Índice desta política
- Quem somos
- A quem esta política se aplica
- Papel da YANDE no tratamento de dados
- Opt-in — autorização para mensagens
- Quais dados são coletados
- Tratamento de dados de saúde
- Base legal para o tratamento
- Para que os dados são usados
- Compartilhamento de dados
- Uso da API do WhatsApp — Meta
- Armazenamento e transferência internacional
- Retenção de dados
- Direitos dos titulares
- Encarregado de Dados (DPO)
- Segurança dos dados
- Cookies e rastreamento
- Alterações nesta política
- Contato
Quem somos
O MandúZap é um serviço de atendimento automatizado com inteligência artificial, desenvolvido e operado pela YANDE (CNPJ 57.810.421/0001-03), com sede em Sorocaba, São Paulo, Brasil.
O MandúZap é disponibilizado para empresas contratantes — chamadas neste documento de Empresas Clientes — que o utilizam para automatizar o atendimento aos seus próprios clientes por canais de mensagens como WhatsApp, Instagram, Facebook e Telegram.
A quem esta política se aplica
Esta política se aplica a:
- Empresas Clientes: empresas e profissionais que contratam o MandúZap para uso em sua operação.
- Usuários Finais: pessoas que interagem com o assistente MandúZap por meio dos canais de mensagens das Empresas Clientes.
Papel da YANDE no tratamento de dados
A YANDE atua como Operadora de dados, nos termos da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
As Empresas Clientes são as Controladoras de dados — responsáveis legais pelos dados pessoais dos seus clientes e pela definição de como esses dados são utilizados em suas operações.
A YANDE trata os dados exclusivamente para viabilizar o funcionamento do serviço MandúZap, conforme as instruções de cada Empresa Cliente, sem autonomia para definir finalidades próprias de tratamento.
Como o usuário autoriza o recebimento de mensagens (opt-in)
O MandúZap envia mensagens apenas para pessoas que forneceram voluntariamente seu número de telefone à Empresa Cliente — no ato do agendamento, cadastro, contato inicial ou qualquer outra interação em que o usuário iniciou ou autorizou expressamente a comunicação.
Esse ato constitui o consentimento para o recebimento de mensagens relacionadas ao serviço contratado, tais como confirmações de agendamento, lembretes, notificações operacionais e pesquisas de satisfação.
Nas interações iniciadas pelo assistente MandúZap, a primeira mensagem enviada ao usuário apresentará um aviso explícito sobre o uso de atendimento automatizado com inteligência artificial e um link para esta Política de Privacidade. O prosseguimento voluntário da conversa pelo usuário constitui aceite dos termos apresentados.
Para parar de receber mensagens, o usuário pode enviar a palavra SAIR ou PARAR na conversa com o assistente, ou entrar em contato diretamente com a Empresa Cliente. A solicitação de opt-out é registrada imediatamente pelo sistema. O bloqueio efetivo de novas mensagens ocorre em até 2 horas. Pedidos de exclusão completa de dados são processados em até 15 dias úteis, respeitados os prazos legais de retenção aplicáveis a cada categoria de dado.
Quais dados são coletados
De Usuários Finais (clientes das Empresas Clientes):
- Nome
- Número de telefone
- Conteúdo das mensagens trocadas durante o atendimento
- Data e horário das interações
- Dados de agendamento (data, horário, serviço solicitado)
- Informações de convênio, quando aplicável
De Empresas Clientes:
- Razão social e nome fantasia
- CNPJ
- Nome e contato do responsável
- Configurações e preferências do serviço
O MandúZap coleta apenas os dados estritamente necessários para a execução do serviço — princípio da minimização, conforme o art. 6º, III da LGPD.
Tratamento de dados de saúde
Quando o MandúZap é utilizado por Empresas Clientes do setor de saúde — como clínicas médicas, odontológicas, de psicologia, estética ou reabilitação — podem ser tratados dados relacionados a agendamentos de consultas, especialidades médicas e informações de convênio.
Esses dados são classificados como dados pessoais sensíveis, conforme o art. 5º, II e o art. 11 da LGPD, e recebem nível de proteção reforçado.
O tratamento de dados sensíveis de saúde pelo MandúZap tem como base legal o art. 11, II, "f" da LGPD — tutela da saúde, em procedimento realizado em nome de profissionais da área ou por entidades de saúde, para viabilizar o acesso do paciente ao atendimento.
