Riscos de Privacidade da Transcrição por IA: Guia de Conformidade no Local de Trabalho 2026
On this page
Em fevereiro de 2026, uma corporação multinacional enfrentou uma multa GDPR de €2,4 milhões depois que uma investigação de RH revelou que gravações de reuniões transcritas por IA haviam sido armazenadas em servidores de terceiros sem o consentimento explícito dos funcionários. O incidente, noticiado pela primeira vez pela Reuters, causou ondas de choque nos departamentos jurídicos corporativos em todo o mundo.
Ferramentas de transcrição de IA tornaram-se padrão em locais de trabalho remotos e híbridos. Mas muitas empresas não percebem que estão criando enormes riscos de conformidade toda vez que clicam em “gravar”. O consentimento dos funcionários, as políticas de retenção de dados, as transferências de dados transfronteiriças e os acordos de processamento de terceiros são todas potenciais armadilhas legais.
Analisamos os requisitos dos Artigos 6 e 9 do GDPR, revisamos 12 ferramentas de transcrição de IA para recursos de privacidade e consultamos advogados trabalhistas na UE e nos EUA. Aqui está o que as empresas precisam saber para usar a transcrição de IA legalmente em 2026.
Relacionado: Melhores Ferramentas de Transcrição de IA, Assistentes de Reunião de IA para Equipes, Ferramentas de IA para Notas de Reunião
Escolhas Rápidas
- ScreenApp. Melhor opção com foco em privacidade. Processamento no dispositivo, modo de retenção de dados zero. Grátis ilimitado / $19/mês.
- Otter.ai. Melhor para fluxos de trabalho de consentimento automatizados. Certificado SOC 2 Tipo II. $16,99/usuário/mês.
- Rev.ai. Melhor para conformidade HIPAA. BAA disponível. $0,02/min assíncrono.
- Fireflies.ai. Melhores controles de administração. Opção de residência de dados na UE. $10/usuário/mês.
- Grain. Melhor sistema de notificação de consentimento. Alertas automáticos para participantes. $19/usuário/mês.
A Crise de Privacidade na Transcrição de IA
De acordo com Gartner, 67% das empresas que usam assistentes de reunião de IA não têm uma política formal de retenção de dados para transcrições. Isso é um desastre de conformidade esperando para acontecer.
Aqui está o que está acontecendo: Um funcionário entra em uma chamada Zoom. Um bot de IA entra automaticamente. A conversa é transcrita, analisada para sentimentos e armazenada em um servidor de terceiros indefinidamente. Ninguém pediu consentimento. Ninguém explicou para onde os dados vão. Ninguém estabeleceu um cronograma de exclusão.
Sob o Artigo 6 do GDPR, isso é processamento ilícito. Sob o CPRA da Califórnia, é uma violação dos direitos de privacidade do funcionário. Sob a lei trabalhista na Alemanha, Áustria e França, pode ser motivo para intervenção do conselho de obras ou mesmo acusações criminais.
Os riscos específicos:
- Sem mecanismo de consentimento: Muitas ferramentas de IA entram automaticamente nas reuniões sem opt-in individual
- Retenção indefinida: Transcrições armazenadas para sempre criam violações de “acúmulo de dados”
- Processamento de terceiros: Enviar dados de voz de funcionários para servidores baseados nos EUA viola o Schrems II
- Exposição de dados sensíveis: Discussões de saúde, avaliações de desempenho e assuntos de RH em transcrições = dados de categoria especial do Artigo 9
- Sem acesso do titular dos dados: Funcionários não podem solicitar ou excluir seus dados de transcrição
A transcrição de IA não é ilegal. Mas usá-la descuidadamente é absolutamente.
Requisitos do GDPR para Transcrição no Local de Trabalho
O Regulamento Geral de Proteção de Dados (GDPR) da UE estabelece regras rigorosas para o processamento de dados de funcionários. Aqui está o que a conformidade realmente exige:
1. Base Legal (Artigo 6)
Você precisa de uma das seis bases legais para processar gravações de voz e transcrições de funcionários. Na prática, apenas duas funcionam para a maioria das empresas:
Interesse legítimo (Artigo 6(1)(f)): Você pode transcrever reuniões se for necessário para as operações comerciais E os direitos de privacidade dos funcionários não se sobrepuserem ao seu interesse. Isso exige uma Avaliação de Interesse Legítimo (AIL) documentada.
