[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"blog-post-pt-/gdpr-audit-what-we-closed":3},{"page":4,"surround":262},{"id":5,"title":6,"authors":7,"badge":10,"body":11,"date":251,"description":252,"extension":253,"heroOrder":254,"image":255,"meta":256,"navigation":257,"path":258,"seo":259,"stem":260,"__hash__":261},"blog_pt/blog/gdpr-audit-what-we-closed.md","Concluímos nossa auditoria de GDPR. Veja o que realmente fechamos.",[8],{"name":9},"The Mind.com Team","Sovereignty",{"type":12,"value":13,"toc":235},"minimark",[14,18,33,36,43,46,51,56,73,77,84,88,95,99,105,109,131,135,153,157,168,170,174,177,187,189,193,229,232],[15,16,6],"h1",{"id":17},"concluímos-nossa-auditoria-de-gdpr-veja-o-que-realmente-fechamos",[19,20,21,22,27,28,32],"p",{},"Algumas semanas atrás, escrevemos que ",[23,24,26],"a",{"href":25},"/blog/gdpr-compliant-video-conferencing","\"GDPR-compliant\" na página inicial de uma ferramenta de vídeo significa menos do que você imagina"," — que o GDPR é um conjunto de obrigações sobre ",[29,30,31],"em",{},"você",", o controlador de dados, que um fornecedor ou ajuda a cumprir ou deixa silenciosamente sobre a sua mesa. A forma honesta de sustentar essa afirmação é fazer o trabalho do nosso lado e mostrar, linha por linha.",[19,34,35],{},"Foi o que fizemos. Rodamos uma auditoria completa da base de código do InterMIND contra as obrigações que recaem sobre nós como operador de dados, corrigimos cada lacuna que tinha código por trás e verificamos cada uma contra o produto em execução. Este post é o relatório de fechamento — não um selo, uma checklist com nossas respostas.",[19,37,38,39,42],{},"Deliberadamente não estamos afirmando \"100% certificado em GDPR\". GDPR não é um certificado que você passa — e não vamos agitar um selo ISO que ainda não possuímos. O que ",[29,40,41],{},"podemos"," dizer: as obrigações arquiteturais e de processo que um DPO percorre agora têm respostas concretas e verificáveis, cada uma checada contra o código em execução.",[44,45],"hr",{},[47,48,50],"h2",{"id":49},"o-que-fechamos","O que fechamos",[52,53,55],"h3",{"id":54},"direito-ao-apagamento-art-17-a-cascata-realmente-roda","Direito ao apagamento (Art. 17) — a cascata realmente roda",[19,57,58,59,63,64,68,69,72],{},"Excluir sua conta não a desativa apenas. ",[60,61,62],"code",{},"POST /api/user/delete-account"," executa uma cascata real: ela remove suas reuniões → participantes, mensagens, conferências, transcrições; varre seus blobs de armazenamento do Tigris ",[65,66,67],"strong",{},"antes"," do cascade no banco de dados para que nada fique órfão — anexos de chat ",[29,70,71],{},"e"," arquivos de gravação de vídeo, ambas as colunas; e cancela suas assinaturas Stripe e exclui o cliente Stripe. A exclusão sob demanda também existe — remova um canal ou uma mensagem pela UI e ele se vai. Contas anônimas (de convidado) têm seu próprio endpoint de exclusão mais uma varredura em background a cada 6 horas, sob um cron monitorado. A auditoria revelou uma lacuna aqui — blobs de gravação que o cascade do banco removia mas o storage mantinha — e a fechamos: o apagamento agora não deixa nada para trás no object storage.",[52,74,76],{"id":75},"retenção-art-51e-um-critério-documentado","Retenção (Art. 5(1)(e)) — um critério documentado",[19,78,79,80,83],{},"O Art. 5(1)(e) não exige um time-to-live automático. Ele exige um ",[65,81,82],{},"critério de retenção definido",". O nosso agora está escrito na Política de Privacidade: os dados são mantidos até que você ou o dono da sua equipe os apaguem, e excluir sua conta apaga tudo. Esse é o mesmo modelo no qual ferramentas de