Política de Privacidade

1. O que colectamos

1.1 Dados da conta

• Nome de exibição, email (verificado), foto de perfil (opcional)
• Bio, país de residência
• Idiomas preferidos (para ouvir e apresentar)

1.2 Preferências e favoritos

• Desportos preferidos (até 13: futebol, basquetebol, críquete, ténis, F1, MotoGP, rugby, basebol, voleibol, andebol, hóquei, NFL, MMA)
• Equipas, clubes, competições e atletas favoritos
• Relatores favoritos (UIDs)
• Preferências de notificações (tipo, horário "Não Perturbar")

1.3 Conteúdo gerado pelo utilizador

• Gravações de áudio ao vivo (quando comentas sessões)
• Mensagens de chat em sessões
• Avaliações (1-5 estrelas) e reviews de relatores
• Reações/emojis durante sessões
• Reports contra outros utilizadores
• Pedidos de ajuda/feedback (incluindo screenshots opcionais)

1.4 Dados técnicos e de dispositivo

• Modelo de dispositivo, sistema operativo, versão da app
• Identificador único do dispositivo (device ID)
• Endereço IP
• Estado da conectividade de rede

1.5 Dados de segurança e sessão

• Histórico de tentativas de login (dispositivo, IP, timestamp, sucesso/falha)
• Sessões de dispositivo ativas (para prevenir abuso multi-dispositivo)
• Estado 2FA (ativado/desativado)

1.6 Dados de uso e atividade

• Heartbeats de atividade em sessões (entrada, saída, mensagem, avaliação)
• Histórico de sessões (quem apresentou, quando, duração, ouvintes)
• Relatos agendados (jogo, estado, host)
• Dados de seguir/seguidores

1.7 Dados de moderação

• Histórico de reports enviados e recebidos
• Ações de moderação aplicadas (avisos, bans, remoções)
• Resultados de filtros automáticos (profanidade, spam, discurso de ódio)

1.8 Pagamento

• Geridos por Stripe (nunca guardamos cartão de crédito)
• IDs de cliente e subscrição Stripe, plano, datas de ativação/cancelamento
• Utilização de códigos promocionais

1.9 Armazenamento local

• SharedPreferences: estado de onboarding, cache de preferências, sessões notificadas, tempos de sincronização
• Estes dados ficam apenas no teu dispositivo e não são enviados para os nossos servidores

2. Para que usamos

• Autenticar a tua conta e manter a sessão
• Transmitir áudio ao vivo entre comentadores e ouvintes
• Guardar as tuas preferências, favoritos e histórico
• Calcular rankings e estatísticas de desempenho
• Enviar notificações sobre jogos, sessões e atividade social
• Processar subscrições Premium e códigos promocionais
• Moderar conteúdo (humana e automaticamente)
• Analisar comportamento para melhorar a app
• Mostrar anúncios (apenas em versão gratuita, via Google AdMob)
• Monitorizar erros e crashes (Sentry)
• Detetar logins suspeitos e prevenir abuso multi-dispositivo
• Monitorizar custos operacionais de sessões (interno)
• Executar tarefas em segundo plano (monitorização de jogos favoritos)
• Cumprir leis (ex: GDPR, PSD2)

3. Com quem compartilhamos

• Supabase: Armazena a tua conta e dados (base de dados e autenticação)
• Daily.co: Transmite o áudio entre hosts e listeners (Data Processing Agreement em vigor)
• Stripe: Processa pagamentos de Premium
• Google AdMob: Mostra anúncios (versão gratuita). Usa identificadores anonimizados
• Sentry: Monitoriza erros da app. Pode capturar screenshots automáticos do estado da app durante crashes para diagnóstico

Estes prestadores têm contratos para proteger os teus dados. Daily.co processa dados de voz (biométricos) sob GDPR Art. 9 com encriptação TLS.