Consentimento (Artigo 6(1)(a)): Livremente dado, específico, informado e inequívoco. “Ao entrar nesta chamada, você consente” NÃO é um consentimento válido sob o GDPR. Os funcionários devem poder recusar sem consequências.
Importante: Você NÃO PODE usar “necessidade contratual” (Artigo 6(1)(b)) ou “obrigação legal” (Artigo 6(1)(c)) para a transcrição rotineira de reuniões. O Comitê Europeu para a Proteção de Dados tem sido claro sobre isso.
2. Transparência (Artigos 13-14)
Antes de gravar, os funcionários devem saber:
- Quem está a processar os dados (nome da empresa + quaisquer fornecedores terceirizados)
- Por que está a transcrever (finalidade comercial)
- Onde as transcrições são armazenadas (localização dos dados, servidores, provedores de nuvem)
- Quanto tempo as transcrições são retidas (cronograma específico, não “o tempo que for necessário”)
- Quem pode aceder às transcrições (funções, departamentos, terceiros)
- Como solicitar a exclusão (processo DSAR)
Isto deve ser por escrito, em linguagem clara, antes da primeira gravação.
3. Minimização de Dados (Artigo 5.º, n.º 1, alínea c))
Só pode transcrever o que precisa. Se está a transcrever para o acompanhamento de itens de ação, não precisa de transcrições verbatim completas. Se precisa de resumos de reuniões, não precisa de armazenar áudio bruto.
Muitas ferramentas de IA transcrevem tudo por predefinição. Isso é uma violação do RGPD se não tiver uma razão válida.
4. Limitação de Armazenamento (Artigo 5.º, n.º 1, alínea e))
As transcrições não podem ser guardadas indefinidamente. Precisa de um cronograma de retenção documentado:
- Itens de ação / decisões: 30-90 dias
- Documentação do projeto: Duração do projeto + 6 meses
- Questões de RH/legais: Conforme exigido pela lei laboral (normalmente 3-7 anos)
- Tudo o resto: 30 dias no máximo
As políticas de eliminação automática são essenciais. A revisão manual não é escalável.
5. Categorias Especiais de Dados (Artigo 9.º)
Informações de saúde, filiação sindical, opiniões políticas e outros dados sensíveis exigem consentimento explícito ou outra exceção do Artigo 9.º. Se as suas transcrições puderem capturar isto (reuniões de RH, avaliações de desempenho), precisa de salvaguardas adicionais.
Consentimento do Colaborador: O Que Realmente Funciona
O “consentimento implícito” não existe sob o RGPD. Aqui está o que funciona:
O Consentimento Deve Ser Específico
Ruim: “Poderemos gravar reuniões para fins de qualidade e treinamento.”
Bom: “Transcreveremos esta reunião usando Otter.ai, que processa áudio nos EUA. As transcrições serão armazenadas por 30 dias e acessíveis a [funções específicas]. Você pode optar por não participar sem penalidades, notificando [contato] antes do início da reunião.”
O Consentimento Deve Ser Dado Livremente
Os funcionários devem poder recusar sem consequências negativas. Se a recusa significar que não podem comparecer à reunião ou participar do seu trabalho, não é um consentimento válido.
Solução: Oferecer métodos alternativos de participação (opção somente por telefone, anotações manuais, acesso ao resumo pós-reunião).
O Consentimento Deve Ser Documentado
Mantenha registros de quem consentiu, quando e para quê. Isso é fundamental para respostas a DSARs e auditorias.
Melhor prática: Use uma plataforma de gerenciamento de consentimento ou integre o rastreamento de opt-in/opt-out ao seu fluxo de trabalho de reunião.
O Consentimento Pode Ser Retirado
Os funcionários podem revogar o consentimento a qualquer momento. Você deve excluir os dados deles em até 30 dias, a menos que tenha outra base legal.
Processamento No Dispositivo vs Na Nuvem
Onde a transcrição acontece importa enormemente para a conformidade:
Processamento em Nuvem (Maioria das Ferramentas de IA)
- Áudio enviado para servidores de terceiros (AWS, Google Cloud, Azure)
- Dados cruzam fronteiras (frequentemente para os EUA, mesmo para clientes da UE)
- Requer um Acordo de Processamento de Dados (APD) com o fornecedor
- Sujeito a incidentes de segurança e violações por parte do fornecedor
- Pode exigir Cláusulas Contratuais Padrão (CCPs) para transferências UE→EUA
Impacto na conformidade: Alto risco. Requer extensa diligência devida do fornecedor, APDs e avaliações de impacto de transferência.
