Repz AIPolítica de Privacidade
Repz AI — Última atualização: 3 de abril de 2026
1. Responsável pelo Tratamento de Dados
O responsável pelo tratamento dos seus dados pessoais é:
- Nome: Francisco Pereira
- NIF: 211519260
- País: Portugal
- Email: support@repzai.app
- Website: repzai.app
Para qualquer questão relacionada com a proteção dos seus dados pessoais, pode contactar-nos através do email support@repzai.app.
2. Categorias de Dados Pessoais Recolhidos
Recolhemos e tratamos as seguintes categorias de dados:
2.1 Dados da Conta
Email, nome completo, data de nascimento e género. Estes dados são necessários para criar e gerir a sua conta.
2.2 Dados Corporais e de Saúde
Peso, altura, medidas corporais, fotografias corporais, preferências alimentares, alergias, nível de fitness e histórico de treinos. Estes dados são considerados dados sensíveis ao abrigo do RGPD (Artigo 9) e requerem o seu consentimento explícito para processamento.
2.3 Dados de Nutrição
Digitalizações de alimentos (fotografias), registos de refeições e monitorização de calorias e macronutrientes.
2.4 Dados do Apple HealthKit
Peso e treinos (leitura e escrita). Esta integração é opcional e requer a sua autorização explícita. Os dados do HealthKit não são utilizados para publicidade e não são partilhados com terceiros, exceto quando diretamente relacionados com o benefício para a sua saúde dentro da aplicação.
2.5 Dados do Dispositivo
Modelo do dispositivo, versão do sistema operativo, idioma e fuso horário.
2.6 Dados de Utilização
Interações com a aplicação e utilização de funcionalidades, recolhidos através da plataforma de analítica PostHog (servidores na UE).
2.7 Dados de Erros
Registos de erros e falhas da aplicação, recolhidos através do Sentry para melhoria da estabilidade.
2.8 Dados de Pagamento
Estado da subscrição, gerido através da RevenueCat e Apple. Não armazenamos dados de pagamento (cartões de crédito, informações bancárias). Esses dados são tratados diretamente pela Apple e RevenueCat.
2.9 Tokens de Notificação Push
Identificadores do dispositivo para envio de notificações push, utilizados exclusivamente para comunicações relacionadas com a aplicação.
2.10 Histórico de Conversas com IA
Mensagens trocadas com o assistente de IA integrado na aplicação, para fornecer respostas personalizadas e contextualizadas.
3. Finalidades e Base Legal do Tratamento
Tratamos os seus dados pessoais com base nas seguintes bases legais:
| Dados | Finalidade | Base Legal |
|---|---|---|
| Dados da Conta | Criação e gestão da conta, prestação do serviço | Execução do contrato (Art. 6(1)(b)) |
| Dados de Saúde e Corporais | Planos de treino e nutrição personalizados | Consentimento explícito (Art. 6(1)(a) e Art. 9(2)(a)) |
| Dados de Nutrição | Análise nutricional, monitorização de macros | Consentimento explícito (Art. 6(1)(a)) |
| Dados HealthKit | Sincronização de peso e treinos | Consentimento explícito (Art. 6(1)(a)) |
| Dados do Dispositivo | Compatibilidade e localização da app | Execução do contrato (Art. 6(1)(b)) |
| Dados de Utilização | Melhoria da experiência e funcionalidades | Consentimento (Art. 6(1)(a)) |
| Dados de Erros | Estabilidade e segurança da aplicação | Interesse legítimo (Art. 6(1)(f)) |
| Estado da Subscrição | Gestão de acessos e funcionalidades premium | Execução do contrato (Art. 6(1)(b)) |
| Tokens Push | Envio de notificações relevantes | Consentimento (Art. 6(1)(a)) |
| Conversas com IA | Assistência personalizada de fitness e nutrição | Consentimento (Art. 6(1)(a)) |
4. Processamento por Inteligência Artificial
A Repz AI utiliza modelos de inteligência artificial para fornecer funcionalidades essenciais da aplicação:
- Análise Nutricional: As fotografias de alimentos são enviadas para o Google Gemini 2.5 Flash-Lite para identificação e cálculo de valores nutricionais.
- Assistente de IA: As mensagens de chat são processadas pelo OpenAI GPT-4.1-nano para fornecer orientação personalizada.
- Planos de Treino: Os dados de fitness são processados pelo Google Gemini para geração de planos de treino adaptados.
Todas as chamadas a APIs de IA são feitas do lado do servidor (através de Supabase Edge Functions). Os seus dados não são utilizados para treinar modelos de IA. Os dados são processados exclusivamente através de chamadas API, sendo tratados de acordo com as políticas de privacidade dos respetivos fornecedores.
