Voltar ao Início

Política de Privacidade

Última atualização: 5 de Junho de 2026

1. Sobre a Tukia (Maya Solution)

A Tukia (Maya Solution) é uma plataforma de automação de atendimentos que utiliza Inteligência Artificial para otimizar a comunicação entre empresas e seus clientes. Esta política detalha como tratamos seus dados ao utilizar nossos serviços em www.tukia.co e através de nossas integrações de canais como WhatsApp, telefonia e Google Calendar.

2. Conformidade com a LGPD, Meta Data Policy e Google API Services User Data Policy

Estamos em total conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), com as Políticas de Dados de Desenvolvedor da Meta e com a Google API Services User Data Policy, incluindo os requisitos de Uso Limitado (Limited Use). Garantimos que os dados coletados via WhatsApp Graph API e Google Workspace APIs são utilizados exclusivamente para as finalidades descritas nesta política.

3. Dados Coletados

Coletamos os seguintes dados para fornecer nossos serviços de recepção por IA:

  • Identificação: Nome de perfil e número de telefone (WhatsApp/telefone).
  • Agendamentos: Data, horário e tipo de serviço solicitado junto ao estabelecimento.
  • Conteúdo de Mensagens: Texto e áudio enviados para a nossa IA para fins de processamento de linguagem natural e atendimento.
  • Dados do Google Calendar (mediante OAuth): Quando o proprietário do estabelecimento conecta sua conta Google, acessamos a lista de calendários e os eventos do calendário selecionado, exclusivamente para sincronizar agendamentos. Não acessamos Gmail, Drive, Contatos ou qualquer outro serviço Google.
  • Conta do proprietário do estabelecimento: Email e nome de exibição usados para autenticação no painel administrativo.

4. Finalidade do Processamento

Os dados são processados via APIs seguras (incluindo OpenAI, Meta e Google) exclusivamente para:

  • Realizar e gerenciar agendamentos automáticos.
  • Responder dúvidas sobre serviços, preços e horários.
  • Sincronizar consultas com o Google Calendar do estabelecimento.
  • Melhorar a precisão das respostas da IA para o seu atendimento específico (sem usar dados do Google Workspace para esse fim — ver Seção 5).

5. Integrações com Google Workspace APIs (Uso Limitado)

Quando o proprietário do estabelecimento conecta sua conta Google ao Tukia, solicitamos o escopo OAuth https://www.googleapis.com/auth/calendar. Esta permissão é usada exclusivamente para:

  • Listar os calendários da conta Google conectada para que o proprietário escolha qual sincronizar.
  • Criar, atualizar e cancelar eventos no calendário escolhido, correspondentes às consultas marcadas pela nossa IA.
  • Ler eventos existentes para verificar disponibilidade antes de oferecer horários ao cliente.

Declaração de Uso Limitado (Limited Use Disclosure)

Tukia's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

Tradução: O uso e a transferência por parte do Tukia, para qualquer outro aplicativo, de informações recebidas das Google APIs aderirá à Google API Services User Data Policy, incluindo os requisitos de Uso Limitado.

Especificamente, declaramos que:

  • Não vendemos os dados obtidos via Google Workspace APIs.
  • Não usamos os dados do Google Calendar para treinar modelos de Inteligência Artificial ou aprendizado de máquina. Eventos do Google Calendar são lidos e escritos diretamente entre o Tukia e o Google, e nunca são transmitidos à OpenAI ou a qualquer outro fornecedor de IA.
  • Não exibimos anúncios com base em dados obtidos via Google APIs.
  • Não transferimos os dados do Google a terceiros, exceto: (a) para fornecer ou melhorar o próprio serviço ao usuário (sub-processadores listados na Seção 6); (b) para cumprir leis aplicáveis; ou (c) como parte de uma fusão, aquisição ou venda de ativos com aviso prévio aos usuários.
  • Funcionários humanos do Tukia não acessam os dados do Google Calendar dos clientes, exceto: (a) com permissão expressa do usuário; (b) para fins de segurança (ex.: investigar abuso ou incidentes); (c) para cumprir leis aplicáveis; ou (d) para operações internas e apenas com dados agregados/anonimizados.

Você pode revogar o acesso do Tukia à sua conta Google a qualquer momento em myaccount.google.com/permissions. Após a revogação, removemos os tokens de acesso armazenados na próxima tentativa de sincronização.