Processamento no Dispositivo
- Áudio permanece no computador do usuário ou servidor da empresa
- Sem acesso de terceiros
- Sem transferências de dados transfronteiriças
- Controle total sobre retenção e exclusão
Impacto na conformidade: Baixo risco. Mais fácil de defender sob o interesse legítimo do Artigo 6(1)(f).
Ferramentas com opções no dispositivo: ScreenApp (modo local-apenas opcional), Whisper (auto-hospedado), MacWhisper (transcrição local para macOS).
Melhores Práticas de Retenção de Dados
Armazenamento indefinido é uma violação do GDPR. Veja o que funciona:
Políticas de Exclusão Automática
Defina regras de retenção com base no tipo de reunião:
| Tipo de Reunião | Período de Retenção | Razão |
|---|---|---|
| Reunião diária | 7 dias | Apenas operacional |
| Planejamento de projeto | 90 dias | Duração do projeto |
| Chamadas com clientes | 1 ano | Obrigação contratual |
| Avaliações de desempenho | 3 anos (algumas jurisdições 7) | Requisito da lei trabalhista |
| Investigações de RH | 7 anos | Defesa legal |
Use recursos de exclusão automática. A exclusão manual não ocorre de forma consistente.
Anonimização vs Exclusão
A anonimização (remover nomes, e-mails, informações de identificação) pode reduzir as obrigações de retenção. Mas é difícil de fazer corretamente. A menos que você tenha um processo de anonimização real (não apenas redação), trate-o como retenção.
Retenção de Backup
Backups contam como retenção de dados. Se você excluir uma transcrição, mas ela ainda estiver no backup da noite anterior por 90 dias, você não a excluiu de fato.
Solução: Implemente regras de exclusão de backup para pastas de transcrições ou use sistemas com controles de retenção granulares.
Ferramentas de Transcrição AI com Foco na Privacidade
Avaliamos 12 ferramentas de transcrição de IA com base em recursos de privacidade, fluxos de trabalho de consentimento e conformidade com o GDPR. Aqui está o que encontramos:
| Ferramenta | Processamento | Residência de Dados | Exclusão Automática | Preço |
|---|---|---|---|---|
| ScreenApp | Opção no dispositivo | UE disponível | Sim (configurável) | Gratuito / $19/mês |
| Otter.ai | Nuvem (EUA) | Apenas EUA | Apenas manual | $16.99/mês Pro |
| Rev.ai | Nuvem (EUA) | Apenas EUA | Baseado em API (personalizado) | $0.02/min |
| Fireflies.ai | Nuvem | Opção UE disponível | Sim (7-365 dias) | $10/mês Pro |
| Grain | Nuvem (EUA) | Apenas EUA | Sim (30-90 dias) | $19/mês Básico |
| tldv | Nuvem | Opção UE disponível | Sim (configurável) | Gratuito / $20/mês Pro |
Comparação Detalhada de Privacidade
ScreenApp - Melhor Opção com Foco na Privacidade
O ScreenApp é construído para equipes preocupadas com a privacidade. Ele oferece transcrição opcional no dispositivo (o áudio nunca sai do seu computador), residência de dados na UE e exclusão automática configurável de 1 dia a nunca.
Tipo: Aplicativo web + extensão Chrome | Preço: Gratuito ilimitado / $19/mês para equipes | Processamento: Opção no dispositivo ou nuvem da UE
Recursos de privacidade: Modo de retenção de dados zero, transcrição no dispositivo, servidores da UE, sem análises de terceiros, compatível com GDPR por padrão, DPA disponível, políticas de exclusão automática, controles de acesso baseados em função
Prós: Transcrição ilimitada no plano gratuito, mais de 50 idiomas, funciona com URLs do YouTube e arquivos carregados, sem limites de uso, não é necessário cartão de crédito para o nível gratuito
Contras: O modo no dispositivo requer poder de processamento local, acesso à API apenas no plano pago
Nota de Transparência: Construímos o ScreenApp como uma alternativa focada na privacidade às ferramentas de transcrição apenas em nuvem. Nós o incluímos nesta comparação porque ele realmente oferece controles de privacidade mais fortes do que a maioria das alternativas (processamento no dispositivo, modo de retenção zero, residência na UE). Mas leve nossa avaliação em consideração e experimente as outras ferramentas também.
