Data de entrada em vigor: 2026-03-28. Última atualização: 2026-06-14.
1. Quem somos
A Wellix ("nós") fornece uma aplicação móvel de monitorização de calorias e macronutrientes com tecnologia de inteligência artificial (a "Aplicação"). O responsável pelo tratamento dos dados é Valeria Levitan, registada como empresária em nome individual isenta de impostos (Osek Patur) em Israel, com o número de contribuinte 341083038. Morada postal: Anna Frank 34, Rishon LeZion, Israel. Contacto: privacy@wellix.cc. Não designámos um representante ao abrigo do Artigo 27.º do RGPD; os titulares de dados do EEE e do Reino Unido podem exercer os seus direitos contactando-nos diretamente na morada acima indicada.
2. O que recolhemos
- Conta: e-mail, palavra-passe encriptada (hash), nome, data de nascimento, país, idioma.
- Perfil relacionado com a saúde: sexo, altura, peso, nível de atividade, medidas corporais opcionais, objetivos nutricionais, preferências alimentares. Tratamos estes dados como dados de categoria especial (Art. 9.º do RGPD).
- Utilização da Aplicação: fotografias de alimentos que submete para análise por IA, itens reconhecidos, refeições que regista, histórico de água e peso, recomendações nutricionais geradas para si, mensagens de apoio ao cliente.
- Dispositivo: modelo do dispositivo, versão do sistema operativo, idioma, fuso horário, endereço IP e registos de falhas. Apresentamos apenas publicidade não personalizada: no iOS não utilizamos o identificador de publicidade (IDFA) nem a App Tracking Transparency. No Android, a Google AdMob pode utilizar o Google Advertising ID (AAID) exclusivamente para apresentar publicidade não personalizada e limitar a frequência dos anúncios; pode repô-lo ou limitá-lo nas definições do seu dispositivo.
- Faturação: um ID de subscritor da RevenueCat e o estado da sua subscrição. Os pagamentos com cartão são processados pela Apple ou pela Google — nunca vemos os números dos cartões.
3. Por que motivo procedemos ao tratamento (fundamentos jurídicos ao abrigo dos Art. 6.º / Art. 9.º do RGPD)
- Execução do contrato: criação da sua conta, reconhecimento de alimentos por IA, geração de recomendações, processamento de subscrições.
- Consentimento explícito (Art. 9.º, n.º 2, alínea a)): tratamento dos dados do perfil relacionado com a saúde e da ingestão alimentar — recolhidos através de uma caixa de seleção no processo de configuração inicial; revogável a qualquer momento mediante a eliminação da conta.
- Interesse legítimo: prevenção de abusos, limitação de taxa de utilização, segurança, análise do produto, defesa de ações judiciais.
- Consentimento (ePrivacy / Art. 6.º, n.º 1, alínea a) do RGPD): apresentação de anúncios no EEE/Reino Unido (não personalizados), notificações push opcionais. Geríveis em Definições → Privacidade.
- Obrigação legal: registos fiscais, comunicação de fraudes, pedidos legítimos das autoridades competentes.
4. Tratamento por IA e subcontratantes
As fotografias de alimentos e as breves descrições textuais são enviadas para inferência à xAI (https://x.ai), sediada nos Estados Unidos. As imagens são processadas de forma transitória e, nos termos do nosso acordo com a xAI, não são conservadas para treino de modelos. Não armazenamos a imagem original após a análise — apenas o resultado nutricional analisado, na sua conta.
Outros subcontratantes:
- RevenueCat (EUA) — estado da subscrição.
- Google (Firebase, AdMob, Google Sign-In) (EUA) — entrega de notificações push, autenticação, publicidade.
- Apple (Sign in with Apple) (EUA/IE) — autenticação.
- Resend (EUA) — e-mail transacional.
- Alojamento em VPS em Frankfurt, Alemanha (UE) — alojamento da aplicação e da base de dados.
As transferências do EEE/Reino Unido para os Estados Unidos baseiam-se no Quadro de Privacidade de Dados UE-EUA, sempre que o fornecedor esteja certificado, ou, em alternativa, nas Cláusulas Contratuais-Tipo da Comissão Europeia com medidas suplementares.
5. Conservação
- Dados da conta e do perfil: até que elimine a sua conta, ou após 3 anos de inatividade.
- Tarefas de análise de alimentos (reconhecimento por IA e estado da conversa, sem imagem original): até 24 horas.
- Histórico de refeições, peso e água: até à eliminação.
- Registos de utilização de IA (sem texto dos pedidos, apenas metadados): 12 meses para auditoria de faturação.
- Cópias de segurança diárias da base de dados: 7 dias.