4.1 Decisões Automatizadas (Art. 22 RGPD)
A aplicação utiliza IA para gerar automaticamente planos de refeições e planos de treino com base nos seus dados pessoais (peso, altura, objetivos, nível de fitness, preferências alimentares e alergias). Estas recomendações são geradas automaticamente, mas:
- Não produzem efeitos jurídicos sobre si;
- Pode sempre modificar, ignorar ou rejeitar as sugestões;
- Pode contactar-nos para solicitar intervenção humana na revisão de qualquer recomendação.
5. Destinatários e Subcontratantes
Os seus dados pessoais podem ser partilhados com os seguintes subcontratantes:
| Subcontratante | Finalidade | Localização | Acordo |
|---|---|---|---|
| Supabase | Base de dados, autenticação e funções serverless | Frankfurt, UE | DPA Supabase |
| Google (Gemini API) | Análise nutricional e geração de planos de treino | UE/EUA | Google Cloud DPA |
| OpenAI | Assistente de chat com IA | EUA | OpenAI DPA |
| PostHog | Analítica e métricas de utilização | Frankfurt, UE | PostHog DPA |
| Sentry | Relatório de erros e falhas | EUA | Sentry DPA |
| RevenueCat | Gestão de subscrições | EUA | RevenueCat DPA |
| Apple | Pagamentos e HealthKit | EUA/Irlanda | Apple DPA |
6. Transferências Internacionais de Dados
Alguns dos nossos subcontratantes estão localizados fora do Espaço Económico Europeu (EEE), nomeadamente nos Estados Unidos da América. Nestas situações, asseguramos que existem garantias adequadas para a proteção dos seus dados, incluindo:
- Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia;
- Decisões de adequação, quando aplicável;
- Certificações e códigos de conduta dos subcontratantes.
Os dados armazenados na Supabase e PostHog encontram-se em servidores localizados em Frankfurt, Alemanha (UE).
7. Períodos de Conservação
Conservamos os seus dados pessoais durante o período em que a sua conta estiver ativa. Após a eliminação da conta:
- Os seus dados pessoais são eliminados no prazo de 30 dias;
- Cópias de segurança anonimizadas podem ser mantidas por razões técnicas por um período adicional de 30 dias;
- Dados necessários para obrigações legais (por exemplo, dados fiscais) podem ser conservados pelo período legalmente exigido.
8. Os Seus Direitos
Ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD), tem os seguintes direitos:
- Direito de Acesso (Art. 15): Solicitar uma cópia dos seus dados pessoais.
- Direito de Retificação (Art. 16): Corrigir dados pessoais inexatos ou incompletos.
- Direito ao Apagamento (Art. 17): Solicitar a eliminação dos seus dados pessoais.
- Direito à Limitação do Tratamento (Art. 18): Restringir o tratamento dos seus dados em determinadas circunstâncias.
- Direito à Portabilidade (Art. 20): Receber os seus dados num formato estruturado, de uso corrente e leitura automática.
- Direito de Oposição (Art. 21): Opor-se ao tratamento dos seus dados com base em interesse legítimo.
- Direito de Retirar o Consentimento: Pode retirar o consentimento a qualquer momento, sem comprometer a licitude do tratamento baseado no consentimento previamente dado.
Para exercer qualquer um destes direitos, envie um email para support@repzai.app. Responderemos no prazo máximo de 30 dias.
8.1 Direito de Reclamação
Tem o direito de apresentar uma reclamação junto da autoridade de controlo competente:
- Comissão Nacional de Proteção de Dados (CNPD)
- Av. D. Carlos I, 134 - 1.º, 1200-651 Lisboa
- Telefone: +351 213 928 400
- Website: www.cnpd.pt
9. Privacidade de Menores
A Repz AI não se destina a menores de 16 anos. Não recolhemos intencionalmente dados pessoais de menores de 16 anos. Se tomarmos conhecimento de que recolhemos dados de um menor de 16 anos, eliminaremos esses dados imediatamente. Se acredita que um menor forneceu dados pessoais, contacte-nos em support@repzai.app.
10. Segurança dos Dados
Implementamos medidas técnicas e organizativas adequadas para proteger os seus dados pessoais, incluindo:
- Encriptação em trânsito: Todas as comunicações são protegidas por TLS/HTTPS.
- Encriptação em repouso: Os dados armazenados na base de dados são encriptados.
- Row-Level Security (RLS): Políticas de segurança ao nível da linha garantem que cada utilizador só acede aos seus próprios dados.
