Política de Privacidade — GLP-1 Trainer
Última atualização: 21 de junho de 2026 Versão: 3.1 Substitui: v3.0 de 11 de junho de 2026 (validada pelo advogado)
✅ VERSÃO FINAL — VALIDADA JURIDICAMENTE. Versão revista após o parecer escrito do Dr. Ivo Belchior Dias (IBD&MM Sociedade de Advogados, OA n.º 50621f) de 11 de junho de 2026, com pequena revisão técnica de 21-Jun-2026 (Pixel ID concreto inserido + remoção da Make/Celonis como subcontratante por não estar a ser utilizada).
Alterações da v3.0 → v3.1: (a) Inserção do identificador concreto do Meta Pixel (
1446128150342646) na Sec. 6, em substituição do placeholder; (b) Remoção da Make (Celonis s.r.o.) da lista de subcontratantes da Sec. 4.2 — o Prestador deixou de utilizar este serviço, pelo que não há tratamento de dados pessoais por essa entidade.Alterações imperativas integradas da v3.0 (Dr. Ivo Belchior Dias, 11-Jun-2026): (1) Prazo de conservação de dados de saúde harmonizado com a Cláusula 12.5 do Contrato (duração do contrato + 5 anos); (2) Descrição detalhada do Meta Pixel; (3) Finalidade concreta da recolha de dados de TCA; (4) Mecanismo de controlo de maioridade; (5) Compromisso de medidas técnicas reforçadas para comunicações com dados de saúde. Recomendações 3.1 (monitorização periódica DPIA) e 3.2 (procedimento operacional de novo consentimento) também incorporadas.
Histórico. A v1.0 cobria apenas visitantes do site. A v2.0 (25-Mai-2026) incorporou os clientes do programa, incluindo dados de saúde (art. 9.º RGPD) e novos subcontratantes. A v2.2 (11-Jun-2026) corrigiu a base legal dos cookies. A v3.0 (11-Jun-2026) fechou o ciclo de validação jurídica. A presente v3.1 (21-Jun-2026) é uma revisão técnica.
Esta política explica como são tratados os dados pessoais recolhidos pelo GLP-1 Trainer, em cumprimento do Regulamento Geral sobre a Proteção de Dados (Regulamento UE 2016/679 — RGPD) e da Lei n.º 58/2019 de 8 de agosto.
1. Quem é o responsável pelo tratamento
O responsável pelo tratamento dos dados pessoais é:
- Nome: Paulo Alexandre Carrasquinho Cabrita (profissional independente — Personal Trainer / Técnico de Exercício Físico, ao abrigo da Lei n.º 39/2012, com título profissional IPDJ n.º 4851 em vigor)
- Cartão de Cidadão: 13 508 184
- NIF: 211 436 887
- Morada profissional / correspondência oficial: Sítio do Malhão Caixa Postal 331H Alcantarilha 8365-303 Silves Portugal
- Marca: GLP-1 Trainer ™ (registo INPI em curso)
- Website: glp1trainer.pt
- Email para questões de privacidade: trainer.glp1@gmail.com
- Telefone / WhatsApp: +351 961 108 372
O GLP-1 Trainer não tem, por enquanto, obrigação legal de designar Encarregado de Proteção de Dados (DPO). Esta avaliação será revista quando o número de clientes ativos do programa o justificar nos termos do art. 37.º RGPD.
Para qualquer questão sobre esta política ou sobre o tratamento dos teus dados, podes contactar-nos a qualquer momento através dos contactos acima.
2. Que dados recolhemos
Recolhemos apenas os dados estritamente necessários para cada finalidade. A natureza dos dados depende de seres visitante do site ou cliente do programa GLP-1 Trainer.
