Política de Privacidade

Versão 1.0.0 · Em vigor desde 16 de maio de 2026

1. Quem somos

A Mable é uma plataforma de software como serviço (SaaS) que ajuda empresas de serviço — clínicas odontológicas, consultórios médicos, psicólogos, veterinários, academias, salões de beleza, consultorias e similares — a reativar clientes inativos e organizar a operação de atendimento. Esta política se aplica a todas as pessoas que se cadastram, contratam ou utilizam a Mable, e também aos titulares de dados cujos registros são tratados pela plataforma a pedido das empresas contratantes.

Para fins da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, LGPD), a Mable atua em dois papéis distintos. Em relação aos dados de cadastro dos usuários do sistema — sócios, secretárias, profissionais e administradores que acessam a plataforma — a Mable é controladora, pois decide as finalidades e meios de tratamento. Já em relação aos dados de clientes finais, pacientes ou leads que a empresa contratante insere ou conecta à plataforma, a Mable atua como operadora, tratando os dados estritamente conforme as instruções e finalidades definidas pela empresa contratante, que é a controladora desses registros.

A controladora desta plataforma é Mable Tecnologia Ltda. [A SER PREENCHIDO], inscrita no CNPJ sob o nº [A SER PREENCHIDO], com sede em [A SER PREENCHIDO]. Para qualquer questão relativa a privacidade, proteção de dados ou exercício de direitos, o Encarregado pelo Tratamento de Dados Pessoais (DPO) pode ser contactado pelo e-mail privacidade@mable.app.

2. Quais dados coletamos

A Mable coleta apenas os dados estritamente necessários para a prestação do serviço, organizados em seis categorias principais. A lista abaixo descreve, de forma transparente, cada tipo de dado tratado, sua origem e seu propósito imediato. Sempre que possível, utilizamos formas pseudonimizadas ou hasheadas para minimizar a exposição direta dos titulares.

Dados de cadastro de usuários do sistema

Nome completo do usuário que cria ou administra a conta
Endereço de e-mail (utilizado como identificador de login e para comunicações operacionais)
Senha de acesso, armazenada exclusivamente em forma de hash bcrypt (não armazenamos a senha em texto claro)
Número de WhatsApp pessoal do usuário, utilizado para autenticação por OTP no cadastro e para comunicações de suporte
Data e hora da verificação do número de WhatsApp
Papel atribuído na conta (Admin, Comercial, Secretária, Profissional)

Dados de clientes ou pacientes inseridos pela empresa contratante

Nome completo do cliente
Telefone (geralmente WhatsApp) e e-mail de contato
CPF, quando informado de forma opcional pela empresa contratante
Data de nascimento, quando aplicável ao serviço
Convênio, plano ou modalidade de pagamento, quando aplicável
Anotações livres, observações clínicas ou de atendimento, histórico de procedimentos pendentes e realizados
Tags, categorias e segmentações criadas pela empresa contratante

Dados de leads (potenciais clientes)

Nome e telefone do lead
Canal de origem (indicação, anúncio, site, etc.)
Especialidade ou serviço de interesse
Histórico de interações e estágio do funil comercial

Dados de interações e comunicações

Conteúdo de mensagens enviadas e recebidas via WhatsApp, incluindo texto, áudio e mídia
Conteúdo de comunicações por e-mail iniciadas dentro da plataforma
Rascunhos e respostas geradas pela inteligência artificial da Mable
Registros de chamadas, agendamentos, confirmações e cancelamentos

Dados técnicos

Endereço IP do dispositivo, armazenado em forma de hash (ver seção de Segurança)
Identificador do navegador (user-agent), armazenado de forma truncada para evitar fingerprint excessivo
Data e hora de cada acesso e ação relevante
Cookies estritamente necessários ao funcionamento da sessão e cookies opcionais autorizados pelo usuário

