Política de Privacidade

1Introdução e identificação do controlador

A sua privacidade é prioridade para nós. Esta Política de Privacidade descreve, de forma transparente e detalhada, quais dados pessoais o aplicativo Monju coleta, por que coleta, como os utiliza, com quem compartilha, por quanto tempo retém e quais direitos você possui sobre esses dados, em conformidade com a Lei nº 13.709/2018 (LGPD).

O Monju é um aplicativo mobile (iOS e Android) de acompanhamento de saúde e bem-estar voltado a pessoas em tratamento com medicamentos da classe GLP-1 (como Mounjaro/Tirzepatida, Ozempic, Wegovy, Saxenda, Victoza, Trulicity e Rybelsus). Esta Política se aplica a todas as funcionalidades do aplicativo, ao portal web do profissional de saúde e a qualquer outro serviço fornecido por nós.

1.1. Controlador dos dados

2Glossário e definições

Para facilitar a leitura, os seguintes termos têm o significado descrito abaixo:

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (LGPD Art. 5º, I).
• Dado pessoal sensível: dado sobre saúde, vida sexual, dado genético ou biométrico, origem racial ou étnica, convicção religiosa, opinião política, entre outros (LGPD Art. 5º, II).
• Titular: a pessoa natural a quem se referem os dados — neste caso, você, usuário do Monju.
• Tratamento: toda operação realizada com dados pessoais, como coleta, armazenamento, uso, acesso, compartilhamento e eliminação (LGPD Art. 5º, X).
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados (LGPD Art. 5º, XII).
• Operador: quem realiza o tratamento de dados em nome do controlador (LGPD Art. 5º, VII) — os terceiros listados na Seção 8.
• ANPD: Autoridade Nacional de Proteção de Dados.
• GLP-1: classe de medicamentos da qual fazem parte Mounjaro (tirzepatida), Ozempic e Wegovy (semaglutida), Saxenda e Victoza (liraglutida), entre outros.

3Aceitação desta Política

Ao criar uma conta no Monju, continuar usando o aplicativo após uma alteração desta Política, ou aceitar expressamente este documento durante o onboarding, você declara que: (a) leu e compreendeu integralmente esta Política; (b) está ciente das categorias de dados coletados e das finalidades; (c) concorda com o tratamento nos termos aqui descritos; (d) possui pelo menos 16 anos ou está assistido por responsáveis legais conforme a Seção 15; (e) tem capacidade civil para celebrar contratos; (f) está ciente de que o Monju não é dispositivo médico e não substitui orientação de profissional de saúde.

Caso você não concorde com qualquer disposição desta Política, não utilize o aplicativo e exclua sua conta, se já tiver criado.

4Categorias de dados pessoais coletados

4.1. Dados de cadastro e identificação

Nome completo, e-mail (ou e-mail de retransmissão do Sign in with Apple), foto de perfil (opcional), identificador único de usuário (UUID), data de criação da conta, idade/faixa etária e gênero (autodeclarado, com opção de "prefiro não dizer").

4.2. Dados de contato

Número de WhatsApp (opcional, para lembretes) e número de telefone celular (quando do uso de autenticação via SMS/OTP).

4.3. Dados sensíveis de saúde (LGPD Art. 5º, II)

A natureza do Monju exige a coleta de dados sensíveis de saúde, todos tratados mediante consentimento explícito e específico (Art. 11, I), fornecido no onboarding e renovado a cada nova categoria de funcionalidade. Incluem:

• Dados corporais: altura, peso (atual, inicial e meta), histórico de peso, IMC, composição corporal (massa magra, % de gordura), medidas, fotos de progresso e laudos de bioimpedância.
• Dados de medicação: medicamento, princípio ativo, dosagem, frequência, dia/horário, dispositivo, local de injeção, histórico de doses e sensação após a aplicação.
• Dados nutricionais: descrições e fotos de refeições, estimativas de proteína/calorias geradas por IA, metas de proteína e hidratação, consumo de água e histórico.
• Sintomas e efeitos colaterais: tipo de sintoma, severidade (1 a 10), data/hora e notas.
• Exames médicos: fotos de laudos, valores extraídos por OCR, análises geradas por IA e histórico.
• Estilo de vida e tratamento: atividade física, objetivos, motivações, status e data de início do tratamento.
• Check-in diário: humor, consumo de água, qualidade da alimentação, sintomas e exercício.