2.1 Visitantes do site (incluindo lista de espera)
| Categoria | Dados | Origem |
|---|---|---|
| Identificação | Nome e endereço de email | Formulário da lista de espera |
| Comunicações | Conteúdo das mensagens que nos envias (email, WhatsApp) | Contacto direto |
| Dados técnicos | Endereço IP (anonimizado), tipo de dispositivo, navegador, sistema operativo, páginas visitadas, duração da visita | Cookies e ferramentas de analítica |
| Dados de marketing | Identificadores de campanha, interações com anúncios (Meta Pixel) | Cookies de terceiros, mediante consentimento |
2.2 Clientes do programa GLP-1 Trainer
Quando contratas o programa (Starter, Premium ou Private), o questionário de avaliação inicial e o acompanhamento ao longo de 12 semanas recolhem dados adicionais, incluindo dados de saúde que constituem categoria especial nos termos do art. 9.º RGPD.
| Categoria | Dados |
|---|---|
| Identificação alargada | Nome, NIF, data de nascimento, localidade, contacto de emergência |
| Antropometria | Altura, peso atual, peso antes do GLP-1, composição corporal estimada (bioimpedância — BIA, quando aplicável) |
| Dados de saúde (art. 9.º RGPD) | Condições de saúde declaradas, medicação concomitante, alergias e intolerâncias, cirurgias recentes, tensão arterial, alergias a materiais de equipamento |
| Tratamento GLP-1 (art. 9.º RGPD) | Medicamento e dose, tempo em tratamento, médico prescritor e contactos (se autorizares), efeitos secundários, plano de titulação |
| Histórico de exercício | Nível de atividade, experiência prévia, equipamento disponível, lesões e dor, disponibilidade semanal |
| Estilo de vida | Sono, stress percebido, hidratação, consumo de álcool, tabaco, padrão alimentar |
| Bem-estar e prontidão para treino (art. 9.º RGPD) | Energia, motivação, qualidade do sono, impacto funcional do stress, histórico de TCA — transtornos do comportamento alimentar (apenas se prestares consentimento específico na Secção F0 do questionário, com a finalidade exclusiva de adequar a intensidade, o volume e o discurso do programa à tua história clínica e prevenir gatilhos de risco durante o acompanhamento; nunca para diagnóstico, rastreio ou avaliação psicológica, que cabem ao profissional de saúde habilitado) |
| Objetivos e expectativas | Objetivos pessoais, expectativas do programa, preocupações |
| Registo de consentimentos | Versão do consentimento, timestamp, IP anonimizado, hash SHA-256 da assinatura, autorização para uso de imagem |
Os dados de saúde só são tratados com consentimento explícito (art. 9.º/2 al. a) RGPD), recolhido por escrito no formulário de avaliação inicial e novamente antes da Secção F (bem-estar TPTEF), através de checkbox específica e separada do consentimento geral. Podes recusar a Secção F e continuar no programa — só perdes a calibragem fina do treino baseada em bem-estar e prontidão.
3. Finalidades, base legal e prazos de conservação
Cada dado é tratado para uma finalidade específica, com uma base legal clara, e conservado pelo prazo mínimo necessário a essa finalidade.
| Finalidade | Base legal | Prazo de conservação |
|---|---|---|
| Gerir a inscrição na lista de espera e enviar novidades sobre a abertura do programa | Consentimento — art. 6.º/1 al. a) RGPD | Até retirares o consentimento ou no máximo 24 meses sem interação |
| Responder a pedidos de contacto por email ou WhatsApp | Interesse legítimo (prestar-te suporte) — art. 6.º/1 al. f) RGPD | Até 12 meses após a última comunicação |
| Medir o desempenho do site e melhorar a experiência | Consentimento (cookies analíticos) — art. 6.º/1 al. a) RGPD | Definido no gestor de cookies (tipicamente 13 meses) |
| Marketing digital e remarketing (Meta Pixel) | Consentimento — art. 6.º/1 al. a) RGPD | Definido no gestor de cookies (tipicamente 180 dias) |