colaboração como Slack e Notion operam — persistência é o comportamento esperado, e você permanece no controle dela. O critério é declarado, não implícito.",[52,85,87],{"id":86},"consentimento-de-analytics-art-67-opt-out-por-padrão","Consentimento de analytics (Art. 6/7) — opt-out por padrão",[19,89,90,91,94],{},"Um banner de consentimento da Usercentrics (exibido para visitantes da UE) controla o analytics, e o PostHog vem com ",[60,92,93],{},"opt_out_capturing_by_default: true"," — nada é capturado até que o consentimento seja dado, não o contrário.",[52,96,98],{"id":97},"portabilidade-de-dados-art-20-uma-exportação-real","Portabilidade de dados (Art. 20) — uma exportação real",[19,100,101,104],{},[60,102,103],{},"GET /api/user/export"," monta um ZIP das suas reuniões, mensagens, gravações e traduções, com uma janela de download de 7 dias e limpeza automática. Acesso, exclusão e portabilidade são ferramentas que funcionam, não promessas numa política.",[52,106,108],{"id":107},"nenhum-conteúdo-de-reunião-chega-a-um-modelo-domiciliado-nos-eua","Nenhum conteúdo de reunião chega a um modelo domiciliado nos EUA",[19,110,111,112,115,116,119,120,123,124,130],{},"O maior fluxo de conteúdo de reunião — tradução ao vivo de voz e chat — roda no ",[65,113,114],{},"nosso próprio motor na França",", nunca em um LLM de terceiros. As etapas de IA pós-reunião que ",[29,117,118],{},"de fato"," usam um modelo de uso geral (o resumo, as ações generativas do editor de notas) rodam no ",[65,121,122],{},"Mistral hospedado na UE com zero-data-retention",", fixadas de tal forma que a requisição falha em vez de cair para um host não-ZDR ou dos EUA. Também limpamos nomes de participantes e textos de fala dos logs do navegador da conferência que o session-recording do PostHog poderia capturar. O mapa completo fornecedor por fornecedor está em ",[23,125,127],{"href":126},"/blog/where-one-intermind-meeting-actually-runs",[29,128,129],{},"Onde uma reunião do InterMIND realmente roda",".",[52,132,134],{"id":133},"transparência-suboperadores-e-registros-de-processamento-publicados","Transparência — suboperadores e registros de processamento, publicados",[19,136,137,138,142,143,147,148,152],{},"A ",[23,139,141],{"href":140},"/legal/subprocessors","lista de suboperadores"," está no ar, com o que cada fornecedor faz e onde está domiciliado — não \"disponível mediante solicitação\". Por trás dela há um Registro das Atividades de Tratamento (ROPA) construído a partir do schema vivo: 11 operações de tratamento, as medidas de segurança em cada uma e os caminhos de apagamento / portabilidade. Nossa ",[23,144,146],{"href":145},"/privacy","Política de Privacidade"," e os ",[23,149,151],{"href":150},"/terms","Termos"," agora operam sob nossa própria entidade legal, com a cadeia real de processamento descrita.",[52,154,156],{"id":155},"runtime-na-ue-fixado-não-prometido","Runtime na UE — fixado, não prometido",[19,158,159,160,163,164,130],{},"Cada hop de runtime que uma reunião percorre está na UE: app e APIs no Vercel Frankfurt, o servidor de reunião no Fly Paris, dados da aplicação no Neon Postgres (AWS Frankfurt), erros no Sentry EU, analytics no PostHog EU, e-mail via Resend Ireland. O object storage no Tigris agora está ",[65,161,162],{},"fixado em regiões da UE"," (Frankfurt + Amsterdam) — cada nova escrita aterrissa na UE independentemente de onde o usuário esteja. A arquitetura completa está em nossa ",[23,165,167],{"href":166},"/docs/security","página de segurança",[44,169],{},[47,171,173],{"id":172},"por-que-isso-importa-para-a-sua-área-de-compras","Por que isso importa para a sua área de