- Autenticação segura: Tokens JWT e sessões geridas pelo Supabase Auth.
- Processamento server-side: Todas as chamadas a APIs de IA são feitas do lado do servidor, nunca a partir do dispositivo do utilizador.
11. Dados do Apple HealthKit
Quando autoriza a integração com o Apple HealthKit:
- Os dados são acedidos localmente no seu dispositivo;
- Não utilizamos dados do HealthKit para fins publicitários;
- Não partilhamos dados do HealthKit com terceiros, exceto quando diretamente relacionados com o benefício para a sua saúde;
- Não vendemos dados do HealthKit a corretores de dados ou terceiros;
- Pode revogar o acesso ao HealthKit a qualquer momento nas Definições do iOS.
12. Alterações a Esta Política
Podemos atualizar esta Política de Privacidade periodicamente. Em caso de alterações significativas:
- Será notificado com pelo menos 30 dias de antecedência através da aplicação ou por email;
- A data de última atualização no topo deste documento será atualizada;
- A continuação da utilização da aplicação após o período de notificação constitui aceitação das alterações.
13. Contacto
Para questões sobre esta política de privacidade ou sobre o tratamento dos seus dados pessoais:
- Email: support@repzai.app
- Responsável: Francisco Pereira
- Website: repzai.app
EN
Privacy Policy
Repz AI — Last updated: April 3, 2026
1. Data Controller
The data controller responsible for your personal data is:
- Name: Francisco Pereira
- Tax ID (NIF): 211519260
- Country: Portugal
- Email: support@repzai.app
- Website: repzai.app
For any questions regarding the protection of your personal data, please contact us at support@repzai.app.
2. Categories of Personal Data Collected
We collect and process the following categories of data:
2.1 Account Data
Email address, full name, date of birth, and gender. This data is necessary to create and manage your account.
2.2 Body and Health Data
Weight, height, body measurements, body photos, dietary preferences, allergies, fitness level, and workout history. This data is considered sensitive under GDPR (Article 9) and requires your explicit consent for processing.
2.3 Nutrition Data
Food scans (photos), meal logs, and calorie/macronutrient tracking.
2.4 Apple HealthKit Data
Weight and workouts (read and write access). This integration is optional and requires your explicit authorization. HealthKit data is not used for advertising and is not shared with third parties, except when directly related to providing a health benefit to you within the app.
2.5 Device Data
Device model, operating system version, language, and timezone.
2.6 Usage Data
App interactions and feature usage, collected through the PostHog analytics platform (EU servers).
2.7 Crash Data
Error logs and application crash reports, collected through Sentry to improve app stability.
2.8 Payment Data
Subscription status, managed through RevenueCat and Apple. We do not store payment details (credit cards, bank information). Payment data is handled directly by Apple and RevenueCat.
2.9 Push Notification Tokens
Device identifiers for delivering push notifications, used exclusively for app-related communications.
2.10 AI Conversation History
Messages exchanged with the in-app AI assistant, used to provide personalized and contextual responses.
3. Purposes and Legal Basis for Processing
| Data | Purpose | Legal Basis |
|---|---|---|
| Account Data | Account creation and management, service delivery | Performance of contract (Art. 6(1)(b)) |
| Health and Body Data | Personalized workout and nutrition plans | Explicit consent (Art. 6(1)(a) and Art. 9(2)(a)) |
| Nutrition Data | Nutritional analysis, macro tracking | Explicit consent (Art. 6(1)(a)) |
| HealthKit Data | Weight and workout synchronization | Explicit consent (Art. 6(1)(a)) |
| Device Data | App compatibility and localization | Performance of contract (Art. 6(1)(b)) |
| Usage Data | Improving user experience and features | Consent (Art. 6(1)(a)) |
| Crash Data | App stability and security | Legitimate interest (Art. 6(1)(f)) |
| Subscription Status | Managing access and premium features | Performance of contract (Art. 6(1)(b)) |
| Push Tokens | Delivering relevant notifications | Consent (Art. 6(1)(a)) |
| AI Conversations | Personalized fitness and nutrition assistance | Consent (Art. 6(1)(a)) |
4. Artificial Intelligence Processing
Repz AI uses artificial intelligence models to provide core app functionalities:
- Nutritional Analysis: Food photos are sent to Google Gemini 2.5 Flash-Lite for identification and calculation of nutritional values.
- AI Assistant: Chat messages are processed by OpenAI GPT-4.1-nano to provide personalized guidance.
- Workout Plans: Fitness data is processed by Google Gemini to generate tailored workout plans.
