English / Português
Resumo do Acordo de Processamento de Dados
Última atualização: 18 de junho de 2026
O DPA rege o tratamento de dados pessoais que a Pipeboard realiza em nome dos seus Clientes (empresas que usam o produto), complementando os Termos de Uso e a Política de Privacidade. Onde o Cliente está estabelecido no Brasil ou o tratamento está sujeito à LGPD, o Anexo IV (Adendo Brasil/LGPD) do DPA se aplica e prevalece sobre o restante do documento em caso de conflito, quanto aos dados pessoais regidos pela LGPD.
Papéis: operador e controlador
O Cliente é o controlador (controlador) e a Pipeboard é a operadora (operador) dos dados pessoais do Cliente. Quando o próprio Cliente atua como operador de um terceiro (o "controlador final"), a Pipeboard atua como suboperadora. Para dados pessoais que a Pipeboard trata para suas próprias finalidades (por exemplo, dados de cadastro de conta, faturamento, segurança e analytics agregados de serviço), a Pipeboard atua como controladora independente — esse tratamento está descrito na nossa Política de Privacidade e fica fora do escopo do DPA.
Sub-operadores
A Pipeboard contrata os seguintes sub-operadores para apoiar a prestação do Serviço, cada um vinculado a obrigações contratuais de proteção de dados não menos protetivas que as deste DPA:
| Sub-operador | Finalidade | Localização |
|---|---|---|
| Vercel Inc. | Hospedagem da aplicação e CDN global | Estados Unidos (edge global) |
| Supabase Inc. (sobre AWS) | Banco de dados PostgreSQL gerenciado, autenticação, armazenamento | Estados Unidos (us-east-1) |
| DigitalOcean LLC | Hospedagem do gateway MCP | Estados Unidos |
| Stripe, Inc. | Processamento de pagamentos, faturamento, tributos | Estados Unidos |
| Anthropic, PBC | Inferência de LLM hospedada (só por instrução do Cliente; sem treinamento com dados do Cliente) | Estados Unidos |
| OpenAI, L.L.C. | Inferência de LLM hospedada (só por instrução do Cliente; sem treinamento com dados do Cliente) | Estados Unidos |
| GitHub, Inc. | Hospedagem de código-fonte e CI/CD | Estados Unidos |
| SigNoz Inc. | Observabilidade da aplicação e armazenamento de logs/traces | Estados Unidos |
| PostHog Inc. | Análise de produto e feature flags | Estados Unidos / União Europeia |
| Customer.io, Inc. | Envio de e-mails transacionais e de ciclo de vida | Estados Unidos |
| Crisp IM SAS | Mensagens de suporte ao cliente | União Europeia (França) |
A lista completa e atualizada é o Anexo III do DPA, mantido no repositório do GitHub acima; o histórico de commits é o registro de alterações. Clique "Watch" no repositório para ser notificado a cada mudança.
Meta, Google, Pinterest, TikTok, Snap, LinkedIn, Reddit, Microsoft e Shopify são controladores independentes dos dados em suas próprias plataformas; a Pipeboard as acessa por instrução do Cliente, sob as credenciais do próprio Cliente, e não as contrata como sub-operadoras dos dados pessoais do Cliente.
Transferência internacional (art. 33 da LGPD)
A infraestrutura de produção da Pipeboard é hospedada nos Estados Unidos (Vercel, Supabase sobre AWS us-east-1, e DigitalOcean). Transferências de dados pessoais regidos pela LGPD para fora do Brasil se apoiam em uma base admitida pelo art. 33 da LGPD — incluindo as cláusulas-padrão contratuais aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024), reconhecimento de adequação, ou instrução/consentimento do Cliente — e as partes cooperam para manter o mecanismo de transferência atualizado conforme a regulamentação da ANPD.
Incidentes de segurança (art. 48 da LGPD)
A Pipeboard notifica o Cliente em até 72 horas após tomar conhecimento de um incidente de segurança que afete dados pessoais, e auxilia o Cliente na comunicação à ANPD e aos titulares afetados, conforme o art. 48 da LGPD. O dever de comunicar o incidente à ANPD e aos titulares é do Cliente, na qualidade de controlador.
Direitos dos titulares (art. 18 da LGPD)
A Pipeboard auxilia o Cliente a responder a solicitações de titulares nos termos do art. 18 da LGPD. Solicitações que titulares direcionem diretamente à Pipeboard são encaminhadas ao Cliente; a Pipeboard não responde ao mérito do pedido, salvo instrução do Cliente nesse sentido. Clientes finais também podem excluir seus próprios dados usando o self-service descrito na página de Proteção de Dados do Usuário.
Retenção e eliminação
A critério do Cliente, a Pipeboard exclui ou devolve os dados pessoais em até 30 dias, salvo quando a retenção for exigida por lei. Logs contendo metadados relacionados ao Cliente são retidos por até 30 dias a partir da criação e excluídos automaticamente depois disso.
Documento completo
Este resumo não substitui o DPA. Para o texto integral — incluindo definições, medidas técnicas e organizacionais (Anexo II), a lista completa de sub-operadores (Anexo III) e o Adendo Brasil/LGPD (Anexo IV) — consulte o DPA completo em pipeboard.co/dpa ou o repositório pipeboard-co/Data-Processing-Agreement.
Contato
ARTELL SOLUÇÕES TECNOLÓGICAS LTDA
CNPJ: 53.540.982/0001-70
Goiânia/GO, CEP 74805-480
📧 privacy@pipeboard.co