| Execução do contrato de Treino Personalizado em Tempo de Exercício Físico (TPTEF) — programa GLP-1 Trainer | Execução de contrato — art. 6.º/1 al. b) RGPD | Duração do contrato + 5 (cinco) anos após o seu termo (prazo de prescrição civil — arts. 309.º e 310.º do Código Civil) |
| Tratamento de dados de saúde necessários ao acompanhamento seguro do programa (condições, medicação, GLP-1, bem-estar) | Consentimento explícito — art. 9.º/2 al. a) RGPD e necessidade para efeitos de prestação de serviços de bem-estar físico e prevenção — art. 9.º/2 al. b) RGPD, em conjugação com art. 6.º/1 al. b) acima | Duração do contrato + 5 (cinco) anos após o seu termo, salvo retirada antecipada do consentimento |
| Cumprir obrigações legais (faturação, contabilidade, fiscais) | Obrigação legal — art. 6.º/1 al. c) RGPD | Até 10 anos (Código do IVA, art. 52.º; Código do IRC, art. 123.º) |
| Defesa em eventuais processos administrativos ou judiciais | Interesse legítimo — art. 6.º/1 al. f) RGPD | Até ao termo dos prazos de prescrição aplicáveis |
Síntese dos prazos de conservação dos dados do programa:
- Dados operacionais do programa (questionário, treinos, medições, comunicações): duração do contrato + 5 anos após o seu termo (arts. 309.º e 310.º do Código Civil)
- Dados de saúde (Secções B, C e F do questionário): duração do contrato + 5 anos após o seu termo, ou prazo inferior se retirares o consentimento antes
- Comunicações com o médico prescritor (Cláusula 10.ª do Contrato): 5 anos após o término do programa
- Dados de faturação (nome, NIF, montantes, datas): 10 anos (obrigação fiscal)
- Registo de consentimentos: o mesmo prazo dos dados a que se referem, como prova de licitude do tratamento
4. Com quem partilhamos os teus dados
Os teus dados nunca são vendidos. São, no entanto, processados por fornecedores de serviços (subcontratantes) que nos permitem operar o site, comunicar contigo e gerir o programa. Esses subcontratantes tratam os dados apenas em nosso nome, ao abrigo de contratos de tratamento (DPA — Data Processing Agreement) nos termos do art. 28.º RGPD.
4.1 Subcontratantes do site e da lista de espera
| Subcontratante | Serviço | Localização dos servidores |
|---|---|---|
| Hostinger International, Ltd. | Alojamento web e email | União Europeia |
| UAB MailerLite | Gestão da lista de espera e envio de email marketing (waitlist) | União Europeia (Lituânia) |
| Meta Platforms Ireland Ltd. | Meta Pixel — métricas e remarketing (só após consentimento) | União Europeia e EUA (cláusulas contratuais-tipo UE + EU-US Data Privacy Framework) |
| Google Ireland Ltd. | Fornecimento de fontes tipográficas via Google Fonts | União Europeia |
4.2 Subcontratantes do programa GLP-1 Trainer
Todos os subcontratantes abaixo estão vinculados ao GLP-1 Trainer por Contrato de Tratamento de Dados (DPA) escrito, celebrado nos termos do artigo 28.º, n.º 3 do RGPD. Cópia de qualquer DPA pode ser solicitada por email para trainer.glp1@gmail.com.
| Subcontratante | Serviço | Localização dos servidores | Salvaguarda transferências |
|---|---|---|---|
| Tally B.V. | Formulário de avaliação inicial (questionário online) | União Europeia (Países Baixos) | N/A — EEE |
| Notion Labs, Inc. | Base de dados de clientes (CRM) — armazena o questionário, plano de treino e progresso | Estados Unidos da América | Cláusulas Contratuais-Tipo UE (Decisão 2021/914) + medidas técnicas suplementares (encriptação em trânsito e em repouso). A Notion não está, à data, certificada no EU-US Data Privacy Framework |
| UAB MailerLite | Envio de emails transaccionais ao cliente (confirmação, acompanhamento) | União Europeia (Lituânia) | N/A — EEE |
| Stripe Payments Europe, Ltd. | Processamento de pagamentos por cartão de débito/crédito | Irlanda (sede UE); sociedade do grupo nos EUA | EU-US Data Privacy Framework + SCCs |
