Scegliere un assistente di riunione conforme al GDPR è uno di quei grattacapi moderni che nessuno vorrebbe mai avere.

Si imposta una semplice videochiamata, si preme il pulsante di registrazione e improvvisamente ci si ritrova immersi in leggi sui dati, norme sul consenso e domande su dove viene effettivamente archiviata la riunione. Ho provato io stesso il panico. Molto prima che il GDPR entrasse ufficialmente in vigore, mi occupavo già delle registrazioni ICO ai sensi del vecchio Data Protection Act e, quando la nuova normativa è entrata in vigore, ero così preoccupato di sbagliare che mi sono registrato come responsabile del trattamento dei dati solo per sicurezza.

Sembra che il GDPR esista da sempre, perché la prima proposta risale al 2012. La legge è stata adottata nel 2016 ed è entrata in vigore nel 2018, ma gli anni precedenti sono stati caotici. Le caselle di posta erano piene di e-mail con il messaggio "Rimani iscritto". Le aziende hanno cancellato intere mailing list perché terrorizzate dalle multe. I team hanno aggiunto il doppio opt-in a tutto ciò che si muoveva perché erano confusi e non volevano correre rischi.

E sì, le multe sono state reali. H&M ha ricevuto una sanzione significativa per aver conservato appunti dettagliati e inappropriati sul personale. Un noto sito britannico dedicato alla genitorialità è stato multato per aver venduto i dati di madri e bambini a gruppi politici durante le elezioni. Ricordo solo questo caso perché continuo a ricevere email promozionali da loro, anche se i miei figli sono ormai adolescenti e hanno imparato l'arte di alzare gli occhi al cielo.

Questo aspetto è ancora più importante nel mondo degli assistenti di riunione basati sull'intelligenza artificiale. Questi strumenti registrano le voci, acquisiscono i dettagli dei clienti e memorizzano le conversazioni che spesso contengono informazioni riservate o sensibili. Ogni parte di questi dati è considerata personale ai sensi del GDPR. Le registrazioni. Le trascrizioni. Persino i riassunti generati dall'intelligenza artificiale. Quindi, se lavori nel Regno Unito o nell'Unione Europea, o se collabori con persone che lo fanno, hai bisogno di un assistente di riunione che sia realmente conforme al GDPR e non uno che memorizza silenziosamente i tuoi dati in una regione degli Stati Uniti con vaghe promesse sulla sicurezza.

Questa guida spiega tutto in un linguaggio semplice. Cosa significa il GDPR per le registrazioni delle riunioni. Quali sono i rischi se lo ignori. Quali assistenti di riunione supportano realmente la conformità e quali invece non sono all'altezza. Niente gergo tecnico, niente atteggiamenti legali. Solo le informazioni pratiche che avrei voluto avere prima di andare nel panico nei primi anni del GDPR.

Indice dei contenuti

La tua checklist GDPR per scegliere un assistente di riunione

Il GDPR in breve

Utilizza questo elenco come guida rapida quando cerchi un assistente per riunioni o un prenditore di appunti basato sull'intelligenza artificiale.

  • Le persone sanno di essere registrate
    Ai partecipanti viene comunicato che la riunione viene registrata o trascritta e ne comprendono lo scopo.
  • Esiste un motivo legittimo per registrare
    L'azienda dispone di una base giuridica valida, come il consenso o una chiara esigenza aziendale che è stata documentata.
  • Vengono conservati solo i dati minimi necessari
    Le registrazioni e le trascrizioni sono limitate a ciò che è effettivamente necessario, anziché conservare tutto per impostazione predefinita.
  • I dati sono conservati in regioni adeguate
    I dati personali delle persone residenti nell'UE o nel Regno Unito sono conservati in luoghi e presso fornitori che soddisfano gli standard del GDPR.
  • Gli utenti possono accedere o cancellare i propri dati all'indirizzo
    . Esiste una procedura chiara per soddisfare le richieste di accesso, correzione e cancellazione dei contenuti delle riunioni.
  • I fornitori spiegano come l'IA utilizza i dati
    Lo strumento indica se per l'addestramento dell'IA vengono utilizzate registrazioni o trascrizioni e consente ai clienti di controllare questa impostazione.

La presente lista di controllo ha solo scopo informativo generale e non sostituisce la consulenza legale.

tl;dr: GDPR e assistenti di riunione

  • Le registrazioni delle riunioni sono considerate dati personali, quindi è necessario uno strumento che sia trasparente in merito a archiviazione, conservazione, sub-responsabili del trattamento, comportamento dell'IA ed elaborazione regionale.
  • Da quanto pubblicato dai fornitori, tl;dv, Sembly e Jamie offrono la documentazione più chiara in materia di GDPR. Anche altri strumenti possono essere adeguati, ma solitamente richiedono ulteriori verifiche con il fornitore.
  • Molti altri strumenti fanno affermazioni generiche, ma presentano lacune in materia di regioni di hosting, formazione dei modelli e flusso di dati, il che comporta un carico di lavoro maggiore per le organizzazioni che operano principalmente nell'UE.
  • La scelta più sicura è un assistente per riunioni che offra il pieno controllo sulla conservazione, la cancellazione, la residenza dei dati e l'elaborazione AI, e che pubblichi un DPA adeguato.

