Conformidade do Hedy com o GDPR: DPA, Cláusulas Contratuais Padrão e Padrões de Privacidade da UE
O Hedy implementa a estrutura contratual e técnica para o processamento de dados pessoais em conformidade com o GDPR: Adendo de Processamento de Dados, Cláusulas Contratuais Padrão da UE, Avaliação de Impacto de Transferência e Medidas Técnicas/Organizacionais.
O Hedy AI implementou o framework contratual e técnico para apoiar o processamento lícito e em conformidade de dados pessoais sob o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia. Isso significa que nossos usuários — seja em Berlim, Barcelona ou Boston — podem usar o Hedy com a confiança de que seus dados de conversa são tratados de acordo com um dos frameworks de privacidade mais rigorosos do mundo. Este framework fornece todas as salvaguardas necessárias para usar o Hedy AI como processador de dados sob a lei europeia de proteção de dados.
O Que a Conformidade com o GDPR Realmente Significa para Ferramentas de IA
Quando você usa um coach de reuniões com IA como o Hedy, você está compartilhando transcrições de conversas, insights de reuniões e informações comerciais potencialmente sensíveis. A conformidade com o GDPR não se trata apenas de cumprir requisitos regulatórios — trata-se de estabelecer salvaguardas concretas para esses dados.
Para aplicações de IA especificamente, o GDPR apresenta desafios únicos. Diferentemente de serviços simples de armazenamento de dados, ferramentas de IA processam e analisam suas informações para gerar insights. Isso requer consideração cuidadosa de:
- Como os dados fluem entre seu dispositivo e os sistemas de processamento de IA
- O que acontece com suas transcrições após serem analisadas
- Como provedores de IA terceirizados lidam com suas informações
- Sua capacidade de controlar, exportar ou excluir seus dados
Uma Base Sólida para Empresas Europeias
Organizações europeias agora podem contar com um framework de processador fortalecido que as apoia no cumprimento de suas próprias obrigações sob o Regulamento Geral sobre a Proteção de Dados (GDPR). Como sempre, a responsabilidade final pela conformidade com o GDPR permanece com o cliente como controlador de dados — o Hedy AI fornece as salvaguardas necessárias do lado do processador.
O Que Implementamos
Para fornecer uma base robusta para o uso do Hedy AI em conformidade com o GDPR, estabelecemos e publicamos os seguintes componentes contratuais e técnicos:
Adendo de Processamento de Dados (Art. 28 GDPR)
Nosso Adendo de Processamento de Dados define exatamente como tratamos seus dados como processador. Este acordo juridicamente vinculante garante que processamos dados apenas de acordo com suas instruções e para os fins específicos que você autorizou — nomeadamente, fornecer a você inteligência de reuniões em tempo real.
Cláusulas Contratuais Padrão da UE (Módulo 2, 2021/914)
As SCCs estão incluídas como mecanismo de transferência para dados pessoais enviados da UE/EEE para os Estados Unidos. Estas cláusulas vinculam contratualmente o Hedy AI a proteções de nível UE e garantem direitos aplicáveis para os titulares dos dados.
Medidas Técnicas e Organizacionais (Art. 32 GDPR)
Documentamos e implementamos medidas de segurança abrangentes incluindo:
- Criptografia de ponta a ponta para dados em trânsito e em repouso
- Zero Data Retention sempre que possível
- Controles de acesso rigorosos e protocolos de autenticação
- Auditorias de segurança regulares e avaliações de vulnerabilidade
- Políticas claras de retenção e exclusão de dados
- Procedimentos de resposta a incidentes
- Salvaguardas de infraestrutura
Avaliação de Impacto de Transferência (TIA)
Conduzimos uma Avaliação de Impacto de Transferência completa que avalia as leis e práticas relevantes dos EUA que afetam o acesso a dados pessoais da UE transferidos. Com base na TIA inicial, identificamos etapas de mitigação de riscos e implementamos medidas adicionais para proteger seus dados. Esta avaliação, disponível em nosso Trust Center, demonstra como protegemos dados da UE mesmo quando eles cruzam fronteiras.