| Revolut Business | Pagamentos por MBWay e transferências bancárias | Lituânia/UE | N/A — EEE |
| Calendly | Agendamento de Discovery Calls e videochamadas | EUA | EU-US Data Privacy Framework + SCCs subsidiariamente |
| WhatsApp (operado por Meta Platforms Ireland Ltd.) | Videochamadas (Discovery, Kick-off, check-ins) e mensagens de suporte ao cliente, com encriptação ponto-a-ponto activada por defeito | Irlanda (sede UE) | N/A — EEE para a operação contratual; metadados de funcionamento da Meta sob EU-US DPF |
| Google Ireland Ltd. (Gmail) | Caixa de correio profissional (trainer.glp1@gmail.com) — comunicações com o cliente |
União Europeia e EUA | Cláusulas Contratuais-Tipo UE + EU-US Data Privacy Framework |
| InvoiceXpress | Emissão de facturas/recibos e arquivo fiscal | Portugal | N/A — EEE |
| Hostinger International, Ltd. | Alojamento do website glp1trainer.pt | Lituânia (sede UE); servidores localizados no Espaço Económico Europeu, conforme confirmação obtida junto da Hostinger | N/A — EEE |
| Trainerize | Plataforma de treino online (exercícios, registos, comunicação) | Canadá | Decisão de adequação da Comissão Europeia (art. 45.º RGPD) |
| YouSign SAS | Assinatura electrónica do contrato e do Anexo VI | França | N/A — EEE |
Podemos ainda partilhar dados com autoridades públicas quando legalmente obrigados (ex.: Autoridade Tributária, ordem judicial, CNPD) ou com profissionais de saúde (médico prescritor, nutricionista, psicólogo) apenas se autorizares expressamente essa partilha no questionário (perguntas C7, F5a e F7a).
5. Transferências internacionais de dados
A maioria dos dados é tratada e armazenada dentro do Espaço Económico Europeu (EEE). Há duas excepções relevantes que importa identificar de forma transparente:
| Subcontratante | Tipo de transferência | Mecanismo de garantia (Cap. V RGPD) |
|---|---|---|
| Notion Labs, Inc. (CRM do programa) | EEE → EUA | Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia (Decisão 2021/914) + medidas técnicas suplementares (encriptação em trânsito e em repouso). A Notion não está, à data desta política, certificada no EU-US Data Privacy Framework. |
| Meta Platforms (Pixel, só após consentimento) | EEE → EUA | Cláusulas Contratuais-Tipo + EU-US Data Privacy Framework (certificação ativa). |
| Google Ireland (Gmail, Fonts) | EEE → EUA (parcial) | Cláusulas Contratuais-Tipo + EU-US Data Privacy Framework (certificação ativa). |
Para todas as transferências, garantimos que existe um dos mecanismos previstos no capítulo V do RGPD: decisão de adequação da Comissão Europeia, cláusulas contratuais-tipo ou outro mecanismo válido. Podes pedir-nos cópia das salvaguardas aplicadas a uma transferência específica através do email indicado na Secção 1.
6. Cookies e tecnologias semelhantes
Base legal específica. A utilização de cookies e de outras tecnologias semelhantes rege-se pelo artigo 5.º da Lei n.º 41/2004, de 18 de Agosto (Lei das Comunicações Electrónicas, na redacção dada pela Lei n.º 46/2012, de 29 de Agosto, e pela Lei n.º 16/2022, de 16 de Agosto), conjugado com o RGPD. Os cookies estritamente necessários ao funcionamento do site dispensam consentimento; todos os restantes (analíticos, marketing) só são activados após consentimento livre, específico, informado e inequívoco do Utilizador.
Síntese das categorias utilizadas no site:
- Essenciais — indispensáveis ao funcionamento do site (ex.: lembrar a preferência de idioma). Não requerem consentimento, ao abrigo da excepção do art. 5.º, n.º 2, da Lei n.º 41/2004.
- Analíticos — ajudam-nos a entender como os visitantes usam o site (páginas mais visitadas, tempo de permanência). Activados apenas com consentimento (art. 5.º, n.º 1, da Lei n.º 41/2004 + art. 6.º, n.º 1, alínea a), RGPD).
