Luna.

Privacy Policy · Version 2026-06-22

🔐 Política de Privacidade da Luna
Atualizada: junho de 2026

📋 RESPONSÁVEL PELO TRATAMENTO
icoso Consulting SL («Luna FemTech»)
Representada por: Daniel Osorio Fernandez
Calle Juan de Herrera 18, 4.º e 5.º andar
ES-39002 Santander (Cantábria), Espanha (UE)
Contacto de privacidade: privacy@icoso.es

🎯 CURTO E HONESTO
A Luna cifra os teus dados de saúde no teu dispositivo (AES-256) antes de chegarem aos nossos servidores — só recebemos código ilegível. No modo padrão é possível recuperar a palavra-passe (a chave fica guardada no servidor); apenas no modo Privacidade Máxima o acesso pertence exclusivamente à tua chave de recuperação.

🔒 CIFRAGEM (KEK/DEK)
• Todos os dados de saúde (ciclo, sintomas, humor, TBC, diário) são cifrados com uma chave de dados aleatória (DEK) AES-256
• A DEK é protegida pela tua palavra-passe (KEK)
• Modo padrão: recuperação de palavra-passe possível (DEK guardada no servidor)
• Modo Privacidade Máxima: só tu tens a chave (chave de recuperação) — sem recuperação no servidor

📊 QUE DADOS TRATAMOS
Guardados cifrados:
• Nome, avatar, dados de perfil
• Dados do ciclo, sintomas, humor, TBC
• Entradas do diário
• Previsões do ciclo (calculadas de forma determinística na app)

Guardados sem cifragem:
• Endereço de e-mail (para iniciar sessão; autenticação através do nosso próprio serviço em servidores na UE)
• Definições da app (idioma, esquema de cores)
• Metadados operacionais dos lembretes: frequências, horários, categoria do medicamento, modo contracetivo. Os valores (valores hormonais, nomes de medicamentos, notas) são cifrados — os campos operacionais ficam em claro porque o agendador local precisa de os ler para disparar os lembretes.

🤖 SERVIÇOS DE IA E APIS EXTERNAS
• Claude AI (Anthropic via AWS Bedrock, região eu-central-1 Frankfurt): dicas de nutrição e estilo de vida. Os dados são anonimizados antes do envio — sem nomes, IDs ou datas exatas. Além disso, o nosso servidor remove antes do envio os identificadores que possas escrever no chat (endereços de e-mail, números de telefone, IBAN). Por cada pedido registamos metadados anonimizados para a garantia de qualidade (idioma, fase do ciclo, comprimento da resposta, um hash pseudonimizado do teu identificador) — SEM conteúdo do chat, retenção máx. 180 dias. O processamento de texto por IA permanece integralmente na UE.
• Imagens de receitas e ilustrações: gpt-image-1 (OpenAI). A geração de imagens é processada nos EUA (OpenAI, EUA, salvaguardada pelas Cláusulas Contratuais-Tipo da UE). É transmitido apenas um termo de pesquisa em inglês do motivo (p. ex., salmon bowl) — sem dados de saúde, sem IDs.
• Pesquisa por código de barras: ao digitalizar uma embalagem de medicamento, o EAN é enviado a bases de dados públicas de produtos (OpenFoodFacts) para sugerir o nome. O pedido passa pelo nosso backend na UE — os serviços externos não veem nem a tua identidade nem o teu IP. Os EAN em cache na nossa base de dados não contêm identificadores de utilizador.
• Preenchimento automático de localidade: ao introduzires opcionalmente o teu local de residência, o nome digitado é enviado através do nosso backend na UE ao OpenStreetMap Nominatim para mostrar sugestões. O serviço externo não vê nem a tua identidade nem o teu IP; a localidade escolhida é guardada apenas no teu perfil (cifrado).
• Envio de e-mails: os e-mails de registo e confirmação são enviados via Scaleway Transactional Email (Paris, UE). É transmitido o teu endereço de e-mail; o tratamento permanece na UE.
• Diagnóstico de falhas: os relatórios de falhas e erros são recolhidos via Sentry (região UE) para garantir estabilidade e segurança. O conteúdo pessoal é removido automaticamente (scrubbing) antes do envio. Podes desativar os relatórios de falhas a qualquer momento nas Definições (Privacidade) — a alteração tem efeito no próximo arranque da app.
• Gestão de subscrições: as compras e subscrições são geridas via RevenueCat (EUA, salvaguardado pelas Cláusulas Contratuais-Tipo da UE). São transmitidos apenas o estado da subscrição e um identificador anonimizado (um hash sha256 do teu ID de conta, não o ID em si — a RevenueCat não o pode associar a ti) — sem dados de saúde.

