Guuh Analytics Falar com a Guuh

Sub-processadores

Operadores contratados pela Guuh — base legal, dados, salvaguardas.

Versão 1.1 Documento revisado periodicamente

Lista de Sub-processadores — Guuh Analytics

Versão: 1.1 Publicação: 27 de maio de 2026 · Última atualização: 3 de junho de 2026 (v1.1 — inclusão da Hetzner Online GmbH como sub-processador da infraestrutura própria de WhatsApp da GIA)

Esta página enumera os sub-processadores de dados pessoais (operadores, nos termos do art. 5º, VII, da LGPD) contratados pela Guuh Analytics (“Guuh”) para operar os serviços Magic Finance, GIA — Guuh Inteligência Analítica e o site institucional guuhanalytics.com.br.

A presente lista é complemento e referência cruzada da §5 da Política de Privacidade — em caso de divergência prevalece o conteúdo da Política de Privacidade.

A Guuh mantém Contrato de Tratamento de Dados (DPA — Data Processing Agreement) com cada operador listado, exigindo padrão de proteção equivalente ou superior ao da LGPD. Cópia dos DPAs vigentes está disponível mediante solicitação ao Encarregado de Dados pelo e-mail [email protected].

1. Sub-processadores em vigor

1.1 Locaweb

  • Produtos: Magic Finance, site institucional
  • Finalidade: hospedagem do site Astro (guuhanalytics.com.br), hospedagem do app Laravel + MySQL (guuhanalytics.com.br/mfinance/*)
  • Dados processados: todos os dados do Serviço (infraestrutura) — banco de dados, sessões, logs de acesso, backups
  • Localização do processamento: Brasil
  • Base legal para transferência: processamento em território nacional; não há transferência internacional
  • Salvaguarda contratual: contrato Locaweb com cláusulas de proteção de dados conforme LGPD
  • Site: https://www.locaweb.com.br

1.2 Fly.io

  • Produtos: GIA
  • Finalidade: hospedagem dos serviços backend da GIA — API Node.js/TypeScript, processador de mensagens WhatsApp, banco Postgres e armazenamento de embeddings (RAG)
  • Dados processados: mensagens trocadas no WhatsApp (texto), dados dos leads capturados, configurações do agente, base de conhecimento, logs de execução
  • Localização do processamento: Brasil (compute em São Paulo, região gru) + EUA (registry corporativo)
  • Base legal para transferência: Cláusulas-padrão contratuais (CPS) aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024)
  • Salvaguarda contratual: DPA Fly.io vigente
  • Site: https://fly.io

1.3 Cloudflare Inc.

  • Produtos: Magic Finance, GIA, site institucional
  • Finalidade:
    • CDN/WAF (proxy de tráfego): distribuição de conteúdo estático, mitigação de ataques DDoS, filtragem WAF (Web Application Firewall)
    • Cloudflare Turnstile (anti-fraude): verificação humana automatizada nos fluxos de autenticação (cadastro, login, recuperação de senha) para prevenir bots, credential stuffing e enumeração de contas
  • Dados processados:
    • Para o CDN/WAF: IP, user-agent, requisições HTTP
    • Para o Turnstile: IP, user-agent, fingerprint do navegador, dados comportamentais (movimento de mouse, timing de cliques, padrão de interação)
  • Localização do processamento: EUA (rede global de data centers, com edge servers em territórios próximos ao usuário, inclusive Brasil)
  • Base legal para transferência: Cláusulas-padrão contratuais (CPS) aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024)
  • Salvaguarda contratual: DPA Cloudflare vigente, com módulos específicos para Turnstile
  • Base legal de tratamento: legítimo interesse (art. 7º, IX, LGPD) — prevenção de fraude e abuso, indispensável à segurança do Serviço
  • Site / política: https://www.cloudflare.com/privacypolicy/

1.4 Google LLC — Vertex AI (Gemini) — Magic Finance

  • Produtos: Magic Finance
  • Finalidade: processamento de IA financeira — chat assistido, forecast de fluxo de caixa, parse de fatura PDF
  • Modelo: gemini-2.5-flash-lite
  • Dados processados: conteúdo do workspace quando o Usuário utiliza ativamente a IA (descrição de lançamentos, dados de cartão/conta, perguntas no chat)
  • Localização do processamento: EUA (região us-central1)
  • Base legal para transferência: CPS aprovadas pela ANPD (art. 33, II, LGPD) + DPA Google Cloud
  • Salvaguarda contratual: retenção zero, opt-out de treinamento
  • Site: https://cloud.google.com/vertex-ai