Che cos'è il GDPR e perché è importante per gli assistenti di riunione?

Il GDPR è la normativa UE e britannica sulla protezione dei dati che, nella sua essenza, è stata concepita per proteggere le persone reali, anche quando queste ultime partecipano ad attività che sembrano puramente professionali. Il contesto aziendale non priva nessuno dei propri diritti sulle proprie informazioni. Se un assistente di riunione registra una chiamata in cui compaiono la voce, il nome, il ruolo o qualsiasi altro elemento che possa ricondurre a una persona, allora si applica il GDPR.

Gli assistenti di riunione occupano una posizione insolita. Gestiscono dati aziendali, ma li elaborano attraverso individui identificabili. Un aggiornamento di progetto, una conversazione con un cliente o una telefonata commerciale possono sembrare impersonali, ma le informazioni appartengono comunque a dipendenti, collaboratori o clienti reali. Ecco perché la normativa è importante in questo caso. Questi strumenti catturano i dettagli di decisioni, discussioni, idee e reazioni in un modo che rende improvvisamente visibile la persona che si cela dietro il titolo professionale.

Se lo si guarda da questa prospettiva, il GDPR diventa molto più rilevante per il lavoro quotidiano di quanto molti team si aspettino.

Cosa si intende per dati personali in una registrazione di una riunione di lavoro?

I dati personali in un contesto aziendale hanno un significato più ampio di quanto si pensi. Comprendono qualsiasi informazione che possa identificare o riguardare direttamente una persona, anche se tale informazione è legata al suo lavoro piuttosto che alla sua vita privata.

Ciò potrebbe includere la voce di una persona mentre parla durante una chiamata. Potrebbe essere il suo nome o il suo ruolo quando si presenta. Potrebbe essere un indirizzo e-mail visualizzato su uno schermo o un commento sul suo carico di lavoro, sulle sue prestazioni, sulla sua presenza o disponibilità. Potrebbe essere un dato finanziario legato a un determinato responsabile clienti. Può anche includere note prodotte dall'intelligenza artificiale, se tali note riassumono o fanno riferimento a una persona identificabile.

Una registrazione di una riunione spesso contiene tutte queste informazioni in pochi minuti, a volte senza che nessuno se ne accorga. La sovrapposizione tra "informazioni aziendali" e "informazioni personali in un contesto aziendale" è il punto in cui molte aziende vengono colte in fallo.

I principi del GDPR in parole semplici per team indaffarati

Il GDPR può sembrare complesso, ma le idee alla base sono semplici. È necessario essere trasparenti con le persone riguardo a ciò che si registra e al motivo per cui lo si fa. È opportuno raccogliere solo ciò che è necessario ed evitare di conservare le registrazioni a lungo dopo che hanno esaurito il loro scopo. È necessario archiviare tutto in modo sicuro ed evitare sistemi che disperdono i dati in regioni sconosciute. È necessario dare alle persone la possibilità di rivedere o rimuovere le proprie informazioni quando opportuno. È inoltre necessario un motivo valido per registrare, il che in una riunione di lavoro di solito significa un chiaro accordo da parte delle persone coinvolte.

Questi principi valgono tanto per una riunione di sincronizzazione del lunedì mattina quanto per una presentazione al cliente. Il contesto cambia, ma i diritti rimangono gli stessi.

 

Perché il GDPR si applica anche se la tua azienda ha sede negli Stati Uniti o in altri paesi

Molte persone al di fuori dell'Europa ritengono che il GDPR si applichi solo se la loro azienda ha sede fisica nel Regno Unito o nell'Unione Europea. In realtà, la legge riguarda anche qualsiasi organizzazione che tratti i dati personali di persone residenti in tali regioni, qualora tale trattamento sia collegato alla fornitura di un servizio a loro destinato.

Se la tua azienda lavora con clienti europei o se hai membri del team in Europa che partecipano a riunioni registrate, il GDPR diventa parte delle tue responsabilità anche se la tua sede centrale si trova altrove.

Questo può cogliere le persone alla sprovvista perché gli assistenti alle riunioni siedono tranquillamente in secondo piano, registrando le voci e archiviando quelle che sembrano semplici chiacchiere di lavoro quotidiane. Tali registrazioni possono contenere nomi, ruoli, opinioni, dettagli sui clienti, discussioni finanziarie e tutte le informazioni che rendono una persona identificabile nel proprio ambiente professionale. Non appena un partecipante europeo si unisce alla chiamata, le sue informazioni diventano dati personali ai sensi della legislazione europea, il che significa che è necessario uno strumento che le tratti in modo adeguato.

