OzemPro Logo
OzemPro

Política de Privacidade

Última atualização: 19/05/2026

Esta Política de Privacidade descreve como o OzemPro ("Empresa", "nós"), na qualidade de controlador (Art. 5º, VI da LGPD), coleta, utiliza, compartilha e protege seus dados pessoais quando você utiliza nosso Serviço, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — "LGPD"). Como nosso Serviço envolve o acompanhamento de tratamentos com medicamentos GLP-1, parte dos dados que tratamos são considerados dados pessoais sensíveis (Art. 5º, II, e Art. 11 da LGPD) e exigem consentimento específico e destacado. O Serviço utiliza recursos de Inteligência Artificial que envolvem transferência internacional de dados para os Estados Unidos (Art. 33 da LGPD), conforme detalhado nesta Política. Ao utilizar o Serviço, você declara estar ciente desta Política e, quando aplicável, manifesta consentimento livre, informado e específico para o tratamento dos seus dados.

Identificação do Controlador

Para os fins do Art. 9º, II, da LGPD, o controlador dos dados pessoais tratados no Serviço é:

  • Razão Social: Fitcal Ltda.
  • CNPJ: 61.468.082/0001-98
  • Marca operada: OzemPro (www.ozempro.com)
  • Encarregado pela Proteção de Dados (DPO): Contato pelo e-mail contato@ozempro.com, conforme Art. 41 da LGPD. O endereço para correspondência pode ser obtido por solicitação a esse canal.

Interpretação e Definições

Interpretação

As palavras cuja inicial está em maiúscula têm significados definidos nas condições descritas a seguir. As definições terão o mesmo significado, independentemente de aparecerem no singular ou no plural.

Definições

  • Conta: Uma conta única criada para você acessar nosso Serviço ou partes do Serviço.
  • Empresa: Refere-se à Fitcal Ltda. (CNPJ 61.468.082/0001-98), operadora da marca OzemPro e controladora dos seus dados pessoais.
  • Dados Pessoais: Qualquer informação relacionada a pessoa natural identificada ou identificável.
  • Dados Pessoais Sensíveis: Dados sobre saúde, vida sexual, biometria, entre outros, conforme Art. 5º, II, da LGPD.
  • Titular: Pessoa natural a quem se referem os dados pessoais — você.
  • Tratamento: Qualquer operação realizada com dados pessoais (coleta, uso, compartilhamento, eliminação, etc.).
  • Controlador: Pessoa natural ou jurídica que toma as decisões referentes ao tratamento dos seus dados pessoais — neste caso, o OzemPro.
  • Operador: Pessoa natural ou jurídica que realiza o tratamento de dados em nome do controlador (ex.: provedores de hospedagem, pagamento, notificações).
  • Encarregado (DPO): Pessoa indicada pelo controlador para atuar como canal de comunicação entre você, a Empresa e a ANPD (Art. 41 da LGPD).
  • Transferência Internacional: Transferência de dados pessoais para país estrangeiro ou organismo internacional — sujeita às hipóteses do Art. 33 da LGPD.
  • Cookies: Pequenos arquivos colocados no seu dispositivo contendo informações sobre seu histórico de navegação.
  • Dispositivo: Qualquer dispositivo que possa acessar o Serviço, como um computador, celular ou tablet digital.
  • Serviço: Refere-se ao site e/ou aplicativo OzemPro.
  • Você: O indivíduo que acessa ou usa o Serviço.

Coleta e Uso de seus Dados Pessoais

Tipos de Dados Coletados

Ao usar nosso Serviço, podemos coletar as seguintes categorias de dados:

