Subprocessadores
Última atualização: Abril de 2026
Política de Notificação de Alterações
Em conformidade com o artigo 28.º(2) do RGPD, notificamos os responsáveis pelo tratamento de quaisquer alterações previstas a esta lista de subcontratantes ulteriores — incluindo adições e substituições — antes de essas alterações produzirem efeitos.
- As notificações são enviadas por correio eletrónico para o contacto de privacidade designado do responsável pelo tratamento que consta dos nossos registos.
- Os responsáveis pelo tratamento dispõem de 30 dias úteis a contar da data de notificação para apresentar uma objeção fundamentada.
- Caso um responsável pelo tratamento se oponha e não seja possível alcançar uma resolução mutuamente aceitável, o responsável pelo tratamento pode denunciar o ATD aplicável sem penalização.
- Para garantir que recebe as notificações, subscreva em privacy@thechatapp.chat.
Subcontratantes Ulteriores Atuais
Hetzner Online GmbH
Alemanha
Serviço: Alojamento de infraestrutura em nuvem
Dados tratados: Todos os dados do lado do servidor (armazenados encriptados em repouso; o conteúdo é ilegível para a Hetzner e para nós)
Estatuto do ATD: Acordo de Tratamento de Dados com anexo de Medidas Técnicas e Organizativas (MTO); a Hetzner possui certificação ISO 27001
Mecanismo de transferência: Intra-UE — não é necessário mecanismo de transferência internacional
Google LLC (Firebase Cloud Messaging)
EUA
Serviço: Notificações push Android
Dados tratados: Apenas tokens de dispositivo pseudónimos — sem conteúdo de mensagens. Os payloads de push contêm IDs internos opacos; a aplicação obtém o conteúdo diretamente do seu servidor no momento da receção.
Estatuto do ATD: Termos de Tratamento de Dados e Segurança do Firebase
Mecanismo de transferência: EU–US Data Privacy Framework + Cláusulas Contratuais Tipo
Google LLC (Google Calendar API)
EUA
Serviço: Integração de calendário (opcional; requer consentimento OAuth explicitamente iniciado pelo utilizador)
Dados tratados: Metadados de calendário e tokens OAuth, limitados às permissões concedidas pelo utilizador
Estatuto do ATD: Adendo de Tratamento de Dados do Google Cloud
Mecanismo de transferência: EU–US Data Privacy Framework + Cláusulas Contratuais Tipo
Microsoft Corporation (Microsoft Graph Calendar API)
EUA
Serviço: Integração de calendário (opcional; requer consentimento OAuth explicitamente iniciado pelo utilizador)
Dados tratados: Metadados de calendário e tokens OAuth, limitados às permissões concedidas pelo utilizador
Estatuto do ATD: Adendo de Proteção de Dados de Produtos e Serviços Microsoft; compromissos de Limite de Dados da UE
Mecanismo de transferência: EU–US Data Privacy Framework + Cláusulas Contratuais Tipo
Apple Inc. (Apple Push Notification service)
EUA
Serviço: Notificações push iOS
Dados tratados: Apenas tokens de dispositivo pseudónimos — sem conteúdo de mensagens. Os payloads de push contêm IDs internos opacos; a aplicação obtém o conteúdo diretamente do seu servidor no momento da receção.
Estatuto do ATD: Não está disponível um ATD de subcontratante autónomo — consulte a nota de conformidade abaixo. Regido pelo Contrato de Licença do Programa para Programadores Apple.
Mecanismo de transferência: Certificação Global CBPR (Regras Transfronteiriças de Privacidade) da Apple
Brevo SAS (antiga Sendinblue)
França (UE)
Serviço: Toda a entrega de email do nosso serviço alojado em nuvem. Email transacional para o portal Enterprise (verificação de conta, reposições de palavra- passe, recibos, notificações de administrador, lembretes de manutenção) e gestão de listas de marketing para o website público (lista de espera de lançamento, submissões do formulário de parceiros fundadores).
Dados tratados: Endereços de email e o conteúdo dos emails que enviamos. Metadados padrão de entrega. Não é usado para qualquer conteúdo de conversas de clientes, streams de voz/vídeo, ficheiros, nem corpos de eventos de calendário.
Estatuto do ATD: Contrato de Tratamento de Dados da Brevo
Mecanismo de transferência: Intra-UE — a Brevo SAS é um subcontratante francês com tratamento baseado na UE. Não é necessário mecanismo de transferência internacional.
Brevo — Âmbito
A Brevo é o nosso único fornecedor de email. Abrange dois fluxos distintos no nosso serviço alojado em nuvem: (1) email transacional enviado a partir do portal Enterprise — verificação de conta, reposições de palavra-passe, recibos do portal, lembretes de manutenção e notificações operacionais; e (2) gestão de listas de marketing para o nosso website público — o segmento de lista de espera de lançamento e submissões do formulário de parceiros fundadores.