Dados de uso da plataforma

Missões de onboarding concluídas pelo usuário
Créditos consumidos pela inteligência artificial e por automações
Automações, fluxos e réguas de contato configurados
Métricas agregadas de desempenho (taxa de reativação, tempo de resposta, etc.) — utilizadas para os relatórios da própria conta

3. Para que usamos seus dados

Cada dado coletado serve a uma ou mais finalidades específicas, claras e legítimas. A Mable não comercializa dados pessoais e não os utiliza para finalidades incompatíveis com aquelas pelas quais foram coletados. As principais finalidades de tratamento são: (i) prestação do serviço contratado, incluindo autenticação, gestão de agenda, gestão de clientes e disparo de comunicações; (ii) autenticação de usuários e proteção da conta, incluindo verificação por OTP no cadastro e detecção de acessos suspeitos; (iii) atendimento automatizado por inteligência artificial, gerando rascunhos de mensagens e respostas para revisão humana ou envio autônomo, conforme o plano contratado; (iv) automação de re-engajamento de clientes inativos, conforme regras configuradas pela empresa contratante; (v) emissão de faturas, cobrança e cumprimento de obrigações fiscais; (vi) suporte ao cliente e resolução de incidentes; (vii) prevenção de fraude, abuso da plataforma e uso indevido dos recursos computacionais; e (viii) melhoria contínua do produto a partir de métricas agregadas e anonimizadas.

A empresa contratante, na qualidade de controladora dos dados de seus clientes, define as finalidades específicas para as quais a Mable, como operadora, processará esses dados. A Mable não utiliza o conteúdo de mensagens, anotações ou dados de pacientes de uma conta para treinar modelos próprios de inteligência artificial sem autorização contratual expressa e específica.

4. Bases legais

Todo tratamento de dados pessoais realizado pela Mable está fundamentado em pelo menos uma das bases legais previstas no art. 7º (dados pessoais comuns) ou no art. 11 (dados pessoais sensíveis) da LGPD. A correspondência entre categorias de dados e bases legais é a seguinte.

Bases legais aplicáveis

Execução de contrato (art. 7º, V) — para dados de cadastro do usuário, dados de uso da plataforma e processamento das comunicações necessárias à prestação do serviço contratado
Cumprimento de obrigação legal ou regulatória (art. 7º, II) — para registros fiscais, contábeis e fiscais-tributários relacionados à cobrança do serviço
Legítimo interesse (art. 7º, IX) — para prevenção de fraude, segurança da plataforma, melhoria do produto a partir de dados agregados e anonimizados, e proteção contra abuso
Consentimento (art. 7º, I) — para cookies analíticos e de marketing, para comunicações comerciais opcionais e para o envio de mensagens automatizadas a clientes finais quando exigido pela legislação aplicável
Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI) — quando necessário para defesa da Mable ou das empresas contratantes
Tutela da saúde (art. 11, II, f) — em conjunto com a empresa contratante e exclusivamente quando o serviço prestado envolver dados sensíveis de saúde, por profissionais de saúde ou estabelecimentos cadastrados

5. Com quem compartilhamos

A Mable compartilha dados pessoais apenas com terceiros estritamente necessários à operação do serviço, e cada parceiro é submetido a avaliação de segurança e a cláusulas contratuais de proteção de dados. Não vendemos, alugamos ou cedemos dados pessoais a terceiros para finalidades de marketing alheias à plataforma. A lista abaixo enumera os principais operadores e parceiros com os quais há fluxo de dados.