La situazione si complica quando l'assistente alle riunioni archivia le registrazioni in regioni al di fuori dell'Europa. Nel momento in cui i dati personali lasciano il Regno Unito o l'UE, l'azienda che li gestisce deve affidarsi a misure di sicurezza approvate e fornire informazioni chiare su dove vengono trasferiti i dati, per quanto tempo rimangono lì e chi può accedervi. Ciò include anche la trasparenza sull'utilizzo dei dati delle riunioni per lo sviluppo di funzionalità di intelligenza artificiale, perché le persone hanno il diritto di sapere come vengono utilizzate le loro informazioni.

Ciò non significa che non sia possibile avvalersi di un assistente alle riunioni non europeo. Significa semplicemente che è necessario dedicare più tempo alla due diligence. È necessario comprendere le sedi di archiviazione dei dati dell'azienda, le regole di conservazione e le pratiche di formazione prima di decidere se essa supporta le vostre responsabilità in materia di GDPR.

Anche le leggi sulla privacy in vigore in altri paesi riflettono questa tendenza. Il Brasile ha la LGPD, il Giappone ha l'APPI e la California ha le sue rigide norme (CCPA), che includono requisiti più severi in materia di consenso per le registrazioni. Il GDPR rimane il punto di riferimento per molte aziende globali, ma il tema generale è lo stesso. Se gestisci informazioni di persone reali oltre confine, hai bisogno di un assistente per le riunioni che tratti tali informazioni in modo responsabile.

Gli assistenti alle riunioni europee spesso semplificano questo processo perché la residenza dei dati, le richieste di consenso e le opzioni di conservazione sono già in linea con la normativa. Ciò non li rende l'unica opzione, ma li pone su un terreno più solido per chiunque lavori con clienti europei.

Lavorare per il GDPR
Un esempio di "GDPR" che non è ancora pienamente conforme

Conformità al GDPR contro "lavoro verso la conformità"

La maggior parte degli assistenti di riunione si divide in due categorie. Ci sono le aziende che supportano effettivamente il GDPR e quelle che ne parlano in modo ottimistico senza confermare nulla di concreto. La differenza è importante, perché il GDPR non è un'etichetta che si può rivendicare attraverso il marketing. Si tratta di un quadro giuridico con requisiti specifici che devono essere integrati nel prodotto, non aggiunti in un secondo momento.

Un assistente per riunioni che supporta realmente la conformità ti mostrerà in modo trasparente come gestisce i tuoi dati. Un'azienda che sta ancora "lavorando per raggiungere la conformità" cercherà di sembrare disponibile senza fornirti i dettagli necessari per fare una scelta responsabile. Una volta che sai cosa cercare, la differenza diventa evidente.

Come riconoscere la reale conformità al GDPR in un assistente di riunione

Quando un'azienda prende sul serio il GDPR, lo si capisce dal modo in cui presenta le informazioni. Spiega dove vengono archiviati i dati e per quanto tempo rimangono lì. Ti dà il controllo sulla conservazione, la cancellazione e l'accesso. Indica chiaramente i suoi sub-responsabili del trattamento. Ti dice se utilizza le registrazioni delle riunioni per addestrare le funzionalità di intelligenza artificiale. Descrive le sue misure di sicurezza con sufficienti dettagli da sembrare concrete piuttosto che decorative.

Forniscono anche un adeguato accordo sul trattamento dei dati. Dovrebbe essere facile da trovare, non nascosto dietro una chiamata commerciale. L'accordo dovrebbe delineare le responsabilità di entrambe le parti, riflettere la realtà di come funziona il servizio e avere senso per un non specialista che sta cercando di adempiere ai propri obblighi.

Le aziende realmente orientate al GDPR tendono a progettare i propri strumenti in modo tale che la conformità sia l'impostazione predefinita piuttosto che qualcosa che occorre aggirare. Non è necessario costringerle alla trasparenza perché comprendono già perché è importante.

Segnali di allarme nelle politiche sulla privacy e nelle pagine dedicate alla sicurezza

I campanelli d'allarme suonano solitamente quando un'azienda vuole ottenere la credibilità del GDPR senza impegnarsi a sostenerlo. Il primo segnale è un linguaggio vago riguardo alle sedi di archiviazione. Se affermano che "i tuoi dati potrebbero essere archiviati in diverse regioni sicure" senza specificare quali siano queste regioni, ti ritrovi a dover indovinare dove siano effettivamente conservate le registrazioni delle tue riunioni.