A Brevo nunca recebe o conteúdo de conversas de clientes, streams de voz ou vídeo, ficheiros, nem corpos de eventos de calendário. Trata endereços de email e os conteúdos dos emails que enviamos através dela — nada mais.
Residência de dados. A Brevo SAS é uma empresa francesa e trata os dados dentro do Espaço Económico Europeu. Não é necessário mecanismo de transferência internacional. A entrega de email foi anteriormente fornecida pela Resend, Inc. (EUA); migrámos totalmente para a Brevo a 2026-04-23 para manter os dados pessoais relacionados com email dentro da jurisdição da UE.
APNs da Apple — Nota de Conformidade
A Apple não disponibiliza um ATD de subcontratante de dados autónomo para o APNs. Mitigámos o risco de conformidade através dos seguintes controlos técnicos e contratuais:
- Sanitização de payload: As notificações push enviadas através do APNs não contêm quaisquer dados pessoais. Os payloads transportam apenas identificadores internos opacos; não são incluídos nomes, pré- visualizações de mensagens nem metadados.
- Tokens de dispositivo pseudónimos: Os tokens de dispositivo APNs são pseudónimos e renovam-se regularmente; não podem ser associados à identidade de um utilizador sem acesso ao nosso mapeamento interno.
- Certificação CBPR: A participação da Apple no framework Global CBPR proporciona um mecanismo de transferência internacional reconhecido para fluxos de dados fora da UE.
- Alternativa de alojamento próprio: As organizações que pretendam eliminar totalmente a Apple como destinatário de dados podem implementar um gateway de push em alojamento próprio, o que elimina a dependência do APNs para todos os clientes iOS nessa implantação.
Implantações em Alojamento Próprio
Quando aloja o TheChatApp na sua própria infraestrutura, é o único responsável pelo tratamento de dados e não somos subcontratantes de quaisquer dados pessoais. As relações de subcontratação acima descritas aplicam-se apenas à nossa oferta Enterprise alojada em nuvem. A tabela abaixo ilustra como o papel de cada subcontratante ulterior se altera num contexto de alojamento próprio.
| Subcontratante Ulterior | Estatuto em Implantação de Alojamento Próprio |
|---|---|
| Hetzner Online GmbH | Não é subcontratante ulterior — escolhe o seu próprio fornecedor de infraestrutura |
| Google LLC (Firebase Cloud Messaging) | Envolvido apenas se utilizar o gateway de push em nuvem do TheChatApp; implemente um gateway de push em alojamento próprio para eliminar totalmente |
| Apple Inc. (APNs) | Envolvido apenas se utilizar o gateway de push em nuvem do TheChatApp; implemente um gateway de push em alojamento próprio para eliminar totalmente |
| Google LLC (Google Calendar API) | Envolvido apenas se utilizadores individuais optarem pela integração do Google Calendar através de consentimento OAuth |
| Microsoft Corporation (Microsoft Graph Calendar API) | Envolvido apenas se utilizadores individuais optarem pela integração do Microsoft Calendar através de consentimento OAuth |
| Brevo SAS | Não é subcontratante ulterior para inquilinos em alojamento próprio. A Brevo é usada apenas pelo portal Enterprise alojado em nuvem e pelo website público de marketing. Implantações em alojamento próprio configuram o seu próprio fornecedor SMTP (ou nenhum email). |
Uma implantação em alojamento próprio com gateway de push em alojamento próprio resulta em zero dados pessoais tratados pelo TheChatApp ou por qualquer dos nossos subcontratantes ulteriores.
Registo de Alterações
| Data | Alteração |
|---|---|
| 2026-04-08 | Publicação inicial |
| 2026-04-23 | Adição da Resend, Inc. como subcontratante ulterior, com âmbito limitado a email de listas de marketing e formulários públicos. Sinalizada migração planeada para um fornecedor alojado na UE. |
| 2026-04-23 | Substituição da Resend, Inc. pela Brevo SAS (França). Toda a entrega de email — email transacional do portal e gestão de listas de marketing — migrada para um subcontratante baseado na UE. Resend removida totalmente da stack. |
Contacto
Para receber notificações de alterações a subcontratantes ulteriores ou para apresentar uma objeção a uma alteração proposta, contacte-nos em privacy@thechatapp.chat.
Para questões gerais sobre esta lista, as nossas práticas de tratamento de dados ou o Anexo III do ATD (artigo 28.º(2) do RGPD), contacte privacy@thechatapp.chat.