Política de Privacidade

Última atualização: 28 de Maio de 2026

1. Introdução

Nós do HolyFast ("nós", "nosso" ou "Aplicativo"), desenvolvido por Leonardo Colodette, levamos sua privacidade a sério. Esta Política de Privacidade explica como coletamos, usamos, divulgamos e protegemos suas informações quando você utiliza nosso aplicativo.

Ao utilizar o Aplicativo, você concorda com a coleta e uso de informações conforme descrito nesta política. Se você não concordar, por favor não utilize o Aplicativo.

Responsável pelo tratamento de dados: Leonardo Colodette

Encarregado de Proteção de Dados (DPO): Leonardo Colodette — holyfast.app@gmail.com

2. Informações que Coletamos

2.1 Dados da Conta

Ao criar uma conta, coletamos:

Nome e e-mail: fornecidos diretamente ou via login social (Google, Apple)
Método de autenticação: Google Sign-In, Apple Sign-In ou e-mail/senha
Fuso horário e idioma: detectados automaticamente do seu dispositivo

Verificação de idade: durante o onboarding, solicitamos sua data de nascimento exclusivamente para verificar a idade mínima de 13 anos exigida para uso do Aplicativo. Essa informação não é armazenada em nossos servidores após a verificação — utilizamos apenas para calcular a idade no momento do cadastro e bloquear o fluxo caso o usuário seja menor de 13 anos. A base legal para essa coleta é o cumprimento de obrigação legal (LGPD Art. 14) e o legítimo interesse na proteção de crianças (LGPD Art. 7º, IX).

2.2 Dados de Autenticação Social

Ao se cadastrar via Google ou Apple, recebemos:

Identificador da conta (Google ID ou Apple ID)
Tokens de autenticação (OAuth)
Nome e e-mail associados à conta social

2.3 Dados de Onboarding e Perfil

Durante o processo de configuração inicial, você pode fornecer voluntariamente:

Fonte de descoberta: como conheceu o Aplicativo
Jornada de fé: nível da sua caminhada espiritual
Experiência com jejum: frequência anterior de jejuns
Estado emocional: como você está se sentindo no momento
Objetivo espiritual: transformação que busca com o jejum

Esses dados são coletados durante o onboarding e enviados ao servidor somente após a criação da sua conta. Com exceção do nome, todas essas informações são opcionais e podem ser ignoradas.

2.4 Dados de Jejum e Espirituais

Ao usar os recursos do Aplicativo, coletamos:

Configurações de jejum (propósito, datas, duração, tipo)
Itens de abstinência escolhidos (alimentos, bebidas, tecnologia, hábitos, etc.)
Horários de foco para oração
Histórico de jejuns realizados
Reflexões e anotações espirituais
Favoritos de oração, testemunhos e histórico de versículos bíblicos
Preferências de notificação e lembretes
Configurações de visibilidade do jejum (privado, grupo ou público)

2.5 Dados de Participantes

Ao criar um jejum em grupo, você pode fornecer e-mails de outras pessoas para convidá-las. Esses e-mails são utilizados exclusivamente para o envio de um convite único e são descartados caso o convidado não crie uma conta no Aplicativo.

2.6 Dados Coletados Automaticamente

Quando você utiliza o Aplicativo, coletamos automaticamente:

Dados do dispositivo: modelo, sistema operacional, idioma, identificadores do dispositivo
Dados de uso: recursos utilizados, telas visitadas, interações com o Aplicativo
Dados de log: endereço IP (resolvido para geolocalização), horários de acesso, falhas e diagnósticos
Tokens de notificação push: identificador do dispositivo para envio de notificações
Identificador de publicidade (IDFA no iOS / GAID no Android): coletado somente mediante sua autorização. No iOS, a coleta ocorre apenas se você permitir o rastreamento na solicitação do App Tracking Transparency (ATT) exibida pelo sistema; no Android, conforme as configurações de anúncios do seu dispositivo.

2.7 Dados de Pagamento

Assinaturas: processadas pela Apple App Store ou Google Play Store por meio de um serviço de gerenciamento de assinaturas. Não armazenamos dados de cartão de crédito. Armazenamos: status da assinatura, tipo de plano, data de expiração e identificador do cliente no provedor de pagamento.

2.8 PIN de Segurança

Caso opte por configurar um PIN, o código de 4 dígitos é armazenado de forma segura no servidor (com hash criptográfico). O reset de PIN é feito por e-mail.