Un altro segnale di allarme è quando un'azienda non dichiara chiaramente se utilizza i dati dei clienti per sviluppare le proprie funzionalità di intelligenza artificiale. Alcune lo nascondono dietro una formulazione generica sul "miglioramento del servizio", che non è la stessa cosa che dirti che le tue riunioni registrate potrebbero essere utilizzate nei flussi di lavoro di formazione interna.

Dovresti anche riflettere se l'azienda parla molto di sicurezza generale ma evita i dettagli. Frasi come "migliori pratiche" e "standard del settore" non ti dicono se il servizio ti offre controlli sulla conservazione dei dati o rispetta le tue richieste di cancellazione.

Il segnale di allarme più evidente è la confusione. Se dopo aver letto la politica aziendale non riesci a capire come vengono gestiti i dati relativi alle tue riunioni, probabilmente c'è un motivo.

Perché affermazioni vaghe come "I nostri clienti dicono che siamo conformi al GDPR" non sono sufficienti

Alcuni assistenti di riunione cercano di rassicurare le persone dicendo che i loro clienti li considerano conformi al GDPR. Questo può sembrare rassicurante, finché non ci si rende conto che non conferma nulla. Il GDPR non si basa sull'opinione dei clienti, ma su obblighi e responsabilità chiari che possono essere dimostrati attraverso la documentazione, le decisioni tecniche e i processi responsabili.

Un'azienda non può affidare la propria conformità al giudizio dei clienti. Né può sottintendere che la conformità si ottiene attraverso la popolarità. Se l'unica prova fornita è che "molti clienti utilizzano il nostro prodotto in Europa", ciò non significa che l'azienda stessa abbia soddisfatto i requisiti della normativa.

Hai bisogno di certezze, non di sensazioni. Devi sapere dove finiscono le tue registrazioni, chi ha accesso ad esse, per quanto tempo vengono conservate e se qualcuno le utilizza per l'addestramento dei modelli. Si tratta di domande concrete con risposte concrete. Se un'azienda non è in grado di fornirti queste risposte, non puoi fidarti della rassicurante citazione di un cliente.

Cosa succede se ignori il GDPR?

La maggior parte delle aziende ha buone intenzioni. Registrano le riunioni per risparmiare tempo e ridurre i malintesi. Il problema è che il GDPR non si concentra sulle intenzioni, ma su ciò che accade effettivamente ai dati personali una volta che sono stati raccolti. Quando un'azienda trascura il GDPR, anche accidentalmente, le conseguenze possono essere gravi e manifestarsi molto tempo dopo lo svolgimento della riunione.

Il rischio non riguarda solo le multe salate, anche se queste sono reali e hanno influenzato l'approccio adottato dalle autorità di regolamentazione nei confronti dei dati sul posto di lavoro. Il problema più profondo è che le registrazioni delle riunioni contengono molte più informazioni personali di quanto si pensi. Una decisione imprudente in materia di archiviazione può trasformarsi in una violazione. Un approccio poco chiaro al consenso può diventare oggetto di reclamo. Una svista nella conservazione può lasciare anni di registrazioni su un server.

Esempi che dimostrano quanto possano essere severi gli organismi di regolamentazione

Ho già accennato a questi casi in precedenza, ma vale la pena esaminarli più approfonditamente perché mostrano esattamente come le autorità di regolamentazione considerano le situazioni in cui le aziende raccolgono o conservano informazioni sulle persone senza un motivo chiaro.

H&M ha ricevuto una multa di 35,3 milioni di euro dall'autorità per la protezione dei dati di Amburgo dopo che i dirigenti avevano creato file dettagliati sui dipendenti. Questi file includevano questioni familiari private, problemi di salute e osservazioni personali raccolte in modo discreto nel corso di lunghi periodi di tempo. Le informazioni sono state poi utilizzate per prendere decisioni relative al personale. L'autorità di regolamentazione ha considerato questa pratica come una forma di monitoraggio invasivo che andava ben oltre ciò che i dipendenti avrebbero mai potuto aspettarsi.

Emma's Diary, gestito da Lifecycle Marketing, è stato multato dall'ICO per 140.000 sterline. L'azienda raccoglieva dati da neomamme che credevano di registrarsi per ricevere consigli sulla gravidanza e sui bambini. Tali informazioni sono state successivamente trasmesse a un'organizzazione politica durante le elezioni senza alcuna spiegazione nella politica sulla privacy. I genitori non avevano motivo di pensare che i loro dati sarebbero finiti in quel contesto.

Sebbene questi casi non riguardino il mondo degli assistenti alle riunioni, lo schema è lo stesso. Le autorità di regolamentazione intervengono quando le aziende raccolgono o utilizzano informazioni personali in modi che le persone non hanno acconsentito e che non potrebbero ragionevolmente prevedere. Le registrazioni delle riunioni spesso includono le stesse categorie di informazioni senza che nessuno se ne accorga al momento. Un commento sulla salute, un riferimento alle prestazioni, un dettaglio su un cliente collegato a una persona identificabile o un aggiornamento sensibile condiviso casualmente durante una chiamata. Tutto questo diventa un dato personale una volta che è stato acquisito.

