;
• Data required for legal obligations (e.g., tax records) may be retained for the legally mandated period.

8. Your Rights

Under the General Data Protection Regulation (GDPR), you have the following rights:

• Right of Access (Art. 15): Request a copy of your personal data.
• Right to Rectification (Art. 16): Correct inaccurate or incomplete personal data.
• Right to Erasure (Art. 17): Request deletion of your personal data.
• Right to Restriction of Processing (Art. 18): Restrict the processing of your data in certain circumstances.
• Right to Data Portability (Art. 20): Receive your data in a structured, commonly used, and machine-readable format.
• Right to Object (Art. 21): Object to the processing of your data based on legitimate interest.
• Right to Withdraw Consent: You may withdraw consent at any time, without affecting the lawfulness of processing based on consent given before its withdrawal.

To exercise any of these rights, send an email to franciscojesuspereira2007@gmail.com. We will respond within 30 days.

8.1 Right to Lodge a Complaint

You have the right to lodge a complaint with the competent supervisory authority:

• Comissao Nacional de Protecao de Dados (CNPD) — Portuguese Data Protection Authority
• Av. D. Carlos I, 134 - 1.o, 1200-651 Lisbon, Portugal
• Phone: +351 213 928 400
• Website: www.cnpd.pt

9. Children's Privacy

Repz AI is not intended for individuals under 16 years of age. We do not knowingly collect personal data from children under 16. If we become aware that we have collected data from a child under 16, we will delete it immediately. If you believe a minor has provided personal data, please contact us at franciscojesuspereira2007@gmail.com.

10. Data Security

We implement appropriate technical and organizational measures to protect your personal data, including:

• Encryption in transit: All communications are protected by TLS/HTTPS.
• Encryption at rest: Data stored in the database is encrypted.
• Row-Level Security (RLS): Row-level security policies ensure each user can only access their own data.
• Secure authentication: JWT tokens and sessions managed by Supabase Auth.
• Server-side processing: All AI API calls are made server-side, never from the user's device.

11. Apple HealthKit Data

When you authorize Apple HealthKit integration:

• Data is accessed locally on your device;
• We do not use HealthKit data for advertising purposes;
• We do not share HealthKit data with third parties, except when directly related to providing a health benefit to you;
• We do not sell HealthKit data to data brokers or any third parties;
• You can revoke HealthKit access at any time in your iOS Settings.

12. Changes to This Policy

We may update this Privacy Policy periodically. In the event of significant changes:

• You will be notified at least 30 days in advance through the app or by email;
• The last updated date at the top of this document will be revised;
• Continued use of the app after the notification period constitutes acceptance of the changes.

13. Contact

For questions about this privacy policy or the processing of your personal data:

• Email: franciscojesuspereira2007@gmail.com
• Data Controller: Francisco Pereira
• Website: app-store-site-nu.vercel.app