3. Dados Pessoais Sensíveis

O Aplicativo coleta dados que podem ser classificados como dados pessoais sensíveis conforme a LGPD (Art. 11) e o GDPR (Art. 9), incluindo informações relacionadas a convicção religiosa e bem-estar emocional:

Jornada de fé e nível de prática espiritual
Estado emocional no momento do jejum
Objetivos espirituais e propósito do jejum (incluindo texto livre)
Reflexões pessoais e anotações espirituais
Versículos bíblicos selecionados e favoritos de oração

Aviso sobre texto livre: O campo de propósito do jejum permite digitação livre. Se você incluir informações pessoais ou sensíveis (como nomes, condições de saúde ou dados de terceiros) nesse campo, essas informações poderão ser enviadas ao nosso provedor de inteligência artificial para geração de sugestões de versículos. Recomendamos fortemente que você não inclua dados pessoais identificáveis nesse campo.

Base legal: O tratamento desses dados é realizado com base no seu consentimento específico e destacado (LGPD Art. 11, I / GDPR Art. 9(2)(a)), fornecido por meio de uma tela de consentimento dedicada dentro do Aplicativo, apresentada antes da coleta de qualquer dado sensível. Nessa tela, você é informado de forma clara e específica sobre quais dados sensíveis serão coletados, suas finalidades e seus direitos, podendo aceitar ou recusar de forma granular. O fornecimento de dados sensíveis é sempre opcional — você pode utilizar o Aplicativo sem fornecê-los.

Voluntariedade: O fornecimento desses dados é voluntário. Perguntas sobre jornada de fé, estado emocional e objetivo espiritual podem ser ignoradas durante o onboarding sem prejuízo ao uso do Aplicativo.

Revogação: Você pode revogar seu consentimento para o tratamento de dados sensíveis a qualquer momento entrando em contato pelo e-mail indicado na Seção 18. A revogação não afeta a legalidade do tratamento realizado antes da revogação.

4. Base Legal para Tratamento (LGPD/GDPR)

Tratamos seus dados pessoais com base nas seguintes bases legais, conforme a finalidade:

Execução de contrato (Art. 7, V): cadastro, autenticação, funcionalidades do app (jejum, oração, reflexão) e processamento de pagamentos
Consentimento específico e destacado (Art. 11, I): dados religiosos e espirituais (dados sensíveis, conforme Seção 3), obtido por meio da aceitação informada desta Política e do fornecimento voluntário desses dados
Consentimento (Art. 7, I): notificações push e comunicações de marketing
Consentimento (Art. 7, I): rastreamento publicitário e coleta do identificador de publicidade para mensuração e atribuição de campanhas. No iOS, esse consentimento é obtido por meio do App Tracking Transparency (ATT)
Legítimo interesse (Art. 7, IX): analytics de uso, monitoramento de erros e envio de convite único para jejum em grupo
Obrigação legal: cumprimento de obrigações fiscais e regulatórias relacionadas a pagamentos

5. Como Usamos Suas Informações

Utilizamos as informações coletadas para:

Fornecer, operar e manter o Aplicativo
Gerenciar sua conta e assinatura, incluindo o controle de acesso aos recursos exclusivos disponíveis para assinantes
Personalizar conteúdo devocional, sugestões de oração e orientações de jejum com base no seu perfil espiritual (quando fornecido voluntariamente)
Habilitar recursos sociais (jejuns em grupo e públicos)
Enviar convites únicos de jejum em grupo para e-mails de terceiros fornecidos por você
Gerar sugestões de versículos bíblicos por meio de inteligência artificial, com base no texto do propósito do jejum informado por você (veja Seção 7 para detalhes sobre os dados compartilhados com o provedor de IA)
Entregar conteúdo de oração, cursos e versículos bíblicos
Enviar notificações push de lembretes e convites de jejum
Enviar e-mails essenciais ao serviço (verificação de conta, reset de PIN, atualizações dos Termos ou Política de Privacidade)
Enviar e-mails promocionais e informativos sobre novidades, dicas e conteúdos do HolyFast (com opção de descadastramento)
Analisar o uso para aprimorar nossos serviços (analytics)
Mensurar a eficácia de campanhas publicitárias e atribuir instalações e conversões aos anúncios que as originaram (mediante sua autorização)
Detectar, prevenir e resolver problemas técnicos
Processar pagamentos de assinaturas

6. Compartilhamento de Informações

Podemos compartilhar informações com:

