A tua privacidade é fundamental para nós. Esta Política de Privacidade explica que dados recolhemos, por que os recolhemos, como os usamos e os teus direitos. Foi elaborada para cumprir a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018 — Brasil) e o Regulamento Geral sobre a Proteção de Dados (GDPR, Regulamento UE 2016/679 — União Europeia).
1. Quem somos
A DaysWithout é operada por Hessel IT Solutions (a "Empresa", "nós"), com sede em Lisboa, Portugal, inscrita sob o NIF 517 659 247.
1.1 Encarregado pelo Tratamento de Dados Pessoais (DPO)
Nomeámos um Encarregado pelo Tratamento de Dados Pessoais (DPO/Encarregado, conforme LGPD art. 41 e GDPR art. 37):
- Nome: Hessel IT Solutions
- Cargo: Encarregado pelo Tratamento de Dados Pessoais
- Canal directo: dpo@hesselitsolutions.com
Para qualquer questão relacionada com privacidade ou para exercer os teus direitos enquanto titular de dados, podes contactar o DPO directamente. Para assuntos gerais, contato@hesselitsolutions.com.
2. Dados que recolhemos
2.1 Dados de conta
- Email e palavra-passe (ou credencial Google/Apple, se usares login social)
- Nome de exibição (opcional)
- Idioma preferido e fuso horário
2.2 Dados de uso da app (hábitos)
- Contadores de hábitos que crias (nome, ícone, data de início)
- Registos de recaídas, com data, hora e contexto que escolheres adicionar
- Entradas do journal (humor, energia, contexto social, texto livre)
- Conquistas e marcos (streaks, XP, quests)
2.3 Mensagens do AI Companion
Todas as mensagens que escreves ao Atlas/Mira (AI Companion) são processadas em tempo real. Ver secção 4 — esta é a categoria de dados mais sensível.
2.4 Comunidade e Tribos
- Posts e comentários que publicas em Tribos
- Reacções, menções, mensagens privadas a aliados (Ally Mode)
2.5 Dados de pagamento
Os pagamentos são processados directamente pela Stripe Inc. Nós não armazenamos dados do teu cartão de crédito. Recebemos apenas o identificador de subscrição (`stripeSubscriptionId`) e o estado da subscrição (`active`, `trialing`, `canceled`).
2.6 Dados técnicos
- Tokens de push notifications (FCM)
- Logs anonimizados de erros e eventos de segurança
- Métricas de uso agregadas (sem PII)
3. Para que usamos os teus dados
| Finalidade | Base legal (LGPD / GDPR) |
|---|---|
| Fornecer a app e funcionalidades (contadores, journal, comunidade) | Execução de contrato (Art. 7, V LGPD / Art. 6(1)(b) GDPR) |
| Processar pagamentos e gestão de subscrições | Execução de contrato |
| Enviar notificações de motivação e re-engagement | Consentimento (revogável em Settings → Notificações) |
| Detecção automatizada de crise emocional | Protecção da vida (Art. 7, VII LGPD / Art. 9(2)(c) GDPR — interesse vital) |
| Análise de uso para melhorar o produto | Legítimo interesse (Art. 7, IX LGPD / Art. 6(1)(f) GDPR) |
| Cumprir obrigações legais e regulatórias | Obrigação legal |
4. Dados sensíveis de saúde mental
⚠️ Aviso importante. A DaysWithout trata dados que podem qualificar-se como "dados pessoais sensíveis" relativos à saúde mental (LGPD Art. 5, II / GDPR Art. 9). Esta secção explica em detalhe o que fazemos com esses dados, porquê e como te protegemos.
4.1 Detecção automatizada de crise
Para garantir a tua segurança, todas as mensagens que envias ao AI Companion são automaticamente analisadas em tempo real por sistemas baseados em inteligência artificial, com o objectivo de identificar sinais de:
- Ideação suicida ou auto-lesão
- Crise emocional grave
- Preocupação com a segurança de terceiros
O sistema utiliza uma combinação de:
- Padrões linguísticos determinísticos (correspondência de termos)
- Classificação semântica via modelo de linguagem (Google Gemini, através do gateway OpenRouter)
4.2 Registo de eventos de segurança
Quando o sistema deteta crise, é criado um registo anonimizado na nossa base de dados para revisão clínica e auditoria. Esse registo contém:
- Timestamp do evento
- Identificador do utilizador (cifrado)
- Método de detecção (regex / LLM)
- Nível de risco classificado (baixo / médio / alto)
- Categoria de gatilho anonimizada (ex.: `suicidal_ideation_backstop`)
O conteúdo verbatim da mensagem é guardado num repositório clínico separado, com acesso restrito a pessoal autorizado de revisão clínica, retenção máxima de 90 dias, após o que é eliminado automaticamente.