Base legal para o tratamento de dados
Cada tratamento realizado pelo MandúZap tem uma base legal específica, conforme os arts. 7º e 11 da LGPD:
| Finalidade | Base legal |
|---|---|
| Viabilizar o atendimento automatizado | Execução de contrato (art. 7º, V) |
| Registrar e confirmar agendamentos | Execução de contrato (art. 7º, V) |
| Enviar lembretes e notificações | Legítimo interesse da Empresa Cliente (art. 7º, IX) |
| Transferência para atendimento humano | Execução de contrato (art. 7º, V) |
| Histórico de atendimento para a Empresa Cliente | Execução de contrato (art. 7º, V) |
| Tratamento de dados sensíveis de saúde | Tutela da saúde (art. 11, II, "f") |
| Melhoria do serviço e segurança | Legítimo interesse da YANDE (art. 7º, IX) |
| Cumprimento de obrigações legais | Obrigação legal (art. 7º, II) |
Para que os dados são usados
Os dados coletados são utilizados exclusivamente para:
- Viabilizar o atendimento automatizado pelo assistente MandúZap
- Registrar e confirmar agendamentos
- Enviar lembretes e notificações relacionadas aos agendamentos
- Permitir a transferência de atendimento para equipe humana, quando necessário
- Gerar histórico de atendimento acessível à Empresa Cliente
- Garantir a segurança e o funcionamento adequado do serviço
- Sincronizar agendamentos confirmados com o Google Agenda da Empresa Cliente, quando essa integração estiver ativada e autorizada durante o onboarding
- Permitir que a equipe da Empresa Cliente (recepcionistas e gestores) acompanhe e gerencie atendimentos pelo Painel de Gestão
Compartilhamento de dados
A YANDE não vende, aluga ou comercializa dados pessoais.
Os dados podem ser compartilhados apenas com:
- A própria Empresa Cliente, que é a Controladora responsável pelos dados dos seus usuários.
- Equipe autorizada da Empresa Cliente — recepcionistas e gestores com acesso ao Painel de Gestão MandúZap, conforme os perfis de acesso definidos durante o onboarding. Esses profissionais acessam dados de pacientes estritamente para fins operacionais (atendimento, agendamento e gestão da agenda), sob responsabilidade da Empresa Cliente.
- Fornecedores de infraestrutura tecnológica necessários para o funcionamento do serviço — como servidores, banco de dados e APIs de mensagens — todos operando sob obrigações contratuais de confidencialidade.
- Google LLC — quando a integração com o Google Agenda estiver ativada pela Empresa Cliente, dados de agendamento (nome do paciente, data, horário e profissional) são transmitidos ao Google Calendar para criação automática de eventos. Essa integração é opcional, ativada mediante autorização expressa da Empresa Cliente durante o onboarding, e está sujeita à Política de Privacidade do Google.
- Meta Platforms, Inc. — para o tráfego de mensagens via API oficial do WhatsApp Business e para o envio de mensagens por templates aprovados (HSM). O uso dos templates segue integralmente as políticas de uso aceitável da Meta.
- Autoridades públicas, quando exigido por lei ou ordem judicial.
Uso da API do WhatsApp — Meta Platforms
O MandúZap utiliza a API Oficial do WhatsApp Business, fornecida pela Meta Platforms, Inc. O uso dessa API segue integralmente os Termos de Serviço e as Políticas de Uso Aceitável da Meta.
A YANDE não armazena conteúdos de mensagens além do necessário para o funcionamento do serviço e não utiliza esses dados para fins não autorizados pela Meta ou pela legislação brasileira.
Para saber como a Meta trata os dados no WhatsApp, acesse: whatsapp.com/legal/privacy-policy
Armazenamento e transferência internacional de dados
Os dados tratados pelo MandúZap são armazenados em servidores localizados no Brasil, operados pela Locaweb Serviços de Internet S.A., em conformidade com a legislação brasileira de proteção de dados.
O banco de dados do serviço está hospedado na região de São Paulo, Brasil, sem replicação internacional.