Operadores e parceiros

Meta Platforms Inc. (WhatsApp Business API) — para envio e recebimento de mensagens via WhatsApp, quando a conta utilizar a integração oficial Meta Cloud
Google LLC (Gemini API e Google Cloud) — para análise de conversas, geração de rascunhos de resposta e funcionalidades de inteligência artificial
Evolution API ou hospedagem própria do usuário — quando a empresa contratante opta por conectar seu próprio número de WhatsApp via QR code; nesse caso, parte do fluxo de mensagens transita por infraestrutura controlada pelo próprio cliente
Amazon Web Services (AWS) — provedor de infraestrutura de nuvem para hospedagem do aplicativo, do banco de dados e dos sistemas de cache
Provedor de e-mail transacional [A SER PREENCHIDO] — para envio de e-mails operacionais, recuperação de senha e notificações da conta
Provedor de processamento de pagamentos [A SER PREENCHIDO] — para cobrança de mensalidades e créditos pré-pagos
Autoridades públicas — apenas mediante ordem judicial, requisição administrativa legal ou para cumprimento de obrigação legal

6. Transferência internacional

Alguns dos operadores listados na seção anterior — em particular Google LLC, Meta Platforms Inc. e Amazon Web Services — possuem infraestrutura ou processam dados em regiões fora do território brasileiro, especialmente nos Estados Unidos e na União Europeia. Sempre que possível, a Mable opta por regiões na América do Sul (como AWS São Paulo) para reduzir o trânsito internacional, mas determinados serviços de inteligência artificial ainda são prestados a partir de regiões fora do Brasil.

Essas transferências internacionais ocorrem em conformidade com o art. 33 da LGPD, que admite a transferência quando o país de destino proporcionar grau de proteção adequado, quando o controlador oferecer garantias de cumprimento dos princípios e direitos previstos na LGPD por meio de cláusulas contratuais específicas ou normas corporativas globais, ou quando houver consentimento específico do titular. A Mable utiliza, com seus operadores estrangeiros, cláusulas contratuais alinhadas às melhores práticas internacionais (Standard Contractual Clauses europeias e equivalentes) e acompanha as deliberações da Autoridade Nacional de Proteção de Dados (ANPD) sobre o tema.

7. Por quanto tempo guardamos

Os dados pessoais são mantidos apenas pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados ou de obrigações legais aplicáveis. A política de retenção é diferenciada por categoria de dado, conforme listado abaixo. Encerrados os prazos, os dados são eliminados ou anonimizados de forma segura.

Prazos de retenção por categoria

Dados de cadastro de usuários: enquanto a conta estiver ativa e por até 5 anos após o cancelamento, em atenção ao art. 206 do Código Civil (prescrição de pretensões contratuais) e à legislação fiscal aplicável
Dados de clientes ou pacientes inseridos pela empresa contratante: conforme a política de retenção definida pela própria empresa contratante; em caso de omissão, o padrão é 5 anos a contar do último contato registrado
Logs de conversas (PatientConversationLog): anonimizados após 180 dias do último contato e eliminados definitivamente após 730 dias
Logs técnicos de execução da inteligência artificial (AIJobLog): retidos por 90 dias
Sessões ativas de WhatsApp armazenadas em Redis: expiram automaticamente após 30 minutos sem atividade
Hashes de endereço IP: retidos por até 12 meses, com sal criptográfico rotacionado anualmente para impedir correlação de longo prazo
Registros contábeis e fiscais: pelo prazo exigido pela legislação tributária aplicável (em regra, 5 anos)
Backups: mantidos por até 90 dias após a eliminação dos dados primários, exclusivamente para fins de recuperação de desastre

8. Seus direitos

Como titular de dados pessoais, você tem assegurados pela LGPD um conjunto de direitos que pode exercer a qualquer momento e gratuitamente. A Mable está organizada para responder a cada um deles dentro dos prazos previstos pela autoridade nacional. A lista abaixo descreve cada direito reconhecido.

