Política de Privacidade do Aplicativo
Status: Março de 2026
Aviso Importante – Tradução
Este texto é uma tradução automática fornecida para sua conveniência. Não é vinculativo legalmente.
As versões legalmente vinculativas desta Política de Privacidade estão disponíveis em:
Alemão – para usuários cujo idioma do aplicativo está definido como alemão: alma-app.eu/datenschutz
Inglês – para todos os outros usuários: alma-app.eu/privacy
Se algo nesta tradução diferir da versão alemã ou inglesa, a versão vinculativa aplicável prevalece. Se você não tem certeza de qual versão se aplica a você, a versão em inglês se aplica.
Fatos Principais em Relance
Quem sou: Bastian Matzen / Alma Softwareentwicklung (Empresa Individual), Kienitzer Str. 113, 12049 Berlim, Alemanha. Contato: privacy@alma-app.eu | www.alma-app.eu
Seus dados comigo:
✅ Seguro: Armazenamento criptografado exclusivamente na UE (Frankfurt am Main).
✅ Privado: Sem transferência de dados para terceiros (exceto para seus contatos de emergência em caso de emergência).
✅ Voluntário: Dados de saúde e muitos outros detalhes são completamente opcionais.
✅ Controlado: Você pode visualizar, editar ou excluir tudo a qualquer momento.
✅ Transparente: Sem uso oculto de dados, sem venda de seus dados.
Seus direitos: Acesso, retificação, exclusão, portabilidade de dados, objeção, revogação do consentimento – tudo é possível a qualquer momento.
As reclamações podem ser apresentadas a: Comissário de Proteção de Dados e Liberdade de Informação de Berlim (datenschutz-berlin.de). Os usuários no EEE também podem contactar a autoridade supervisora de seu país de residência habitual. Os usuários no Reino Unido podem contactar o Gabinete do Comissário de Informações (ico.org.uk). Os usuários na Suíça podem contactar o Comissário Federal de Proteção de Dados e Informações (FDPIC).
1. Controlador e Contato
Sou o controlador de dados responsável pelo processamento de dados no contexto do aplicativo Alma, nos termos do Regulamento Geral sobre Proteção de Dados (GDPR), Regulamento de Proteção de Dados do Reino Unido (UK GDPR), Lei Federal de Proteção de Dados Suíça (FADP/DSG) e outras leis aplicáveis de proteção de dados:
Bastian Matzen Alma Softwareentwicklung (Empresa Individual) Kienitzer Str. 113 12049 Berlim Alemanha
Opções de Contato Para perguntas de privacidade (preferencial): privacy@alma-app.eu
Para suporte técnico: support@alma-app.eu
Site: www.alma-app.eu
1a. Representante no Reino Unido
De acordo com o Artigo 27 do UK GDPR, designamos o seguinte representante no Reino Unido para questões de proteção de dados:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom
Email: privacy@alma-app.eu
2. Visão Geral do Aplicativo e Suas Funções
Alma é um aplicativo de segurança pessoal e comunicação com duas funções principais:
2.1 Alma Safety Net (Apenas com Assinatura Connect+)
Verificações de segurança automáticas em janelas de tempo definidas.
Notificação automática de seus contatos de emergência se uma verificação for perdida.
Transmissão opcional de informações de localização e saúde em caso de emergência.
2.2 Alma Moments (Gratuito)
Rede social para compartilhar momentos com até 30 contatos.
Postagem automática no feed social se uma verificação for perdida (se habilitada).
Confirmação mútua da amizade é necessária.
2.3 Idade Mínima
O uso do aplicativo Alma é permitido para pessoas com 16 anos ou mais. Pessoas menores de 16 anos não podem usar o aplicativo. Ao se registrar, você confirma que tem pelo menos 16 anos.
3. Quais dados são processados?
3.1 Dados Obrigatórios no Registro
Para usar o aplicativo, precisso dos seguintes dados (Base Legal: Art. 6(1)(b) GDPR – Execução de um contrato):
Endereço de e-mail – para criação de conta, comunicação e redefinição de senha.
Senha – armazenada em forma criptografada e usada para segurança da conta.
