Avaliação de Impacto de Proteção de Dados
Conclusão principal: Como o áudio é processado em memória volátil e excluído imediatamente — e nenhum dado pessoal permanece em nossos servidores após o processamento — todos os riscos identificados são reduzidos a Baixo após a aplicação das medidas de mitigação. O processamento pode prosseguir sob as bases legais e salvaguardas documentadas.
Seção 1
Descrição do Processamento
O que processamos e por quê
| Finalidade | Dados processados | Base legal (RGPD) | Base KVKK (Turquia) |
|---|---|---|---|
| Transcrição de áudio | Arquivo de áudio (apenas RAM, excluído após processamento) | Art. 6(1)(b) — Execução de contrato | Consentimento explícito |
| Conta e faturamento | Identificador pseudônimo, saldo, metadados de uso | Art. 6(1)(b) — Execução de contrato | Consentimento explícito |
| Autenticação | Identificador OIDC (com hash, original descartado) | Art. 6(1)(b) — Execução de contrato | Execução de contrato |
| Compra no app | Recibo IAP da App Store / Play Store | Art. 6(1)(b) — Execução de contrato | Execução de contrato |
| Confirmação de idade | Confirmação de idade declarada (17+) | Art. 8 RGPD / Art. 6 KVKK | Obrigação legal |
| Relatórios de falhas | Relatórios de erro anonimizados (opt-in, DCP removidas) | Art. 6(1)(a) — Consentimento | Consentimento explícito |
Inventário de dados
| Dados | Retenção no servidor |
|---|---|
| Arquivo de áudio | Apenas RAM — excluído após transcrição |
| Texto da transcrição | Até confirmação do cliente (TTL de 24 horas no servidor se nenhum ACK for recebido) |
| Identificador pseudônimo | Até exclusão da conta |
| Saldo + metadados de uso | Até exclusão da conta |
| Endereço de e-mail | Apenas trânsito — não armazenado |
| Endereços IP | Apenas trânsito — não registrados |
| Relatórios de falhas (opt-in) | Endpoint próprio de relatórios de falhas do SafeScribe — não compartilhado com terceiros |
Para o inventário completo de dados, veja a Política de Privacidade § Dados que coletamos.
Metadados por trabalho: duração do áudio (segundos), tamanho do arquivo (bytes), contagem de palavras, valor cobrado (USD) e marcas de tempo do processamento. Não contêm conteúdo de áudio, texto de transcrição nem informações que identifiquem o usuário.
Retenção de backups. Um backup diário dos registros de conta é mantido para continuidade do serviço. Cada backup sobrescreve o anterior. Os dados excluídos via exclusão de conta são removidos dos sistemas ativos imediatamente e do backup em 24 horas — nenhuma cópia persiste além desse período.
Fluxo de processamento
1. O usuário grava ou seleciona áudio no dispositivo
2. Pré-processamento de áudio no dispositivo (filtro passa-alta 80 Hz, corte de silêncio inicial, normalização de loudness a -16 LUFS, limitação de pico, reamostragem para 16 kHz, codificação FLAC)
3. Upload criptografado para os servidores SafeScribe (TLS 1.2+)
4. Servidor processa áudio na RAM — auto-hospedado, um poderoso modelo da família Whisper via faster-whisper / CTranslate2, sem chamadas a APIs de terceiros
5. Transcrição retornada com checksum de integridade SHA-256
6. Cliente verifica checksum e confirma recebimento
7. Servidor exclui imediatamente a transcrição e o áudio da RAM
8. Transcrição armazenada localmente no dispositivo em armazenamento criptografado AES-256
Seção 2
Necessidade e Proporcionalidade
- ✓O upload de áudio é necessárioo processamento de IA no servidor oferece maior precisão do que as alternativas atuais no dispositivo, no nível de qualidade que o SafeScribe requer
- ✓A autenticação é necessárianecessária para faturamento por usuário e isolamento de trabalhos
- ✓Os relatórios de falhas são proporcionaisas DCP são removidas antes da transmissão; apenas opt-in
- ✓Minimização de dadoso áudio é processado apenas na RAM, nunca gravado em disco
- ✓Retenção mínimaas transcrições são excluídas imediatamente na confirmação; TTL de 24 horas no servidor se o cliente nunca confirmar
- ✓Sem uso secundárioo áudio nunca é usado para treinamento de modelos ou análises
Direitos dos titulares de dados
Todos os direitos dos titulares de dados sob o RGPD e a KVKK (acesso, retificação, apagamento, limitação, portabilidade, oposição e retirada do consentimento) podem ser exercidos no app ou contatando privacy@safescribe.dev. Os direitos e sua implementação estão detalhados na nossa Política de Privacidade § O que você pode fazer.