Outros participantes: ao participar de jejuns em grupo, seu nome e e-mail ficam visíveis para os demais participantes. Em jejuns públicos, apenas o nome do criador é visível.
Convidados de jejum: ao criar um jejum em grupo, os e-mails que você fornecer receberão um convite único. Esses e-mails não são utilizados para marketing ou qualquer outra finalidade além do convite.
Provedores de serviço: terceiros que nos auxiliam na operação do Aplicativo (detalhados na Seção 7)
Plataformas de publicidade e atribuição: caso você autorize o rastreamento, compartilhamos o identificador de publicidade, identificadores do dispositivo, endereço IP e eventos do app (como instalação, cadastro e compra) com Meta e TikTok, para mensurar e otimizar campanhas (detalhado na Seção 7). Esses eventos não incluem seus dados sensíveis (convicção religiosa, bem-estar emocional, reflexões e objetivos espirituais).
Obrigações legais: quando exigido por lei ou para proteger nossos direitos
Transferência de negócios: em caso de fusão, aquisição ou venda de ativos

7. Serviços de Terceiros

O Aplicativo utiliza serviços de terceiros para operar. Abaixo descrevemos as categorias de serviços, os dados compartilhados e a localização dos provedores:

Provedor de autenticação (EUA): gerencia login e criação de conta (Google, Apple, e-mail/senha). Dados compartilhados: e-mail, nome, identificadores de conta social, tokens de autenticação.
Banco de dados e backend (EUA): armazena todos os dados do Aplicativo (jejuns, reflexões, orações, perfil, dados de onboarding). Dados compartilhados: todo conteúdo gerado pelo usuário.
Serviço de analytics (EUA): analisa como o Aplicativo é utilizado para melhorar a experiência. Dados compartilhados: identificador do usuário, e-mail, nome, idioma, fuso horário, eventos de uso (telas visitadas, ações realizadas).
Monitoramento de erros (EUA): detecta erros e problemas técnicos. Dados compartilhados: identificador do usuário, e-mail, endereço IP (resolvido automaticamente), informações do dispositivo, dados de erro. Dados pessoais identificáveis são anonimizados por padrão neste serviço.
Gerenciamento de assinaturas (EUA): gerencia a assinatura via Apple App Store e Google Play Store. Dados compartilhados: identificador do usuário, recibos de compra, status da assinatura.
Plataformas de publicidade e atribuição (EUA): Meta e TikTok. Mensuram a eficácia de campanhas e atribuem instalações e conversões aos anúncios. Dados compartilhados: identificador de publicidade (IDFA/GAID), identificadores do dispositivo, endereço IP e eventos do app (instalação, cadastro, compra). Esse compartilhamento ocorre somente mediante sua autorização — no iOS, apenas se você permitir o rastreamento na solicitação do App Tracking Transparency (ATT). Os dados enviados a essas plataformas se limitam aos itens listados acima e não incluem dados sensíveis (convicção religiosa, bem-estar emocional, reflexões e anotações espirituais), que permanecem no Aplicativo para operá-lo.
Provedor de inteligência artificial (EUA): gera sugestões de versículos bíblicos personalizados com base no propósito do jejum informado por você. Dados compartilhados: texto do propósito do jejum, conforme digitado por você. Importante: como o campo de propósito é de texto livre, o conteúdo enviado ao provedor depende do que você digitar. Recomendamos que você não inclua dados pessoais identificáveis (como nomes, condições de saúde ou informações de terceiros) no campo de propósito. O Aplicativo não envia automaticamente nenhum outro dado pessoal (como nome, e-mail ou identificadores) a este provedor.
APIs de conteúdo bíblico (Brasil e EUA): fornecem textos de versículos bíblicos. Dados compartilhados: referências bíblicas solicitadas. Nenhum dado pessoal é compartilhado.
E-mails transacionais (EUA): envia e-mails de verificação de conta, reset de PIN e convites de jejum em grupo. Dados compartilhados: e-mail.
Notificações push (EUA): entrega notificações push e atualizações do Aplicativo. Dados compartilhados: token de notificação push, identificadores do dispositivo.

Cada provedor possui sua própria política de privacidade e está localizado nos países indicados acima.

8. Armazenamento e Segurança

Seus dados são armazenados em servidores de provedores terceirizados com criptografia em trânsito (HTTPS/TLS) e em repouso. Adotamos as seguintes medidas de segurança:

Senhas e PIN armazenados com hash criptográfico
Tokens de autenticação armazenados localmente usando armazenamento seguro do dispositivo
Controle de acesso por linha no banco de dados (Row-Level Security), garantindo que cada usuário acesse apenas seus próprios dados
Dados pessoais identificáveis anonimizados por padrão no serviço de monitoramento de erros

Empregamos medidas de segurança técnicas e organizacionais razoáveis para proteger suas informações. Nenhum método de transmissão pela internet ou armazenamento eletrônico é 100% seguro, e não podemos garantir segurança absoluta.

