Política de Privacidade

Última atualização: 2026-06-19

1. Responsável pelo tratamento e âmbito territorial

Giacomo Cacciatore
E-mail: info@turnix.ch
Para pedidos formais por via postal, contactar por e-mail para solicitar o endereço postal do responsável pelo tratamento; a resposta a pedidos em matéria de proteção de dados é fornecida no prazo de 30 dias a contar do envio.

Idade mínima de utilização: 18 anos de idade (serviço destinado a profissionais de saúde maiores de idade) ou, em alternativa, idade mínima do consentimento digital estabelecida pelo país de residência do utilizador (art. 8.º RGPD: entre 13 e 16 anos consoante o Estado-Membro) com autorização expressa do titular das responsabilidades parentais. Para o Reino Unido aplica-se ainda o UK Age Appropriate Design Code 2020 ("Código das Crianças") do ICO. O Turnix não recolhe nem trata conscientemente dados de menores sem as autorizações exigidas por lei; qualquer tratamento detetado em violação será imediatamente eliminado.

O Turnix está disponível a nível mundial. Aplicamos o RGPD (Regulamento UE 2016/679) como padrão de base para TODOS os utilizadores, onde quer que se encontrem. Nos regimes seguintes asseguramos a plena conformidade com a legislação local:

• União Europeia (UE) e Espaço Económico Europeu (EEE): Regulamento (UE) 2016/679 (RGPD).
• Reino Unido: UK GDPR (RGPD britânico) + Data Protection Act 2018.
• Suíça: Lei Federal de Proteção de Dados (nLPD/revDSG revista) em vigor desde 1 de setembro de 2023 + Ordenança OPDados.

Para os utilizadores de outros países aplicamos o padrão RGPD como nível mínimo de proteção e respeitamos os direitos previstos pela lei local aplicável em matéria de proteção de dados pessoais. Esses utilizadores podem dirigir-se à sua própria autoridade de controlo local competente (ver §8).

A Suíça beneficia de uma decisão de adequação da UE (15 de janeiro de 2024, Decisão 2024/254 da Comissão Europeia). O Reino Unido beneficia de uma decisão de adequação da UE (28 de junho de 2021, Decisão 2021/1772) atualmente em vigor com revisão periódica.

2. Dados recolhidos

• Endereço de e-mail (registo e autenticação via e-mail e palavra-passe ou via Google Sign-In OAuth)
• Palavra-passe da conta (armazenada de forma encriptada no Supabase Auth, nunca em texto simples; NÃO aplicável se o utilizador aceder exclusivamente via Google Sign-In)
• Nome identificativo escolhido na aplicação
• Dados de turnos de trabalho: data, imagem recortada da célula PDF (sticker visual) e impressão visual pHash (hash percetual da célula) para reconhecer turnos iguais ou modificados. A aplicação NÃO interpreta automaticamente o significado da célula (código de turno, cor, horários): mostra apenas a imagem real do PDF.
• Eventuais horários extraídos (quando disponíveis na legenda do PDF) servem apenas para o planeamento local de alarmes/lembretes.
• Clusters de células semelhantes (agrupamento pHash) e classificação do utilizador "trabalho/descanso" indicada manualmente nas Estatísticas.
• Tokens OAuth Google: (a) se o utilizador iniciar sessão via Google Sign-In (alternativa opcional ao início de sessão com e-mail e palavra-passe), ou (b) se o utilizador Premium conectar a sincronização Google Calendar. Os tokens são armazenados exclusivamente no dispositivo (caixa Hive) e nunca enviados aos servidores Turnix.
• Token push (Firebase Cloud Messaging) para receber notificações de distribuição de turnos da equipa.
• Ficheiros PDF temporários durante o processamento (não conservados no servidor consumer, arquivados no team_archive apenas para upload de distribuição da equipa em modo Enterprise).
• Dados de diagnóstico anónimos: stack-trace de falhas, versão da aplicação, modelo de dispositivo, sistema operativo (enviados ao Sentry para corrigir bugs — nenhum dado pessoal).