6. Com Quem Compartilhamos Seus Dados

O Tukia não vende, aluga nem comercializa seus dados pessoais. Compartilhamos dados apenas com sub-processadores que operam sob obrigações contratuais de confidencialidade e segurança, e somente na medida necessária para prestar o serviço:

  • Supabase, Inc. (EUA) — banco de dados PostgreSQL e autenticação. Armazena dados de agendamentos, clientes, mensagens e tokens OAuth do Google em formato criptografado.
  • Vercel, Inc. (EUA) — hospedagem do painel administrativo e dos endpoints HTTP.
  • Fly.io (EUA) — hospedagem da infraestrutura de voz que conecta ligações telefônicas à nossa IA.
  • OpenAI, L.L.C. (EUA) — processamento de linguagem natural da conversa entre o cliente e a IA. Apenas o conteúdo da conversa é enviado à OpenAI; os eventos do Google Calendar não são transmitidos à OpenAI. A OpenAI não usa dados enviados pela API para treinar seus modelos.
  • Twilio, Inc. e Telnyx LLC (EUA) — telefonia e processamento de áudio das ligações recebidas.
  • Meta Platforms, Inc. (EUA/Irlanda) — entrega das mensagens via WhatsApp Business API.
  • Google LLC (EUA) — armazenamento dos eventos do calendário na própria conta Google do estabelecimento, conforme autorização OAuth.

Não realizamos outras transferências internacionais de dados além das listadas acima. Para titulares de dados brasileiros, todos os sub-processadores listados oferecem garantias adequadas conforme o Art. 33 da LGPD. Podemos também divulgar dados quando exigido por ordem judicial ou autoridade competente.

7. Medidas de Proteção de Dados Sensíveis

Adotamos as seguintes medidas técnicas e organizacionais para proteger seus dados, com atenção especial a dados sensíveis (tokens de autenticação, conteúdo de conversas, dados de saúde quando aplicável a clínicas):

  • Criptografia em trânsito: toda a comunicação entre cliente, nossos servidores e provedores externos (incluindo Google APIs) ocorre via TLS 1.2 ou superior (HTTPS/WSS).
  • Criptografia em repouso: dados armazenados no Supabase PostgreSQL são criptografados com AES-256.
  • Tokens OAuth do Google: os refresh tokens ficam armazenados apenas no banco de dados protegido por chaves de serviço; nunca são expostos ao navegador, a APIs públicas, nem registrados em logs.
  • Controle de acesso por linha (Row-Level Security): nosso banco de dados usa RLS do PostgreSQL — cada estabelecimento só consegue ler e escrever seus próprios registros, mesmo em caso de falha de aplicação.
  • Autenticação: o acesso ao painel é protegido por OAuth (Google) ou senha gerenciada pelo Supabase Auth, com sessões expiráveis.
  • Princípio do menor privilégio: chaves de serviço com privilégios elevados ficam exclusivamente no servidor; o navegador recebe apenas chaves anônimas com permissões restritas.
  • Logs de auditoria: registramos ações administrativas e tentativas de acesso para detecção de incidentes; logs não contêm tokens OAuth nem conteúdo sensível de conversas.
  • Resposta a incidentes: em caso de violação que afete seus dados, notificaremos os titulares e a ANPD no prazo exigido pela LGPD.
  • Exclusão de dados: mediante pedido, removemos todos os dados pessoais associados ao titular em até 48 horas úteis (ver Seção 8).

8. Seus Direitos e Exclusão de Dados

De acordo com a LGPD, você tem o direito de solicitar a qualquer momento:

  • Acesso e confirmação do tratamento de seus dados.
  • Correção de dados incompletos ou inexatos.
  • Revogação do consentimento e exclusão definitiva de seus dados de nossa base e das integrações conectadas (Meta/WhatsApp, Google Calendar).
  • Portabilidade dos dados a outro fornecedor de serviço.

Para solicitar a exclusão total dos seus dados, utilize o formulário ao lado com o tipo "Excluir Meus Dados". Para revogar o acesso do Tukia à sua conta Google sem excluir os demais dados, visite myaccount.google.com/permissions.

9. Contato com o DPO

Para exercer seus direitos, utilize o formulário ao lado ou entre em contato pelo email: privacy@tukia.co.

Canal de Privacidade