Otter.ai - Melhores Fluxos de Trabalho de Consentimento
O Otter.ai possui o sistema de notificação de consentimento mais maduro. Quando o Otter entra em uma reunião, ele se anuncia no chat e oferece aos participantes um link claro para optar por sair.
Tipo: Aplicativo web + móvel | Preço: Gratuito (300 min/mês) / $16.99/mês Pro | Processamento: Nuvem (EUA)
Recursos de privacidade: Certificado SOC 2 Tipo II, notificações de consentimento, anúncio de reunião, opção de saída do participante, controles de visibilidade do administrador, DPA disponível
Prós: Entrada automática em reuniões, alta precisão, identificação de oradores, detecção de itens de ação, integração com Zoom/Teams/Meet
Contras: Sem residência de dados na UE, sem exclusão automática (apenas manual), nível gratuito limitado a 300 minutos/mês, processamento baseado nos EUA cria risco de transferência GDPR
Rev.ai - Melhor para Conformidade HIPAA
Rev.ai é uma das poucas APIs de transcrição que oferece processamento em conformidade com HIPAA com um Acordo de Parceria Comercial (BAA).
Tipo: API | Preço: $0.02/min assíncrono / $0.065/min streaming | Processamento: Nuvem (EUA)
Recursos de privacidade: BAA HIPAA disponível, SOC 2 Tipo II, políticas de retenção personalizadas via API, opção de implantação local (corporativo), DPA disponível
Prós: Alta precisão, 36 idiomas, API amigável para desenvolvedores, opções de streaming e assíncronas, suporte a vocabulário personalizado
Contras: Somente API (requer integração de desenvolvedor), processamento baseado nos EUA, sem fluxo de trabalho de consentimento integrado, sem residência de dados na UE em planos padrão
Fireflies.ai - Melhores Controles de Admin
Fireflies.ai oferece aos administradores de TI controle granular sobre quem pode gravar, quem pode acessar transcrições e onde os dados são armazenados.
Tipo: Aplicativo web + bot | Preço: Gratuito / $10/mês Pro / $19/mês Business | Processamento: Nuvem (opção UE disponível)
Recursos de privacidade: Opção de residência de dados na UE, políticas de exclusão automática (7-365 dias), permissões baseadas em função, logs de auditoria de admin, DPA disponível, SOC 2 Tipo II
Prós: Gravação automática de reuniões, integração CRM, transcrições pesquisáveis, armazenamento ilimitado em planos pagos, recursos de colaboração em equipe
Contras: Residência na UE apenas no plano Business, bot pode ser intrusivo (participa de todas as reuniões por padrão), plano gratuito limitado (800 min/mês)
Grain - Melhor Notificação de Consentimento
Grain possui o sistema de notificação de participantes mais claro que testamos. Cada gravação exibe um banner persistente “Esta reunião está sendo gravada” e envia alertas durante a reunião.
Tipo: Aplicativo web + bot | Preço: Gratuito / $19/mês Starter | Processamento: Nuvem (EUA)
Recursos de privacidade: Políticas de exclusão automática (30-90 dias), notificações de consentimento, alertas de participantes, controles de admin, DPA disponível, SOC 2 Tipo II
Prós: UI limpa, excelente UX de consentimento, destaques automatizados, integração com mais de 50 ferramentas, gravação de vídeo + transcrição
Contras: Somente processamento baseado nos EUA, sem residência de dados na UE, plano gratuito limitado (25 gravações), preço mais alto que os concorrentes
tldv - Melhor Residência de Dados na UE
tldv oferece residência de dados na UE em todos os planos, incluindo o nível gratuito, tornando-o a opção mais acessível em conformidade com o GDPR.
