ACORDO DE TRATAMENTO DE DADOS
O Acordo de Tratamento de Dados, em leitura simples.
v1.2.1 · Em vigor a partir da data de publicação
Escrito para que o seu DPO possa aprová-lo de uma só vez. Cada termo, subprocessador e salvaguarda documentado na íntegra. O PDF assinado contém o mesmo conteúdo.
ESCOPO E FUNÇÕES
Quem faz o quê, com os dados de quem.
Sob este DPA, o Cliente é o controlador de dados e o Sageio atua como operador em nome do Cliente. O Sageio trata dados pessoais apenas para prestar os serviços contratados — tradução, transcrição e resumo de reuniões em tempo real — e apenas conforme as instruções documentadas do Cliente. Este DPA faz parte do Acordo de Assinatura entre o Sageio e o Cliente; em caso de conflito, o DPA prevalece nas matérias de tratamento de dados pessoais. Aplica-se a todas as atividades de tratamento realizadas em conexão com a plataforma Sageio.
DADOS TRATADOS
O que tratamos, e por que podemos.
| Categoria de dados | Finalidade do tratamento | Base legal (GDPR Art. 6) | Retenção |
|---|---|---|---|
| Áudio da reunião | Transcrição de voz para texto e tradução durante a reunião. | Art. 6(1)(b) — execução de contrato. | Transmitido para transcrição ao vivo e processado apenas em memória; nunca gravado em armazenamento. Não usado para treinamento de modelos. |
| Transcrições e traduções de reuniões | Armazenamento e recuperação pelos membros do espaço de trabalho do Cliente. | Art. 6(1)(b) — execução de contrato. | Mantidos até serem excluídos pelo Cliente ou com a exclusão da conta. |
| Resumos e ações a tomar | Resultados de reunião gerados por IA derivados da transcrição. | Art. 6(1)(b) — execução de contrato. | Segue o período de retenção da transcrição. |
| Identificadores de conta (nome, e-mail, função) | Autenticação, acesso ao espaço de trabalho e registro de auditoria. | Art. 6(1)(b) — execução de contrato. | Duração da conta mais 30 dias após o encerramento. |
| Metadados de espaço de trabalho e uso | Funcionamento do serviço, reconciliação de cobrança e prevenção de abusos. | Art. 6(1)(b) e Art. 6(1)(f) — interesse legítimo na integridade do serviço. | 12 meses a partir da geração. |
| Registros de auditoria | Monitoramento de segurança e revisão de acessos do Cliente. | Art. 6(1)(f) — interesse legítimo na segurança. | 12 meses a partir da geração. |
| Identificadores de cobrança | Gerenciamento de assinatura. Os dados do cartão de pagamento são tratados pela LemonSqueezy como Merchant of Record e não são armazenados pelo Sageio. | Art. 6(1)(b) — execução de contrato. | Duração da conta mais 7 anos para registros fiscais. |
SUBPROCESSADORES
A cadeia completa de custódia.
| Subprocessador | Finalidade | Local de tratamento |
|---|---|---|
| Amazon Web Services | Hospedagem em nuvem, armazenamento de objetos, gerenciamento de chaves de criptografia. | Região escolhida pelo Cliente (padrão: Singapura, Ásia-Pacífico). UE e EUA nos planos Enterprise. |
| Neon | Banco de dados PostgreSQL gerenciado para dados da aplicação. | Região correspondente à região AWS principal do Cliente. |
| Vercel | Hospedagem do site de marketing e da aplicação web voltada ao cliente. | Rede edge global. Origem: região selecionada pelo cliente. |
| Clerk | Autenticação, single sign-on e gerenciamento de identidade. | Estados Unidos. |
| Deepgram | Transcrição de voz para texto do áudio da reunião. | Estados Unidos. |
| OpenAI | Transcrição de voz para texto em tempo real do áudio de reuniões (motor padrão para novos espaços de trabalho) e transcrição de arquivos de áudio enviados. | Estados Unidos. |
| DeepL | Tradução de segmentos provisórios da transcrição e tradução final para determinados idiomas de destino. | Alemanha (UE). |
| Google (Gemini API) | Refinamento da tradução de segmentos finalizados; resumos e ações a tomar gerados por IA. | Estados Unidos. Dados não usados para treinar modelos da Google, conforme os termos da API Gemini paga. |
| Resend | Envio de e-mails transacionais (avisos de conta e serviço; e-mails de resumo de reunião enviados a pedido do usuário). | Estados Unidos. |
A Lemon Squeezy (uma empresa da Stripe) não é um subprocessador: como Merchant of Record, determina por si própria as finalidades do pagamento, impostos e faturamento, e atua como controlador de dados independente sob a sua própria política de privacidade.
O Plausible (análise web sem cookies) opera apenas no nosso site de marketing e não trata dados pessoais da plataforma sob este DPA; está divulgado na Política de Privacidade.
PROCESSOR COMMITMENTS
Article 28, written into the contract.
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- Sub-processor changes
- Sageio maintains the current sub-processor list at sageio.net/subprocessors. Sageio will give Customer at least 30 days' notice (by email or in-app notice) before adding or replacing a sub-processor. Customer may object on reasonable data-protection grounds within the notice period; if the parties cannot resolve the objection, Customer may terminate the affected services and receive a pro-rata refund of prepaid fees for the unused period. Sageio imposes data-protection obligations equivalent to this DPA on each sub-processor and remains liable for their performance.
