Este documento lista todos os sub-processadores que tratam dados pessoais em nome da Belvy Tecnologia para a Saúde LTDA na operação da plataforma Agente Liz. Publicado em cumprimento ao art. 39 da LGPD e aos DPAs (Data Processing Agreements) assinados com os laboratórios clientes, que atuam como controladores.
Alteração substancial — troca de provedor de nuvem, adição de sub-operador
de IA ou mudança de país de armazenamento — é notificada aos clientes com
30 dias de antecedência, preservando o direito de objeção fundamentada.
1. Sub-processadores ativos
| # | Sub-processador | Entidade jurídica | País da infra | Finalidade | Dados tratados | Transferência internacional |
|---|---|---|---|---|---|---|
| 1 | Google Cloud Platform | Google LLC | Brasil (região southamerica-east1, São Paulo) para Cloud Run, Cloud SQL e GCS de produção. Cloud Logging e bucket de build labport-prod_cloudbuild em multi-região dos EUA. |
Hospedagem API + SPA + Postgres (Cloud SQL) + storage (GCS) + logs (Cloud Logging) + artefatos de build | Todos os dados de pacientes, operadores, prescrições e auditoria em repouso no Brasil. Logs e artefatos de build em multi-região US. O Cloud Logging passa por scrubber de PII antes do envio. | Cláusulas contratuais padrão Google (SCC Google) + DPA; adesão ao EU-US DPF. Para o Cloud Logging e bucket de build (multi-região US), a transferência é justificada pelo art. 33 §I LGPD (execução de contrato). |
| 2 | Google Vertex AI , Gemini | Google LLC | EUA (us-central1) durante o piloto , Gemini 2.5 Pro ainda não disponível em southamerica-east1; migração para a região brasileira planejada para a Wave 2. | Interpretação OCR de prescrição, classificação de exames, chat de pré-atendimento e transcrição de áudio | Imagem da prescrição, texto transcrito da fala, transcrição de áudio do paciente (pode conter nome próprio, CPF falado). O log do resultado de transcrição é reduzido a contagem de caracteres/palavras , conteúdo nunca é persistido em log. | DPA Google + SCC Google (Standard Contractual Clauses) + adesão ao EU-US DPF + compromisso Vertex de não-treinamento em dados do cliente (Vertex AI service terms §7.4). Transferência internacional justificada pelo art. 33 §I LGPD (execução de contrato). |
| 3 | OpenAI API | OpenAI, L.L.C. | EUA | Estratégia OCR alternativa (ativada via OCR_STRATEGY=openai). Não é a estratégia default em produção hoje. |
Imagem da prescrição (texto clínico + identificação do médico). Não enviamos CPF nem dados cadastrais. | DPA padrão OpenAI + opt-out de treinamento (dados de API não são usados para treino desde 03/2023). Retenção padrão de 30 dias para abuse monitoring — Zero Data Retention (ZDR) só no tier Enterprise, ainda não contratado. Transferência justificada pelo art. 33 §I LGPD. |
| 4 | Upstash Redis | Upstash Inc. | EUA (região US-East) , ativo durante o piloto. Memorystore em southamerica-east1 planejado para a Wave 2. | Rate limiting distribuído, throttler cross-replica e lockout MFA | Hash de identificador (e-mail, token) + contador temporário, TTL ≤ 15 min. Sem dados de saúde e sem CPF em texto claro. | DPA padrão Upstash + SCC Upstash + adesão ao DPF. Transferência justificada pelo art. 33 §I LGPD. |
| 5 | Sentry | Functional Software, Inc. | EUA | Observabilidade de erros e APM | Stack traces + metadados técnicos; PII scrubber em beforeSend remove CPF, e-mail, nome, tokens, CRM, CNS, conteúdo de chat e transcrição de áudio antes do envio |
DPA padrão Sentry + cláusulas contratuais padrão |
| 6 | Google reCAPTCHA v3 | Google LLC | EUA | Proteção antibot em endpoints públicos (consent, onboarding) | IP, user-agent, fingerprint do navegador e tempo de interação | Mesmo instrumento da linha 1 |
| 7 | GitHub Actions (CI/CD) | GitHub Inc. (Microsoft) | EUA | Esteira de build e deploy; não processa dados pessoais de produção | Código-fonte, logs de build, secrets via Workload Identity Federation (sem credencial permanente) | DPA padrão Microsoft + SCCs |
2. Sub-processadores considerados, mas não ativos
Mantidos aqui por transparência. O acionamento futuro segue o procedimento de notificação de 30 dias descrito acima.
| Sub-processador | Status | Uso potencial |
|---|---|---|
| Stripe | não ativo em prod | Billing SaaS (feature-flag BILLING_STRIPE_ENABLED=false) |
| SendGrid / Resend | não ativo | Envio transacional (convite operador, MFA, recuperação) — hoje apenas logs |
| Cloud SQL PITR + tier bump | não ativo (piloto) | Point-in-time recovery + tier maior que db-f1-micro. Limitação comercial declarada do piloto free/beta (RPO de até 24h aceito). Trigger de reversão: primeiro contrato pago assinado. |
| Memorystore (Redis GCP) | não ativo (piloto) | Substituirá Upstash US-East na Wave 2 , região southamerica-east1. Trigger: primeiro contrato enterprise com exigência de território nacional. |
3. Compromissos contratuais com sub-processadores
Para todos os sub-processadores listados, a Exames obriga, por contrato ou termos de uso equivalentes:
- Instrução estritamente limitada — o sub-processador trata os dados apenas para a finalidade descrita, nunca para treinar modelos próprios nem para analytics de marketing.
- Segurança equivalente — medidas técnicas e organizacionais compatíveis com ISO 27001 / SOC 2.
- Notificação de incidente — a Exames é informada em até 72 horas após ciência do sub-processador.
- Auditabilidade — relatórios SOC 2 Type II e/ou DPA com cláusulas de auditoria.
- Sub-subcontratação — permitida somente com autorização prévia da Exames, transitivamente derivada da autorização dos clientes.
4. Mudanças desde o último release
| Data | Mudança |
|---|---|
| 2026-04-22 (ROPA v1.0 assinada , W0-9) | Nome comercial Agente Liz declarado (Belvy é a entidade jurídica). Vertex AI corrigido para us-central1 (EUA) durante o piloto , Gemini 2.5 Pro ainda não está disponível em southamerica-east1; migração Wave 2. SCC Google + EU-US DPF + opt-out de treino §7.4 mantidos. Upstash Redis US-East declarado como ativo no piloto; Memorystore BR movido para a Wave 2. Linha GCP inclui bucket de build labport-prod_cloudbuild (US multi-region). Seção de "não ativos" inclui PITR + tier bump como limitação comercial declarada do piloto (RPO 24h) com trigger de primeiro contrato pago. |
| 2026-04-22 (transparência inicial) | Linha Gemini renomeada para Vertex AI , Gemini com citação do compromisso de não-treinamento; OpenAI adicionada como sub-processador OCR alternativo com divulgação da retenção padrão de 30 dias; scrubber Sentry atualizado (CRM/CNS/chat/transcrição). |
| 2026-04-19 | Publicação da primeira versão pública do documento |
5. Contato
Dúvidas, pedidos de DPA assinado ou objeção fundamentada a qualquer sub-processador: use o canal oficial do titular em /privacidade/solicitacao (triado pelo Encarregado de Dados — Derick Willyans Couto Bezerra), ou escreva para dpo@exames.info.
Versão completa em markdown (mantida em repo, com histórico versionado): docs/legal/subprocessors.md.