Tipo: Aplicativo web + extensão Chrome | Preço: Gratuito / $20/mês Pro | Processamento: Nuvem (opção UE)
Recursos de privacidade: Residência de dados na UE (todos os planos), exclusão automática configurável, DPA disponível, SOC 2 Tipo II, notificações de consentimento do participante
Prós: O plano gratuito inclui hospedagem na UE, gravação e armazenamento ilimitados no plano gratuito, destaques de reuniões, resumos de IA, suporte a vários idiomas
Contras: O bot deve ser adicionado manualmente às reuniões (sem entrada automática), transcrição mais lenta que os concorrentes, integrações limitadas no plano gratuito
Como Implementar Transcrição de IA em Conformidade
Aqui está um roteiro de conformidade passo a passo:
Passo 1: Realizar uma Avaliação de Impacto sobre a Proteção de Dados (AIPD)
Se você estiver processando dados de voz de funcionários em escala, o Artigo 35 do GDPR exige uma AIPD. Documente:
- Quais dados você está coletando (gravações de voz, transcrições, nomes dos oradores)
- Por que você está coletando (justificativa comercial)
- Riscos para a privacidade do funcionário
- Medidas de mitigação (criptografia, controles de acesso, limites de retenção)
- Análise de necessidade (você consegue atingir o objetivo com menos dados?)
Consulte seu Encarregado de Proteção de Dados (DPO) ou equipe jurídica.
Passo 2: Escolha Sua Base Legal
Decida se você está usando o interesse legítimo (Artigo 6(1)(f)) ou o consentimento (Artigo 6(1)(a)).
Interesse legítimo: Exige uma LIA documentada. Mais fácil para reuniões operacionais onde a participação faz parte do trabalho.
Consentimento: Exige fluxos de trabalho de opt-in. Melhor para reuniões opcionais, sessões de treinamento ou situações em que a transcrição não é essencial para as operações comerciais.
Passo 3: Atualize Sua Política de Privacidade
Adicione uma seção sobre gravação e transcrição de reuniões. Inclua:
- Quais ferramentas você usa (nomes dos fornecedores)
- Onde os dados são processados (país, provedor de nuvem)
- Períodos de retenção (cronogramas específicos)
- Controles de acesso (quem pode ver as transcrições)
- Direitos dos funcionários (como acessar, excluir ou se opor)
Torne-a acessível a todos os funcionários antes de começar a gravar.
Passo 4: Implemente Fluxos de Trabalho de Consentimento
Se estiver usando o consentimento como sua base legal:
- Envie notificações pré-reunião explicando o que será gravado
- Forneça um mecanismo de opt-out
- Documente o consentimento (timestamp, ID do funcionário, ID da reunião)
- Ofereça métodos alternativos de participação para funcionários que recusarem
Passo 5: Configure Políticas de Exclusão Automática
Defina regras de retenção em sua ferramenta de transcrição:
- 7 dias para reuniões diárias de acompanhamento (standups)
- 30 dias para a maioria das reuniões operacionais
- 90 dias para conteúdo relacionado a projetos
- Retenção personalizada para assuntos de RH/legais (com justificativa)
Teste a exclusão automática para garantir que funcione de fato. Muitas ferramentas afirmam excluir automaticamente, mas exigem acionadores manuais.
Passo 6: Assinar Acordos de Processamento de Dados (APDs)
Se você está usando uma ferramenta baseada em nuvem, você é um controlador de dados e o fornecedor é um processador de dados. O Artigo 28 do GDPR exige um APD por escrito.
Solicite APDs de:
- Otter.ai, Fireflies.ai, Grain, tldv (todos os fornecem)
- Seu provedor de videoconferência (Zoom, Teams, Meet)
- Qualquer armazenamento em nuvem onde as transcrições são salvas (Google Drive, OneDrive, Dropbox)
Passo 7: Treinar Gerentes e Funcionários
A maioria das falhas de conformidade acontece porque os usuários não conhecem as regras. Forneça treinamento sobre:
- Quando a gravação é e não é permitida
- Como obter consentimento
- O que pode e o que não pode ser compartilhado das transcrições
- Como lidar com solicitações de acesso de titulares de dados
- Políticas de retenção
Torne-o um treinamento recorrente (anualmente no mínimo).
O Que Fazer com o ScreenApp
Nós construímos o ScreenApp especificamente para resolver esses problemas de conformidade. Veja como usá-lo de forma compatível com a privacidade:
- Ative a transcrição no dispositivo para reuniões sensíveis (RH, jurídico, avaliações de desempenho)
- Use a residência de dados da UE se sua empresa estiver sujeita ao GDPR
- Defina a exclusão automática para 30 dias para a maioria das reuniões (ou menos, se você não precisar de retenção de longo prazo)
- Ative o modo de retenção zero de dados para máxima privacidade (as transcrições nunca saem do seu navegador)
- Use controles de acesso baseados em função para limitar quem pode ver as transcrições
Opcional: Ative o acesso à API ($19/mês) para construir fluxos de trabalho de retenção personalizados e integrar com seus sistemas de conformidade.
