Pular para o conteúdo
Política de Privacidade

Sub-Processadores de Dados

Última atualização: 1 de julho de 2026

Em cumprimento à Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), em especial aos Arts. 37 e 38, o ResumoCast divulga abaixo os terceiros (sub-processadores) que tratam dados pessoais em seu nome, a categoria de dados compartilhados e a base legal aplicável.

Mecanismo de transferência internacional (Art. 33 LGPD): Quando um sub-processador receber dados fora do Brasil, o mecanismo aplicável é o indicado na respectiva linha da tabela. Linhas marcadas como NAO VERIFICAVEL indicam que DPA, aceite em tenant, hosting, logs ou cláusulas-padrão ANPD ainda não foram comprovados para aquele fornecedor.

Sub-processadorPaísFinalidadeDados enviadosRetençãoMecanismo art. 33 LGPD
ResendEUAE-mail transacional (convites, links de acesso, notificações, relatórios)E-mail, nome, conteúdo da mensagem30 diasDPA + cláusulas-padrão ANPD Res. 19/2024
StripeEUAProcessamento de pagamentos e prevenção a fraudeE-mail e dados de cobrança/cartão (processados diretamente pelo Stripe; o portal armazena apenas referências stripeCustomerId/stripeSubscriptionId)Conforme política do StripeDPA + cláusulas-padrão ANPD Res. 19/2024
CloudflareEUA / GlobalCDN, DNS, WAF e armazenamento de arquivos/documentos (R2)Metadados de requisição (IP, user-agent, cabeçalhos), arquivos e documentos enviados ao portalConforme política CloudflareSelf-Serve DPA incorporado + cláusulas-padrão ANPD Res. 19/2024
Oracle CloudEUA (us-ashburn-1)Hospedagem de infraestrutura e banco de dados (PostgreSQL em VPS)Dados pessoais persistidos pelo portal (conta, perfil, conteúdo)Durante a vigência da conta / conforme retenção do portalDPA + cláusulas-padrão ANPD Res. 19/2024
OpenRouterEUACamada de roteamento de IA — pipeline de geração e análise de conteúdoPrompts de texto (sem PII direto); roteados a modelos subjacentesConforme política OpenRouter (sem retenção de conteúdo por padrão)DPA + cláusulas-padrão ANPD Res. 19/2024
Anthropic (Claude)EUAModelo de IA subjacente para geração de conteúdo, roteado via OpenRouterPrompts de texto (sem PII direto)Conforme política AnthropicDPA + cláusulas-padrão ANPD Res. 19/2024
Google AI (Gemini)MultiGeração de Brief Matinal via Gemini FlashTextos de feed de atividade (sem PII)Conforme política GoogleDPA + cláusulas-padrão ANPD Res. 19/2024
PostHogEUAAnalytics historico/legado descontinuado; suporte a exclusao LGPD de dados legadosDados historicos enviados antes da retirada do SDK do navegador; nenhum novo evento de browser ativo no runtime atualRetencao/dataset legado NAO VERIFICAVEL sem acesso ao tenantDPA, tenant dashboard, aceite e logs de exclusao NAO VERIFICAVEIS
Google Analytics 4EUAMedição de audiência e funil — mirror dos eventos canônicos para campanhas pagasEvent names, parâmetros UTM, IDs anonimizados (user-pseudo-id, anon_id)14 mesesDPA + cláusulas-padrão ANPD Res. 19/2024
UmamiNAO VERIFICAVELAnalytics web atual, consent-gated, servido por https://umami.resumocast.com.br/script.jsEventos de navegacao e metadados tecnicos pseudonimizados somente apos consentimento de analyticsConfiguracao/hosting/controle operacional NAO VERIFICAVEL sem prova de infraestrutura de producaoPapel operador/sub-processador e DPA NAO VERIFICAVEIS sem prova de hosting/vendor
Microsoft ClarityEUAHeatmaps e session replay para UX research e melhoria de produtoInterações de página, cliques, scroll, device/browser metadata e identificadores pseudonimizados de sessãoConforme política/configuração Microsoft ClarityDPA + cláusulas-padrão ANPD Res. 19/2024
SentryEUARastreamento de erros e monitoramento de performanceStack traces (PII redacted antes do envio)90 diasDPA + cláusulas-padrão ANPD Res. 19/2024

Integrações condicionais

As integrações abaixo existem no produto mas só tratam dados quando habilitadas por configuração e mediante consentimento aplicável. Quando ativas, recebem dados fora do Brasil somente sob o mecanismo jurídico comprovado no registro do fornecedor ou permanecem NAO VERIFICAVEL até captura do respectivo DPA/aceite: Login com Google (Google OAuth) para autenticação, e os pixels de publicidade Meta, TikTok e Pinterest, ativados apenas sob consentimento de marketing. Esta lista é atualizada quando uma dessas integrações é confirmada como ativa em produção.

Encarregado de Proteção de Dados (DPO)

Responsável pela supervisão do tratamento de dados pessoais e pelo atendimento a titulares e à Autoridade Nacional de Proteção de Dados (ANPD).

DPO
Gustavo Carriconde
Comitê
Comitê Independente de Proteção de Dados ResumoCast

Esta lista é atualizada sempre que um novo sub-processador é adicionado ou removido, conforme exigido pelo Art. 48 da LGPD. Para exercer direitos de titular (acesso, correção, portabilidade, eliminação), consulte nossa Política de Privacidade para detalhes sobre consentimento, chaves de armazenamento local e fluxo de novo link de acesso do portal, ou entre em contato com nosso DPO em [email protected].