Política de Privacidade

1. Dados que Coletamos

Para fornecer treinos personalizados e análises precisas, coletamos os seguintes tipos de dados:

• Dados de Cadastro: Nome, número de telefone (WhatsApp) e e-mail.
• Dados Físicos e de Saúde (sensíveis): Idade, peso, altura, histórico de lesões, medicamentos em uso, frequência cardíaca, nível de condicionamento físico, qualidade de sono, fadiga e bem-estar. Estes são classificados como dados pessoais sensíveis pela LGPD (Art. 5º II) e tratados com proteção reforçada.
• Dados de Atividades (via Strava): Distância, duração, ritmo (pace), elevação, tipo de atividade, batimentos cardíacos e rotas (mapas), obtidos através da integração oficial com a API do Strava, mediante autorização explícita.
• Dados de Marketing: Origem da visita (UTMs), localização aproximada (IP), idioma preferido.
• Comportamento de Uso: Eventos dentro da plataforma (planos gerados, treinos concluídos, mensagens trocadas com o agente, páginas visitadas).
• Dados de Pagamento: Dados de cartão e PIX são processados diretamente pelos parceiros Stripe e Efí. Não armazenamos número de cartão, CVV ou senha de transação.

2. Bases Legais para o Tratamento (LGPD Art. 7º e 11)

Cada categoria de dado é tratada sob uma base legal específica:

• Consentimento (Art. 7º I e Art. 11 I): dados sensíveis de saúde, integração com Strava, comunicação de marketing, uso em análise estatística anônima agregada.
• Execução de Contrato (Art. 7º V): cadastro, geração de planos, comunicação operacional (cobrança, mudanças no serviço, atendimento).
• Obrigação Legal/Regulatória (Art. 7º II): retenção de dados fiscais por 5 anos (Lei 8.846/94), atendimento a requisições judiciais ou da ANPD.
• Legítimo Interesse (Art. 7º IX): prevenção de fraude, segurança, melhoria operacional sem identificação individual.

3. Como Usamos Seus Dados

• Geração de planos de treino personalizados pela metodologia Korvo.
• Monitoramento individual de progresso, fadiga, carga de treino e prevenção de lesões.
• Comunicação via WhatsApp e dashboard sobre seus treinos, dúvidas e ajustes.
• Processamento de pagamentos (gerenciado por Stripe e Efí).
• Análise agregada e anonimizada para validar a metodologia e melhorar algoritmos (veja Seção 8).
• Atendimento a obrigações fiscais e legais.

4. Integração com o Strava

O Korvo oferece uma integração opcional com a API do Strava para importar automaticamente suas atividades.

Dados acessados: Apenas dados de atividades da sua conta Strava (distância, ritmo, elevação, FC, etc.), conforme as permissões apresentadas pela própria Strava no momento da autorização. Não acessamos mensagens, senhas ou informações de pagamento.

Finalidade exclusiva: Registrar treinos no seu histórico individual, atualizar métricas pessoais (volume semanal, consistência, ritmo médio) e ajustar recomendações de treino para você.

Restrições importantes:

• Não usamos dados da Strava para treinar ou melhorar modelos de IA/machine learning.
• Não criamos análises agregadas, rankings ou comparações entre diferentes usuários usando dados da Strava.
• Não compartilhamos, vendemos ou licenciamos esses dados para terceiros, incluindo anunciantes ou corretores de dados.

Retenção e exclusão:

• Dados da Strava ficam em cache por no máximo 7 dias para fins técnicos.
• Se você excluir uma atividade no Strava ou revogar o acesso do Korvo, refletiremos a exclusão em até 48 horas.
• Você pode desconectar sua conta Strava a qualquer momento nas configurações da Strava ou solicitando ao nosso suporte.

5. Compartilhamento com Operadores (Sub-processadores)

Compartilhamos dados estritamente necessários com as seguintes empresas que processam dados a serviço do Korvo Run:

* mediante consentimento explícito do titular.

O Korvo Run não vende, aluga nem cede seus dados a anunciantes, brokers de dados ou terceiros comerciais. Compartilhamento por obrigação legal (justiça, ANPD, autoridade fiscal) ocorre apenas mediante requisição formal e é registrado em log de auditoria.

6. Transferência Internacional de Dados

A maioria dos operadores listados na Seção 5 processa dados fora do Brasil (Estados Unidos predominantemente, alguns globais).

Conforme a LGPD Art. 33, essa transferência internacional é amparada por:

• Cláusulas Contratuais Padrão (CCPs) equivalentes às SCCs (Standard Contractual Clauses) da União Europeia, firmadas com cada operador.
• Verificação de que cada operador adota nível de proteção compatível com o exigido pela LGPD.
• Acordos de Processamento de Dados (DPAs) específicos, disponíveis para consulta mediante solicitação ao Encarregado.

Caso a ANPD publique modelo oficial brasileiro de cláusulas padrão, migraremos imediatamente para esse instrumento.