Primeiro nome – para personalização e exibição para seus contatos.
Sobrenome – para identificação completa.
3.2 Dados de Perfil Opcionais
Você pode fornecer voluntariamente os seguintes dados (Base Legal: Art. 6(1)(a) GDPR – Consentimento):
Foto de perfil – para personalização e funções sociais.
Data de nascimento – para verificação de idade.
Número de telefone – como método alternativo de contato.
Endereço – para informações de emergência.
Biografia – para funções sociais.
Cidade – para funções sociais e busca.
3.3 Dados de Saúde (Apenas Connect+, Completamente Opcionais)
Essas categorias especiais de dados de acordo com o Art. 9 GDPR são processadas apenas com seu consentimento explícito.
Dados coletados: Tipo de sangue, alergias, medicamentos, condições médicas, animais de estimação, informações sobre chave de casa, outras informações de emergência.
Base Legal: Art. 9(2)(a) GDPR (Consentimento Explícito).
Segurança: Esses dados são armazenados usando criptografia AES-256 e transmitidos apenas para seus contatos de emergência confirmados em caso de emergência.
3.4 Dados de Localização (Opcional)
O rastreamento de localização é completamente opcional e pode funcionar em três modos (Base Legal: Art. 6(1)(a) GDPR – Consentimento):
Salvar na Verificação – A localização é capturada manualmente apenas na verificação.
Enviar Sempre – A localização é atualizada em segundo plano. Tecnicamente, apenas a última localização conhecida é salva; a anterior é substituída.
Desabilitado – Nenhuma localização é capturada ou compartilhada.
Nota: Dados de localização são excluídos automaticamente após 30 dias de inatividade.
3.5 Dados de Verificação
Durante as verificações, os seguintes dados são capturados:
Hora de verificação – para monitoramento de segurança (Retenção: 90 dias para Connect+).
Informações do dispositivo – para análise de erros (Retenção: 90 dias).
Última localização conhecida – para notificações de emergência (Retenção: máx. 30 dias, substituída).
3.6 Dados Sociais (Alma Moments)
Ao usar funções sociais, os seguintes dados são processados: Postagens (texto, imagens, vídeos), comentários, curtidas, conexões e emojis de humor.
Base Legal: Art. 6(1)(b) GDPR (Execução de contrato para fornecer funções sociais) e Art. 6(1)(a) GDPR (para conteúdo voluntário).
3.7 Dados Técnicos
Os seguintes dados técnicos são processados para operação do aplicativo:
Tipo de dispositivo e SO – para otimização do aplicativo e análise de erros (Base Legal: Art. 6(1)(f) GDPR).
Versão do aplicativo – para suporte e atualizações (Base Legal: Art. 6(1)(f) GDPR).
Token FCM – para notificações push (Base Legal: Art. 6(1)(b) GDPR).
Fuso horário – para horário de verificação correto (Base Legal: Art. 6(1)(b) GDPR).
Arquivos de log do servidor – para segurança de infraestrutura e defesa contra ataques (Base Legal: Art. 6(1)(f) GDPR).
3.8 Comunicação de Marketing (Opcional)
Apenas se você consentiu durante o registro ou posteriormente nas configurações marcando a caixa, processarei seu endereço de e-mail e nome para enviar dicas, notícias do aplicativo e atualizações (Boletim de notícias).
Base Legal: Art. 6(1)(a) GDPR (Consentimento).
Cancelar inscrição: Você pode cancelar sua inscrição a qualquer momento através do link de cancelamento em cada e-mail ou nas configurações de notificações do aplicativo. O cancelamento do consentimento não afeta a legalidade do processamento baseado em consentimento anterior ao seu cancelamento.
4. Finalidades do Processamento de Dados
Processo seus dados para os seguintes propósitos:
Execução de Contrato (Art. 6(1)(b) GDPR): Fornecimento do aplicativo, verificações, alertas, gerenciamento de assinatura.
Consentimento (Art. 6(1)(a) GDPR): Dados de saúde, compartilhamento de localização, informações de perfil opcional, marketing.
Interesses Legítimos (Art. 6(1)(f) GDPR): Prevenção de fraude, segurança técnica, resolução de problemas.
