Sub-Processadores de Dados
Última atualização: 1 de julho de 2026
Em cumprimento à Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), em especial aos Arts. 37 e 38, o ResumoCast divulga abaixo os terceiros (sub-processadores) que tratam dados pessoais em seu nome, a categoria de dados compartilhados e a base legal aplicável.
Mecanismo de transferência internacional (Art. 33 LGPD): Quando um sub-processador receber dados fora do Brasil, o mecanismo aplicável é o indicado na respectiva linha da tabela. Linhas marcadas como NAO VERIFICAVEL indicam que DPA, aceite em tenant, hosting, logs ou cláusulas-padrão ANPD ainda não foram comprovados para aquele fornecedor.
| Sub-processador | País | Finalidade | Dados enviados | Retenção | Mecanismo art. 33 LGPD |
|---|---|---|---|---|---|
| Resend | EUA | E-mail transacional (convites, links de acesso, notificações, relatórios) | E-mail, nome, conteúdo da mensagem | 30 dias | DPA + cláusulas-padrão ANPD Res. 19/2024 |
| Stripe | EUA | Processamento de pagamentos e prevenção a fraude | E-mail e dados de cobrança/cartão (processados diretamente pelo Stripe; o portal armazena apenas referências stripeCustomerId/stripeSubscriptionId) | Conforme política do Stripe | DPA + cláusulas-padrão ANPD Res. 19/2024 |
| Cloudflare | EUA / Global | CDN, DNS, WAF e armazenamento de arquivos/documentos (R2) | Metadados de requisição (IP, user-agent, cabeçalhos), arquivos e documentos enviados ao portal | Conforme política Cloudflare | Self-Serve DPA incorporado + cláusulas-padrão ANPD Res. 19/2024 |
| Oracle Cloud | EUA (us-ashburn-1) | Hospedagem de infraestrutura e banco de dados (PostgreSQL em VPS) | Dados pessoais persistidos pelo portal (conta, perfil, conteúdo) | Durante a vigência da conta / conforme retenção do portal | DPA + cláusulas-padrão ANPD Res. 19/2024 |
| OpenRouter | EUA | Camada de roteamento de IA — pipeline de geração e análise de conteúdo | Prompts de texto (sem PII direto); roteados a modelos subjacentes | Conforme política OpenRouter (sem retenção de conteúdo por padrão) | DPA + cláusulas-padrão ANPD Res. 19/2024 |
| Anthropic (Claude) | EUA | Modelo de IA subjacente para geração de conteúdo, roteado via OpenRouter | Prompts de texto (sem PII direto) | Conforme política Anthropic | DPA + cláusulas-padrão ANPD Res. 19/2024 |
| Google AI (Gemini) | Multi | Geração de Brief Matinal via Gemini Flash | Textos de feed de atividade (sem PII) | Conforme política Google | DPA + cláusulas-padrão ANPD Res. 19/2024 |
| PostHog | EUA | Analytics historico/legado descontinuado; suporte a exclusao LGPD de dados legados | Dados historicos enviados antes da retirada do SDK do navegador; nenhum novo evento de browser ativo no runtime atual | Retencao/dataset legado NAO VERIFICAVEL sem acesso ao tenant | DPA, tenant dashboard, aceite e logs de exclusao NAO VERIFICAVEIS |
| Google Analytics 4 | EUA | Medição de audiência e funil — mirror dos eventos canônicos para campanhas pagas | Event names, parâmetros UTM, IDs anonimizados (user-pseudo-id, anon_id) | 14 meses | DPA + cláusulas-padrão ANPD Res. 19/2024 |
| Umami | NAO VERIFICAVEL | Analytics web atual, consent-gated, servido por https://umami.resumocast.com.br/script.js | Eventos de navegacao e metadados tecnicos pseudonimizados somente apos consentimento de analytics | Configuracao/hosting/controle operacional NAO VERIFICAVEL sem prova de infraestrutura de producao | Papel operador/sub-processador e DPA NAO VERIFICAVEIS sem prova de hosting/vendor |
| Microsoft Clarity | EUA | Heatmaps e session replay para UX research e melhoria de produto | Interações de página, cliques, scroll, device/browser metadata e identificadores pseudonimizados de sessão | Conforme política/configuração Microsoft Clarity | DPA + cláusulas-padrão ANPD Res. 19/2024 |
| Sentry | EUA | Rastreamento de erros e monitoramento de performance | Stack traces (PII redacted antes do envio) | 90 dias | DPA + cláusulas-padrão ANPD Res. 19/2024 |
Integrações condicionais
As integrações abaixo existem no produto mas só tratam dados quando habilitadas por configuração e mediante consentimento aplicável. Quando ativas, recebem dados fora do Brasil somente sob o mecanismo jurídico comprovado no registro do fornecedor ou permanecem NAO VERIFICAVEL até captura do respectivo DPA/aceite: Login com Google (Google OAuth) para autenticação, e os pixels de publicidade Meta, TikTok e Pinterest, ativados apenas sob consentimento de marketing. Esta lista é atualizada quando uma dessas integrações é confirmada como ativa em produção.
Encarregado de Proteção de Dados (DPO)
Responsável pela supervisão do tratamento de dados pessoais e pelo atendimento a titulares e à Autoridade Nacional de Proteção de Dados (ANPD).
- DPO
- Gustavo Carriconde
- Comitê
- Comitê Independente de Proteção de Dados ResumoCast
- Contato
- [email protected]
Esta lista é atualizada sempre que um novo sub-processador é adicionado ou removido, conforme exigido pelo Art. 48 da LGPD. Para exercer direitos de titular (acesso, correção, portabilidade, eliminação), consulte nossa Política de Privacidade para detalhes sobre consentimento, chaves de armazenamento local e fluxo de novo link de acesso do portal, ou entre em contato com nosso DPO em [email protected].