Categorias especiais de dados (art. 9.º RGPD / art. 5.º al. c nLPD): o Turnix NÃO recolhe dados biométricos, dados genéticos, dados relativos a opiniões religiosas, filosóficas, políticas ou sindicais, origem étnica ou racial, dados sociais ou penais. Os dados de turno de trabalho constituem dados pessoais comuns.

Funcionalidades de saúde opcionais — dados APENAS no dispositivo (local-only)

O Turnix oferece quatro funcionalidades de saúde opcionais, desativadas por predefinição, ativáveis uma a uma mediante consentimento explícito separado (art. 9.º n.º 2 al. a RGPD / art. 6.º n.º 7 al. a nLPD). Os dados destas funcionalidades são dados relativos à saúde (categoria especial, art. 9.º RGPD):

• Ciclo menstrual: dia de início, intensidade do fluxo, duração estimada, nota livre, dias previstos.
• Sono: hora de deitar, hora de acordar, qualidade do sono (a duração é calculada, não armazenada).
• Bem-estar: humor, sintomas, energia e vida sexual (etiquetas selecionadas) mais uma nota livre.
• Medicamentos: nome do medicamento, nota livre, frequência/horas do lembrete, registo de tomas (tomado/saltado).

Os dados desta funcionalidade ficam apenas neste dispositivo: não são enviados para os nossos servidores nem a terceiros. Não são restaurados num novo telefone e são perdidos se desinstalar a app.

São cifrados at-rest no dispositivo (AES, com chave gerada localmente no keystore seguro do telemóvel), excluídos das cópias de segurança automáticas do sistema operativo, nunca sincronizados na nuvem e nunca transmitidos a subcontratantes. Pode desativar cada funcionalidade a qualquer momento: a desativação elimina definitivamente os respetivos dados do dispositivo, sem necessidade de eliminar a conta.

A Turnix não é um dispositivo médico: os dados desta funcionalidade destinam-se apenas a fins informativos e pessoais e não substituem o conselho de um médico.

Sem definição de perfis automatizada: o Turnix NÃO efetua definição de perfis nem decisões automatizadas sobre os teus dados na aceção do art. 22.º RGPD / RGPD britânico / art. 21.º nLPD. O agrupamento visual cluster pHash é uma comparação determinística de imagens (impressão hash percetual da célula PDF), NÃO constitui definição de perfis nem avaliação automática de aspetos pessoais do utilizador. A classificação "trabalho/descanso" do cluster é sempre indicada manualmente pelo utilizador nas Estatísticas.

3. Finalidades e base jurídica

Base jurídica RGPD (UE + EEE) e RGPD britânico:

• Prestação do serviço (art. 6.º n.º 1 al. b RGPD / RGPD britânico — execução do contrato)
• Persistência de clusters pHash visuais para reconhecer turnos iguais e modificados entre meses diferentes (interesse legítimo, art. 6.º n.º 1 al. f RGPD / RGPD britânico)
• Gestão da subscrição através do RevenueCat (execução do contrato)
• Autenticação opcional via Google Sign-In (consentimento explícito, art. 6.º n.º 1 alínea a) RGPD / UK GDPR) — alternativa ao início de sessão com e-mail e palavra-passe. O utilizador pode escolher livremente qual o método de autenticação a utilizar. Tokens OAuth Google armazenados exclusivamente no dispositivo, nunca enviados aos servidores Turnix.
• Sincronização opcional com o Google Calendar (consentimento explícito, art. 6.º n.º 1 al. a RGPD / RGPD britânico) — ativada apenas se o utilizador Premium ligar a sua conta Google. Consentimento revogável a qualquer momento.
• Diagnóstico de falhas e estabilidade da aplicação através do Sentry (interesse legítimo, dados anónimos)
• Envio de notificações push para distribuição de turnos da equipa através do Firebase Cloud Messaging (execução do contrato, apenas modo Enterprise team)
• Funcionalidades de saúde opcionais (ciclo, sono, bem-estar, medicamentos): tratamento efetuado exclusivamente localmente no dispositivo com base no consentimento explícito (art. 9.º n.º 2 al. a RGPD / art. 6.º n.º 7 al. a nLPD), revogável a qualquer momento desativando a funcionalidade (com eliminação dos dados)

Base jurídica nLPD/revDSG (Suíça): tratamento necessário para a execução do contrato, para o interesse legítimo do responsável e com base no consentimento explícito do utilizador para finalidades acessórias (art. 31.º nLPD).