compras",[19,175,176],{},"Para a maioria dos compradores da UE — Mittelstand alemã, equipes reguladas operando DPAs padrão do GDPR — a questão da residência de dados agora tem uma resposta direta: os dados não saem da UE em runtime, o apagamento funciona, o critério de retenção está declarado e a lista de suboperadores está na mesa. Essa é uma conversa bem mais curta do que \"deixa eu te retornar sobre para onde os dados vão\".",[19,178,179,180,183,184,130],{},"Para ",[29,181,182],{},"souveraineté numérique"," francesa e compras de nível SecNumCloud, o domicílio corporativo do fornecedor é, em si, um critério — uma conversa mais profunda sobre topologia de implantação que teremos com honestidade em vez de vender em excesso. E a única coisa que não vamos fazer é agitar um certificado ISO que ainda não temos: as certificações estão no roadmap, mas nossa resposta para a checklist é ",[65,185,186],{},"arquitetural e verificável hoje",[44,188],{},[47,190,192],{"id":191},"veja-por-conta-própria","Veja por conta própria",[194,195,196,203,208,221],"ul",{},[197,198,199,202],"li",{},[23,200,201],{"href":25},"Videoconferência GDPR-compliant: a checklist completa do DPO"," — as sete coisas que você deve fazer qualquer fornecedor responder, e onde o Zoom se encaixa.",[197,204,205,207],{},[23,206,129],{"href":126}," — o mapa de fornecedores, com as lacunas nomeadas.",[197,209,210,213,214,213,217,213,219],{},[23,211,212],{"href":166},"Segurança & Privacidade"," · ",[23,215,216],{"href":140},"Suboperadores",[23,218,146],{"href":145},[23,220,151],{"href":150},[197,222,223,228],{},[23,224,226],{"href":225},"/demo",[60,227,225],{}," — rode o pipeline multilíngue ao vivo, com runtime na UE, no seu próprio áudio.",[19,230,231],{},"Conformidade com GDPR não é um selo que você compra — é trabalho que você faz e pode mostrar. Este é o nosso, linha por linha. Se o seu DPO precisa de uma resposta que este post não dá, escreva pra gente.",[19,233,234],{},"— The Mind.com Team",{"title":236,"searchDepth":237,"depth":238,"links":239},"",2,3,[240,249,250],{"id":49,"depth":237,"text":50,"children":241},[242,243,244,245,246,247,248],{"id":54,"depth":238,"text":55},{"id":75,"depth":238,"text":76},{"id":86,"depth":238,"text":87},{"id":97,"depth":238,"text":98},{"id":107,"depth":238,"text":108},{"id":133,"depth":238,"text":134},{"id":155,"depth":238,"text":156},{"id":172,"depth":237,"text":173},{"id":191,"depth":237,"text":192},"2026-06-21","O selo de 'GDPR-compliant' de um fornecedor não significa nada sem o trabalho por trás. Fizemos uma auditoria completa da nossa própria base de código contra as obrigações de GDPR que recaem sobre um operador de dados — apagamento, retenção, suboperadores, runtime na UE — e aqui está cada item que fechamos, verificado contra o código.","md",null,"/blog/gdpr-audit-what-we-closed.svg",{},true,"/blog/gdpr-audit-what-we-closed",{"title":6,"description":252},"blog/gdpr-audit-what-we-closed","cy7GVtXdUDS9b9AJjItdLMUMk-VCRsPcFujb-Ryfuqo",[263,269],{"title":264,"path":265,"stem":266,"description":267,"order":268,"children":-1},"Blog","/blog","blog/index","Últimas notícias e atualizações da equipe InterMIND.",8,{"title":270,"path":271,"stem":272,"description":273,"children":-1},"Fale com a sua própria voz — em um idioma que você não fala","/blog/own-voice-translation","blog/own-voice-translation","A maioria das ferramentas de tradução ao vivo substitui você por um único narrador robótico. A InterMIND preserva a sua voz: cada participante ouve a tradução na voz original de quem está falando. Veja como a cascata faz isso — e por que a amostra de voz nunca é armazenada."]