3.1 Dados Biométricos — Voz (GDPR Art. 9)

• O que: As tuas gravações de áudio quando comentas sessões ao vivo
• Classificação: Dado biométrico sob GDPR Artigo 9
• Base legal: Consentimento explícito quando ativas comentário de áudio
• Processador: Daily.co (USA) com Data Processing Agreement
• Duração: Apenas em memória durante a sessão. Não armazenado permanentemente a menos que o guardes
• Segurança: Encriptação TLS/SSL em trânsito, contrato de processamento em vigor
• Risco: Daily.co é USA-based. Temos Standard Contractual Clauses, mas USA pode aceder sob Section 702/FISA
• Teu direito: Podes eliminar conta e dados de áudio em qualquer altura. Contacta support@sportstrama.com

4. Decisões automatizadas (GDPR Art. 22)

• Moderação automática: A app utiliza filtros automáticos para detetar profanidade (PT e EN), padrões de spam (URLs, CAPS excessivos, repetições) e palavras-chave de discurso de ódio
• Consequência: Conteúdo detetado pode ser bloqueado automaticamente ou sinalizado para revisão humana
• Rankings: As posições no leaderboard são calculadas automaticamente a partir de médias ponderadas de avaliações
• Teu direito: Podes contestar qualquer decisão automatizada em support@sportstrama.com e solicitar revisão humana

5. Como protegemos

• Todos os dados viajam encriptados (HTTPS/TLS)
• Senhas guardadas com hash (irreversível)
• Autenticação via Supabase (padrão industrial)
• 2FA disponível nas definições de segurança (código de 6 dígitos por email)
• Alertas de login suspeito (novo dispositivo/IP)
• Gestão de sessões de dispositivo (logout forçado em outros dispositivos)

5.1 Incidentes de Segurança & Notificação

• Resposta: Investigamos e mitigamos rapidamente incidentes
• Notificação: Informamos utilizadores e autoridades quando exigido (ex: 72h no GDPR)
• Processadores: Em incidentes de terceiros (ex: Stripe), coordenamos comunicação e remediação
• Pagamentos: Não armazenamos cartões; Stripe é PCI DSS

5.2 Monitorização de erros (Sentry)

• Sentry recolhe: stack traces, breadcrumbs automáticos, informação do dispositivo/SO
• Sentry pode capturar screenshots automáticos do estado visual da app no momento de um crash
• Os screenshots são usados exclusivamente para diagnóstico e resolução de bugs
• Sentry processa dados nos EUA/UE sob Standard Contractual Clauses

6. Os teus direitos (GDPR)

• Acesso: Podes ver todos os teus dados
• Correção: Altera a tua foto, nome, país, preferências
• Eliminação: Apaga a conta → apagamos dados em 30 dias
• Portabilidade: Exporta os teus dados
• Oposição: Desativa anúncios personalizados
• Restrição: Podes solicitar limitação do processamento
• Contestar decisão automatizada: Podes solicitar revisão humana de decisões automatizadas (Art. 22)

7. Retenção de dados

• Conta ativa: Guardamos enquanto usas
• Após eliminação: Apagamos em 30 dias (GDPR)
• Backup: Supabase faz backup, mas também apaga após 30 dias
• Conteúdo público: Ratings/reviews publicados podem manter-se por motivos operacionais (anonimizados)
• Dados de moderação: Mantidos durante o período necessário para evitar repetição de infrações
• Áudio: Só em memória durante a sessão. Salas Daily.co expiram em 24h
• Logs de login: Retidos por 90 dias para deteção de fraude

8. Cookies & Rastreamento

• Não usamos cookies (é uma app, não um website)
• Google AdMob usa IDs anonimizados para anúncios
• Analytics (Supabase) não rastreiam identificação pessoal, apenas eventos
• SharedPreferences armazena dados locais no dispositivo (não são enviados)

9. Dados desportivos

• A app recolhe dados factuais de calendários desportivos publicamente disponíveis (ESPN, ESPNcricinfo, ATP/WTA, Formula1.com, MotoGP.com, NHL.com, NBA.com, entre outros)
• Apenas dados factuais: datas, horários, equipas, nomes — sem conteúdo editorial protegido
• User-Agent identificado como TramaSportsApp; taxa limitada a ≥5 min com cache de 24h
• Não acedemos a áreas protegidas por login ou paywall
• Não armazenamos logos, imagens, dados pessoais ou conteúdo criativo de terceiros