Se tali registrazioni rimangono in un sistema più a lungo del necessario o vengono trasferite in regioni di cui le persone non sono mai state informate, la situazione inizia ad assomigliare agli scenari già sanzionati dalle autorità di regolamentazione. La tecnologia è diversa, ma la preoccupazione di fondo è identica. Si tratta della gestione di informazioni personali senza chiarezza né scopo.

Non c'è stato ancora un caso pubblico relativo al GDPR che si concentri sugli assistenti di riunione basati sull'intelligenza artificiale. Questo non vuol dire che le aziende che li usano siano esenti. Significa solo che la questione non è ancora stata oggetto di un'indagine normativa di alto profilo. La storia di altre multe mostra esattamente come queste situazioni potrebbero essere viste quando alla fine lo saranno.

I 3 migliori assistenti di riunione conformi al GDPR

Volevo creare una lista ordinata di cinque elementi. Davvero!!! Ho passato troppo tempo a scavare tra pagine sulla privacy e documenti sulla sicurezza, solo per scoprire che la maggior parte degli assistenti alle riunioni si affida in gran parte ai data center statunitensi o fa affermazioni vaghe che cadono a pezzi non appena si leggono le clausole scritte in piccolo. Alla fine, solo tre strumenti offrivano impegni GDPR chiari, fondati e pubblici che sembravano abbastanza solidi da poter essere condivisi.

Questi tre servizi offrono hosting trasparente, controlli di conservazione efficaci, documentazione adeguata e un approccio alla privacy in linea con le modalità operative richieste alle aziende europee.

1) tl;dv

Realizzato in Europa utilizzando il GDPR come base di riferimento

tl;dv

Lavoro con tl;dv, quindi so esattamente come il prodotto gestisce i dati delle riunioni dietro le quinte. È stato progettato con molta cura, e questo si riflette nel modo in cui affronta il GDPR, la sicurezza e la trasparenza. La piattaforma ha sede in Europa, l'hosting è in Europa e l'intero sistema è configurato in modo che i clienti, in particolare quelli che trattano dati personali del Regno Unito o dell'UE, abbiano una chiara comprensione di ciò che accade alle loro registrazioni.

tl;dv un design che mette al primo posto la privacy, invece di cercare di adattare il linguaggio del GDPR a una struttura che non è mai stata pensata per questo scopo. I dati vengono crittografati sia in fase di archiviazione che di trasmissione. Le registrazioni e le trascrizioni rimangono nei data center europei. Il team tiene un registro interno delle attività di elaborazione, in modo da poter mostrare esattamente come i dati personali si muovono all'interno del sistema. Questi aspetti possono sembrare insignificanti, ma sono alla base della fiducia. Consentono ai clienti di spiegare e giustificare le loro scelte, se necessario.

Hai il pieno controllo dei dati relativi alle tue riunioni

Uno dei motivi per cui mi fido tl;dv il livello di scelta che offre ai clienti. È possibile impostare la durata di conservazione delle registrazioni. È possibile eliminare qualsiasi cosa in qualsiasi momento. È possibile scaricare tutto. È possibile decidere dove ospitare la propria IA. Se la vostra azienda ha bisogno che l'elaborazione dell'IA rimanga in Europa, potete bloccarla in Europa. Se la vostra organizzazione si estende su più continenti e preferisce l'hosting negli Stati Uniti, questa è una scelta che potete fare. Il punto è che la decisione spetta a voi.

tl;dv fornisce tl;dv ai clienti informazioni chiare sul coinvolgimento di IA di terze parti. Quando la piattaforma utilizza Anthropic l'IA generativa, lo fa con misure di sicurezza. I metadati sono resi anonimi. I segmenti vengono suddivisi e mescolati in modo che nessun modello possa mai vedere una conversazione completa. Anthropic addestra nulla dai vostri dati. Questo livello di trasparenza è ancora raro nel campo dell'IA ed è importante per il GDPR perché va dritto al cuore dell'equità, della limitazione delle finalità e della minimizzazione dei dati.

I controlli di sicurezza sono reali, non decorativi

tl;dv una certificazione SOC 2 Tipo 1 e l'azienda segue un processo di sviluppo strutturato con revisioni del codice, test, ambienti separati e scansioni regolari dei sistemi di produzione. Il traffico è crittografato. L'archiviazione utilizza una crittografia AES-256 avanzata. L'infrastruttura si basa su provider già certificati secondo gli standard ISO 27001 e SOC, e il team interno monitora il comportamento di ogni parte del sistema nel tempo.