Direitos reconhecidos pelo art. 18 da LGPD

Confirmação da existência de tratamento de dados pessoais a seu respeito
Acesso aos dados pessoais tratados, em formato simplificado ou em declaração clara e completa
Correção de dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei
Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa
Eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses de guarda legal
Informação sobre as entidades públicas e privadas com as quais a Mable compartilhou seus dados
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
Revogação do consentimento, a qualquer tempo, mediante manifestação expressa do titular
Oposição a tratamento realizado com fundamento em hipótese de dispensa de consentimento, quando houver descumprimento da lei
Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses

9. Como exercer seus direitos

Você pode exercer seus direitos diretamente pela plataforma, na área autenticada, acessando o caminho Configurações > Privacidade (rota /v2/configuracoes/privacidade). A partir dessa tela é possível, de forma self-service, visualizar os dados tratados, exportar uma cópia em formato legível, revisar consentimentos opcionais (como cookies analíticos e comunicações de marketing) e solicitar a exclusão da conta.

Alternativamente, você pode enviar um pedido por escrito ao Encarregado pelo Tratamento de Dados Pessoais (DPO) pelo e-mail privacidade@mable.app, descrevendo o direito que deseja exercer e fornecendo informações suficientes para confirmar sua identidade. O prazo de resposta da Mable, em linha com a orientação da Autoridade Nacional de Proteção de Dados (ANPD), é de até 15 dias corridos para confirmação da existência de tratamento e acesso aos dados, e de prazo razoável e proporcional para os demais direitos. Para titulares cujos dados são tratados pela Mable na condição de operadora, encaminharemos a solicitação à empresa contratante controladora e prestaremos o apoio técnico necessário ao atendimento.

10. Segurança

A Mable adota medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, perdas acidentais, alterações, divulgação indevida e qualquer forma de tratamento ilícito. As principais salvaguardas incluem: armazenamento de senhas exclusivamente em forma de hash bcrypt, com fator de custo configurado conforme estado-da-arte; criptografia em trânsito por TLS 1.2 ou superior em todas as conexões de cliente e entre serviços internos; criptografia em repouso fornecida pelo provedor de banco de dados; isolamento multi-tenant rigoroso, com toda consulta ao banco filtrada por identificador de clínica (clinicId), evitando vazamento entre contas; controle de acesso baseado em papéis (RBAC), com perfis distintos para Admin, Comercial, Secretária e Profissional; armazenamento de endereço IP somente em forma de hash, com sal criptográfico rotacionado anualmente; trilhas de auditoria para ações sensíveis; e revisão periódica de dependências e dos acessos administrativos.

Ainda que adotemos essas e outras medidas, nenhuma plataforma é absolutamente imune a incidentes. Caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Mable comunicará a Autoridade Nacional de Proteção de Dados e os titulares afetados em prazo razoável, na forma do art. 48 da LGPD.

11. Cookies e tecnologias similares

A Mable utiliza cookies e tecnologias similares de armazenamento local para garantir o funcionamento da plataforma, lembrar preferências e, quando autorizado, medir o uso do produto. Os cookies são classificados em três categorias, e o usuário pode revisar suas preferências a qualquer momento por meio do banner de gerenciamento de cookies ou da página de Configurações de Privacidade.

Categorias de cookies

Necessários — sempre ativos. Incluem o cookie de sessão do Auth.js, tokens de proteção contra CSRF e preferências críticas de interface. Sem eles a plataforma não funciona
Analíticos — opcionais, ativados apenas mediante consentimento. Ajudam a entender quais funcionalidades são mais utilizadas e onde podemos melhorar
Marketing — opcionais, ativados apenas mediante consentimento. Permitem medir o desempenho de campanhas e personalizar comunicações comerciais

12. Atualizações desta política

Esta política pode ser atualizada periodicamente para refletir mudanças no produto, evoluções regulatórias ou novas práticas de privacidade. Cada versão recebe um número e uma data de vigência (indicados no topo deste documento), e o histórico é mantido para consulta. Quando houver alteração material — por exemplo, inclusão de novo operador, nova categoria de dado ou nova finalidade — comunicaremos os administradores das contas por e-mail e exibiremos um aviso no primeiro acesso autenticado posterior à mudança, permitindo a revisão e, quando aplicável, a renovação dos consentimentos. Para alterações puramente redacionais ou de clareza, a atualização é registrada apenas com incremento do número de versão.