Obrigações Legais (Art. 6(1)(c) GDPR): Requisitos de retenção, solicitações de autoridades.
Nota sobre Tomada de Decisão Automatizada: Nenhuma tomada de decisão automatizada ou criação de perfil no sentido do Art. 22 GDPR ocorre que produza efeitos jurídicos concernentes a você. O disparo de alarmes se baseia exclusivamente em janelas de tempo e regras (lógica If-Then) definidas pessoalmente por você.
5. Destinatários de Dados e Processadores
5.1 Provedores de Serviço
Trabalho com os seguintes provedores de serviço para operar o aplicativo:
Google Firebase (Google Ireland Ltd.) – para hospedagem, banco de dados e autenticação. Localização: Frankfurt am Main (europe-west3). Garantia de proteção de dados: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – para gerenciamento de assinatura (dados processados: status de assinatura, hora de compra, ID de usuário de aplicativo pseudônimo, metadados de transação). Localização: EUA (AWS). Garantia de proteção de dados: EU Standard Contractual Clauses (SCCs), DPA. Para transferências do Reino Unido: UK International Data Transfer Agreement (IDTA) ou UK Addendum para EU SCCs. Para transferências da Suíça: conformidade com requisitos FADP/DSG.
Mailgun (Sinch) – para entrega de e-mail. Localização: UE. Garantia de proteção de dados: DPA, em conformidade com GDPR.
Algolia – para busca de usuários. Localização: UE. Garantia de proteção de dados: DPA, em conformidade com GDPR.
5.2 Transferência de Dados Condicional (Canais de Notificação)
A transferência para esses serviços ocorre apenas se seu contato de emergência escolher explicitamente esses canais:
Meta (WhatsApp Cloud API) – apenas se WhatsApp for selecionado pelo contato. Meta é certificada sob EU-US Data Privacy Framework. Para transferências do Reino Unido, a Extensão UK para EU-US DPF se aplica adicionalmente.
Telegram – O uso do Telegram ocorre apenas se seu contato de emergência selecionar ativamente este canal. Neste caso, seu contato consente diretamente com o processamento de dados pelo Telegram (potencialmente em servidores fora da UE).
5.3 Sem Transferência de Dados para Terceiros
Seus dados não são vendidos.
Sem transferência para fins de publicidade de terceiros.
Sem transferência para corretores de dados.
Exceção: Seus contatos de emergência recebem informações que você divulgou em caso de emergência.
6. Armazenamento e Exclusão de Dados
6.1 Local de Armazenamento
Todos os dados são armazenados principalmente na União Europeia (Frankfurt am Main, região Google Cloud europe-west3).
6.2 Duração do Armazenamento e Exclusão Automática
Histórico de Verificação: Excluído automaticamente após 90 dias.
Dados de Localização: Excluídos automaticamente após 30 dias de inatividade (ou substituídos continuamente).
Arquivos de log do servidor: Excluídos automaticamente após 90 dias (para análise de erros/defesa contra ataques).
Links de Convite: Excluídos automaticamente após 7 dias.
Dados de Saúde: Exclusão após 12 meses de inatividade.
Dados da Conta: Exclusão após 24 meses de inatividade.
Lembretes Antes da Exclusão por Inatividade:
Após 12 meses sem login: Exclusão automática de dados de saúde; e-mail de lembrete enviado.
Após 13 meses sem resposta: Lembrete adicional.
Após 23 meses de inatividade: E-mail de aviso final.
Após 24 meses sem resposta: Exclusão completa da conta.
Exceção para Assinaturas Ativas: Enquanto uma assinatura Connect+ paga está ativa, nenhuma exclusão automática por inatividade ocorre.
Dados de Faturamento: Dados de faturamento (nome, endereço, informações de transação) são armazenados por 10 anos de acordo com obrigações de retenção fiscal (§ 147 AO). Esses dados são mantidos separados dos dados de uso.
Contas excluídas são removidas permanente e irrevogavelmente após um período de graça de 30 dias.