4.4. Conteúdo do chat com assistente de IA

Mensagens de texto e imagens enviadas ao assistente, histórico de conversas vinculado à conta e respostas geradas.

4.5. Compartilhamento com profissionais de saúde

Caso você opte por vincular um profissional: nome e e-mail do profissional, token único de compartilhamento, categorias de dados que você autorizou compartilhar e histórico de atualizações.

4.6. Dados de uso, dispositivo e diagnóstico

Coletados automaticamente: modelo/identificador do dispositivo, sistema operacional e versão, versão do app, idioma/fuso, endereço IP (logs), telas e fluxos, sessões, falhas (crashes), identificadores anônimos de analytics e origem da instalação.

4.7. Dados de assinatura e pagamento

Status da assinatura Monju Pro, plano, datas, identificadores de transação das lojas, histórico de eventos e loja de origem. Dados financeiros (cartão, conta) não são coletados nem armazenados pelo Monju — o pagamento ocorre exclusivamente dentro das lojas.

4.8. Preferências de notificação

Preferências de lembrete de dose, antecedência, lembrete de check-in, permissão de push e permissão de WhatsApp.

4.9. Feedback enviado pelo usuário

Mensagens de feedback, avaliações em prompts internos e comunicação com o suporte por e-mail.

5Forma de coleta dos dados

Os dados são coletados de três formas: (5.1) fornecidos diretamente por você via onboarding, telas de registro e configurações; (5.2) coletados automaticamente (uso, dispositivo, diagnóstico, analytics) por SDKs nativos; e (5.3) recebidos de terceiros — Google Sign-In (nome, e-mail, foto pública), Sign in with Apple (nome e e-mail real ou de retransmissão) e RevenueCat (identificadores e status da assinatura).

6Finalidades específicas do tratamento

Os dados são tratados para: (6.1) prestação do serviço de acompanhamento (registros, cálculos de IMC, metas, nível estimado de medicamento, gráficos); (6.2) funcionalidades de IA (estimativa de macros, leitura de exames e bioimpedância, assistente de saúde, imagens de receitas); (6.3) lembretes e comunicações sobre o tratamento (push, WhatsApp, check-in, avisos operacionais); (6.4) compartilhamento com profissionais de saúde; (6.5) gerenciamento de conta e assinatura; (6.6) melhoria contínua do produto (analytics agregado e anonimizado); (6.7) segurança e prevenção a fraudes; (6.8) cumprimento de obrigações legais; e (6.9) comunicações de marketing (opcionais e revogáveis).

7Bases legais para o tratamento

Para cada finalidade, aplicamos uma ou mais bases legais da LGPD: execução de contrato (Art. 7º, V) para a prestação do serviço e gestão de conta; consentimento explícito específico (Art. 11, I) para dados sensíveis de saúde, funcionalidades de IA e compartilhamento com profissional; consentimento (Art. 7º, I) para lembretes via push/WhatsApp e marketing; legítimo interesse (Art. 7º, IX) para melhoria de produto, analytics e segurança, sobre dados agregados/anonimizados; e cumprimento de obrigação legal (Art. 7º, II) quando exigido. O consentimento para dados sensíveis é coletado de forma específica e destacada no onboarding e pode ser revogado a qualquer momento.

