Este documento lista todos os sub-processadores que tratam dados pessoais em nome da Belvy Tecnologia para a Saúde LTDA na operação da plataforma LabPort. Publicado em cumprimento ao art. 39 da LGPD e aos DPAs (Data Processing Agreements) assinados com os laboratórios clientes, que atuam como controladores.
1. Sub-processadores ativos
| # | Sub-processador | Entidade jurídica | País da infra | Finalidade | Dados tratados | Transferência internacional |
|---|---|---|---|---|---|---|
| 1 | Google Cloud Platform | Google LLC | EUA (região us-central1) | Hospedagem API + SPA + Postgres (Cloud SQL) + storage (GCS) + logs (Cloud Logging) | Todos os dados de pacientes, operadores, prescrições e auditoria | Cláusulas contratuais padrão Google + DPA; adesão ao EU-US Data Privacy Framework |
| 2 | Google Gemini API | Google LLC | EUA | Interpretação OCR de prescrição médica e classificação de exames | Imagem da prescrição e texto extraído. Não inclui CPF, nome do paciente ou dado cadastral — apenas imagem e dados clínicos transcritos | Mesmo instrumento da linha 1; operação data-zero (prompt não-treinado) nos termos Enterprise do Gemini |
| 3 | Upstash Redis (quando ativado) | Upstash Inc. | EUA (região US-East) | Rate limiting distribuído e lockout MFA | Hash de identificador (e-mail, token) + contador temporário, TTL ≤ 15 min | DPA padrão Upstash + adesão ao DPF |
| 4 | Sentry | Functional Software, Inc. | EUA | Observabilidade de erros e APM | Stack traces + metadados técnicos; PII scrubber em beforeSend remove CPF, e-mail, nome e token antes do envio |
DPA padrão Sentry + cláusulas contratuais padrão |
| 5 | Google reCAPTCHA v3 | Google LLC | EUA | Proteção antibot em endpoints públicos (consent, onboarding) | IP, user-agent, fingerprint do navegador e tempo de interação | Mesmo instrumento da linha 1 |
| 6 | GitHub Actions (CI/CD) | GitHub Inc. (Microsoft) | EUA | Esteira de build e deploy; não processa dados pessoais de produção | Código-fonte, logs de build, secrets via Workload Identity Federation (sem credencial permanente) | DPA padrão Microsoft + SCCs |
2. Sub-processadores considerados, mas não ativos
Mantidos aqui por transparência. O acionamento futuro segue o procedimento de notificação de 30 dias descrito acima.
| Sub-processador | Status | Uso potencial |
|---|---|---|
| Stripe | não ativo em prod | Billing SaaS (feature-flag BILLING_STRIPE_ENABLED=false) |
| SendGrid / Resend | não ativo | Envio transacional (convite operador, MFA, recuperação) — hoje apenas logs |
| Cloud SQL PITR | não ativo | Point-in-time recovery — será ativado no tier Enterprise |
3. Compromissos contratuais com sub-processadores
Para todos os sub-processadores listados, a Belvy obriga, por contrato ou termos de uso equivalentes:
- Instrução estritamente limitada — o sub-processador trata os dados apenas para a finalidade descrita, nunca para treinar modelos próprios nem para analytics de marketing.
- Segurança equivalente — medidas técnicas e organizacionais compatíveis com ISO 27001 / SOC 2.
- Notificação de incidente — a Belvy é informada em até 72 horas após ciência do sub-processador.
- Auditabilidade — relatórios SOC 2 Type II e/ou DPA com cláusulas de auditoria.
- Sub-subcontratação — permitida somente com autorização prévia da Belvy, transitivamente derivada da autorização dos clientes.
4. Mudanças desde o último release
| Data | Mudança |
|---|---|
| 2026-04-19 | Publicação da primeira versão pública do documento |
5. Contato
Dúvidas, pedidos de DPA assinado ou objeção fundamentada a qualquer sub-processador: dpo@belvy.ai (Encarregado de Dados — Derick Willyans Couto Bezerra).
Versão completa em markdown (mantida em repo, com histórico versionado): docs/legal/subprocessors.md.