  • Dados cadastrais: nome, sobrenome, e-mail, gênero, data de nascimento, altura, idioma e foto de perfil (opcional).
  • Dados sensíveis de saúde (Art. 11 LGPD): medicação em uso, dose, frequência, datas de aplicação, peso, IMC, medidas corporais, sintomas, efeitos colaterais relatados e fotos de progresso — utilizados exclusivamente para o funcionamento do Serviço de acompanhamento.
  • Refeições e nutrição: descrição das refeições, macronutrientes, fotos de comida (quando você optar por enviar). Embora não sejam, por natureza, dados sensíveis, podem conter referências à sua condição de saúde por sua livre iniciativa — recebem tratamento de dado sensível por precaução.
  • Mensagens enviadas ao assistente de IA: texto livre digitado por você no AI Chat. Essas mensagens são transferidas ao provedor de IA fora do Brasil, conforme detalhado na seção "Transferência Internacional".
  • Dados de assinatura e pagamento: status da assinatura, plataforma utilizada (Apple App Store, Google Play, Stripe) e identificador opaco do pedido. Dados completos de cartão NUNCA são tratados por nós — são processados diretamente pelos provedores de pagamento.
  • Dados de uso e telemetria: interações com o aplicativo, telas acessadas, eventos de uso anonimizados, identificadores de dispositivo, modelo, sistema operacional, idioma, fuso horário, endereço IP, identificadores de publicidade (IDFA/AAID), logs de erro.
  • Auditoria de consentimento: para cada aceite ou revogação de consentimento, armazenamos data/hora, versão do documento aceito, endereço IP e User-Agent — necessários para comprovar a manifestação de vontade do titular (Art. 8 §6 da LGPD).
  • Dados da pesquisa de mercado (quando você optar por participar): local onde costuma adquirir o medicamento, faixa de preço aproximada, interesse em soluções futuras de acesso ao tratamento, e — se você fornecer voluntariamente — nome, e-mail e telefone para retorno.
  • Cookies e identificadores: conforme detalhado adiante.

Tecnologias de Rastreamento e Cookies

Usamos Cookies e tecnologias semelhantes para monitorar a atividade em nosso Serviço. Tipos de Cookies:

  • Cookies Essenciais: Necessários para o funcionamento do Serviço.
  • Cookies de Funcionalidade: Melhoram a experiência do usuário.
  • Cookies de Análise: Coletam informações para análise de uso e desempenho.

Bases Legais para o Tratamento

Tratamos seus dados com base nas hipóteses legais previstas nos Arts. 7º e 11 da LGPD, conforme a finalidade:

  • Consentimento (Art. 7º, I e Art. 11, I): Para tratamento de dados sensíveis de saúde, envio de comunicações de marketing, participação em pesquisas de mercado e compartilhamento com parceiros do setor de saúde.
  • Execução de contrato (Art. 7º, V): Para fornecer e manter as funcionalidades do Serviço que você contratou.
  • Cumprimento de obrigação legal (Art. 7º, II): Para atender exigências legais, regulatórias ou ordens de autoridades competentes.
  • Legítimo interesse (Art. 7º, IX): Para análise agregada de uso, segurança da informação e prevenção a fraudes, sempre respeitando seus direitos fundamentais.

Finalidades do Tratamento

A Empresa utiliza seus Dados Pessoais para:

  • Fornecer e manter o Serviço, incluindo o acompanhamento do tratamento.
  • Gerenciar sua Conta e fornecer funcionalidades exclusivas.
  • Contatá-lo sobre atualizações operacionais do Serviço.
  • Realizar pesquisas de mercado anônimas ou com identificação opcional, com o objetivo de entender o cenário de acesso ao tratamento — sempre mediante consentimento específico.
  • Enviar comunicações de marketing sobre soluções de acesso ao tratamento, mediante seu consentimento (opt-in), com possibilidade de descadastro a qualquer momento.
  • Compartilhar dados de contato com parceiros do setor de saúde selecionados (laboratórios, distribuidores, farmácias, planos de saúde, plataformas), exclusivamente quando você marcar o consentimento específico.
  • Monitorar o uso do Serviço para fins de melhoria e segurança.

Compartilhamento de Dados Pessoais

Seus dados pessoais podem ser compartilhados nas seguintes hipóteses:

  • Com fornecedores de serviços (operadores) que apoiam o funcionamento do Serviço, sob contrato com cláusulas de confidencialidade e proteção de dados. Os operadores que tratam dados em nosso nome estão relacionados na seção "Operadores e Sub-operadores" abaixo.
  • Com parceiros do setor de saúde por nós selecionados (laboratórios, distribuidores, farmácias, planos de saúde, plataformas e iniciativas relacionadas a tratamentos), apenas quando você manifestar consentimento específico marcando a opção correspondente — finalidade: apresentar soluções, ofertas e novidades que tornem o tratamento mais acessível.
  • Para cumprimento de obrigação legal ou regulatória, ou em atendimento a ordem de autoridade competente (Art. 7º, II e VI da LGPD).
  • Em caso de fusão, aquisição ou reorganização societária, mediante prévia comunicação a você.
  • Não vendemos seus dados pessoais e não os compartilhamos com terceiros para fins comerciais não autorizados por você.

Operadores e Sub-operadores

A relação abaixo identifica os operadores que tratam seus dados pessoais em nosso nome. A lista é atualizada sempre que houver inclusão, alteração ou substituição relevante de fornecedor. Sigla "TI" indica transferência internacional de dados (Art. 33 da LGPD).