All AI API calls are made server-side (through Supabase Edge Functions). Your data is not used to train AI models. Data is processed exclusively via API calls and handled in accordance with the respective providers' privacy policies.
4.1 Automated Decision-Making (Art. 22 GDPR)
The app uses AI to automatically generate meal plans and workout plans based on your personal data (weight, height, goals, fitness level, dietary preferences, and allergies). These recommendations are generated automatically, however:
- They do not produce legal effects concerning you;
- You can always modify, ignore, or reject any suggestions;
- You may contact us to request human intervention in reviewing any recommendation.
5. Data Recipients and Processors
| Processor | Purpose | Location | Agreement |
|---|---|---|---|
| Supabase | Database, authentication, and serverless functions | Frankfurt, EU | Supabase DPA |
| Google (Gemini API) | Nutritional analysis and workout plan generation | EU/US | Google Cloud DPA |
| OpenAI | AI chat assistant | US | OpenAI DPA |
| PostHog | Analytics and usage metrics | Frankfurt, EU | PostHog DPA |
| Sentry | Crash and error reporting | US | Sentry DPA |
| RevenueCat | Subscription management | US | RevenueCat DPA |
| Apple | Payments and HealthKit | US/Ireland | Apple DPA |
6. International Data Transfers
Some of our processors are located outside the European Economic Area (EEA), namely in the United States. In these cases, we ensure that adequate safeguards are in place to protect your data, including:
- Standard Contractual Clauses (SCCs) approved by the European Commission;
- Adequacy decisions, where applicable;
- Processor certifications and codes of conduct.
Data stored in Supabase and PostHog is located on servers in Frankfurt, Germany (EU).
7. Data Retention Periods
We retain your personal data for as long as your account is active. After account deletion:
- Your personal data is deleted within 30 days;
- Anonymized backups may be kept for technical reasons for an additional 30 days;
- Data required for legal obligations (e.g., tax records) may be retained for the legally mandated period.
8. Your Rights
Under the General Data Protection Regulation (GDPR), you have the following rights:
- Right of Access (Art. 15): Request a copy of your personal data.
- Right to Rectification (Art. 16): Correct inaccurate or incomplete personal data.
- Right to Erasure (Art. 17): Request deletion of your personal data.
- Right to Restriction of Processing (Art. 18): Restrict the processing of your data in certain circumstances.
- Right to Data Portability (Art. 20): Receive your data in a structured, commonly used, and machine-readable format.
- Right to Object (Art. 21): Object to the processing of your data based on legitimate interest.
- Right to Withdraw Consent: You may withdraw consent at any time, without affecting the lawfulness of processing based on consent given before its withdrawal.
To exercise any of these rights, send an email to support@repzai.app. We will respond within 30 days.
8.1 Right to Lodge a Complaint
You have the right to lodge a complaint with the competent supervisory authority:
- Comissão Nacional de Proteção de Dados (CNPD) — Portuguese Data Protection Authority
- Av. D. Carlos I, 134 - 1.º, 1200-651 Lisbon, Portugal
- Phone: +351 213 928 400
- Website: www.cnpd.pt
9. Children's Privacy
Repz AI is not intended for individuals under 16 years of age. We do not knowingly collect personal data from children under 16. If we become aware that we have collected data from a child under 16, we will delete it immediately. If you believe a minor has provided personal data, please contact us at support@repzai.app.
10. Data Security
We implement appropriate technical and organizational measures to protect your personal data, including:
- Encryption in transit: All communications are protected by TLS/HTTPS.
- Encryption at rest: Data stored in the database is encrypted.
- Row-Level Security (RLS): Row-level security policies ensure each user can only access their own data.
- Secure authentication: JWT tokens and sessions managed by Supabase Auth.
- Server-side processing: All AI API calls are made server-side, never from the user's device.
11. Apple HealthKit Data
When you authorize Apple HealthKit integration:
- Data is accessed locally on your device;
- We do not use HealthKit data for advertising purposes;
- We do not share HealthKit data with third parties, except when directly related to providing a health benefit to you;
- We do not sell HealthKit data to data brokers or any third parties;
- You can revoke HealthKit access at any time in your iOS Settings.
12. Changes to This Policy
We may update this Privacy Policy periodically. In the event of significant changes:
- You will be notified at least 30 days in advance through the app or by email;
- The last updated date at the top of this document will be revised;
- Continued use of the app after the notification period constitutes acceptance of the changes.
13. Contact
For questions about this privacy policy or the processing of your personal data:
- Email: support@repzai.app
- Data Controller: Francisco Pereira
- Website: repzai.app