4. Conservação dos dados

Os dados são conservados enquanto a conta estiver ativa. O utilizador pode eliminar todos os seus dados a qualquer momento através de Definições → Repor todos os dados. Após a eliminação, os dados são removidos dos backups no prazo de 30 dias.

Retenção específica por categoria:

• Endereço de e-mail da conta: conservado enquanto a conta estiver ativa. Eliminação no prazo de 30 dias a contar do pedido do utilizador (Definições → Repor todos os dados) + remoção completa dos backups nos 90 dias seguintes (princípio da minimização + direito ao apagamento art. 17.º RGPD / RGPD britânico / art. 32.º nLPD).
• Imagens de recorte de célula (stickers visuais): eliminadas automaticamente após 365 dias (princípio de minimização de dados da nLPD).
• Dados das funcionalidades de saúde (ciclo, sono, bem-estar, medicamentos): conservados apenas no dispositivo enquanto a funcionalidade estiver ativa. Eliminados imediatamente ao desativar a funcionalidade, através de Definições → Repor todos os dados, ou ao desinstalar a app. NUNCA estão presentes nos nossos servidores nem em cópias na nuvem.
• Token OAuth Google Calendar: eliminados imediatamente quando o utilizador desliga a conta através de Definições → Sincronização Google Calendar → Desligar. O utilizador pode ainda revogar o acesso diretamente em myaccount.google.com → Segurança → Aplicações com acesso à tua conta.
• Token Firebase Cloud Messaging: eliminados ao terminar sessão ou repor dados.
• PDF distribuídos pelo chefe (modo team Enterprise): retenção rolling FIFO máx. 6 meses.
• Dados de diagnóstico Sentry: retenção 90 dias no servidor Sentry UE Frankfurt.

5. Terceiros (subcontratantes)

Supabase Inc. (armazenamento de dados, autenticação) — Servidores na região: eu-west-1 (Irlanda, UE). DPA disponível em supabase.com/privacy.

RevenueCat Inc. (gestão de subscrições) — Política de privacidade: revenuecat.com/privacy. O RevenueCat recebe apenas um identificador anónimo da compra, não os dados dos turnos.

Dados das funcionalidades de saúde (ciclo, sono, bem-estar, medicamentos): sem subcontratante. Permanecem cifrados no dispositivo e não são transmitidos à Supabase nem a qualquer terceiro.

Google LLC — Google Calendar API (funcionalidade Premium opcional, ativa apenas se o utilizador Premium ligar a sua própria conta Google). A aplicação utiliza dois âmbitos: "calendar.events" (CRUD nos eventos do calendário primário do utilizador: a aplicação escreve no Google apenas os teus eventos/lembretes e lê os eventos do teu calendário primário) e "calendar.readonly" (apenas leitura, para importar para o Turnix os eventos dos teus outros calendários Google — p. ex. Aniversários, Feriados e calendários personalizados). A sincronização abrange exclusivamente turnos, eventos e lembretes: NUNCA são transmitidos dados das funções de saúde (ciclo, bem-estar, sono, medicamentos). Tokens OAuth memorizados exclusivamente no dispositivo (geridos pelo Google Sign-In), nunca enviados aos servidores Turnix. O utilizador pode desligar ou revogar o acesso a qualquer momento via Definições → Sincronização Google Calendar → Desligar, ou em myaccount.google.com → Segurança. O Google recebe os eventos (data, hora, etiqueta de cluster) mas NENHUM dado sensível (nome do funcionário, código de turno OCR), em conformidade com o princípio Strada B Pura.