  • Amazon Web Services (AWS) — Brasil (sa-east-1): Hospedagem da aplicação, banco de dados PostgreSQL e armazenamento de imagens (fotos de progresso, avatares) em buckets privados com acesso restrito.
  • Stripe — EUA (TI): Processamento de pagamentos da assinatura quando contratada via web. Recebe apenas dados estritamente necessários ao pagamento; dados de cartão são geridos exclusivamente pela Stripe sob padrão PCI-DSS.
  • Apple e Google — EUA (TI): Processamento de assinaturas no aplicativo (In-App Purchase / Google Play Billing) e autenticação social opcional (Apple Sign In / Google Sign In).
  • Firebase (Google) — EUA (TI): Envio de notificações push (Firebase Cloud Messaging) e identificador anônimo de dispositivo para entrega de mensagens.
  • Resend — EUA / União Europeia (TI): Envio de e-mails transacionais (confirmação, recuperação de senha, comunicações operacionais).
  • OpenAI — EUA (TI): Geração de respostas do assistente de IA. Recebe APENAS o texto da mensagem que você envia no AI Chat. Não enviamos seu e-mail, nome ou outros dados de cadastro. Tratamento condicionado ao seu consentimento específico, capturado no primeiro uso do AI Chat.
  • Superwall — EUA (TI): Apresentação remota de telas de assinatura (paywall) e teste A/B de configurações comerciais.
  • Sentry — EUA (TI): Coleta de logs de erro para diagnóstico e correção de falhas. Configurado para não enviar dados pessoais identificáveis nas mensagens de erro.
  • PostHog — EUA (TI): Análise de eventos de uso anonimizados para melhoria do produto.
  • Meta CAPI, AppsFlyer, Singular, TikTok Pixel — EUA (TI): Mensuração e atribuição de campanhas publicitárias. Recebem eventos de conversão (instalação, registro, assinatura) e identificadores pseudonimizados de dispositivo. Não recebem dados sensíveis de saúde.
  • Paywallo (Virex Tech) — Brasil: Plataforma interna de atribuição, A/B testing e gestão de paywalls. Sub-operador do controlador, sob mesmas obrigações desta Política.

Transferência Internacional de Dados (Art. 33 da LGPD)

Alguns dos nossos operadores estão localizados fora do Brasil — predominantemente nos Estados Unidos. Por esse motivo, parte do tratamento dos seus dados envolve transferência internacional. Garantimos que essas transferências ocorrem em hipóteses autorizadas pelo Art. 33 da LGPD:

  • Cláusulas-padrão contratuais (Art. 33, II, d): Com Stripe, AWS, Google/Firebase, Sentry e demais operadores, mantemos contratos (DPA — Data Processing Agreements) com cláusulas de proteção compatíveis com a LGPD.
  • Consentimento específico do titular (Art. 33, VIII): O uso do AI Chat, que envolve envio de mensagens para a OpenAI nos EUA, depende do seu consentimento específico e destacado, solicitado no primeiro uso do recurso. Você pode optar por não usar o AI Chat e seguir utilizando as demais funcionalidades do Serviço normalmente.
  • Execução de contrato (Art. 33, V): Algumas transferências (como o processamento de pagamento pela Apple/Google/Stripe quando você assina o Serviço) são necessárias para a execução do contrato firmado entre você e a Empresa.

Crianças e Adolescentes (Art. 14 da LGPD)

O Serviço destina-se exclusivamente a pessoas com 18 (dezoito) anos ou mais. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos que um cadastro foi feito por menor de 18 anos sem consentimento específico de pelo menos um dos pais ou responsável legal, a conta será excluída e os dados serão eliminados, salvo obrigação legal de retenção. Se você é responsável por um menor de idade que tenha utilizado o Serviço, entre em contato com nosso Encarregado pelos canais informados ao final desta Política.

Segurança da Informação (Arts. 46 a 49 da LGPD)

Adotamos medidas técnicas e administrativas razoáveis e adequadas ao porte do tratamento e à sensibilidade dos dados envolvidos, incluindo:

  • Armazenamento do seu token de sessão (JWT) em locais protegidos do dispositivo: iOS Keychain no Apple e EncryptedSharedPreferences no Android, dificultando o acesso por aplicativos de terceiros mesmo em dispositivos com root/jailbreak.
  • Senhas são armazenadas em forma de hash com algoritmo de uma via, nunca em texto puro.
  • Conexões com o servidor são protegidas por TLS/HTTPS.
  • Buckets de armazenamento de imagens (fotos de progresso, avatares) são privados; o acesso ocorre exclusivamente por URLs assinadas com expiração curta.
  • Banco de dados acessível apenas pela rede interna do servidor, com credenciais fortes geradas em deploy.
  • Auditoria estruturada de toda ação sensível (aceite/revogação de consentimento, exportação, exclusão de conta), com data/hora, IP e User-Agent.
  • Limite de requisições (rate-limit) em endpoints públicos para mitigar ataques de força bruta.
  • Revisão periódica do RIPD (Relatório de Impacto à Proteção de Dados — Art. 38 da LGPD) e dos controles técnicos.