9. Transferência Internacional de Dados

Seus dados podem ser transferidos e armazenados em servidores localizados fora do seu país de residência, incluindo Estados Unidos, onde estão localizados a maioria dos nossos provedores de serviço.

Ao utilizar o Aplicativo e consentir com esta Política, você autoriza essa transferência conforme previsto no Art. 33, VIII da LGPD. Adotamos salvaguardas contratuais razoáveis para proteger seus dados nessas transferências, incluindo a verificação de que nossos provedores mantêm políticas de proteção de dados adequadas.

10. Seus Direitos (LGPD - Brasil)

Se você está no Brasil, a Lei Geral de Proteção de Dados (LGPD, Art. 18) garante os seguintes direitos:

Confirmação da existência de tratamento de dados
Acesso aos seus dados
Correção de dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação de dados desnecessários
Portabilidade dos dados a outro fornecedor de serviço (mediante solicitação por e-mail)
Eliminação dos dados tratados com consentimento
Informação sobre compartilhamento de dados
Revogação do consentimento
Oposição ao tratamento, incluindo opt-out de analytics e do rastreamento publicitário (no iOS, pela solicitação do ATT; no Android, pelas configurações de anúncios do dispositivo)
Revisão de decisões automatizadas que afetem seus interesses

Para exercer esses direitos, entre em contato: holyfast.app@gmail.com. Responderemos em prazo razoável.

Nota: Todos os direitos, incluindo portabilidade, oposição ao tratamento de analytics e revogação de consentimento para dados sensíveis, são exercidos por e-mail ao Encarregado de Proteção de Dados (DPO).

Exclusão de conta: você pode excluir sua conta e todos os dados associados diretamente no Aplicativo em Perfil > Excluir Conta. Esta ação é permanente e não pode ser desfeita.

11. Seus Direitos (GDPR - União Europeia)

Se você está na União Europeia, o GDPR garante os seguintes direitos:

Direito de acesso aos seus dados pessoais
Direito de retificação de dados incorretos
Direito ao apagamento ("direito ao esquecimento")
Direito à limitação do tratamento
Direito à portabilidade dos dados
Direito de oposição ao tratamento, incluindo oposição a analytics e ao rastreamento publicitário (no iOS, pela solicitação do ATT; no Android, pelas configurações de anúncios do dispositivo)
Direitos relacionados a decisões automatizadas
Direito de apresentar reclamação junto a uma autoridade supervisora

Para exercer esses direitos, entre em contato: holyfast.app@gmail.com. Responderemos em prazo razoável.

12. Seus Direitos (CCPA/CPRA - Califórnia, EUA)

Se você é residente da Califórnia, a CCPA/CPRA garante o direito de saber, acessar, corrigir e excluir seus dados, o direito de recusar o compartilhamento de dados pessoais para publicidade, o direito de limitar o uso de dados sensíveis e o direito de não ser discriminado por exercer esses direitos.

Categorias de informações pessoais que coletamos:

Identificadores: nome, e-mail, identificadores de conta, identificador de publicidade (IDFA/GAID), identificadores do dispositivo e endereço IP
Informações comerciais: status e histórico de assinatura
Atividade de uso do app e da internet: telas visitadas, ações realizadas e eventos do app
Geolocalização aproximada: derivada do endereço IP
Informações sensíveis: convicção religiosa, bem-estar emocional, reflexões e objetivos espirituais

Dados compartilhados para publicidade: caso você autorize o rastreamento, compartilhamos com a Meta e o TikTok o identificador de publicidade, identificadores do dispositivo, endereço IP e eventos do app (instalação, cadastro e compra), para medir e otimizar campanhas. A CCPA/CPRA classifica esse tipo de compartilhamento para publicidade entre contextos como "compartilhamento", mesmo sem qualquer pagamento envolvido. Você pode recusá-lo a qualquer momento (veja "Como recusar" abaixo).

Destinatários: Meta e TikTok (publicidade e atribuição) e nosso provedor de analytics.

Dados sensíveis: os eventos enviados às plataformas de publicidade não incluem dados sensíveis. As informações sobre convicção religiosa, bem-estar emocional, reflexões e objetivos espirituais são usadas exclusivamente para operar o Aplicativo.

Como recusar (opt-out): no iOS, basta não permitir o rastreamento na solicitação do App Tracking Transparency (ATT) ou desativá-lo em Ajustes > Privacidade e Segurança > Rastreamento. No Android, ative a opção de limitar anúncios personalizados nas configurações de anúncios do dispositivo. Você também pode solicitar o opt-out pelo e-mail indicado na Seção 18.