Ancora una volta, non si tratta di ottenere certificazioni solo per apparire. Si tratta piuttosto di garantire che, quando un cliente chiede "Dove sono i miei dati, chi può vederli e per quanto tempo rimangono lì?", sia possibile fornire una risposta che regga a un esame approfondito.

Più di un semplice assistente di riunione

L'aspetto che spesso viene trascurato è quanto profondamente tl;dv nell'organizzazione più ampia. Le persone lo utilizzano per registrare le riunioni, ma anche per l'onboarding, la formazione interna, l'acquisizione di conoscenze, il coaching, le revisioni delle vendite, la ricerca sui prodotti e tutte le attività quotidiane complesse che si svolgono al di fuori delle chiamate standard. Una volta implementato, lo strumento diventa un silenzioso strato di documentazione per l'intera azienda. Ciò rende ancora più importante la base della privacy, poiché il contenuto non è solo chiacchiere di riunione. È la memoria operativa dell'organizzazione.

Ecco perché il GDPR non è una nota a margine in questo caso. È uno dei motivi principali per cui il prodotto è stato realizzato in questo modo.

tl;dv Panoramica sul GDPR

  • Punto di forza: forte attenzione alla privacy basata su documentazione disponibile al pubblico
  • Hosting: dati archiviati in Europa
  • Formazione: il fornitore dichiara che i dati dei clienti non vengono utilizzati per la formazione dell'intelligenza artificiale.
  • Gestione dell'IA: metadati resi anonimi e segmenti delle riunioni elaborati in piccole parti randomizzate
  • Controlli: include modalità di consenso, impostazioni di conservazione personalizzate e cancellazione completa dei dati.
  • Sommario: Sulla base delle informazioni pubblicate, tl;dv un'architettura incentrata sull'UE che, se configurata in modo appropriato, supporta un utilizzo conforme al GDPR.

2) Assemblea

Struttura di tipo aziendale con documentazione dettagliata e controlli rigorosi

Centro di fiducia Sembly
Fonte: Sembly Trust Center

Sembly adotta un approccio molto formale alla protezione dei dati. Dispone di un Trust Center completo con audit SOC 2 Tipo 2, diagrammi di flusso dei dati, rapporti di pentest e politiche di sicurezza dettagliate. Descrive inoltre il GDPR come una priorità sin dall'inizio e documenta il modo in cui i dati personali vengono gestiti in modo familiare a chiunque lavori con i team di conformità.

Una caratteristica che spicca è la loro gestione della formazione dei modelli. Ai clienti aziendali viene garantito chiaramente che i loro file audio, video o di testo non saranno utilizzati per la formazione. Altri piani possono rinunciare a questa opzione. Ciò riduce il rischio che i dati personali vengano utilizzati per scopi secondari non previsti. Pubblicano inoltre un elenco dei sub-responsabili del trattamento, utile per le valutazioni d'impatto sulla protezione dei dati.

Ho provato ad accedere a una documentazione più dettagliata sul GDPR tramite il loro Trust Center, ma al momento della stesura di questo articolo non avevo ancora ricevuto risposta. Ciononostante, sulla base di quanto pubblicato pubblicamente, Sembly offre un livello di struttura adatto alle organizzazioni di grandi dimensioni, a condizione che si gestiscano correttamente il consenso e gli obblighi specifici relativi alle riunioni.

Sembly — Panoramica sul GDPR

  • Punto di forza: documentazione e audit di conformità in stile aziendale
  • Hosting: i materiali pubblici descrivono un'infrastruttura cloud sicura; i dettagli completi sulla residenza richiedono la conferma diretta del fornitore.
  • Formazione: i piani Enterprise escludono la formazione sui modelli; gli altri piani possono rinunciarvi.
  • Gestione dell'IA: crittografia inattiva e in transito, subprocessori pubblicati
  • Controlli: SOC 2 Tipo II, materiali del Centro di fiducia, DPA disponibile
  • Sommario: La documentazione pubblica indica un solido quadro di conformità. Una valutazione completa dipende dall'accesso a materiali aggiuntivi forniti dal fornitore.

3) Jamie

Ospitato dall'UE e molto attento alla privacy, ma dipendente dalla trasparenza degli utenti

Distintivi Jamie Trust
Fonte: Jamie Trust Badges

Jamie è spesso consigliato come opzione all'avanguardia in materia di privacy perché ha sede in Germania, elabora i dati all'interno della Germania e cancella l'audio grezzo una volta creata la trascrizione. È inoltre chiaro che Anthropic memorizza né Anthropic i dati dei clienti per l'addestramento dei modelli e nomina un responsabile esterno della protezione dei dati che verifica ogni anno la conformità dell'azienda. La base tecnica è solida e sembra in linea con i principi del GDPR.