1.5 Google LLC — Vertex AI (Gemini) — GIA

  • Produtos: GIA
  • Finalidade: inferência do atendente automatizado — geração de resposta em linguagem natural a partir da base de conhecimento do Cliente contratante e do histórico recente da conversa
  • Modelo: gemini-2.5-flash
  • Dados processados: texto das mensagens recebidas no WhatsApp, trechos da base de conhecimento, histórico recente da conversa, configurações do agente
  • Localização do processamento: EUA (região us-central1)
  • Base legal para transferência: CPS aprovadas pela ANPD + DPA Google Cloud
  • Salvaguarda contratual: retenção zero, opt-out de treinamento, Service Account isolada
  • Site: https://cloud.google.com/vertex-ai

1.6 Meta Platforms, Inc. — WhatsApp Cloud API

  • Produtos: GIA (quando o canal do Cliente contratante opera no modo API oficial — ver §1.7 para o modo de infraestrutura própria)
  • Finalidade: envio e recebimento de mensagens no canal WhatsApp Business — o número de telefone homologado pelo Cliente contratante é o canal pelo qual a GIA conversa com clientes finais
  • Dados processados: número de telefone do cliente final, texto das mensagens, status de entrega/leitura, metadados (timestamp, tipo de mídia)
  • Localização do processamento: EUA + outras jurisdições conforme política global da Meta
  • Base legal para transferência: Cláusulas-padrão contratuais (CPS) aprovadas pela ANPD + DPA WhatsApp Business
  • Salvaguarda contratual: Termos do WhatsApp Business (Business Solution Terms)
  • Site / política: https://www.whatsapp.com/legal/business-solution-terms

1.7 Hetzner Online GmbH

  • Produtos: GIA (quando o canal do Cliente contratante opera no modo infraestrutura própria de WhatsApp — alternativa à API oficial da Meta, ver §1.6)
  • Finalidade: hospedagem do servidor dedicado que executa a infraestrutura própria de conexão ao WhatsApp da Guuh (gateway de mensagens auto-hospedado), usado quando o Cliente contratante ainda não possui — ou opta por não usar — número homologado na Cloud API da Meta
  • Dados processados: número de telefone do cliente final, texto das mensagens em trânsito, dados de sessão da conexão WhatsApp, metadados (timestamp, status de entrega)
  • Localização do processamento: Alemanha (Helsinque/Finlândia ou Falkenstein/Alemanha — região UE)
  • Base legal para transferência: país com grau de proteção reconhecido (GDPR — Regulamento UE 2016/679) + DPA Hetzner
  • Salvaguarda contratual: DPA Hetzner (Auftragsverarbeitung, art. 28 GDPR); servidor de uso exclusivo da Guuh, sem compartilhamento de instância
  • Site / política: https://www.hetzner.com/legal/privacy-policy

1.8 AbacatePay

  • Produtos: Magic Finance, GIA
  • Finalidade: processamento de pagamento das assinaturas pagas — PIX e cartão de crédito
  • Dados processados: nome, CPF, e-mail, token opaco do meio de pagamento. A Guuh jamais recebe PAN, CVV ou dados completos do cartão — esses ficam exclusivamente no AbacatePay e no adquirente.
  • Localização do processamento: Brasil
  • Base legal para transferência: processamento em território nacional; não há transferência internacional
  • Salvaguarda contratual: LGPD-compliance declarada pelo fornecedor
  • Site: https://abacatepay.com

1.9 Google LLC — OAuth

  • Produtos: Magic Finance, GIA
  • Finalidade: login social (apenas quando o Usuário opta por “Continuar com Google”)
  • Dados processados: e-mail, nome, avatar fornecidos pelo Google
  • Localização do processamento: EUA
  • Base legal para transferência: CPS aprovadas pela ANPD + consentimento expresso do Usuário (ao clicar “Continuar com Google” e autorizar na tela do Google)
  • Site: https://policies.google.com/privacy

