Subcontratantes de dados pessoais

1. Preâmbulo

A Strenqo é editada e gerida por Andreas Mondo (empresário em nome individual italiano, responsável pelo tratamento).

Para cada subcontratante indicamos: denominação social, localização, país de alojamento dos dados, finalidade do tratamento e garantia de transferência para transferências extra-UE. A lista reflete o estado em 17-05-2026. Quaisquer novos subcontratantes serão notificados aos utilizadores com pré-aviso razoável.

2. Subcontratantes ativos

2.1 Supabase

• Denominação social: Supabase Inc.
• Localização: Estados Unidos (Delaware)
• País de alojamento dos dados: União Europeia (eu-west-1)
• Finalidade: base de dados PostgreSQL, autenticação, armazenamento de ficheiros (Storage), execução de Edge Functions, sincronização em tempo real
• Categorias de dados: todos os dados do utilizador (perfil, treinos, nutrição, check-in corporal, fotografias, conversas com o AI Coach)
• Mecanismo de transferência: sem transferência extra-UE em repouso. O acesso de suporte pela Supabase Inc. (EUA) é regido por DPA com CCT
• Site: supabase.com · Documentos: privacidade, termos

2.2 OpenAI

• Denominação social: OpenAI, L.L.C. (EUA) e OpenAI Ireland Ltd (UE)
• Localização: Estados Unidos / Irlanda
• País de alojamento dos dados: Estados Unidos, com tratamento inicial em Dublin para utilizadores da UE
• Finalidade: geração de respostas do AI Coach, análise de fotografias de alimentos, geração de planos de treino/nutrição
• Categorias de dados: texto das conversas com o AI Coach, fotografias de alimentos, contexto do utilizador (perfil, treinos recentes, peso) — apenas se tiver concedido consentimento explícito ao AI Coach
• Mecanismo de transferência: EU-US Data Privacy Framework + CCT. A OpenAI consta da DPF Participants List
• Site: openai.com · Documentos: DPA, privacidade

Nota sobre coach-micro: à data de 17-05-2026, a funcionalidade de coach “micro hint” não envia dados à OpenAI; a função do lado do servidor não está implementada e a aplicação utiliza um modelo de fallback local.

2.3 RevenueCat

• Denominação social: RevenueCat, Inc.
• Localização / alojamento: Estados Unidos
• Finalidade: gestão da subscrição Pro (sincronização do estado da subscrição entre Apple App Store, Google Play e os nossos servidores). Na eliminação da conta, o subscritor RevenueCat é eliminado em cascata via API
• Categorias de dados: UUID do utilizador, estado da subscrição, identificador de produto, eventos do ciclo de vida da subscrição
• Mecanismo de transferência: CCT no DPA da RevenueCat
• Notas: a RevenueCat não recebe dados de pagamento nem dados de saúde
• Site: revenuecat.com · Documentos: DPA, privacidade

2.4 Resend

• Denominação social: Resend, Inc.
• Localização / alojamento: Estados Unidos
• Finalidade: emails transacionais — confirmação de eliminação de conta, notificações de atualização das políticas. Não utilizado para marketing
• Categorias de dados: endereço de email do destinatário, conteúdo dos emails transacionais
• Mecanismo de transferência: EU-US DPF (+ Extensão para o Reino Unido) + CCT. A Resend está certificada na DPF Participants List
• Site: resend.com · Documentos: DPA, RGPD

2.5 Sentry

• Denominação social: Functional Software, Inc. (operando na UE como Sentry GmbH)
• Localização: Estados Unidos (sociedade-mãe) / Alemanha (entidade da UE)
• País de alojamento dos dados: União Europeia — Alemanha (ingest.de.sentry.io)
• Finalidade: relatórios de falhas e diagnóstico de erros — apenas com consentimento explícito
• Categorias de dados: stack traces, breadcrumbs, versão da aplicação, modelo de dispositivo, SO, identificador pseudonimizado do utilizador (UUID, não o email). IIP redigidas através do filtro beforeSend. A redação é uma mitigação, não uma garantia
• Mecanismo de transferência: sem transferência extra-UE para relatórios de falhas
• Site: sentry.io · Documentos: DPA, privacidade