10. Tarefas em segundo plano

• A app pode executar tarefas em segundo plano (via WorkManager/Android) para monitorizar jogos favoritos e enviar lembretes
• Estas tarefas verificam localmente se há jogos próximos, com intervalos mínimos de 5 minutos
• Podes desativar as notificações individuais nas definições da app

11. Deep links

• A app processa deep links (trama://) para: verificação de email, reposição de senha, navegação para perfis de relatores e jogos
• Os dados dos deep links são usados apenas para navegação e não são armazenados

12. Transferências internacionais

Os teus dados podem ser processados fora da UE (ex: USA via Stripe, Daily.co, Sentry). Temos contratos Standard Contractual Clauses para assegurar proteção equivalente a GDPR. Dados de voz processados por Daily.co (USA) estão protegidos por SCC, mas a lei USA (Section 702/FISA) pode permitir acesso governamental. Tens o direito de saber isto e de contactar-nos para mais informações.

13. Mudanças a esta política

Podemos atualizar esta política. Notificar-te-emos por email ou in-app se houver mudanças significativas.

14. Contacta-nos

Email: support@sportstrama.com
Assunto: Privacidade, GDPR, dados biométricos, ou decisões automatizadas
DPO (Data Protection Officer): Estamos comprometidos com GDPR, incluindo proteção de dados biométricos (Art. 9) e direito a revisão de decisões automatizadas (Art. 22)
Resposta em até 7 dias úteis.

15. Suplementos Regionais

Brasil (LGPD)

• Controlador & DPO: Trama (contacto: support@sportstrama.com)
• Bases legais: Consentimento; execução de contrato; interesse legítimo (quando aplicável)
• Direitos do titular: Confirmação, acesso, correção, anonimização, portabilidade, eliminação, informação sobre partilha, revogação de consentimento, revisão de decisões automatizadas
• Transferências internacionais: Dados processados na UE e EUA com salvaguardas contratuais. Voz via Daily.co (EUA) — ver secções 3.1 e 12
• Dados opcionais: Localização aproximada apenas com opt-in (Definições > Privacidade), revogável a qualquer momento

Para exercer direitos LGPD, contacta-nos e inclui "Pedido LGPD" no assunto.

Califórnia (CPRA)

• Direitos: Acesso, eliminação, correção, portabilidade
• Opt-out: Venda/partilha de dados e publicidade comportamental entre contextos
• Dados sensíveis: Podes limitar o uso (quando aplicável)
• Não discriminação: Não sofrerás tratamento diferente por exercer direitos
• Aviso na recolha: Categorias e finalidades estão nas secções 1–2 desta página
• Do Not Sell/Share: Não vendemos dados. Se houver partilha para anúncios, podes optar por não partilhar nas definições ou por email

Para exercer o CPRA, envia email para support@sportstrama.com com "CPRA Request" e indica o teu estado de residência.

Reino Unido (UK GDPR)

• Leis aplicáveis: UK GDPR e Data Protection Act 2018
• Direitos: Acesso, retificação, apagamento, restrição, portabilidade, oposição e revogação de consentimento
• Autoridade: Podes reclamar à UK ICO (Information Commissioner's Office)
• Transferências: Usamos o UK IDTA com SCCs para transferências (incl. Daily.co para voz — ver secções 3.1 e 12)

Pedidos UK: support@sportstrama.com

Canadá (PIPEDA)

• Lei aplicável: PIPEDA
• Princípios: Responsabilidade, fins identificados, consentimento, limitação da recolha/uso, exatidão, salvaguardas, abertura, acesso do titular, contestação de conformidade
• Direitos: Acesso e correção dos dados
• Transferências: Podem ocorrer para UE/EUA com salvaguardas contratuais; para voz (Daily.co/EUA) ver secções 3.1 e 12
• Reclamações: support@sportstrama.com ou Office of the Privacy Commissioner of Canada (OPC)

Austrália (Privacy Act & APPs)

• Lei aplicável: Privacy Act 1988 e Australian Privacy Principles
• Direitos: Acesso e correção
• Divulgações internacionais (APP 8): Tomamos medidas razoáveis para proteção equivalente; transferências para UE/EUA (incl. Daily.co para voz)
• Informação sensível: Processada apenas com consentimento ou como permitido por lei
• Reclamações: support@sportstrama.com ou OAIC (Office of the Australian Information Commissioner)