Google LLC — Firebase Cloud Messaging (FCM). Apenas modo team Enterprise para receber notificações push quando o chefe distribui um PDF. Token FCM memorizado no Supabase (RLS ativo, acessível apenas ao backend Cloud Run). Política de privacidade: firebase.google.com/support/privacy.

Sentry (Functional Software Inc.) — diagnóstico de falhas e estabilidade. Servidores na região UE: Sentry Frankfurt (ingest.de.sentry.io). Recebe apenas stack-traces, versão da aplicação, modelo de dispositivo, sistema operativo. Flag sendDefaultPii=false configurada — NENHUM dado pessoal (e-mail, IP, identificadores de utilizador) é enviado. Retenção de dados 90 dias. Política de privacidade: sentry.io/privacy.

Nenhum dado de turnos é vendido ou cedido a terceiros para fins publicitários.

5.1 Cookies e tecnologias de monitorização

Conformidade com a Diretiva ePrivacy 2002/58/CE (transposta em cada Estado-Membro UE/EEE — em Portugal pela Lei n.º 41/2004, de 18 de agosto, art. 5.º, alterada pela Lei n.º 46/2012; em Itália pelo d.lgs. 196/2003 art. 122; na Alemanha pela BDSG-§25 TTDSG; em França pela LIL art. 82; em Espanha pela LSSI-CE art. 22) + UK Privacy and Electronic Communications Regulations (PECR) 2003 + nLPD art. 45c CH.

Aplicação móvel Turnix: NÃO utiliza cookies HTTP (as aplicações nativas não têm cookies de navegador). O armazenamento local é utilizado exclusivamente para:

• Hive boxes locais (preferências do utilizador, idioma local, cache de clusters pHash, tokens OAuth Google se Premium ativado): NÃO são cookies e NÃO são acessíveis a terceiros.
• SharedPreferences Android / NSUserDefaults iOS: flag de onboarding concluído, preferências locais (idioma, tema). Tecnologias essenciais ao funcionamento (sem necessidade de consentimento nos termos da ePrivacy).

Sítio web turnix.ch: utiliza exclusivamente cookies técnicos essenciais (sem analytics, sem tracking, sem definição de perfis, sem cookies de terceiros). Não é necessário consentimento de cookies nos termos do art. 5.º da Lei n.º 41/2004 portuguesa + diretrizes EDPB cookie 03/2022.

5.2 Encarregado da Proteção de Dados (EPD)

O Turnix não está obrigado a designar um Encarregado da Proteção de Dados (EPD/DPO) nos termos do art. 37.º n.º 1 RGPD / RGPD britânico / art. 10.º nLPD: o responsável pelo tratamento não é uma autoridade pública, não efetua tratamentos em larga escala de dados sensíveis (art. 9.º-10.º RGPD), não efetua monitorização sistemática de titulares dos dados em larga escala. A avaliação de impacto sobre a proteção de dados (AIPD, art. 35.º RGPD) não se mostra obrigatória para o tratamento efetuado pelo Turnix com base nos critérios WP248 do EDPB.

Dada a presença de funcionalidades de saúde de categoria especial (art. 9.º), foi ainda realizada uma avaliação de impacto sobre a proteção de dados (AIPD, art. 35.º RGPD) que confirmou a ausência de riscos elevados para os direitos e as liberdades dos titulares graças à arquitetura local-only: sem tratamento do lado do servidor, dados cifrados at-rest apenas no dispositivo do utilizador e sob o seu controlo exclusivo, consentimento explícito separado e eliminação imediata a pedido.

Para qualquer pedido em matéria de proteção de dados pessoais, exercício dos direitos do titular dos dados (ver §7) ou reclamação, contactar diretamente o responsável pelo tratamento no endereço info@turnix.ch. Resposta no prazo de 30 dias a contar do pedido (art. 12.º n.º 3 RGPD).