8Compartilhamento de dados com terceiros

O Monju compartilha dados apenas quando estritamente necessário para a prestação dos serviços. Os principais operadores são:

• Google LLC — IA (Gemini API): processa descrições e fotos de refeições, laudos de exames e bioimpedância, mensagens do assistente e um resumo do seu contexto de saúde — sem nome, e-mail, telefone ou qualquer dado que te identifique diretamente. As requisições passam por um proxy seguro (Supabase Edge Function) por HTTPS/TLS, apenas após seu consentimento explícito. Os dados não são usados para treinar modelos do Google e são retidos apenas pelo tempo necessário para gerar a resposta.
• Supabase, Inc. — banco de dados, autenticação e armazenamento: armazena seus dados com criptografia em repouso (AES-256) e em trânsito (TLS), Row Level Security por usuário e backups criptografados. Certificada SOC 2 Type II.
• RevenueCat, Inc. — assinaturas: recebe identificador anônimo, recibos das lojas e status da assinatura. Não recebe nome, e-mail, dados de saúde ou dados financeiros.
• Google (Sign-In e Play Store) e Apple (Sign in with Apple e App Store): autenticação e processamento de pagamentos nas respectivas lojas. Nenhum dado de saúde ou senha é compartilhado.
• Resend, Inc. — e-mails transacionais: envia e-mails ao profissional indicado (apenas primeiro nome e link seguro) e e-mails operacionais ao usuário.
• 360dialog GmbH — WhatsApp Business API: envia lembretes de dose genéricos (sem detalhes sensíveis), apenas se você fornecer o número.
• Microsoft — Clarity (analytics): comportamento anônimo de uso com identificador hashado não reversível; sem dados de saúde, nome ou e-mail.
• Google — YouTube Data API: apenas termos de busca de receitas; nenhum dado pessoal é enviado.
• Provedores de infraestrutura (Vercel, AWS, Cloudflare): servem o portal web do profissional e processam logs operacionais por períodos curtos.

9Transferência internacional de dados

Alguns operadores estão fora do Brasil — principalmente nos Estados Unidos (Google, Supabase, RevenueCat, Apple, Resend, Microsoft), em Singapura (Supabase) e na Alemanha (360dialog). A transferência ocorre conforme o Capítulo V da LGPD (Arts. 33 a 36), com base em consentimento, execução de contrato, cumprimento de obrigação legal e cláusulas contratuais específicas. Os provedores adotam padrões de segurança equivalentes ou superiores aos exigidos pela LGPD (SOC 2, ISO 27001, conformidade com o GDPR quando aplicável).

10Armazenamento e segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados. Medidas técnicas: criptografia em trânsito (HTTPS/TLS 1.2+) e em repouso (AES-256); armazenamento local seguro de tokens (Keychain/Keystore); Row Level Security no banco; buckets de armazenamento privados com URLs assinadas; chaves de API exclusivamente server-side; validação por token no portal do profissional. Medidas organizacionais: acesso restrito a pessoas autorizadas, logs de acesso a dados sensíveis, treinamento da equipe, plano de resposta a incidentes e avaliação periódica. Em caso de incidente relevante, comunicaremos a ANPD e os titulares conforme o Art. 48 da LGPD.

11Retenção de dados e exclusão de conta

Seus dados são retidos enquanto sua conta estiver ativa, enquanto necessário para os serviços contratados, ou enquanto houver obrigação legal ou legítimo interesse para defesa de direitos.

Como excluir sua conta: dentro do app, em Perfil → Excluir minha conta (a exclusão apaga permanentemente seus dados e arquivos via função server-side dedicada); ou por e-mail para contato@meuguru.com com o assunto "Solicitação de exclusão de conta — LGPD", atendido em até 15 dias úteis.

Após a exclusão, dados no banco e arquivos são apagados imediatamente; backups criptografados podem persistir por até 30 dias; logs operacionais por até 90 dias. Dados de transações financeiras são retidos pelas lojas pelos prazos fiscais (5 anos), e dados anonimizados de uso agregado podem ser mantidos.

12Direitos do titular (LGPD Art. 18)

Você possui os seguintes direitos, exercíveis gratuitamente: confirmação da existência de tratamento; acesso aos dados; correção; anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade; portabilidade; eliminação de dados tratados com base no consentimento; informação sobre compartilhamento; informação sobre a possibilidade de não consentir; revogação do consentimento; e oposição ao tratamento.

Como exercer: envie e-mail para contato@meuguru.com informando seu nome, e-mail vinculado à conta e o direito desejado. Responderemos em até 15 dias úteis. No caso de falecimento do titular, herdeiros ou representantes legais podem exercer esses direitos mediante documentação.