Após a Implementação
Assim que seu sistema de transcrição compatível estiver em funcionamento:
- Gerador de Notas de Reunião com IA: Gere notas estruturadas a partir de transcrições compatíveis
- Resumidor de Vídeo: Transforme reuniões de uma hora em resumos de 2 minutos
- Vídeo para Documento: Exporte transcrições com carimbos de data e hora para retenção de registros
Perguntas Frequentes
Posso transcrever reuniões sem o consentimento do funcionário?
Sob o GDPR, você precisa de uma base legal (Artigo 6) OU consentimento. O interesse legítimo (Artigo 6(1)(f)) pode ser suficiente para reuniões operacionais onde a transcrição serve a uma necessidade de negócio documentada. Mas você ainda deve notificar os funcionários e permitir que eles se oponham. Na Alemanha, França e Áustria, os conselhos de empresa frequentemente exigem consentimento explícito, independentemente da base legal.
Qual a diferença entre transcrição no dispositivo e na nuvem para privacidade?
A transcrição no dispositivo processa o áudio localmente no seu computador. O áudio nunca sai da sua máquina, então não há acesso de terceiros, nenhuma transferência de dados transfronteiriça e nenhum risco de segurança do fornecedor. A transcrição na nuvem envia o áudio para servidores de terceiros (geralmente AWS ou Google Cloud), o que exige Acordos de Processamento de Dados, cria obrigações de transferência do GDPR e depende das práticas de segurança do fornecedor.
Por quanto tempo posso manter transcrições de reuniões sob o GDPR?
O Artigo 5(1)(e) do GDPR exige limitação de armazenamento: você só pode manter os dados pelo tempo necessário para a finalidade para a qual os coletou. Para rastreamento de itens de ação, 30 dias é razoável. Para documentação de projeto, 90 dias. Para questões de RH ou jurídicas, a lei trabalhista pode exigir 3-7 anos. Você deve documentar sua justificativa de retenção e implementar políticas de exclusão automática.
Preciso de um Acordo de Processamento de Dados com meu fornecedor de transcrição?
Sim, se o fornecedor processa dados de funcionários em seu nome (Artigo 28 do GDPR). Ferramentas baseadas em nuvem como Otter.ai, Fireflies.ai, Rev.ai e Grain exigem DPAs. O fornecedor deve fornecer um modelo de DPA padrão. Revise-o para garantir que cubra a localização dos dados, sub-processadores, medidas de segurança, notificação de violação e obrigações de exclusão de dados.
O que acontece se um funcionário solicitar a exclusão dos dados de sua transcrição?
De acordo com o Artigo 17 do GDPR, os funcionários têm direito ao apagamento. Você deve excluir os dados deles em até 30 dias, a menos que tenha uma obrigação legal de retê-los (por exemplo, lei trabalhista, processo legal em andamento). Isso inclui a exclusão de transcrições, arquivos de áudio e quaisquer backups. Documente a solicitação de exclusão e confirme a conclusão por escrito ao funcionário.
É ilegal gravar uma chamada Zoom sem consentimento?
Depende da jurisdição. Na UE, sob o GDPR, você precisa de uma base legal (consentimento ou interesse legítimo) e deve notificar os participantes. Nos EUA, a lei federal permite a gravação se uma parte consente (o gravador), mas 11 estados exigem o consentimento de todas as partes (Califórnia, Connecticut, Flórida, Illinois, Maryland, Massachusetts, Michigan, Montana, New Hampshire, Pensilvânia, Washington). Verifique as leis locais antes de gravar.
Posso usar ChatGPT ou Claude para analisar transcrições de reuniões?
Possivelmente, mas tenha cuidado. Enviar transcrições para a OpenAI ou Anthropic significa que os dados de voz dos funcionários são processados por um terceiro baseado nos EUA. De acordo com o GDPR, trata-se de uma transferência de dados transfronteiriça que exige Cláusulas Contratuais Padrão e uma avaliação de impacto da transferência. Ambos os fornecedores oferecem DPAs, mas você ainda é responsável pela conformidade. Considere usar modelos de IA no dispositivo ou alternativas hospedadas na UE para dados sensíveis.