La cosa che devi capire è come funziona Jamie nella pratica. Funziona silenziosamente sul tuo dispositivo invece di partecipare alla riunione come partecipante visibile. Questo approccio elimina l'imbarazzo di un bot che entra nella chiamata, ma significa anche che la responsabilità della trasparenza ricade interamente sulla persona che avvia la registrazione. Il GDPR prevede che le persone sappiano quando le loro voci vengono elaborate. Senza un avviso chiaro o un passaggio di consenso, la base giuridica diventa instabile.

Se i team utilizzano Jamie in modo responsabile e informano preventivamente le persone, ciò è perfettamente conforme ai requisiti del GDPR. In caso contrario, il rischio deriva dalla mancanza di comunicazione piuttosto che dalla tecnologia stessa.

Jamie — Panoramica sul GDPR

  • Punto di forza: elaborazione basata nell'UE con cancellazione rapida dell'audio e architettura incentrata sulla privacy
  • Hosting: il fornitore dichiara che l'elaborazione e l'archiviazione avvengono a Francoforte, in Germania.
  • Formazione: il fornitore dichiara che l'audio viene eliminato dopo la trascrizione e non viene utilizzato per la formazione del modello.
  • Gestione dell'IA: sintesi finali elaborate tramite Anthropic senza conservazione
  • Controlli: Responsabile esterno della protezione dei dati, audit annuali sul GDPR, documentazione dettagliata sulla privacy
  • Riepilogo: Jamie supporta l'utilizzo conforme al GDPR a livello tecnico; la conformità dipende dalla corretta comunicazione da parte degli utenti, poiché lo strumento non è visibile durante le riunioni.

Tutti gli strumenti di conformità al GDPR sono conformi al GDPR?

Alcuni strumenti forniscono una documentazione completa, mentre altri utilizzano un linguaggio più generico che lascia ai clienti più spazio per la verifica.

Gli esempi riportati di seguito mostrano come alcuni strumenti ben noti si presentano sui propri siti web, insieme a ciò che tale posizionamento potrebbe significare se la vostra organizzazione necessita di una configurazione più rigorosa e orientata all'UE. Non si tratta di un giudizio sulla loro qualità o legalità. Riflette semplicemente la differenza tra un approccio altamente trasparente e uno che richiede una conferma più diretta da parte del fornitore prima dell'adozione.

IncontraGeek

MeetGeek include GDPR, SOC 2 e HIPAA tra i propri standard, il che suggerisce un'ampia copertura. Le informazioni disponibili pubblicamente non forniscono lo stesso livello di dettaglio sulle regioni di hosting, i sub-responsabili del trattamento o la struttura di conservazione dei dati rispetto agli strumenti descritti in precedenza. Per molti team questo potrebbe essere sufficiente, ma chiunque necessiti di una residenza confermata esclusivamente nell'UE o di una documentazione approfondita potrebbe dover richiedere direttamente maggiori dettagli.

Leexi

Leexi sottolinea il GDPR, la certificazione ISO e l'elaborazione sicura. Tuttavia, i loro materiali pubblici forniscono dettagli tecnici limitati sulle ubicazioni di archiviazione, i sub-responsabili del trattamento e il comportamento di addestramento dei modelli. Le organizzazioni che richiedono piena visibilità sui flussi di dati dovrebbero richiedere queste informazioni prima di affidarsi alla piattaforma per lavori sensibili.

Fireflies

Fireflies fa riferimento al GDPR e SOC 2 Tipo II, e la piattaforma è ampiamente utilizzata. La loro infrastruttura sembra basarsi su regioni al di fuori dell'Europa e alcune funzionalità prevedono controlli di addestramento dei modelli che i clienti devono configurare. Questi punti non impediscono un utilizzo conforme al GDPR, ma comportano un maggiore lavoro di configurazione da parte dei clienti se è necessaria una gestione regionale rigorosa.

Read.ai

Read.ai si posiziona come conforme al GDPR e pone l'accento sulla fiducia e sull'accuratezza. Il servizio elabora i dati negli Stati Uniti, il che è legale quando sono in atto adeguate misure di sicurezza. Ciò significa semplicemente che i team che necessitano di un'impronta esclusivamente UE dovrebbero valutare attentamente gli accordi di trasferimento e le pratiche di consenso.

Gong

Gong offre una solida sicurezza commerciale e una documentazione chiara, oltre a supportare il GDPR attraverso garanzie contrattuali standard. Il loro approccio all'hosting è principalmente basato negli Stati Uniti, cosa comune nel SaaS aziendale. Le organizzazioni che richiedono dati residenti nell'UE dovrebbero confermare direttamente tale configurazione prima di affidarsi ad essa per i dati personali europei.