4.3 Base legal e direitos
Esta análise automatizada é fundamentada em protecção da vida (LGPD Art. 7, VII e Art. 11 II 'f'; GDPR Art. 9(2)(c) — interesses vitais). É uma medida de segurança não-opcional, ativa para todos os utilizadores, por considerarmos o risco de não detectar uma crise emocional desproporcionalmente superior ao incómodo de uma análise automatizada.
Direito à revisão humana (LGPD Art. 20): Tens o direito de solicitar a revisão humana de qualquer decisão tomada com base unicamente em tratamento automatizado (incluindo a detecção de crise descrita acima). Para exercer este direito, contacta o nosso Encarregado em dpo@hesselitsolutions.com. Responderemos no prazo de 15 dias (LGPD) ou 30 dias (GDPR).
Tens o direito de solicitar acesso, correcção, eliminação ou portabilidade de qualquer dado, incluindo eventos de segurança — ver secção 7.
4.4 Limitações importantes
O AI Companion não é um terapeuta nem substitui acompanhamento clínico. A detecção automatizada de crise é uma medida de mitigação de risco, não um sistema de emergência. Em caso de crise activa, contacta imediatamente:
- Portugal: SOS Voz Amiga 213 544 545 · INEM 112
- Brasil: CVV 188 · SAMU 192
- UE: Linhas de apoio locais ou número de emergência 112
5. Com quem partilhamos os teus dados
Não vendemos os teus dados. Não fazemos publicidade direccionada. Os seguintes processadores recebem dados estritamente necessários para o serviço:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Google Cloud / Firebase | Hosting, autenticação, base de dados (Firestore), Cloud Functions | EUA + UE |
| OpenRouter | Gateway de modelos de linguagem para o AI Companion | EUA |
| Google AI (Gemini) | Processamento de mensagens do AI Companion | EUA |
| Stripe | Processamento de pagamentos | EUA + UE |
| RevenueCat | Subscrições in-app (iOS/Android — quando disponível) | EUA |
Todos os processadores estão vinculados por contratos de tratamento de dados (DPAs) e operam sob compromissos contratuais de segurança e confidencialidade.
6. Retenção e eliminação
| Tipo de dado | Prazo |
|---|---|
| Dados de conta e uso da app | Até eliminação da conta pelo utilizador |
| Mensagens do chat (histórico para contexto) | Últimas 50 mensagens, rolling window |
| Eventos de segurança (registo anonimizado) | 365 dias |
| Conteúdo verbatim de crise (revisão clínica) | 90 dias, eliminação automática |
| Logs de erros e métricas técnicas | 30 dias |
| Dados de pagamento (referências Stripe) | Conforme obrigações fiscais — até 5 anos |
Podes eliminar a tua conta a qualquer momento em Settings → Conta, e todos os dados associados serão eliminados num prazo máximo de 30 dias (excepto dados que devamos manter por obrigação legal).
7. Os teus direitos
Como titular de dados pessoais, tens os seguintes direitos garantidos pela LGPD e GDPR:
- Acesso: obter confirmação e cópia dos teus dados
- Correcção: rectificar dados incompletos ou imprecisos
- Eliminação: apagar os teus dados ("direito ao esquecimento")
- Portabilidade: receber os teus dados em formato estruturado (JSON)
- Oposição: opor-te ao tratamento por legítimo interesse
- Revogação de consentimento: a qualquer momento, sem prejuízo do tratamento já realizado
- Reclamação: apresentar reclamação à autoridade competente (ANPD no Brasil, CNPD em Portugal, ou a autoridade de controlo no teu país da UE)
Para exercer qualquer destes direitos, contacta-nos em contato@hesselitsolutions.com. Responderemos no prazo máximo de 15 dias (LGPD) / 30 dias (GDPR).