- Marketing — Meta Pixel. Permitem-nos medir o desempenho de campanhas publicitárias nas plataformas Facebook e Instagram e mostrar anúncios relevantes a quem visitou o site. Detalhes da tecnologia:
- Entidade destinatária dos dados: Meta Platforms Ireland Ltd. (Merrion Road, Dublin 4, D04 X2K5, Irlanda) e sociedade-mãe Meta Platforms, Inc. (EUA);
- Identificador do Pixel:
1446128150342646; - Tipos de dados transmitidos: evento de visita ou conversão, URL da página, identificador anonimizado de navegador, dados técnicos do dispositivo. Não são transmitidos dados de saúde nem conteúdo de formulários;
- Base legal: consentimento livre, específico e informado, art. 6.º, n.º 1, alínea a) RGPD;
- Mecanismo de salvaguarda das transferências EEE → EUA: cláusulas contratuais-tipo da Comissão Europeia (Decisão 2021/914) + EU-US Data Privacy Framework, ao qual a Meta aderiu;
- Como revogar o consentimento: (i) ajustando as preferências no banner de cookies do site (botão “Preferências de cookies” no rodapé), (ii) eliminando os cookies através das definições do navegador, ou (iii) pedindo por email a
trainer.glp1@gmail.comque o desactivemos para a sua sessão.
Podes gerir as preferências a qualquer momento através do banner de cookies (quando disponível) ou das definições do teu navegador. A retirada do consentimento é tão simples como a sua concessão e produz efeitos para o futuro, nos termos do art. 7.º, n.º 3, do RGPD.
7. Segurança dos dados
Implementamos medidas técnicas e organizativas adequadas para proteger os dados contra acesso não autorizado, perda, alteração ou divulgação indevida:
- Comunicações encriptadas através de HTTPS/TLS
- Acesso restrito aos dados apenas a quem necessite para desempenhar funções
- Anonimização do endereço IP no registo de consentimentos
- Hash SHA-256 da assinatura de consentimento (prova de integridade)
- Pseudonimização de dados de saúde sempre que possível (ex.: relatórios internos)
- Escolha criteriosa de subcontratantes, com DPA assinado
- Revisão periódica das práticas de segurança e do registo das operações de tratamento (art. 30.º RGPD)
Compromisso de medidas reforçadas para comunicações com dados de saúde. Reconhecemos que a utilização de uma caixa de correio Gmail gratuita (trainer.glp1@gmail.com) para comunicações que envolvam dados de saúde da categoria do art. 9.º RGPD não constitui, por si só, a solução técnica mais robusta à luz do art. 32.º RGPD. Assumimos o compromisso de migrar essas comunicações para uma solução de correio profissional com encriptação ponto-a-ponto em domínio próprio (@glp1trainer.pt) até 31 de Dezembro de 2026. Até essa data, mitigamos o risco mediante (i) minimização do conteúdo de saúde trocado por email, (ii) utilização preferencial de canais com encriptação ponto-a-ponto (WhatsApp para videochamadas e mensagens directas com clientes; plataforma de treino Trainerize para registo técnico), e (iii) revisão trimestral das práticas.
Avaliação de Impacto sobre a Protecção de Dados (DPIA — art. 35.º RGPD). Na fase actual de lançamento (operação de pequena escala, 20-30 clientes em simultâneo), o tratamento não atinge os limiares de “larga escala” que tornariam a DPIA obrigatória nos termos do art. 35.º RGPD e da lista da CNPD (Regulamento 1/2018). Comprometemo-nos a monitorizar periodicamente este limiar e a realizar DPIA formal sempre que o volume de clientes activos, a natureza do tratamento ou o quadro regulatório o exija, demonstrando assim a accountability prevista no art. 5.º, n.º 2 RGPD.
Em caso de violação de dados pessoais que represente risco para os teus direitos e liberdades, notificaremos a CNPD em até 72 horas (art. 33.º RGPD) e comunicar-te-emos pessoalmente quando o risco for elevado (art. 34.º RGPD).