Questi strumenti possono essere adatti a molti team. L'unica differenza è che pubblicano meno dettagli su residenza, trasferimenti, comportamento formativo o conservazione rispetto ai tre strumenti EU-first evidenziati in precedenza. Se lavori in un ambiente che richiede un trattamento regionale rigoroso, una conservazione prevedibile e una documentazione completamente accessibile, vale la pena richiedere tali informazioni direttamente al fornitore prima di adottare qualsiasi strumento descritto come "conforme al GDPR".

Come scegliere un assistente per riunioni GDPR-First per il tuo team

Una volta compreso come le aziende utilizzano in modo diverso l'espressione "conforme al GDPR", diventa più facile scegliere un assistente per riunioni che supporti effettivamente le vostre responsabilità. Non è necessario avere una formazione giuridica per farlo. È sufficiente sapere cosa chiedere e come dovrebbe rispondere un fornitore responsabile.

Un buon punto di partenza sono le nozioni di base:

  • Dove vengono archiviate le tue registrazioni e se tutto può rimanere all'interno dell'Europa
  • Per quanto tempo lo strumento conserva i tuoi dati e se puoi impostare le tue regole di conservazione
  • Se i contenuti delle riunioni vengono utilizzati per addestrare modelli di IA e se tale funzione può essere disattivata
  • Quali sub-responsabili del trattamento sono coinvolti e se hanno accesso a dati personali
  • Se è possibile leggere l'accordo sul trattamento dei dati prima di assumere un impegno
  • Come funzionano la cancellazione, l'accesso e l'esportazione delle registrazioni e delle trascrizioni
  • Se è possibile scegliere un hosting AI regionale o limitare tutte le elaborazioni all'Europa
  • Qualsiasi assistente di riunione che si aspetti che tu registri le persone dovrebbe essere in grado di rispondere a queste domande in modo semplice e diretto.

Se collabori con un responsabile della protezione dei dati (DPO) o un team legale, questi richiederanno misure di sicurezza prevedibili.

Cercheranno informazioni chiare sull'hosting, dettagli sulla crittografia, un elenco pubblicato dei sub-responsabili del trattamento e una spiegazione chiara di come lo strumento gestisce l'addestramento dei modelli e l'elaborazione regionale. Non si aspettano la perfezione, ma si aspettano trasparenza e controlli pratici.

Puoi semplificare la decisione scegliendo uno strumento che sia stato progettato fin dall'inizio secondo questi principi. La pagina Privacy e sicurezzatl;dv spiega esattamente come vengono archiviati i dati in Europa, come funziona l'elaborazione dell'IA e come mantenere il controllo sulla conservazione, la cancellazione e l'hosting.

Se desideri un assistente per le riunioni che supporti il GDPR senza lavoro extra o congetture, questo è un ottimo punto di partenza.

Domande frequenti sul GDPR e sugli assistenti di riunione basati sull'intelligenza artificiale

È necessario assicurarsi che tutti i partecipanti alla riunione siano a conoscenza del fatto che la chiamata viene registrata o trascritta. Il consenso è la base giuridica più semplice e la maggior parte dei team lo utilizza per evitare confusione.

Sì. Le voci, i nomi, i ruoli professionali e qualsiasi cosa detta durante la chiamata possono identificare una persona, il che rende le registrazioni delle riunioni dati personali.

Sì, ma solo quando i trasferimenti di dati vengono gestiti correttamente e lo strumento fornisce adeguate misure di sicurezza. Molti team preferiscono strumenti basati nell'UE proprio per questo motivo.

Cerca informazioni esplicite sull'hosting, un elenco pubblicato dei sub-responsabili del trattamento e un accordo sul trattamento dei dati che indichi dove vengono trattati i dati personali.

È possibile. Il GDPR richiede informazioni chiare su come vengono utilizzati i dati personali. È necessario avere la possibilità di disattivare la formazione se si lavora con contenuti sensibili o clienti europei.

È necessario registrare la base giuridica, le modalità di informazione dei partecipanti, il luogo in cui sono conservati i dati e il periodo di conservazione previsto delle registrazioni.

Solo finché sono necessari per uno scopo chiaro. È necessario impostare regole di conservazione ed eliminare le registrazioni quando non sono più necessarie.

L'hosting nell'UE, i controlli sulla cancellazione, le impostazioni di conservazione, le politiche chiare in materia di formazione sull'IA e un DPA accessibile rendono molto più facile l'utilizzo in linea con il GDPR.

Sì, tl;dv conforme al GDPR. Offre agli utenti opzioni di residenza dei dati nell'UE, pubblica un accordo sul trattamento dei dati chiaro, fornisce controlli di conservazione granulari e consente di disabilitare l'addestramento dell'IA sui contenuti delle riunioni. Inoltre, divulga tutti i sub-responsabili del trattamento e segue rigorosi standard di sicurezza, in modo che i team possano registrare ed elaborare le riunioni in modo conforme al GDPR.