13. Privacidade de Crianças e Adolescentes

O Aplicativo não é destinado a menores de 18 anos sem consentimento de um responsável legal, conforme exigido pela LGPD (Art. 14). Não coletamos intencionalmente informações de crianças menores de 13 anos.

Verificação de idade no onboarding: solicitamos a data de nascimento durante o cadastro para bloquear usuários menores de 13 anos. A data de nascimento não é armazenada — é utilizada apenas para calcular a idade no momento do cadastro. Usuários que declararem idade inferior a 13 anos não conseguem concluir o cadastro.

Menores entre 13 e 17 anos podem utilizar o Aplicativo com o consentimento de um responsável legal. Para realizar compras (assinaturas), é necessário ter pelo menos 18 anos.

Caso um usuário forneça data de nascimento falsa para contornar a verificação, a responsabilidade pelo uso indevido é do próprio usuário ou de seu responsável legal. Se descobrirmos que coletamos dados pessoais de uma criança menor de 13 anos sem consentimento adequado, tomaremos medidas para deletar essas informações o mais rápido possível.

14. Retenção de Dados

Dados de conta e conteúdo: enquanto sua conta estiver ativa
Dados de analytics: até 12 meses
Dados de erros: até 90 dias
Registros de pagamento: até 5 anos, conforme obrigações fiscais e regulatórias brasileiras
E-mails de convidados que não criaram conta: descartados após o envio do convite
Após exclusão da conta: até 30 dias para exclusão completa dos dados

15. Limitação de Responsabilidade

Empregamos medidas de segurança razoáveis para proteger suas informações. No entanto, na extensão máxima permitida por lei, não nos responsabilizamos por:

Vazamentos de dados causados por ataques de terceiros ou falhas de segurança
Perda ou corrupção de dados por eventos fora do nosso controle
Acesso não autorizado resultante de negligência do usuário (como compartilhamento de credenciais)
Interceptação de dados durante a transmissão

Você reconhece que nenhum sistema é 100% seguro contra ataques cibernéticos.

Ressalva: Nenhuma disposição desta seção exclui ou limita nossa responsabilidade quando tal exclusão ou limitação for vedada pela legislação aplicável, incluindo o Código de Defesa do Consumidor (Lei 8.078/1990) e a LGPD (Lei 13.709/2018).

16. Notificação de Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, nos comprometemos a:

Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme o Art. 48 da LGPD
Notificar os titulares afetados, quando o incidente puder acarretar risco ou dano relevante
Descrever a natureza dos dados afetados, as medidas técnicas e de segurança adotadas, os riscos envolvidos e as medidas tomadas para reverter ou mitigar os efeitos do incidente

A comunicação será feita por e-mail e/ou por meio de notificação no Aplicativo, conforme a gravidade e a urgência do incidente.

17. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Notificaremos sobre alterações significativas através do Aplicativo ou por outros meios. O uso continuado do Aplicativo após as alterações constitui aceitação da política atualizada.

18. Contato

Responsável: Leonardo Colodette

Encarregado de Proteção de Dados (DPO): Leonardo Colodette

E-mail: holyfast.app@gmail.com

Privacy Policy

Last updated: May 28, 2026

1. Introduction

At HolyFast ("we", "our", or "App"), developed by Leonardo Colodette, we take your privacy seriously. This Privacy Policy explains how we collect, use, disclose, and safeguard your information when you use our application.

By using the App, you agree to the collection and use of information as described in this policy. If you do not agree, please do not use the App.

Data Controller: Leonardo Colodette

Data Protection Officer (DPO): Leonardo Colodette — holyfast.app@gmail.com

2. Information We Collect

2.1 Account Data

When you create an account, we collect:

Name and email: provided directly or via social login (Google, Apple)
Authentication method: Google Sign-In, Apple Sign-In, or email/password
Timezone and language: automatically detected from your device

Age verification: during onboarding, we request your date of birth solely to verify the minimum age of 13 years required to use the App. This information is not stored on our servers after verification — we use it only to calculate your age at signup and block the flow if the user is under 13. The legal basis for this collection is compliance with legal obligation (LGPD Art. 14 / GDPR Art. 8) and legitimate interest in child protection.

2.2 Social Authentication Data

When you sign up via Google or Apple, we receive:

Account identifier (Google ID or Apple ID)
Authentication tokens (OAuth)
Name and email associated with the social account

2.3 Onboarding and Profile Data

During the initial setup process, you may voluntarily provide:

Discovery source: how you found the App
Faith journey: level of your spiritual walk
Fasting experience: previous fasting frequency
Emotional state: how you are feeling at the moment
Spiritual goal: transformation you seek through fasting

This data is collected during onboarding and sent to the server only after your account is created. Except for the name, all of this information is optional and can be skipped.

