Desio

Sub-processadores

Última atualização: 19 de abril de 2026 (v1)

01Visão Geral

Esta página lista todos os sub-processadores que tratam dados pessoais em nome da TCOM LTDA (operadora da plataforma Desio) no contexto da prestação do serviço, em cumprimento ao Art. 39 da [LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm).

Para cada provedor, informamos:

  • Finalidade: para que o dado é tratado
  • Categoria de dado: o tipo de dado que pode ser processado
  • Região: localização principal do processamento
  • Política: link para a política de privacidade do provedor

A relação é revisada periodicamente. Quando há mudança relevante (inclusão, exclusão ou alteração de finalidade), a Última atualização desta página é incrementada. Parceiros em planos enterprise podem solicitar notificação prévia por meio do DPA.

Dúvidas ou contestações: privacidade@desio.app.

02Infraestrutura e Armazenamento

Vercel Inc.:

  • Finalidade: hospedagem da aplicação, edge functions, blob storage (incluindo exports de DSAR)
  • Categoria de dado: todo dado da plataforma em trânsito e arquivos de export temporários
  • Região: global (CDN), com processamento primário nos EUA
  • Política: vercel.com/legal/privacy-policy

Neon Inc.:

  • Finalidade: banco de dados Postgres principal (Drizzle ORM)
  • Categoria de dado: todo dado persistido — Parceiros, clientes finais, pedidos, reservas, eventos, consentimentos, vouchers
  • Região: EUA (us-east)
  • Política: neon.tech/privacy-policy

Inngest, Inc.:

  • Finalidade: orquestração de jobs em segundo plano, workflows e cron (rollup de IA, repermission, marketing)
  • Categoria de dado: payloads de evento (podem conter PII de Parceiros e clientes)
  • Região: EUA
  • Política: inngest.com/privacy

03Comunicação

Resend, Inc.:

  • Finalidade: envio de e-mails transacionais e de marketing (DSAR, repermission, campanhas, notificações)
  • Categoria de dado: endereço de e-mail e conteúdo da mensagem (corpo do e-mail)
  • Região: EUA
  • Política: resend.com/legal/privacy-policy

Chatwoot:

  • Finalidade: caixa de entrada unificada para atendimento (suporte e marketing)
  • Categoria de dado: mensagens trocadas entre Parceiro/cliente e Desio, identificadores de contato (e-mail, telefone), metadados de conversa
  • Região: hospedagem própria (VPS controlado pela Desio)
  • Política: chatwoot.com/privacy-policy

04Pagamentos

Asaas Gestão Financeira Instituição de Pagamento S.A.:

  • Finalidade: gateway de pagamento, split, payout a Parceiros e cobrança de assinaturas
  • Categoria de dado: dados cadastrais do Parceiro (CNPJ, razão social, dados bancários), dados de cobrança do cliente final (nome, CPF, dados de pagamento)
  • Região: Brasil
  • Política: asaas.com/politica-de-privacidade

05Analytics e Observabilidade

PostHog Inc.:

  • Finalidade: analytics de produto, feature flags, instrumentação de eventos de IA (`$ai_generation`)
  • Categoria de dado: eventos de uso pseudonimizados, identificadores de sessão, propriedades de evento (sem PII direta em propriedades padrão)
  • Região: EUA (com opção de processamento na UE)
  • Política: posthog.com/privacy

Google LLC — Google Analytics 4:

  • Finalidade: analytics de marketing (somente no site público, com consentimento)
  • Categoria de dado: dados de sessão pseudonimizados, referrer, dispositivo, geolocalização aproximada (cidade)
  • Região: EUA
  • Política: policies.google.com/privacy

06Inteligência Artificial

Anthropic, PBC — Claude:

  • Finalidade: agente de atendimento, agente de marketing, assistentes internos (wizard); inferência de LLM via API com zero data retention habilitado
  • Categoria de dado: conteúdo de prompt (pode incluir dados de Parceiro e clientes), exclusivamente para resposta imediata
  • Região: EUA
  • Política: anthropic.com/legal/privacy

OpenAI, L.L.C. — GPT, embeddings:

  • Finalidade: geração e embeddings para busca semântica; inferência via API com zero data retention habilitado para clientes da API
  • Categoria de dado: conteúdo de prompt e texto-fonte de embedding
  • Região: EUA
  • Política: openai.com/policies/privacy-policy

Mistral AI SAS:

  • Finalidade: inferência alternativa de LLM em superfícies específicas
  • Categoria de dado: conteúdo de prompt
  • Região: França (UE)
  • Política: mistral.ai/terms#privacy-policy

Cohere Inc.:

  • Finalidade: reranking de resultados de busca semântica
  • Categoria de dado: query de busca e candidatos de resultado
  • Região: EUA / Canadá
  • Política: cohere.com/privacy

Google LLC — Gemini API:

  • Finalidade: experimentação de modelos alternativos (uso restrito, sem dependência em produção crítica)
  • Categoria de dado: conteúdo de prompt
  • Região: EUA
  • Política: policies.google.com/privacy

07Serviços Auxiliares

Mendable Inc. — Firecrawl:

  • Finalidade: extração de conteúdo de páginas web públicas para pesquisa de mercado e content audit (não processa dados de clientes finais)
  • Categoria de dado: URLs públicas e respectivo conteúdo HTML/markdown
  • Região: EUA
  • Política: firecrawl.dev/privacy

08Mudanças e Notificações

A inclusão de novo sub-processador ou alteração relevante de finalidade é refletida nesta página com a Última atualização atualizada na parte superior.

Parceiros que tiverem necessidade contratual de notificação prévia de mudanças (típico em procurement enterprise) podem incluir essa cláusula no DPA — neste caso, a Desio comunica novos sub-processadores via e-mail com antecedência mínima de 30 dias antes da efetivação, dentro do escopo contratado.

Para reportar uma preocupação específica sobre algum sub-processador desta lista, escreva para privacidade@desio.app.