13Cookies, tokens e tecnologias similares

O app não usa cookies HTTP tradicionais, mas utiliza tecnologias análogas no ambiente mobile: tokens JWT de autenticação armazenados de forma segura (Keychain/Keystore); identificadores de instalação para fins operacionais e de analytics anonimizados; persistência de estado local no aparelho (AsyncStorage/MMKV). O portal web do profissional pode usar cookies estritamente necessários para manter a sessão, sem rastreamento ou publicidade.

14Notificações push, e-mail e WhatsApp

Mediante sua autorização, podemos enviar: push (lembretes de dose, check-in diário e avisos operacionais); e-mails operacionais (confirmação de conta, recuperação, alertas de segurança e cobrança, avisos legais); e-mails de marketing (opcionais, com descadastro a qualquer momento); e WhatsApp (lembretes de dose, apenas se você fornecer o número e ativar). Você pode desativar qualquer um desses canais a qualquer momento.

15Crianças e adolescentes

O Monju não é direcionado a menores de 16 anos e não coletamos intencionalmente dados de crianças menores de 13 anos. Adolescentes de 16-17 anos podem usar mediante consentimento informado; de 13-15 anos apenas com consentimento de responsável legal (Art. 14 da LGPD); menores de 13 anos não devem utilizar o aplicativo. Nas lojas, a classificação é 17+ (App Store) e adulta (Play Store). Pais ou responsáveis podem nos contatar em contato@meuguru.com.

16Inteligência artificial — esclarecimentos

O Monju utiliza modelos da família Gemini (Google), na variante 2.5, acessados via Google AI API. Toda chamada passa por um proxy server-side (Supabase Edge Function) que não inclui dados pessoais identificáveis no payload — apenas o conteúdo necessário (texto da pergunta, imagem da refeição ou do laudo). A chave de API fica exclusivamente no servidor. Conforme os termos da Google AI, os dados enviados pela API não são usados para treinar modelos e são processados apenas pelo tempo necessário para gerar a resposta.

As respostas de IA (estimativas de macros, interpretação de exames, assistente) são estimativas que podem conter erros e não constituem diagnóstico, prescrição ou recomendação médica. O Monju não toma decisões automatizadas com efeitos jurídicos (Art. 20 da LGPD); as funcionalidades de IA são informativas e educacionais.

17Aviso médico importante

O Monju não é um dispositivo médico, não realiza diagnóstico, não prescreve medicamentos e não substitui a orientação de um profissional de saúde habilitado. Todas as informações têm caráter informativo e educacional. Antes de iniciar, interromper, alterar a dose ou substituir qualquer medicamento, consulte sempre um médico. Em caso de sintoma grave, reação adversa séria ou emergência, procure atendimento médico imediato ou ligue para o SAMU (192).

18Alterações nesta Política

Podemos modificar esta Política a qualquer momento. Alterações significativas serão comunicadas por aviso destacado no app, e-mail ao endereço cadastrado e atualização da data de "versão" no topo deste documento. A continuação do uso após a publicação constitui aceitação tácita. Versões anteriores ficam disponíveis mediante solicitação a contato@meuguru.com.

19Encarregado pelo Tratamento de Dados (DPO)

Em conformidade com o Art. 41 da LGPD, o Encarregado pode ser contatado pelo e-mail contato@meuguru.com (assunto: "DPO — [seu pedido]") ou pelo endereço Av. Eldes Scherrer Souza, nº 975, Ative Centro Empresarial, sala nº 705, Parque Residencial Laranjeiras, Serra/ES, CEP 29.165-680.

20Reclamações junto à ANPD

Caso entenda que seus direitos não foram adequadamente atendidos, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

21Contato

Para dúvidas, reclamações ou solicitações relacionadas a esta Política ou ao tratamento dos seus dados: E-mail: contato@meuguru.com · MG Soluções Digitais LTDA · CNPJ 42.269.770/0001-84 · Av. Eldes Scherrer Souza, nº 975, sala 705, Serra/ES, CEP 29.165-680.

Esta Política de Privacidade foi atualizada em 19 de maio de 2026 e entra em vigor nesta data. Versão 2.0.