2.4 Fasting and Spiritual Data

When you use App features, we collect:

Fasting settings (purpose, dates, duration, type)
Chosen abstinence items (food, drinks, technology, habits, etc.)
Prayer focus times
Fasting history
Spiritual reflections and notes
Prayer bookmarks, testimonies, and Bible verse history
Notification and reminder preferences
Fasting visibility settings (private, group, or public)

2.5 Participant Data

When you create a group fast, you may provide email addresses of other people to invite them. These emails are used exclusively to send a single invitation and are discarded if the invitee does not create an account in the App.

2.6 Automatically Collected Data

When you use the App, we automatically collect:

Device data: model, operating system, language, device identifiers
Usage data: features used, screens visited, interactions with the App
Log data: IP address (resolved for geolocation), access times, crashes and diagnostics
Push notification tokens: device identifier for sending notifications
Advertising identifier (IDFA on iOS / GAID on Android): collected only with your authorization. On iOS, collection occurs only if you allow tracking in the App Tracking Transparency (ATT) prompt shown by the system; on Android, according to your device's ad settings.

2.7 Payment Data

Subscriptions: processed by Apple App Store or Google Play Store through a subscription management service. We do not store credit card data. We store: subscription status, plan type, expiration date, and customer identifier with the payment provider.

2.8 Security PIN

If you choose to set up a PIN, the 4-digit code is securely stored on the server (cryptographically hashed). PIN reset is done via email.

3. Sensitive Personal Data

The App collects data that may be classified as sensitive personal data under the LGPD (Art. 11) and GDPR (Art. 9), including information related to religious beliefs and emotional well-being:

Faith journey and level of spiritual practice
Emotional state at the time of fasting
Spiritual goals and fasting purpose (including free text)
Personal reflections and spiritual notes
Selected Bible verses and prayer bookmarks

Free text warning: The fasting purpose field allows free text input. If you include personal or sensitive information (such as names, health conditions, or third-party data) in this field, that information may be sent to our artificial intelligence provider for verse generation. We strongly recommend that you do not include personally identifiable data in this field.

Legal basis: The processing of this data is based on your specific and prominent consent (LGPD Art. 11, I / GDPR Art. 9(2)(a)), provided through a dedicated in-App consent screen presented before any sensitive data is collected. On this screen, you are clearly and specifically informed about which sensitive data will be collected, its purposes, and your rights, and you can accept or decline in a granular manner. Providing sensitive data is always optional — you may use the App without providing it.

Voluntariness: Providing this data is voluntary. Questions about faith journey, emotional state, and spiritual goals can be skipped during onboarding without affecting your use of the App.

Withdrawal: You may withdraw your consent for the processing of sensitive data at any time by contacting us at the email provided in Section 18. Withdrawal does not affect the lawfulness of processing carried out before the withdrawal.

4. Legal Basis for Processing (LGPD/GDPR)

We process your personal data based on the following legal bases, according to the purpose:

Contract performance (Art. 7, V): registration, authentication, app features (fasting, prayer, reflection), and payment processing
Specific and prominent consent (Art. 11, I): religious and spiritual data (sensitive data, as described in Section 3), obtained through informed acceptance of this Policy and voluntary provision of such data
Consent (Art. 7, I): push notifications and marketing communications
Consent (Art. 7, I): advertising tracking and collection of the advertising identifier for campaign measurement and attribution. On iOS, this consent is obtained through App Tracking Transparency (ATT)
Legitimate interest (Art. 7, IX): usage analytics, error monitoring, and sending a single group fast invitation
Legal obligation: compliance with tax and regulatory obligations related to payments

5. How We Use Your Information

We use the collected information to:

Provide, operate, and maintain the App
Manage your account and subscription, including controlling access to the exclusive features available to subscribers
Personalize devotional content, prayer suggestions, and fasting guidance based on your spiritual profile (when voluntarily provided)
Enable social features (group and public fasts)
Send single group fast invitations to third-party emails provided by you
Generate Bible verse suggestions through artificial intelligence, based on the fasting purpose text you provide (see Section 7 for details on data shared with the AI provider)
Deliver prayer content, courses, and Bible verses
Send push notifications for reminders and fasting invitations
Send essential service emails (account verification, PIN reset, updates to the Terms or Privacy Policy)
Send promotional and informational emails about news, tips, and HolyFast content (with unsubscribe option)
Analyze usage to enhance our services (analytics)
Measure the effectiveness of advertising campaigns and attribute installs and conversions to the ads that originated them (subject to your authorization)
Detect, prevent, and address technical issues
Process subscription payments