1.10 Google LLC — Google Analytics 4 + Google Ads

  • Produtos: Magic Finance, GIA, site institucional
  • Finalidade:
    • Google Analytics 4 (medição): contagem de visitas, engajamento por página, funil de cadastro (origem → landing → signup → ativação), diagnóstico de UX. Não usamos para perfilamento individualizado.
    • Google Ads (atribuição de campanha): medição de quais anúncios pagos do Google geram cadastro (conversion tracking) e otimização automática de lance da campanha. Não usamos remarketing dinâmico nem audiências baseadas em comportamento individual.
  • Dados processados:
    • GA4: identificador anônimo de dispositivo (_ga), eventos de pageview/clique/scroll/sign_up, referrer (de onde veio), tela (resolução), idioma, IP truncado (último octeto zerado por anonymize_ip=true antes do envio), eventos de signup com parâmetro method: form_email.
    • Google Ads: identificador de clique vindo de campanha (_gcl_aw, _gcl_au), evento de conversion (signup) com value=0 e currency=BRL. Não enviamos PII (e-mail, nome, CPF, telefone) para o conversion event.
  • Localização do processamento: EUA (com routing regional — collection endpoints podem estar em região mais próxima do usuário para latência)
  • Base legal para transferência: Cláusulas-padrão contratuais (CPS) aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024) + DPA Google
  • Base legal de tratamento: consentimento explícito (art. 7º, I, LGPD) — coletado via banner de cookies na primeira visita. Sem consentimento, opera em Google Consent Mode v2 (modo denied), sem persistir identificadores no navegador.
  • Configurações de privacidade aplicadas no servidor da Guuh (hardcoded no código, não opcional):
    • anonymize_ip: true (IP truncado antes do envio)
    • allow_google_signals: false (sem enriquecimento demográfico)
    • allow_ad_personalization_signals: false (proíbe uso pra personalização de anúncios fora do Ads)
  • Salvaguarda contratual: DPA Google (versão 2024 ou superior) + Data Processing Terms do GA4
  • Site / política: https://policies.google.com/privacy · Sobre Consent Mode v2

2. Sub-processadores que NÃO utilizamos

Por transparência, declaramos que NÃO utilizamos:

  • Stripe — não usamos. Pagamento é processado pelo AbacatePay (§1.7).
  • Clerk — não usamos. Auth é proprietária (Laravel Sanctum + 2FA TOTP + Google OAuth para Magic Finance; JWT próprio para GIA).
  • Mixpanel / Amplitude / Segment — não usamos. Métricas de produto do app (uso de feature, retenção, churn) são processadas internamente. Para medição web pública usamos Google Analytics 4 (§1.9).
  • Hotjar / FullStory / Clarity — não usamos. Não há gravação de sessão, heatmap, replay ou session recording de qualquer espécie.
  • Meta Pixel / TikTok Pixel / LinkedIn Insight / X (Twitter) Pixel — não usamos. Veiculação publicitária paga (quando ativa) é exclusivamente via Google Ads (§1.9).
  • Remarketing dinâmico baseado em produtos visualizados — não fazemos. Mesmo dentro do Google Ads, não usamos campanhas de remarketing com audiências derivadas de comportamento individual.
  • OpenAI / Anthropic / Cohere / Mistral — não usamos como provedor de IA. Inferência é exclusivamente Google Vertex AI (§§1.4 e 1.5).

3. Como você é notificado de mudanças

Qualquer inclusão de novo sub-processador ou mudança material (troca de finalidade, troca de localização do processamento, troca de base legal de transferência) é comunicada aos Usuários ativos por e-mail com 30 dias de antecedência, conforme §14 da Política de Privacidade.

Você pode contestar a mudança e exercer seu direito de portabilidade ou eliminação dos dados (art. 18, V e VI, LGPD) sem ônus, antes da vigência do novo sub-processador, mediante solicitação ao Encarregado.

4. Contato — Encarregado de Dados (DPO)

Para solicitar cópia dos DPAs vigentes, contestar inclusão de sub-processador ou exercer qualquer direito previsto na LGPD:

Precisa exercer seus direitos LGPD? Veja como aqui.

Dúvidas específicas sobre privacidade: [email protected]