Seção 3
Avaliação de Riscos
Riscos identificados e medidas de mitigação
| Risco | Inerente | Medidas de mitigação | Residual |
|---|---|---|---|
| Áudio contém dados pessoais sensíveis (saúde, jurídico, financeiro) | Alto | Processamento apenas em RAM; exclusão imediata; sem armazenamento persistente; sem acesso de terceiros | Baixo |
| Acesso não autorizado à transcrição em trânsito | Médio | TLS 1.2+; checksum SHA-256 | Baixo |
| Violação no servidor expondo áudio ou transcrições | Médio | Sem armazenamento persistente de áudio; API autenticada; isolamento por trabalho; TTL failsafe | Baixo |
| Acesso não autorizado ao armazenamento local criptografado | Baixo | Contêineres criptografados AES-256; chave no iOS Keychain / Android Keystore | Baixo |
| Vazamento de DCP por relatórios de falhas | Baixo | Remoção por padrão de e-mails, telefones, IPs e tokens antes de enviar ao endpoint próprio de relatórios de falhas do SafeScribe | Baixo |
| Transferência de dados transfronteiriça | Médio | Turquia (KVKK — Lei turca de proteção de dados pessoais) consentimento explícito no primeiro acesso; consentimento explícito e informado no primeiro acesso nos termos do art. 49(1)(a) do RGPD | Baixo |
| IA gera transcrição imprecisa de conteúdo sensível | Baixo | A transcrição é apenas informativa; o usuário revisa todos os resultados; sem decisões automatizadas | Baixo |
Todos os riscos residuais são Baixos. O principal fator de risco — conteúdo de áudio sensível — é tratado no nível arquitetônico: o áudio nunca é gravado em disco, nunca é retido além do processamento e nunca é compartilhado com terceiros.
Seção 4
Consentimento e Transparência
Antes do primeiro uso, os usuários recebem uma tela de consentimento granular com quatro cartões independentes:
Processamento de Áudio (obrigatório)
Explica o processamento apenas em RAM, a exclusão imediata e que o áudio nunca é gravado em disco nem compartilhado com terceiros.
Dados Armazenados (obrigatório)
Explica quais dados persistentes são mantidos: identificador pseudônimo, saldo de créditos e metadados de uso anônimos.
Confirmação de Idade (obrigatório)
Confirma que o usuário tem 17 anos ou mais. Os cartões obrigatórios devem ser aceitos para continuar.
Relatórios de Falhas (opcional)
Permite opt-in para relatórios de falhas anônimos. Desativado por padrão. Pode ser alterado a qualquer momento nas Configurações de Privacidade.
- Os botões Aceitar e Rejeitar têm igual destaque visual (conforme as diretrizes EDPB sobre dark patterns)
- Os usuários podem retirar o consentimento e excluir sua conta a qualquer momento nas Configurações de Privacidade
- Esta AIPD é revisada anualmente ou quando houver alterações significativas no processamento
- Publicada nesta URL para transparência pública
Seção 5
Decisão
Com base na avaliação acima, todos os riscos residuais são Baixos. O processamento pode prosseguir sob as bases legais identificadas com as salvaguardas documentadas. Não é necessária consulta prévia a uma autoridade supervisora.
Registro de revisões
Histórico de Versões
| Data | Versão | Alterações |
|---|---|---|
| Março de 2026 | 1.0 | AIPD inicial pré-lançamento cobrindo o pipeline de transcrição de áudio, design da tela de consentimento, avaliação de riscos e documentação de bases legais |