2.6 Apple

• Denominação social: Apple Inc. (EUA) / Apple Distribution International Ltd (Irlanda, para utilizadores da UE)
• Localização: Estados Unidos / Irlanda
• Finalidade: distribuição na App Store, compras na aplicação (IAP), notificações push (APNs), HealthKit no dispositivo, Sign in with Apple
• Categorias de dados: ID Apple (para IAP), token de push, dados de saúde no dispositivo (não transferidos para a Apple pela Strenqo)
• Mecanismo de transferência: decisão de adequação UE (Irlanda) / DPF (Apple Inc. listada) + garantias do Apple Developer Program
• Site: apple.com · privacidade

2.7 Google

• Denominação social: Google LLC (EUA) / Google Ireland Ltd (Irlanda, para utilizadores da UE)
• Localização: Estados Unidos / Irlanda
• Finalidade: distribuição na Google Play, IAP, notificações push (FCM), Health Connect no dispositivo, Google Maps SDK Android (renderização de mosaicos de mapa para percursos de cardio outdoor)
• Categorias de dados: Conta Google (para IAP), token de push, dados de saúde no dispositivo, coordenadas GPS (apenas se utilizar percursos de cardio outdoor)
• Mecanismo de transferência: EU-US DPF (Google LLC listada) + CCT
• Site: google.com · privacidade

2.8 OpenFoodFacts

• Denominação social: Open Food Facts (associação sem fins lucrativos)
• Localização / alojamento: França (UE)
• Finalidade: base de dados pública de alimentos (pesquisa por texto / código de barras)
• Categorias de dados: nenhum dado pessoal do utilizador Strenqo — as pesquisas contêm apenas texto livre ou código de barras, anonimizados antes do envio
• Mecanismo de transferência: sem transferência extra-UE
• Site: openfoodfacts.org

2.9 ipwho.is

• Localização / alojamento: Estados Unidos
• Finalidade: geolocalização por IP — fallback primário para inferir o país de residência quando os fallbacks locais (perfil, fuso horário, idioma do sistema) são insuficientes
• Categorias de dados: apenas o endereço IP do utilizador. Sem identificador de utilizador, sem dados de saúde, sem cookies
• Mecanismo de transferência: CCT padrão do fornecedor
• Site: ipwho.is

2.10 ipapi.co

• Denominação social: Kickfire LLC
• Localização / alojamento: Estados Unidos
• Finalidade: geolocalização por IP — fallback secundário, utilizado apenas se o ipwho.is falhar
• Categorias de dados: apenas o endereço IP do utilizador
• Mecanismo de transferência: CCT padrão do fornecedor
• Site: ipapi.co

2.11 Expo (EAS + Auth Proxy)

• Denominação social: Expo, Inc.
• Localização / alojamento: Estados Unidos
• Finalidade:
  • Auth Proxy: durante o “Sign in with Google”, o código de autorização OAuth transita por auth.expo.io antes de ser trocado pelo token final
  • Expo Application Services (EAS): infraestrutura de build da aplicação e atualizações Over-The-Air
• Categorias de dados (auth proxy): código de autorização OAuth do Google em trânsito, refresh token em trânsito. Não recebe dados de saúde. A sessão final é gerida diretamente pelo Supabase Auth
• Mecanismo de transferência: EU-US DPF + CCT
• Site: expo.dev

3. Fontes de dados de terceiros via OAuth (responsáveis autónomos)

Os fornecedores listados a seguir não são subcontratantes da Strenqo nos termos do art. 28.º do RGPD. São responsáveis autónomos pelo tratamento dos dados que recolhem do seu dispositivo wearable. Mediante a sua autorização via OAuth, transmitem um subconjunto desses dados ao nosso backend, onde a Strenqo se torna responsável pelo tratamento da cópia importada. Indicamo-los aqui, juntamente com os nossos subcontratantes, para total transparência sobre o fluxo de dados.