Retenção de dados
Os dados são retidos pelos seguintes prazos:
| Categoria | Prazo de retenção |
|---|---|
| Mensagens e histórico de atendimento | 24 meses após a última interação |
| Dados de agendamento | 24 meses após a data do agendamento |
| Dados cadastrais de Empresas Clientes | Período contratual + 5 anos (prazo fiscal) |
| Logs de auditoria e segurança | 5 anos |
Após o vencimento do prazo, os dados são eliminados ou anonimizados, salvo obrigação legal de retenção mais longa.
Direitos dos titulares de dados
Em conformidade com o art. 18 da LGPD, todo titular tem direito a:
- Confirmar se seus dados são tratados pelo MandúZap
- Acessar os dados que possuímos sobre você
- Corrigir dados incompletos, inexatos ou desatualizados
- Anonimizar, bloquear ou eliminar dados desnecessários ou excessivos
- Solicitar a portabilidade dos seus dados
- Solicitar a exclusão dos dados tratados com base em consentimento
- Ser informado sobre com quem seus dados foram compartilhados
- Revogar o consentimento a qualquer momento
- Opor-se ao tratamento em caso de descumprimento da LGPD
Para exercer qualquer um desses direitos:
Canal de atendimento ao titular
📧 E-mail: contato@manduzap.com.br
💬 WhatsApp: +55 15 99671-9463
Respondemos em até 15 dias úteis.
Caso não obtenha resposta satisfatória, o titular pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd
Encarregado de Dados (DPO)
Nos termos do art. 41 da LGPD, a YANDE designa como Encarregado de Dados o responsável pelo canal de contato abaixo, que atuará como ponto de comunicação entre a empresa, os titulares de dados e a ANPD:
Encarregado de Dados — DPO
📧 contato@manduzap.com.br
💬 +55 15 99671-9463
Segurança dos dados
A YANDE adota medidas técnicas e organizacionais para proteger os dados contra acesso não autorizado, perda, alteração ou divulgação indevida, incluindo:
- Comunicação criptografada (HTTPS/TLS)
- Controle de acesso por perfil de usuário
- Registro de acessos e operações (logs de auditoria)
- Armazenamento em servidores localizados no Brasil, com firewall configurado
- Pseudonimização de dados pessoais em registros de diagnóstico e operação do sistema, impedindo a identificação de titulares em logs de sistema
- Conformidade com as diretrizes da LGPD
Em caso de incidente de segurança que possa gerar risco ou dano relevante aos titulares, a YANDE comunicará o ocorrido à ANPD e aos titulares afetados em prazo razoável, conforme o art. 48 da LGPD.
Cookies e rastreamento
O site manduzap.com.br utiliza apenas cookies técnicos essenciais para o funcionamento das páginas. Não utilizamos cookies de rastreamento publicitário nem compartilhamos dados de navegação com terceiros para fins comerciais.
Alterações nesta política
Esta política pode ser atualizada periodicamente. A data de vigência no topo do documento sempre indicará a versão mais recente. Alterações relevantes serão comunicadas às Empresas Clientes com antecedência mínima de 15 dias.
Contato
YANDE — Operadora do MandúZap
Sorocaba, São Paulo, Brasil
CNPJ: 57.810.421/0001-03
📧 contato@manduzap.com.br
💬 +55 15 99671-9463
Histórico de versões
| Versão | Data | Principais alterações |
|---|---|---|
| 1.1 | — | Versão inicial |
| 1.2 | — | Inclusão de base legal para dados sensíveis de saúde (art. 11, II, "f"); ajustes na seção de compartilhamento |
| 1.3 | 18/05/2026 | Seção 4: inclusão de aviso explícito de IA na primeira mensagem (opt-in ativo); atualização dos prazos de opt-out (bloqueio em até 2h; exclusão em até 15 dias úteis). Seção 15: inclusão de pseudonimização de dados pessoais em logs de sistema. |
| 1.4 | 19/05/2026 | Seção 8: inclusão do Google Calendar e do acesso da equipe da Empresa Cliente ao Painel de Gestão como finalidades de tratamento. Seção 9: inclusão do Google LLC como subprocessador (integração opcional Google Calendar), da Meta Platforms para templates HSM e da equipe autorizada da Empresa Cliente com acesso ao painel. Seção 11: inclusão do Google LLC como segunda exceção de transferência internacional de dados, com base legal e link ao DPA do Google Workspace. |