- Personal-data breach notification
- Sageio will notify Customer without undue delay, and in any event within 24 hours of confirming a personal-data breach affecting Customer personal data, and will provide the information reasonably required for Customer's obligations under Articles 33–34 GDPR, with updates as the investigation proceeds.
- Deletion and return
- Upon termination or expiry of the services, Sageio will, at Customer's choice, delete or return all Customer personal data within 30 days, and delete remaining copies, except where applicable law requires retention. Personal data in encrypted backups is purged on the standard 30-day backup rotation cycle.
- Assistance and audits
- Taking into account the nature of the processing, Sageio will assist Customer with appropriate technical and organizational measures in responding to data-subject requests, and with Customer's obligations under Articles 32–36 GDPR, including data-protection impact assessments and prior consultations. Sageio will make available information reasonably necessary to demonstrate compliance with Article 28 — including summaries of penetration tests and, when available, audit reports — and will allow audits, including inspections, by Customer or its mandated auditor, no more than once per twelve months, on 30 days' notice, at Customer's expense and subject to confidentiality.
- Confidentiality and instructions
- Sageio ensures that persons authorized to process personal data are committed to confidentiality. Sageio will inform Customer without undue delay if, in its opinion, an instruction infringes applicable data-protection law.
- Customer warranties
- Customer warrants that it has established a lawful basis for the processing it instructs under this DPA, including any notices to and consents from meeting participants required by applicable law and — where meeting content incidentally contains special categories of personal data — a condition under Article 9(2) GDPR. Sageio does not use meeting content to identify any person by voice and creates no biometric templates.
- Term, governing law, and liability
- This DPA takes effect with, and lasts for the duration of, the Subscription Agreement; it is governed by the same law, and the limitations of liability in the Terms of Service apply to it, except where mandatory data-protection law provides otherwise.
MEDIDAS DE SEGURANÇA
Engenharia encontra compromisso.
O Sageio implementa medidas técnicas e organizacionais adequadas ao risco do tratamento, incluindo criptografia em trânsito (TLS 1.3) e em repouso (AES-256-GCM), controle de acesso baseado em funções, registro de auditoria, testes de penetração regulares e um processo documentado de resposta a incidentes. O acesso em produção exige justificativa de negócio explícita, é limitado no tempo e é registrado. O catálogo completo de medidas, incluindo o estado atual do programa de conformidade, é publicado na página de Segurança e atualizado à medida que o programa evolui.
TRANSFERÊNCIAS INTERNACIONAIS
Dados transfronteiriços, movidos licitamente.
Sempre que dados pessoais sejam transferidos para fora do Espaço Econômico Europeu, do Reino Unido ou de outras jurisdições com restrições equivalentes, o Sageio recorre às Cláusulas Contratuais-Padrão da Comissão Europeia (Módulo Dois: Controlador-para-Operador) e, quando aplicável, ao Adendo de Transferência Internacional de Dados do Reino Unido. Para transferências para jurisdições cobertas por uma decisão de adequação, o Sageio recorre a essa decisão. Os subprocessadores ficam vinculados a obrigações equivalentes por meio de transposição contratual. São realizadas avaliações de impacto da transferência para cada subprocessador que trate dados pessoais fora da jurisdição do exportador de dados.
The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.
DIREITOS DOS TITULARES DE DADOS
Os direitos dos seus usuários, as nossas obrigações.
- Direito de acesso — confirmação e cópia dos dados pessoais tratados.
- Direito de retificação — correção de dados inexatos ou incompletos.
- Direito ao apagamento — exclusão em até 30 dias após um pedido válido, sujeito a requisitos legais de retenção.
- Direito à limitação — limitação do tratamento em circunstâncias definidas.
- Direito à portabilidade dos dados — exportação em um formato estruturado e legível por máquina.
- Direito de oposição — incluindo ao tratamento baseado em interesse legítimo.
- Direito de apresentar reclamação à autoridade de controle competente.
CONTATO
Pessoas reais, caixas de entrada com nome.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
A Sageio é operada por 好客網路股份有限公司 (Unified Business No. 29041135), uma empresa registrada em Taiwan. Endereço registrado: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Contato de privacidade: privacy@sageio.net.
Histórico de versões
- v1.2.114 de junho de 2026Confirmação do nível pago da Gemini concluída (nota provisória removida); o compromisso de subprocessadores passa a apontar para a página /subprocessors publicada; adicionada a tradução em chinês tradicional dos compromissos do operador e da incorporação das SCC.
- v1.2June 13, 2026Correção da tabela de subprocessadores: adicionado o OpenAI (transcrição de voz para texto em tempo real, motor padrão para novos espaços de trabalho); finalidade da DeepL ampliada à tradução final para determinados idiomas; finalidade da Resend inclui e-mails de resumo de reunião; base dos termos da Gemini corrigida para a API paga (confirmação em andamento). Removidas as menções a período de retenção configurável para refletir o comportamento atual do sistema.
- v1.113 de junho de 2026Adicionados os compromissos do operador (Art 28); tabela de subprocessadores ampliada (DeepL, Resend); entradas de retenção corrigidas conforme o comportamento real do sistema; incorporação das SCC e do UK Addendum com mapeamento dos anexos.
- v1.0Em vigor a partir da publicaçãoPublicação inicial.