6. Information Sharing

We may share information with:

Other participants: when you participate in group fasts, your name and email are visible to other participants. In public fasts, only the creator's name is visible.
Fast invitees: when you create a group fast, the emails you provide will receive a single invitation. These emails are not used for marketing or any other purpose beyond the invitation.
Service providers: third parties that help us operate the App (detailed in Section 7)
Advertising and attribution platforms: if you authorize tracking, we share the advertising identifier, device identifiers, IP address, and app events (such as install, sign-up, and purchase) with Meta and TikTok, to measure and optimize campaigns (detailed in Section 7). These events do not include your sensitive data (religious beliefs, emotional well-being, spiritual reflections and goals).
Legal obligations: when required by law or to protect our rights
Business transfers: in case of merger, acquisition, or asset sale

7. Third-Party Services

The App uses third-party services to operate. Below we describe the categories of services, the data shared, and the location of providers:

Authentication provider (USA): manages login and account creation (Google, Apple, email/password). Data shared: email, name, social account identifiers, authentication tokens.
Database and backend (USA): stores all App data (fasts, reflections, prayers, profile, onboarding data). Data shared: all user-generated content.
Analytics service (USA): analyzes how the App is used to improve the experience. Data shared: user identifier, email, name, language, timezone, usage events (screens visited, actions taken).
Error monitoring (USA): detects errors and technical issues. Data shared: user identifier, email, IP address (automatically resolved), device information, error data. Personally identifiable data is anonymized by default in this service.
Subscription management (USA): manages the subscription via Apple App Store and Google Play Store. Data shared: user identifier, purchase receipts, subscription status.
Advertising and attribution platforms (USA): Meta and TikTok. Measure campaign effectiveness and attribute installs and conversions to ads. Data shared: advertising identifier (IDFA/GAID), device identifiers, IP address, and app events (install, sign-up, purchase). This sharing occurs only with your authorization — on iOS, only if you allow tracking in the App Tracking Transparency (ATT) prompt. The data sent to these platforms is limited to the items listed above and does not include sensitive data (religious beliefs, emotional well-being, spiritual reflections and notes), which remains in the App to operate it.
Artificial intelligence provider (USA): generates personalized Bible verse suggestions based on the fasting purpose you provide. Data shared: fasting purpose text, as typed by you. Important: since the purpose field is free text, the content sent to the provider depends on what you type. We recommend that you do not include personally identifiable information (such as names, health conditions, or third-party information) in the purpose field. The App does not automatically send any other personal data (such as name, email, or identifiers) to this provider.
Bible content APIs (Brazil and USA): provide Bible verse texts. Data shared: requested Bible references. No personal data is shared.
Transactional emails (USA): sends account verification, PIN reset, and group fast invitation emails. Data shared: email.
Push notifications (USA): delivers push notifications and App updates. Data shared: push notification token, device identifiers.

Each provider has its own privacy policy and is located in the countries indicated above.

8. Storage and Security

Your data is stored on third-party provider servers with encryption in transit (HTTPS/TLS) and at rest. We adopt the following security measures:

Passwords and PIN stored with cryptographic hashing
Authentication tokens stored locally using secure device storage
Row-Level Security on the database, ensuring each user can only access their own data
Personally identifiable data anonymized by default in the error monitoring service

We employ reasonable technical and organizational security measures to protect your information. No method of transmission over the internet or electronic storage is 100% secure, and we cannot guarantee absolute security.

9. International Data Transfer

Your data may be transferred to and stored on servers located outside your country of residence, including the United States, where most of our service providers are located.

By using the App and consenting to this Policy, you authorize this transfer as provided in Art. 33, VIII of the LGPD. We adopt reasonable contractual safeguards to protect your data in these transfers, including verifying that our providers maintain adequate data protection policies.

10. Your Rights (LGPD - Brazil)

If you are in Brazil, the LGPD (Art. 18) guarantees the following rights:

Confirmation of data processing
Access to your data
Correction of incomplete, inaccurate, or outdated data
Anonymization, blocking, or deletion of unnecessary data
Data portability to another service provider (upon request via email)
Deletion of data processed with consent
Information about data sharing
Withdrawal of consent
Objection to processing, including opt-out of analytics and advertising tracking (on iOS, via the ATT prompt; on Android, via your device's ad settings)
Review of automated decisions that affect your interests

To exercise these rights, contact us at: holyfast.app@gmail.com. We will respond within a reasonable timeframe.

Note: All rights, including data portability, objection to analytics processing, and withdrawal of consent for sensitive data, are exercised via email to the Data Protection Officer (DPO).