Transparência de Subprocessadores (Art. 28(2) e (4) GDPR)
Todos os subprocessadores estão contratualmente vinculados às mesmas proteções, totalmente documentados e listados com seus respectivos papéis. Alterações seguem o processo de notificação e objeção legalmente exigido.
O Que Isso Significa para Diferentes Usuários
Para Empresas Europeias
Empresas europeias podem usar o Hedy dentro de seu próprio framework de GDPR e avaliação de conformidade. A documentação que fornecemos — incluindo DPA, SCCs, TOMs e nossa TIA — ajuda as equipes de conformidade a avaliar e integrar o Hedy em seus processos existentes de proteção de dados.
Para Saúde e Indústrias Regulamentadas
Nosso framework alinhado ao GDPR é um passo importante para possibilitar o uso responsável do Hedy em ambientes regulamentados. Embora certificações adicionais como HIPAA e SOC 2 Type 1 estejam em preparação (previstas para o segundo trimestre de 2026), as salvaguardas do GDPR que implementamos já fornecem uma base sólida para organizações com requisitos elevados de proteção de dados.
Para Profissionais Individuais
Suas transcrições de reunião, insights e dados pessoais são processados sob salvaguardas claras. Você mantém controle total sobre suas informações com a capacidade de acessar, exportar ou excluir seus dados a qualquer momento, e tem total transparência sobre como e por que eles são processados.
As Responsabilidades do Cliente Permanecem Inalteradas
Para garantir a conformidade total com o GDPR, os clientes devem continuar a cumprir suas próprias obrigações como controladores de dados. Estas incluem, entre outras:
- estabelecer uma base legal para o processamento,
- fornecer informações de transparência aos titulares dos dados,
- manter registros de atividades de processamento,
- implementar procedimentos internos de acesso e exclusão,
- realizar DPIAs quando necessário.
Nosso framework foi especificamente projetado para apoiar essas obrigações e fornecer todas as salvaguardas do lado do processador exigidas pelo GDPR.
Projetado para Conformidade, Construído para Confiança
Com este framework, o Hedy AI entrega uma configuração completa de conformidade do lado do processador — contratual, técnica e organizacional. Combinado com as próprias medidas de conformidade do cliente como controlador de dados, o Hedy AI pode ser usado para o processamento de dados pessoais em total conformidade com a lei europeia de proteção de dados.
Entendendo a Documentação de Conformidade
Sabemos que documentos jurídicos podem ser densos. Para ajudar você a navegar nosso framework de conformidade com o GDPR, criamos um guia abrangente que o orienta através de cada documento e suas responsabilidades como controlador de dados.
Acesse nosso “Guia para Cumprir Sua Responsabilidade com o GDPR ao Usar o Hedy AI”:
Este guia fornece uma lista de verificação prática para revisar nosso Adendo de Processamento de Dados, Avaliação de Impacto de Transferência, Medidas Técnicas e Organizacionais e Lista de Subprocessadores. Ele foi projetado para ajudar sua equipe de conformidade a completar eficientemente sua avaliação e requisitos de documentação do GDPR.
Implementação para Organizações
Se você está usando o Hedy dentro da sua organização, veja como garantir a conformidade com o GDPR da sua parte:
- Revise e aprove nosso DPA e seus anexos
- Documente sua avaliação da nossa Avaliação de Impacto de Transferência
- Verifique se nossas Medidas Técnicas e Organizacionais atendem aos seus requisitos de segurança
- Revise e aprove nossa lista atual de subprocessadores
- Estabeleça um processo para revisar alterações de subprocessadores
Fornecemos orientação detalhada em nosso Trust Center para ajudar sua equipe de conformidade a completar essas etapas.
Privacidade por Design, Não por Obrigação
A conformidade com o GDPR representa nosso compromisso com o desenvolvimento com privacidade em primeiro lugar. Quando construímos o recurso de sugestões automáticas do Hedy, o projetamos para processar conversas sem armazenar dados desnecessários. Quando implementamos os Tópicos para organizar sessões, garantimos que os usuários mantêm controle total sobre suas conversas agrupadas.