7. Seus Direitos como Titular (LGPD Art. 18)

Você tem os seguintes direitos sobre seus dados pessoais, e pode exercê-los a qualquer momento:

• I. Confirmação da existência de tratamento — saber se tratamos algum dado seu.
• II. Acesso aos dados — obter cópia dos dados que armazenamos. Disponível em /dashboard/conta → "Exportar meus dados".
• III. Correção — corrigir dados incompletos, inexatos ou desatualizados.
• IV. Anonimização, bloqueio ou eliminação — pedir anonimização de dados desnecessários ou tratados em desconformidade.
• V. Portabilidade — receber seus dados em formato estruturado e legível por máquina. Disponível em /dashboard/conta → "Exportar meus dados".
• VI. Eliminação dos dados tratados com base em consentimento. Disponível em /dashboard/conta → "Excluir minha conta".
• VII. Informação sobre compartilhamento — saber com quais operadores compartilhamos dados (veja Seção 5).
• VIII. Informação sobre não-consentimento — saber as consequências de não consentir.
• IX. Revogação de consentimento — revogar a qualquer momento autorização para usos específicos (marketing, Strava, análise anônima).

Prazo de resposta: 15 dias corridos a partir da solicitação (LGPD Art. 19 §1º).

Para exercer qualquer direito, use o canal direto com o Encarregado de Dados (DPO).

8. Uso de Dados Anonimizados para Pesquisa

Com seu consentimento explícito, obtido no ato de cadastro e revogável a qualquer momento, podemos utilizar seus dados de forma anonimizada e agregada para aprimorar a metodologia Korvo, desenvolver benchmarks de desempenho por nível e experiência, validar cientificamente nossos algoritmos e produzir conteúdo de pesquisa.

O que isso significa na prática:

• Seus dados individuais nunca são identificáveis neste processo.
• Conforme a LGPD Art. 12, dados anonimizados de forma irreversível deixam de ser considerados dado pessoal — saem do escopo da lei.
• Utilizamos apenas dados coletados diretamente pelo Korvo: anamnese, treinos registrados na plataforma e métricas próprias.
• Dados originados exclusivamente do Strava não são incluídos nessas análises, conforme as restrições da API do Strava descritas na Seção 4.
• Nenhum dado identificável é compartilhado com terceiros para esta finalidade.

Você pode revogar este consentimento a qualquer momento em /dashboard/conta, sem prejuízo ao funcionamento do serviço.

9. Retenção e Anonimização Automática

Mantemos seus dados pessoais identificáveis enquanto você for atleta ativo do Korvo Run. Após o cancelamento da sua assinatura:

• Dados ficam preservados por até 1 (um) ano para o caso de reativação da conta sem perda de histórico.
• Após 1 ano cancelado sem reativação, seus dados pessoais identificáveis (nome, e-mail, telefone, conversas) são anonimizados automaticamente.
• Os dados de treino (sessões, métricas, KLi, ACWR, planos) são preservados de forma anônima — não ligáveis a você — para pesquisa e validação da metodologia, conforme LGPD Art. 12.
• Você pode solicitar anonimização imediata a qualquer momento após o cancelamento, via /dashboard/conta.
• Atleta ativo (assinante atual) nunca tem dados anonimizados sem pedido explícito.

Dados fiscais (recibos, reembolsos) são retidos por 5 anos por obrigação legal (Lei 8.846/94), mesmo após anonimização.

10. Segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados:

• Transmissão por HTTPS/TLS.
• Armazenamento em banco com criptografia em repouso (Supabase Postgres).
• Autenticação multifator para acesso administrativo.
• Logs auditáveis de acesso a dados sensíveis.
• Plano de resposta a incidente com notificação à ANPD em até 72 horas, conforme Resolução ANPD 15/2024.

Em caso de incidente de segurança que represente risco aos seus direitos, comunicaremos a você diretamente além da notificação à autoridade.

11. Encarregado de Dados (DPO)

Em cumprimento ao Art. 41 da LGPD, designamos um Encarregado de Proteção de Dados como ponto de contato direto entre você, a ANPD e o Korvo Run para assuntos de privacidade:

• Nome: Marcio Luzo
• E-mail dedicado: dpo@korvorun.com
• Canal estruturado: korvorun.com/dpo
• Prazo de resposta: 15 dias corridos (LGPD Art. 19 §1º).

12. Alterações desta Política

Podemos atualizar esta política periodicamente. Mudanças substantivas serão comunicadas com pelo menos 15 dias de antecedência por e-mail e por banner no dashboard. Cada versão recebe um identificador (formato privacy-AAAA-MM-DD) e o histórico de versões aceitas por você fica disponível em /dashboard/conta.

Versão atual: privacy-2026-05-14.

13. Contato Geral

• Assuntos de privacidade/LGPD: dpo@korvorun.com
• Suporte geral: hq@korvorun.com
• Suporte operacional: via WhatsApp oficial do Korvo

Nota legal: O Korvo é um serviço independente e não é produto oficial da Strava, nem representa patrocínio ou endosso da Strava.