Importante: Após solicitação de exclusão de conta, o uso termina imediatamente. A partir deste ponto, nenhum lembrete de verificação, alarmes ou outras notificações serão acionados – nem para você nem para seus contatos de emergência. Além disso, seu perfil em Alma Moments não será mais visível. A exclusão física final de todos os dados ocorre após o período de graça de 30 dias.
7. Segurança de Dados
Emprego padrões de segurança modernos:
Criptografia: TLS 1.2+ para transmissão de dados (Transit) e armazenamento em servidores criptografados com AES-256 (At Rest) para dados sensíveis.
Controle de Acesso: Regras de Segurança Firebase, autenticação rigorosa.
Segurança do Aplicativo: Firebase App Check, proteção biométrica opcional (Connect+), bloqueio de configurações separado.
8. Seus Direitos
Você tem os seguintes direitos a qualquer momento (de acordo com Art. 15-21 GDPR):
Acesso e Exportação de Dados: No aplicativo em Configurações → Privacidade.
Retificação: Você pode editar todos os dados de perfil e saúde você mesmo no aplicativo.
Exclusão: Você pode excluir dados individuais ou sua conta inteira diretamente no aplicativo.
Restrição do Processamento (Art. 18 GDPR): Você pode solicitar restrição do processamento, por exemplo, se contestar a precisão de seus dados ou se o processamento for ilegal.
Revogação do Consentimento: Você pode revogar o consentimento (por exemplo, localização, dados de saúde, marketing) a qualquer momento nas configurações. A revogação não afeta a legalidade do processamento realizado antes da revogação.
Direito a Objeção (Art. 21 GDPR): Se o processamento de dados se baseia em interesses legítimos (Art. 6(1)(f) GDPR), você tem o direito de se opor a qualquer momento por motivos decorrentes de sua situação particular.
Direito de Apresentar Reclamação: Você pode entrar em contato com a autoridade de supervisão de proteção de dados competente. Para usuários na Alemanha, esta é a Comissária de Proteção de Dados e Liberdade de Informação de Berlim (datenschutz-berlin.de). Usuários no Espaço Econômico Europeu (EEE) podem entrar em contato com a autoridade de supervisão de seu país de residência habitual, local de trabalho ou local da alegada violação. Uma lista de autoridades de supervisão está disponível em edpb.europa.eu. Usuários no Reino Unido podem entrar em contato com o Gabinete do Comissário de Informações (ICO): ico.org.uk. Usuários na Suíça podem entrar em contato com o Comissário Federal de Proteção de Dados e Informações (FDPIC): edoeb.admin.ch.
9. Situações Especiais de Processamento
9.1 Notificação de Emergência (Apenas Connect+)
Em caso de verificação perdida, seus contatos de emergência serão notificados. Apenas os dados que você armazenou em seu perfil e autorizou para divulgação (por exemplo, localização, informações de saúde) serão transmitidos. Base Legal:
Art. 6(1)(b) GDPR (Execução de um Contrato)
Art. 9(2)(a) GDPR (Consentimento Explícito para Dados de Saúde)
Adicionalmente Art. 9(2)(c) GDPR (Proteção de Interesses Vitais), para garantir integridade física em caso de emergência.
9.2 Convite de Contatos de Emergência
Para proteger a privacidade de terceiros, você não insere informações de contato de outras pessoas diretamente no aplicativo.
Criação de Link: Você gera um link de convite pessoal no aplicativo.
Envio: Você envia este link para a pessoa confiável através do canal de sua escolha (por exemplo, WhatsApp, E-mail).
Registro: Sua pessoa confiável abre o link e insere independentemente suas informações de contato e canal de notificação desejado. Enquanto o link não for usado, nenhum dado de seus contatos será armazenado. Links não utilizados expiram após 7 dias.
9.3 Você como Contato de Emergência
Se você aceitar um convite, você concorda que suas informações de contato fornecidas (Nome, E-mail/Telefone/Handle) sejam armazenadas para fins de notificação de emergência. Você pode cancelar sua inscrição a qualquer momento através de um link de opt-out nas mensagens.
9.4 Configuração Remota (Connect+)
Você pode conceder temporariamente a uma pessoa confiável acesso (através de um código gerado) para configurar o aplicativo para você e gerenciar as configurações. Após a conexão bem-sucedida, esse acesso permanece até que você o revogue no aplicativo. Para sua segurança, todas as alterações feitas pela pessoa confiável são registradas (Registro de Auditoria).