8. Os teus direitos
Enquanto titular dos dados, tens os seguintes direitos, que podes exercer a qualquer momento:
- Acesso — saber que dados temos sobre ti
- Retificação — corrigir dados incorretos ou incompletos
- Apagamento — pedir a eliminação dos teus dados, quando aplicável
- Limitação — restringir o tratamento em determinadas circunstâncias
- Portabilidade — receber os dados num formato estruturado e legível por máquina, ou pedir a sua transmissão a outro responsável
- Oposição — opor-te ao tratamento baseado em interesse legítimo ou em marketing direto
- Retirada do consentimento — retirar a qualquer momento o consentimento dado, sem afetar a licitude do tratamento feito até esse momento. A retirada do consentimento relativo a dados de saúde implica geralmente a impossibilidade de continuar o acompanhamento do programa, pelo que o impacto será explicado caso a caso
Para exerceres qualquer destes direitos, envia-nos um email para trainer.glp1@gmail.com. Respondemos no prazo máximo de 30 dias (prorrogável por mais 60 dias em pedidos complexos, com notificação prévia ao titular — art. 12.º/3 RGPD).
Se considerares que o tratamento dos teus dados viola o RGPD, tens o direito de apresentar reclamação à autoridade de controlo: Comissão Nacional de Proteção de Dados (CNPD) — www.cnpd.pt.
9. Menores
O programa GLP-1 Trainer destina-se exclusivamente a maiores de 18 anos. Não recolhemos conscientemente dados de menores. Se tomares conhecimento de que um menor forneceu dados, contacta-nos para que sejam apagados.
Mecanismo de controlo de maioridade. O fluxo de inscrição implementa os seguintes controlos cumulativos: (i) autodeclaração obrigatória de idade igual ou superior a 18 anos no formulário de avaliação inicial (Tally), através de checkbox separada e sem a qual o formulário não avança; (ii) confirmação verbal de maioridade durante a Discovery Call obrigatória que precede a contratação; (iii) recolha de NIF e dados fiscais no momento da assinatura do contrato, que requer maioridade civil para celebração; (iv) recusa imediata e eliminação dos dados em caso de qualquer indício de menoridade superveniente. Estes mecanismos cumprem o disposto no artigo 20.º da Lei n.º 58/2019.
10. Alterações a esta política
Podemos atualizar esta política sempre que existam alterações legais, técnicas ou organizacionais relevantes. A versão em vigor é sempre a publicada nesta página, com data e número de versão indicados no topo.
Alterações substanciais (como a presente v3.0) serão comunicadas:
- Por email aos subscritores da lista de espera
- Por email aos clientes ativos do programa
- Com solicitação de novo consentimento sempre que a alteração afecte a base legal ou as finalidades do tratamento dos dados de saúde
Procedimento operacional de solicitação de novo consentimento (art. 7.º, n.º 3 e art. 13.º, n.º 3 RGPD):
- Meio de notificação: email para o endereço associado à conta do titular, com pré-visualização das alterações e ligação à versão integral da política;
- Prazo de resposta: 30 (trinta) dias a contar da data de envio da notificação;
- Efeito da ausência de resposta: na ausência de resposta dentro do prazo, o tratamento dos dados de saúde será suspenso quanto às novas finalidades afectadas pela alteração, mantendo-se o tratamento estritamente necessário à execução do contrato em curso ao abrigo da base legal preexistente; o titular poderá reactivar o consentimento a qualquer momento mediante simples comunicação;
- Efeito da recusa expressa: quando a alteração for indispensável à continuação do programa, a recusa pode determinar a cessação do contrato, aplicando-se o regime de reembolso da Cláusula 5.3, alínea (d), do Contrato (cessação por impossibilidade superveniente não imputável a qualquer das Partes — reembolso prorratizado integral do valor correspondente ao período não executado).
O histórico de versões fica disponível mediante pedido por email.
11. Contactar-nos
Para qualquer questão sobre privacidade ou proteção de dados:
- Email: trainer.glp1@gmail.com
- WhatsApp: +351 961 108 372
- Correspondência postal: Paulo Cabrita — GLP-1 Trainer Sítio do Malhão, Caixa Postal 331H Alcantarilha 8365-303 Silves Portugal
Última atualização: 21 de junho de 2026 · Versão 3.1 (revisão técnica pós-v3.0 — Pixel ID inserido + Make removida) · Versão validada pelo Dr. Ivo Belchior Dias (OA n.º 50621f) em 11 de junho de 2026 · Versões anteriores: 3.0 (11-Jun-2026), 2.2 e 2.0 (25-Mai-2026), 1.0 (20-Abr-2026)