- Registos que somos legalmente obrigados a conservar (por exemplo, faturas fiscais): o período de conservação previsto na legislação da jurisdição aplicável.
6. Os seus direitos
Tem o direito de aceder, retificar, apagar, limitar, portar ou opor-se ao tratamento dos seus dados pessoais, bem como de retirar o consentimento a qualquer momento. Para exercer estes direitos, envie um e-mail para privacy@wellix.cc ou utilize a opção "Eliminar conta" na aplicação. Pode apresentar uma reclamação junto da sua autoridade de proteção de dados.
Califórnia (CCPA / CPRA) — Não Vender nem Partilhar as Minhas Informações Pessoais
Os residentes na Califórnia têm o direito de saber, eliminar, corrigir e recusar a "venda" ou "partilha" das suas informações pessoais. A Wellix apresenta exclusivamente publicidade não personalizada através da Google AdMob e não "vende" nem "partilha" informações pessoais para publicidade comportamental em contextos distintos, tal como definido pela CPRA. Ainda assim, respeitamos os pedidos de recusa:
Pode recusar a qualquer momento:
- Na aplicação: Definições → Privacidade → Gerir opções de privacidade → Não Vender nem Partilhar as Minhas Informações Pessoais.
- Por e-mail: privacy@wellix.cc com o assunto "CCPA Do Not Sell or Share". Respondemos no prazo de 15 dias úteis.
- Através do sinal Global Privacy Control (GPC) do seu navegador — quando as nossas interfaces web detetam
Sec-GPC: 1num pedido recebido, tratamo-lo como uma recusa válida para esse navegador, sem necessidade de qualquer outra ação. A preferência definida na aplicação conforme descrito acima é respeitada em todas as interfaces.
Não vendemos conscientemente as informações pessoais de utilizadores com menos de 16 anos.
Rússia (152-ФЗ)
A Wellix é operada a partir de Israel e não é especificamente dirigida a utilizadores na Federação Russa. Todos os dados pessoais são armazenados e tratados em servidores localizados fora da Rússia. Não estamos registados como operador de dados pessoais junto da Roskomnadzor e não declaramos que a Aplicação cumpre o requisito de armazenamento local da Lei Federal Russa 152-ФЗ. Os residentes na Rússia que optem por utilizar a Aplicação fazem-no por sua própria iniciativa; se não se sentir confortável com isto, por favor não utilize a Aplicação.
Israel (Privacy Protection Law 5741-1981)
Se for residente em Israel, dispõe substancialmente dos mesmos direitos descritos acima para os residentes na UE. Os e-mails de marketing exigem consentimento prévio (opt-in) e contêm uma ligação de cancelamento de subscrição em todas as mensagens.
7. Crianças
A Wellix não se destina a crianças com menos de 13 anos. Não recolhemos conscientemente dados de crianças com menos de 13 anos em parte alguma, nem com menos de 16 anos nos Estados-Membros da UE cuja legislação nacional estabeleça esse limite. Se tomarmos conhecimento de que recolhemos tais dados, eliminá-los-emos prontamente.
8. Cookies e rastreadores
A Aplicação não utiliza cookies. Apresentamos apenas publicidade não personalizada e não utilizamos o IDFA da Apple nem a App Tracking Transparency no iOS. A Aplicação utiliza os seguintes identificadores no dispositivo: Google Advertising ID (Android, utilizado apenas para apresentar publicidade não personalizada e limitar a frequência dos anúncios; controlável através das definições do sistema operativo e do banner de consentimento), ID de instalação do Firebase, ID anónimo da RevenueCat. Na primeira vez que iniciar a Aplicação no EEE ou no Reino Unido, é apresentado um banner de consentimento a solicitar o seu consentimento para a apresentação de anúncios.
9. Segurança
Os dados são encriptados em trânsito (TLS 1.2+) e em repouso nas camadas da base de dados e das cópias de segurança. As palavras-passe são armazenadas com hash através de bcrypt. O acesso aos sistemas de produção está restrito ao pessoal autorizado, ao abrigo de uma política de privilégio mínimo.
10. Notificação de violação de dados
Em caso de violação de dados pessoais suscetível de resultar num risco para os seus direitos, notificaremos a autoridade de controlo competente no prazo de 72 horas e informaremos os utilizadores afetados sem demora injustificada.
11. Alterações
Publicaremos as alterações substanciais a esta Política e notificá-lo-emos na aplicação com, pelo menos, 30 dias de antecedência relativamente à sua entrada em vigor. A continuação da utilização após essa data constitui aceitação.
12. Contacto
E-mail: privacy@wellix.cc · Apoio ao cliente: support@wellix.cc