Esta abordagem — privacidade por design em vez de conformidade adaptada posteriormente — significa que os princípios do GDPR estão incorporados na forma como o Hedy funciona, não apenas na forma como o documentamos.
Próximos Passos
A conformidade com o GDPR é um marco em nosso compromisso contínuo com a proteção de dados. Atualmente estamos trabalhando em:
- Certificação SOC 2 Type 1: Prevista para o segundo trimestre de 2026, fornecendo validação de terceiros de nossos controles de segurança
- Conformidade HIPAA: Também visando o segundo trimestre de 2026, permitindo que organizações de saúde usem o Hedy
- Residência de dados na UE já está ativa — novos usuários podem escolher armazenamento europeu ou dos EUA durante o cadastro
Para uma estrutura de avaliação do lado do comprador, veja nosso checklist de GDPR para ferramentas de reunião com IA, ou nosso guia detalhado sobre a melhor ferramenta de reunião com IA em conformidade com o GDPR para entender onde a maioria das ferramentas fica aquém.
Perguntas frequentes
O Hedy está em conformidade com o GDPR?
O Hedy implementa toda a estrutura do lado do processador exigida pelo GDPR: um Adendo de Processamento de Dados alinhado ao Artigo 28, Cláusulas Contratuais Padrão da UE para transferências aos EUA, uma Avaliação de Impacto de Transferência, Medidas Técnicas e Organizacionais documentadas e transparência de subprocessadores. Clientes continuam sendo controladores e mantêm suas próprias obrigações (base legal, transparência, DPIA quando exigida, direitos dos titulares de dados).
O Hedy fornece um Adendo de Processamento de Dados (DPA)?
Sim. O DPA do Hedy define exatamente como tratamos seus dados como processador sob o Artigo 28 do GDPR, incluindo processamento apenas conforme suas instruções, duração do processamento, obrigações de segurança, termos de subprocessadores, assistência com direitos dos titulares de dados e notificação de violação. Ele está disponível pelo Trust Center e é incorporado automaticamente para contas empresariais.
Onde posso obter a documentação de conformidade do Hedy com o GDPR?
Toda a documentação de conformidade — DPA, Cláusulas Contratuais Padrão da UE (Módulo 2, 2021/914), Avaliação de Impacto de Transferência, Medidas Técnicas/Organizacionais e a lista atual de subprocessadores — está disponível pelo Trust Center em trust.hedy.ai. Clientes também podem acessar a documentação pelas configurações da conta e solicitar acesso enviando e-mail para privacy@hedy.ai.
Quem são os subprocessadores do Hedy e onde eles operam?
Todos os subprocessadores estão listados no Trust Center com seus papéis e locais de processamento, e estão contratualmente vinculados às mesmas proteções do Hedy. Alterações seguem o processo de notificação e objeção legalmente exigido pelo Artigo 28(2) e (4). Para usuários que escolhem residência de dados na UE, o processamento de IA também é executado por infraestrutura europeia.
O Hedy é um controlador de dados ou um processador de dados sob o GDPR?
O Hedy atua como processador de dados ao tratar dados de conversas de clientes em seu nome. Você — o usuário ou sua organização — é o controlador de dados. O Hedy fornece as medidas técnicas, organizacionais e contratuais para apoiar suas obrigações; você mantém as responsabilidades do lado do controlador, incluindo estabelecer uma base legal, fornecer transparência aos titulares de dados e lidar com solicitações de direitos.
Acesse a Documentação
Toda a documentação de conformidade com o GDPR está disponível em nosso Trust Center, acessível através das configurações da sua conta Hedy. Se você ainda não é cliente, mas precisa revisar nosso framework de conformidade, solicite acesso em trust.hedy.ai.
Dúvidas sobre nossa conformidade com o GDPR ou práticas de proteção de dados? Entre em contato com nossa equipe de proteção de dados através do Trust Center ou envie um e-mail para privacy@hedy.ai.