6. Transferência internacional de dados

Os dados pessoais podem ser transferidos para fora da UE/EEE, do Reino Unido e da Suíça nos casos descritos seguidamente. Cada transferência baseia-se em garantias adequadas nos termos dos arts. 44.º-49.º do RGPD / RGPD britânico e dos arts. 16.º-18.º da nLPD.

Transferência de dados por fornecedor:

• Supabase Inc. (EUA) — servidores eu-west-1 (Irlanda, UE) selecionados explicitamente. Transferência para os EUA eventual (backup) com base nas Cláusulas Contratuais-Tipo (CCT) Decisão UE 2021/914 + decisão de adequação UE-EUA Data Privacy Framework (DPF, julho de 2023). Para o UK: International Data Transfer Agreement (IDTA) UK ICO. Para a CH: CCT válidas via decisão de adequação CH-UE.
• Google LLC (Calendar, FCM) — transferência para os Estados Unidos com base em:
  • UE/EEE: decisão de adequação UE-EUA Data Privacy Framework (Google LLC certificada DPF) + CCT como fallback.
  • UK: UK Extension to EU-US DPF + International Data Transfer Agreement (IDTA).
  • CH: Swiss-US DPF (paralelo ao EU-US DPF) + CCT como fallback.
• RevenueCat Inc. (EUA) — transferência para os Estados Unidos com base nas Cláusulas Contratuais-Tipo (CCT) UE 2021/914. Para o UK: IDTA. Para a CH: CCT adequadas.
• Sentry — Functional Software Inc. (EUA/UE) — servidores UE Frankfurt (ingest.de.sentry.io) selecionados explicitamente. NENHUMA transferência para os EUA dos dados de diagnóstico Turnix. Conformidade RGPD / RGPD britânico / nLPD garantida pela localização dos servidores na UE.

Dados das funcionalidades de saúde (ciclo, sono, bem-estar, medicamentos): sem transferência internacional. Permanecem no dispositivo do utilizador e nunca saem do telemóvel.

Para os clientes do Reino Unido aplica-se ainda o Data Protection Act 2018 (DPA 2018) como complemento ao RGPD britânico. Para a Suíça, a nLPD garante um nível de proteção equivalente ao RGPD.

7. Direitos do titular dos dados e direito de livre resolução

Nos termos do RGPD (arts. 15.º-22.º), do RGPD britânico (arts. 15.º-22.º) e da nLPD (arts. 25.º-27.º) tens direito a:

• Acesso aos teus dados pessoais (art. 15.º)
• Retificação dos dados inexatos (art. 16.º)
• Eliminação "direito ao esquecimento" (art. 17.º) — disponível diretamente na aplicação: Definições → Repor todos os dados
• Portabilidade dos dados em formato estruturado (art. 20.º)
• Oposição ao tratamento (art. 21.º)
• Limitação do tratamento (art. 18.º)
• Não ser sujeito a decisões automatizadas (art. 22.º) — o Turnix NÃO efetua decisões automatizadas sobre os teus dados
• Revogação do consentimento das funcionalidades de saúde: desativar a funcionalidade (Definições), com eliminação imediata dos dados do dispositivo
• Revogação do consentimento Google Calendar: Definições → Sincronização Google Calendar → Desligar (ou myaccount.google.com → Segurança)

Direito de livre resolução 14 dias

• UE/EEE: Diretiva 2011/83/UE relativa aos direitos dos consumidores (em Portugal transposta pelo Decreto-Lei n.º 24/2014, de 14 de fevereiro). Tens 14 dias a contar da compra da subscrição Premium para resolver o contrato sem indicar motivo (período de reflexão). A livre resolução exerce-se comunicando a decisão (e-mail info@turnix.ch) ou através da conta da store (App Store / Google Play). O reembolso é efetuado pela store no prazo de 14 dias após a comunicação.
• UK: Lei dos Direitos do Consumidor 2015 (Consumer Rights Act 2015) + Regulamento dos Contratos de Consumo 2013 (Consumer Contracts Regulations 2013) — 14 dias de direito de livre resolução para serviços digitais, excluído o uso completo pré-resolução (digital content unbundling rule).
• CH: a lei suíça não prevê um direito de livre resolução legal obrigatório para serviços digitais à distância, mas o Turnix garante voluntariamente o mesmo prazo de 14 dias por coerência transterritorial.