3.1 Whoop

• Denominação social: Whoop, Inc.
• Localização: Estados Unidos (Boston, Massachusetts)
• País de alojamento dos seus dados: Estados Unidos
• Papel: responsável autónomo pelo tratamento (recolhe dados da sua pulseira Whoop ao abrigo da sua própria política de privacidade)
• Dados que recebemos após o seu consentimento OAuth: VFC em bruto (RMSSD), frequência cardíaca em repouso, fases do sono (durações profundo/REM/leve/acordado/in_bed/asleep), desvio da temperatura do pulso, amostras de frequência cardíaca por treino (quando expostas pela sua API), marcas temporais de início/fim do treino e tipo de desporto
• Dados que deliberadamente NÃO recebemos: Whoop recovery score, strain score (0–21), sleep performance score, day strain — ou seja, qualquer uma das suas métricas proprietárias derivadas
• Mecanismo de transferência (fornecedor → Strenqo): CCT no acordo de partilha de dados da API Whoop; a cópia importada é depois armazenada no nosso backend Supabase (UE)
• Revogação: Perfil → Saúde conectada → Desconectar (revoga o refresh token tanto no nosso backend como junto da Whoop); também revogável no painel da sua conta Whoop
• Site: whoop.com
• Política do fornecedor: whoop.com/legal/privacy

3.2 Oura

• Denominação social: Ōura Health Oy
• Localização: Finlândia (Oulu) — União Europeia
• País de alojamento dos seus dados: União Europeia (Finlândia)
• Papel: responsável autónomo pelo tratamento
• Dados que recebemos após o seu consentimento OAuth: VFC em bruto, frequência cardíaca em repouso, fases do sono, leituras de SpO₂, metadados do treino, desvio da temperatura do pulso
• Dados que deliberadamente NÃO recebemos: Oura readiness score, sleep score, activity score
• Mecanismo de transferência: intra-UE (a Oura é um responsável pelo tratamento da UE). A nossa cópia é alojada em Supabase UE
• Revogação: Perfil → Saúde conectada → Desconectar; também revogável no painel da sua conta Oura
• Site: ouraring.com
• Política do fornecedor: ouraring.com/privacy

3.3 Cláusula-tipo — futuros fornecedores cloud wearable

A Strenqo poderá, no futuro, integrar outras plataformas cloud wearable ao abrigo do mesmo modelo OAuth (exemplos: Garmin Connect, Polar Flow, Fitbit / Google Fit, Suunto, Coros, Withings, Samsung Health). Quando isso ocorrer:

1. O fornecedor será acrescentado a esta secção com o mesmo nível de detalhe (denominação social, localização, país de alojamento dos dados, dados que recebemos, dados que não recebemos, mecanismo de transferência, via de revogação).
2. Os utilizadores serão notificados com antecedência através da Edge Function notify-policy-update e/ou na aplicação.
3. Aplica-se o mesmo princípio: a Strenqo importa apenas os dados biométricos em bruto estritamente necessários para os seus próprios algoritmos; não importamos as pontuações proprietárias do fornecedor.
4. Cada fornecedor mantém-se como responsável autónomo. Não são subcontratantes nos termos do art. 28.º.

4. Subcontratantes que NÃO utilizamos

Por transparência, a Strenqo não utiliza:

• SDKs publicitários de terceiros (AdMob, Meta Audience Network, Unity Ads, AppLovin, IronSource)
• SDKs de analítica de terceiros (Google Analytics for Firebase, Mixpanel, Amplitude, PostHog, Heap)
• SDKs de atribuição / medição móvel (AppsFlyer, Adjust, Branch, Singular)
• Trackers comportamentais (Facebook SDK, TikTok SDK)
• Serviços de elaboração de perfis intercontextuais para fins de marketing

5. Resumo por tipo de dados

6. Notificação de alterações

Apenas adicionaremos, removeremos ou substituiremos subcontratantes por necessidades operacionais legítimas. A data no topo será atualizada. Para alterações substanciais (p. ex., novo subcontratante num país terceiro, nova transferência extra-UE, novo tipo de dados partilhados), os utilizadores serão notificados por email através da Edge Function notify-policy-update e/ou na aplicação. Pode sempre revogar o consentimento para tratamentos opcionais ou eliminar a conta.

7. Contactos

• Responsável pelo tratamento: Andreas Mondo (empresário em nome individual) — Via Pianezza 16, 10040 Givoletto (TO), Itália
• Email: strenqo-support@strenqo.eu
• PEC: andreasmondo@ultracert.it
• EPD/DPO: não designado (ver Política de Privacidade §1 para a fundamentação)