Account deletion: you can delete your account and all associated data directly in the App through Profile > Delete Account. This action is permanent and cannot be undone.

11. Your Rights (GDPR - European Union)

If you are in the European Union, the GDPR guarantees the following rights:

Right of access to your personal data
Right to rectification of incorrect data
Right to erasure ("right to be forgotten")
Right to restriction of processing
Right to data portability
Right to object to processing, including objection to analytics and advertising tracking (on iOS, via the ATT prompt; on Android, via your device's ad settings)
Rights related to automated decision-making
Right to lodge a complaint with a supervisory authority

To exercise these rights, contact us at: holyfast.app@gmail.com. We will respond within a reasonable timeframe.

12. Your Rights (CCPA/CPRA - California, USA)

If you are a California resident, the CCPA/CPRA guarantees the right to know, access, correct, and delete your data, the right to opt out of the sharing of personal data for advertising, the right to limit the use of sensitive data, and the right not to be discriminated against for exercising these rights.

Categories of personal information we collect:

Identifiers: name, email, account identifiers, advertising identifier (IDFA/GAID), device identifiers, and IP address
Commercial information: subscription status and history
App and internet activity: screens visited, actions taken, and app events
Approximate geolocation: derived from the IP address
Sensitive information: religious beliefs, emotional well-being, spiritual reflections and goals

Data shared for advertising: if you authorize tracking, we share with Meta and TikTok the advertising identifier, device identifiers, IP address, and app events (install, sign-up, and purchase), to measure and optimize campaigns. The CCPA/CPRA classifies this kind of cross-context advertising sharing as "sharing," even when no payment is involved. You can opt out at any time (see "How to opt out" below).

Recipients: Meta and TikTok (advertising and attribution) and our analytics provider.

Sensitive data: the events sent to advertising platforms do not include sensitive data. Information about religious beliefs, emotional well-being, spiritual reflections and goals is used solely to operate the App.

How to opt out: on iOS, simply do not allow tracking in the App Tracking Transparency (ATT) prompt, or disable it in Settings > Privacy & Security > Tracking. On Android, enable the option to limit personalized ads in your device's ad settings. You may also request opt-out via the email indicated in Section 18.

13. Children's and Adolescents' Privacy

The App is not intended for minors under 18 without the consent of a legal guardian, as required by the LGPD (Art. 14). We do not knowingly collect information from children under 13.

Age verification during onboarding: we request your date of birth during signup to block users under 13 years old. The date of birth is not stored — it is used only to calculate age at signup. Users who declare an age under 13 cannot complete registration.

Minors between 13 and 17 years old may use the App with the consent of a legal guardian. To make purchases (subscriptions), you must be at least 18 years old.

If a user provides a false date of birth to bypass verification, responsibility for improper use lies with the user or their legal guardian. If we learn that we have collected personal data from a child under 13 without adequate consent, we will take steps to delete that information as quickly as possible.

14. Data Retention

Account and content data: while your account is active
Analytics data: up to 12 months
Error data: up to 90 days
Payment records: up to 5 years, as required by Brazilian tax and regulatory obligations
Invitee emails (non-registered): discarded after the invitation is sent
After account deletion: up to 30 days for complete data deletion

15. Limitation of Liability

We employ reasonable security measures to protect your information. However, to the maximum extent permitted by law, we are not responsible for:

Data breaches caused by third-party attacks or security failures
Loss or corruption of data due to events beyond our control
Unauthorized access resulting from user negligence (such as sharing credentials)
Interception of data during transmission

You acknowledge that no system is 100% secure against cyberattacks.

Reservation: Nothing in this section excludes or limits our liability where such exclusion or limitation is prohibited by applicable law, including the Brazilian Consumer Protection Code (Law 8,078/1990) and the LGPD (Law 13,709/2018).

16. Security Incident Notification

In the event of a security incident that may pose a relevant risk or harm to personal data subjects, we commit to:

Notify the Brazilian National Data Protection Authority (ANPD) within a reasonable timeframe, in accordance with Art. 48 of the LGPD
Notify affected data subjects when the incident may pose a relevant risk or harm
Describe the nature of the affected data, the technical and security measures adopted, the risks involved, and the measures taken to reverse or mitigate the effects of the incident

Notification will be provided via email and/or through an in-App notification, depending on the severity and urgency of the incident.

17. Changes to This Policy

We may update this Policy periodically. We will notify you of significant changes through the App or by other means. Continued use of the App after changes constitutes acceptance of the updated policy.

18. Contact

Data Controller: Leonardo Colodette

Data Protection Officer (DPO): Leonardo Colodette

Email: holyfast.app@gmail.com