Para exercer estes direitos, escrever para: info@turnix.ch

7.1 Utilizadores fora da UE/EEE/Suíça/Reino Unido (incluindo EUA, Brasil, Canadá, Austrália)

O Turnix está disponível a nível mundial e aplica o RGPD como nível mínimo de proteção em todos os países. Seguem-se os complementos para os principais regimes adicionais.

Estados Unidos — Califórnia (CCPA/CPRA)

• Não vendemos nem "partilhamos" os teus dados pessoais, nem sequer para fins de publicidade comportamental entre contextos: o Turnix não contém publicidade.
• Categorias recolhidas: identificadores (e-mail), informações comerciais (histórico de compras através do RevenueCat), dados de utilização e diagnóstico da aplicação. Os dados sensíveis das funcionalidades de saúde permanecem exclusivamente no teu dispositivo e não são recolhidos nem tratados pelos nossos servidores.
• Direitos: conhecer/aceder, eliminar e corrigir os teus dados; opor-te à venda/partilha (não aplicável — não vendemos); limitar a utilização dos dados sensíveis (já limitados: permanecem no dispositivo); não ser sujeito a discriminação pelo exercício dos teus direitos.
• Para os exercer: info@turnix.ch (também através de agente autorizado).

Brasil (LGPD)

Reconhecemos os direitos previstos pela LGPD (confirmação, acesso, retificação, anonimização/eliminação, portabilidade, revogação do consentimento) e a autoridade ANPD. Responsável pelo tratamento: Giacomo Cacciatore (info@turnix.ch).

Outros países (Canadá, Austrália, etc.)

Aplicamos o padrão RGPD como nível mínimo de proteção e respeitamos os direitos previstos pelas leis locais aplicáveis.

8. Autoridade de controlo

Tem o direito de apresentar uma reclamação junto da autoridade de controlo competente. As autoridades de referência para os regimes que seguimos explicitamente são:

• União Europeia e Espaço Económico Europeu: a autoridade nacional de proteção de dados do seu Estado. Lista oficial atualizada do Comité Europeu para a Proteção de Dados (EDPB): edpb.europa.eu/about-edpb/about-edpb/members_en
• Suíça: FDPIC/EDÖB (Comissário Federal para a Proteção de Dados e a Transparência) — edoeb.admin.ch
• Reino Unido: ICO (Information Commissioner's Office) — ico.org.uk

Para os países cuja autoridade não esteja indicada acima, pode dirigir-se à autoridade local de proteção de dados do seu país, quando exista.

9. Segurança

Os dados estão protegidos por Row Level Security (RLS) no Supabase: cada utilizador acede exclusivamente aos seus próprios dados. A comunicação é efetuada através de HTTPS/TLS.

Notificação de violações de dados pessoais (data breach): em caso de violação de segurança de dados pessoais que implique risco para os direitos e as liberdades do utilizador, o Turnix notificará a autoridade de controlo competente do país de residência do utilizador no prazo de 72 horas a contar da tomada de conhecimento da violação, nos termos do art. 33.º RGPD / RGPD britânico e do art. 24.º nLPD. Caso a violação seja suscetível de implicar um risco elevado para os direitos e as liberdades dos utilizadores afetados (art. 34.º RGPD), o Turnix comunicará a violação diretamente aos utilizadores sem demora injustificada, em linguagem clara e simples, indicando: a natureza da violação, dados e categorias afetados, consequências prováveis, medidas adotadas ou propostas para atenuar os efeitos, ponto de contacto info@turnix.ch.

10. Alterações

Eventuais alterações substanciais serão notificadas através da aplicação. A utilização continuada da aplicação após a notificação constitui aceitação.