8. Transferências internacionais de dados
Os teus dados são processados em servidores localizados nos EUA e UE. Para transferências internacionais, aplicamos:
- UE → EUA: Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia
- Brasil → exterior: garantias de nível adequado de protecção e/ou cláusulas contratuais específicas, conforme LGPD Art. 33
9. Cookies e tecnologias similares
O site marketing (dayswithout.life) usa um conjunto mínimo de tecnologias de armazenamento local:
9.1 Essenciais (sempre ativos)
- localStorage: preferência de tema (claro/escuro) e idioma. Não exige consentimento — é estritamente funcional.
- Cookie 1st-party
consent(12 meses): regista a tua escolha no banner de cookies. Sem este cookie o banner não conseguiria respeitar a tua decisão.
9.2 Análise — Google Analytics 4 (mediante consentimento)
Se aceitares no banner de cookies, o site carrega Google Analytics 4 (operador: Google LLC, EUA) configurado com:
- Finalidade: medir uso anónimo do site (páginas vistas, fluxo de navegação, idiomas mais usados, cliques no CTA "Abrir App") para melhorar produto e copy.
- Base legal: consentimento (LGPD Art. 7º I / GDPR Art. 6(1)(a)).
- Modo: Google Consent Mode v2 — denied por padrão. Cookies de análise só são setados após aceitação explícita.
- Anonimização de IP: ativada (default GA4 desde Out/2020).
- Sem partilha com Ads: Google Signals e personalização para anúncios desligados.
- Transferência internacional: dados são processados pela Google nos EUA. A transferência é coberta por Standard Contractual Clauses (SCCs) — vê secção 8.
- Retenção: 14 meses (mínimo configurável no GA4 — não estendemos).
- Revogação: a qualquer momento, via link "Preferências de cookies" no rodapé.
9.3 O que NÃO usamos
Sem Meta Pixel. Sem Hotjar. Sem FullStory. Sem Microsoft Clarity. Sem cookies de publicidade. Sem A/B testing tools. Sem fingerprinting.
A app (app.dayswithout.life) usa cookies essenciais para manter a sessão de autenticação. Não usamos cookies de terceiros para tracking na app.
10. Crianças e menores
A DaysWithout destina-se exclusivamente a maiores de 18 anos. Não recolhemos conscientemente dados de menores. Se descobrires que um menor criou conta na app, contacta-nos para eliminação imediata.
11. Notificação de incidentes de segurança
Em caso de incidente de segurança que envolva dados pessoais (acesso não autorizado, perda, destruição, alteração ou divulgação indevida), agiremos da seguinte forma:
- Autoridade competente: notificamos a autoridade de protecção de dados (ANPD no Brasil, CNPD em Portugal, ou equivalente UE) sem demora indevida — em até 72 horas após termos conhecimento do incidente, quando aplicável (GDPR Art. 33), ou em prazo razoável (LGPD Art. 48).
- Titulares afectados: se o incidente apresentar risco elevado aos teus direitos e liberdades, notificamos-te directamente (e-mail registado e/ou notificação na app) sem demora indevida (GDPR Art. 34).
- Conteúdo da notificação: natureza do incidente, categorias e número aproximado de titulares afectados, possíveis consequências, medidas tomadas e contacto do DPO para esclarecimentos.
12. Alterações a esta política
Podemos actualizar esta Política periodicamente. A "Última actualização" no topo indica a data da versão actual. Alterações materiais serão comunicadas com pelo menos 30 dias de antecedência por email e/ou notificação na app.
13. Contacto
Para qualquer questão sobre privacidade, dados pessoais ou exercício de direitos:
- Email geral: contato@hesselitsolutions.com
- Encarregado (DPO): Hessel IT Solutions · dpo@hesselitsolutions.com
- Empresa: Hessel IT Solutions
- Morada: Lisboa, Portugal
- NIF: 517 659 247
Em caso de não-resposta ou insatisfação, podes apresentar reclamação directamente à autoridade de protecção de dados competente (ANPD/Brasil, CNPD/Portugal, ou equivalente).