Base Legal: Art. 6(1)(b) GDPR (Execução de um Contrato, função iniciada pelo usuário).
10. Autenticação de Terceiros
Google Sign-In: Os dados transmitidos incluem e-mail, nome, foto de perfil. (Privacidade: policies.google.com/privacy)
Apple Sign-In: Os dados transmitidos incluem e-mail (ou endereço de retransmissão) e nome. (Privacidade: apple.com/legal/privacy)
11. Notificações Push
Utilizo notificações push para lembretes de verificação, alarmes e interações sociais.
Base Legal: Art. 6(1)(b) GDPR (para funções contratuais como alarmes) e Art. 6(1)(f) GDPR (para avisos sociais).
Controle: Você pode gerenciar a maioria dos tipos de notificação nas configurações do aplicativo. Notificações de segurança críticas são parte do serviço principal.
12. Análise e Resolução de Problemas
12.1 Firebase Analytics
Uso Firebase Analytics em uma configuração minimizada de dados para garantir estabilidade do aplicativo e corrigir erros.
Medidas de Privacidade: IDs de publicidade (IDFA/AAID) não são coletados. A anonimização de IP está habilitada.
Propósito: Estatísticas anonimizadas de falha e uso para otimização técnica.
Base Legal: Art. 6(1)(f) GDPR (Interesse legítimo na operação sem erros e segurança do aplicativo).
12.2 Firebase Crashlytics
Em caso de falha do aplicativo, detalhes técnicos (rastreamento de pilha, informações do dispositivo) são enviados para corrigir o erro. Nenhum dado diretamente identificável é armazenado no relatório de falha.
12.3 ePrivacy e Comunicações Eletrônicas
O acesso a certas funções de dispositivo e o armazenamento de informações técnicas no dispositivo (por exemplo, tokens FCM) podem estar sujeitos às leis nacionais que implementam a Diretiva ePrivacy (2002/58/EC). No Reino Unido, os Regulamentos de Privacidade e Comunicações Eletrônicas de 2003 (PECR) se aplicam. Na Suíça, as disposições da Lei de Telecomunicações (TCA/FMG) se aplicam. Onde o consentimento é exigido de acordo com a lei aplicável, ele é obtido antes do acesso relevante.
13. Alterações nesta Política de Privacidade
Reservo-me o direito de alterar esta Política de Privacidade. Em caso de alterações significativas, você será informado através do aplicativo ou e-mail. A versão atual está sempre disponível no aplicativo e no site.
14. Transferências Internacionais de Dados
O armazenamento primário de dados ocorre na União Europeia (Frankfurt am Main). Quando dados são transferidos para provedores de serviço fora do EEE (ver Seção 5), confio nas seguintes garantias:
EU-US Data Privacy Framework (DPF): Para transferências para empresas sediadas nos EUA certificadas sob DPF (por exemplo, Google, Meta).
EU Standard Contractual Clauses (SCCs): Para transferências para empresas não certificadas sob DPF (por exemplo, RevenueCat).
Para transferências do Reino Unido: Utilizo UK International Data Transfer Agreement (IDTA) ou UK Addendum para EU SCCs, bem como UK Extension para EU-US DPF, onde aplicável.
Para transferências envolvendo Suíça: Cumpro os requisitos da Lei Federal de Proteção de Dados Suíça (FADP/DSG), incluindo o reconhecimento de decisões de adequação pelo Conselho Federal e o uso de cláusulas de contrato padrão onde necessário.
Para mais detalhes sobre provedores de serviço individuais, ver Seção 5.
15. Usuários Fora da UE/EEE, Reino Unido e Suíça
Para usuários em países não cobertos por GDPR, UK GDPR ou Suíça FADP, o Provedor aplica as mesmas medidas técnicas e organizacionais que para usuários no escopo do GDPR. Disposições obrigatórias de proteção de dados do país de residência habitual do usuário permanecem inalteradas.
16. Contato
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlim
Email: privacy@alma-app.eu
Site: www.alma-app.eu