Resposta a Incidentes de Segurança (Art. 48 da LGPD)

Apesar das medidas adotadas, nenhum sistema é absolutamente imune a incidentes. Caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante a você, comunicaremos o incidente à ANPD e a você em prazo razoável, conforme determinação da Autoridade Nacional de Proteção de Dados, informando: (i) a descrição da natureza dos dados afetados; (ii) os titulares envolvidos; (iii) as medidas técnicas e de segurança utilizadas para proteção dos dados; (iv) os riscos relacionados ao incidente; (v) os motivos da demora, no caso de comunicação não imediata; e (vi) as medidas adotadas para reverter ou mitigar os efeitos do prejuízo.

Retenção e Eliminação dos Dados

Mantemos seus dados pelo tempo necessário às finalidades descritas e aos prazos legais aplicáveis:

  • Dados de cadastro e uso: Mantidos enquanto sua conta estiver ativa e por até 12 meses após a exclusão da conta, salvo obrigação legal diversa.
  • Dados sensíveis de saúde: Mantidos enquanto sua conta estiver ativa, sendo eliminados após a exclusão da conta, salvo necessidade de retenção para defesa em processo judicial ou obrigação regulatória.
  • Dados de pesquisa de mercado: Mantidos por até 5 anos a partir da coleta, ou até a revogação do consentimento, o que ocorrer primeiro.
  • Logs de segurança: Mantidos por até 6 meses, conforme Marco Civil da Internet (Lei 12.965/2014).

Seus Direitos como Titular

Conforme o Art. 18 da LGPD, você pode exercer os seguintes direitos a qualquer momento, gratuitamente. Boa parte deles pode ser exercida diretamente dentro do aplicativo, na tela "Privacidade e Consentimentos" — incluindo exportar uma cópia dos seus dados, excluir sua conta de forma definitiva e revogar consentimentos específicos. Para as demais solicitações, utilize nosso canal de contato:

  • Confirmação: Confirmar se realizamos o tratamento de dados a seu respeito.
  • Acesso: Acessar os dados que mantemos sobre você.
  • Correção: Corrigir dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação: Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade: Solicitar a portabilidade dos seus dados a outro fornecedor de serviço, observados os segredos comercial e industrial. Disponível diretamente no aplicativo (tela "Privacidade e Consentimentos" → "Exportar meus dados"), que gera um arquivo JSON com todos os seus registros.
  • Eliminação: Solicitar a eliminação definitiva dos seus dados, exceto nas hipóteses de guarda legal. Disponível diretamente no aplicativo (tela "Privacidade e Consentimentos" → "Excluir minha conta"). A exclusão é definitiva e cobre suas informações de cadastro, sensíveis de saúde, fotos, mensagens com a IA e histórico em comunidades.
  • Informação sobre compartilhamento: Obter informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
  • Revogação do consentimento: Revogar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente.
  • Oposição: Opor-se a tratamento realizado com fundamento em hipótese legal distinta do consentimento, em caso de descumprimento da LGPD.
  • Reclamação à ANPD: Apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) por meio do site www.gov.br/anpd.

Alterações nesta Política de Privacidade

Podemos atualizar esta Política periodicamente. Sempre que houver mudança relevante, comunicaremos pelos canais de contato cadastrados ou no próprio aplicativo. Recomendamos revisar esta página regularmente.

Encarregado e Canal de Contato

Para exercer seus direitos, esclarecer dúvidas ou apresentar reclamações relacionadas ao tratamento dos seus dados, você pode entrar em contato com nosso Encarregado pela Proteção de Dados (DPO) pelo canal abaixo. Responderemos no prazo legal de até 15 (quinze) dias.

  • Por e-mail: contato@ozempro.com

Cookies e privacidade

Usamos cookies essenciais para o funcionamento do site e cookies opcionais de análise e marketing. Você pode aceitá-los ou rejeitá-los — sua escolha pode ser alterada a qualquer momento. Saiba mais