Smart Health Bracelet V4: Rejeitado — Dados de Saúde Sem Proteção

O Dispositivo: Pulseira de Saúde com Promessas Médicas

A Smart Health Bracelet V4 é comercializada com funcionalidades de monitorização de saúde avançadas: frequência cardíaca contínua, saturação de oxigénio (SpO2), variabilidade da frequência cardíaca (HRV), temperatura corporal, e análise de sono. O marketing sugere precisão médica e processamento local dos dados sensíveis.

Os dados de saúde — especialmente dados biométricos contínuos — são categorizados como dados sensíveis de categoria especial sob o GDPR (Art. 9). O seu tratamento e transferência internacional exigem salvaguardas reforçadas que este dispositivo não cumpre.

Passo 1: DNS — Infraestrutura de Saúde Completamente Chinesa

A análise DNS revelou uma arquitetura de dados de saúde baseada exclusivamente em infraestrutura chinesa. 21 domínios contactados nos primeiros 10 minutos, com um perfil claro:

Servidores de Dados de Saúde (5 domínios): O dispositivo enviou dados para servidores health.jianke.com, api.hihealth.com.cn, data.fitshow.cn, sync.yunding.com, e um quinto domínio não resolvível. Todos localizados na China continental.

Serviços de Localização (2 domínios): Dados de localização enviados para api.amap.com e lbs.baidu.com, combinando localização com dados biométricos — perfil altamente invasivo.

Analytics e Telemetria (6 domínios): Umeng, Alibaba Cloud Analytics, e quatro domínios de telemetria específicos de saúde sem identificação pública.

Problema Crítico: Dados Biométricos Sem Encriptação Adequada

Durante a análise de tráfego, identificámos um problema grave: alguns pacotes de dados de saúde eram transmitidos com encriptação fraca ou inexistente. Utilizando análise de padrões de tráfego (sem desencriptação forçada), detetámos transmissões de frequência cardíaca e SpO2 em texto quase-claro.

Dados biométricos como frequência cardíaca, SpO2, e padrões de sono são considerados dados de saúde sob o GDPR. A sua transmissão sem encriptação adequada para servidores fora da EU representa uma violação grave — potencialmente reportável à CNPD (Comissão Nacional de Proteção de Dados).

O volume de dados transmitidos em modo de monitorização contínua foi de 23.1 MB em 8 horas, consistente com envio de dados biométricos em tempo real (vs. apenas sincronização periódica de resumos).

Análise GDPR: Dados de Categoria Especial

O GDPR Art. 9 proíbe o tratamento de dados de saúde salvo com consentimento explícito específico para cada finalidade. A Smart Health Bracelet V4 não apresentou mecanismos de consentimento informado para:

1. Transferência internacional de dados de saúde para a China. 2. Armazenamento de dados biométricos em servidores de terceiros. 3. Partilha de dados com serviços de analytics. 4. Cruzamento de dados de saúde com dados de localização.

A política de privacidade está disponível apenas em chinês. A versão inglesa (gerada automaticamente) é juridicamente inadequada para utilizadores na União Europeia. Não existe versão em português conforme exigido pela lei de consumidor portuguesa para produtos vendidos no mercado nacional.

Score e Rejeição Automática

Score de Risco: 63/100. Tier: Rejeitado.

A rejeição é dupla: (1) automática por envio de dados de saúde (categoria especial GDPR) para jurisdição sem adequação, e (2) automática por envio de dados de localização para a China. Ambos os critérios de rejeição automática da nossa metodologia DNS Curator são acionados independentemente.

Mesmo que os dados fossem encriptados corretamente, a falta de decisão de adequação para a China tornaria este produto invendável no mercado europeu com o nosso selo de conformidade.

Veredicto e Recomendações

A Smart Health Bracelet V4 foi rejeitada da linha de produtos AINode. Não vendemos nem recomendamos este dispositivo.

Se já possui esta pulseira, recomendamos vivamente: (1) parar imediatamente a partilha de dados de saúde, (2) revogar todas as permissões de localização da app companion, (3) solicitar eliminação dos dados ao abrigo do Art. 17 GDPR (direito ao apagamento), e (4) considerar devolução ao abrigo dos 14 dias de direito de retratação (se aplicável ao seu caso).

Utilizadores com condições de saúde sensíveis devem ser especialmente cautelosos — os dados de frequência cardíaca e SpO2 podem ser utilizados para inferir condições médicas e criar perfis de risco de saúde sem o seu conhecimento ou consentimento.