Todos os pedidos passam pelo nosso backend na UE — o teu dispositivo nunca contacta diretamente serviços externos. O processamento de texto por IA (Claude) permanece na UE.

⚖️ BASES JURÍDICAS (RGPD)
• Art. 6(1)(a): Consentimento — para o coaching com IA e sugestões de receitas
• Art. 6(1)(b): Execução do contrato — para o registo do ciclo e funções essenciais
• Art. 6(1)(f): Interesse legítimo — para o diagnóstico de falhas (Sentry) e para a garantia de qualidade anonimizada das respostas da IA (apenas metadados, sem conteúdo do chat; ver "Serviços de IA"). Podes opor-te a qualquer momento (art. 21), o mais simples é o interruptor de relatórios de falhas nas Definições ou por e-mail para privacy@icoso.es.
• Art. 9(2)(a): Consentimento explícito — para dados de saúde (categoria especial)

🌍 INFRAESTRUTURA E TRANSFERÊNCIAS PARA PAÍSES TERCEIROS
• Backend: Hetzner Cloud (UE)
• Base de dados: operada por nós em servidores da Hetzner Online GmbH (UE)
• Cópias de segurança cifradas: Scaleway Object Storage (Paris, UE) - apenas texto cifrado, ilegível em claro para nós e para a Scaleway
• Os teus dados de saúde permanecem na UE.

Para os EUA são transferidos exclusivamente:
• Geração de imagens (OpenAI): apenas termos de pesquisa em inglês — sem dados de saúde, sem identidade (Cláusulas Contratuais-Tipo da UE).
• Gestão de subscrições (RevenueCat): apenas estado da subscrição e identificador anonimizado (um hash sha256 do teu ID de conta, não o ID em si — a RevenueCat não o pode associar a ti) — sem dados de saúde (Cláusulas Contratuais-Tipo da UE).
A Apple (App Store) e a Google (Play) tratam os dados de pagamento e da loja como responsáveis independentes segundo as suas próprias políticas de privacidade.

🍎 APPLE SAÚDE E GOOGLE HEALTH CONNECT
Com o teu consentimento explícito, a Luna importa dados de saúde do Apple HealthKit ou do Google Health Connect (p. ex., sono, frequência cardíaca em repouso, temperatura corporal) para melhorar as tuas análises do ciclo.
Estes dados são usados exclusivamente para as funções da app — NÃO para publicidade, NÃO são vendidos NEM partilhados com terceiros.
Como todos os teus dados de saúde, são guardados cifrados de ponta a ponta. Podes revogar o acesso a qualquer momento nas definições do dispositivo.

🛡️ DADOS BIOMÉTRICOS
• Face ID / Touch ID são processados apenas localmente no teu dispositivo
• Não guardamos dados biométricos
• A palavra-passe guardada reside no Porta-chaves iOS / Keystore Android (proteção por hardware)

❌ O QUE NÃO FAZEMOS
• Sem publicidade, sem rastreadores, sem analytics
• Sem venda nem partilha de dados
• Sem algoritmos de perfilagem

✅ OS TEUS DIREITOS (RGPD)
• Art. 15: Acesso → Definições > Transferir dados
• Art. 16: Retificação → perfil editável a qualquer momento
• Art. 17: Apagamento → Definições > Eliminar conta (imediato, irreversível)
• Art. 20: Portabilidade → exportação JSON de todos os dados
• Art. 21: Oposição ao tratamento baseado em interesse legítimo (relatórios de falhas) → interruptor nas Definições ou privacy@icoso.es
• Art. 7(3): Retirada do consentimento → possível a qualquer momento
• Art. 77: Direito de reclamação junto de uma autoridade de proteção de dados — p. ex., a AEPD espanhola (www.aepd.es) ou a autoridade do teu local de residência

🔄 CONSERVAÇÃO DE DADOS
• Quando eliminas a tua conta, os teus dados são removidos de imediato dos nossos sistemas ativos
• As cópias residuais em backups técnicos cifrados são eliminadas no prazo de 7 dias com o ciclo diário de backups; se excecionalmente um backup for restaurado, um procedimento registado volta a remover as contas já eliminadas
• Os relatórios de falhas (Sentry) são eliminados automaticamente após a retenção padrão do fornecedor (90 dias); ao eliminar a conta, os teus eventos são ativamente removidos

📧 Contacto: privacy@icoso.es

🌙 Made with ❤️ in the EU