Transcrição por IA que Mantém os Seus Dados na Europa

Nota: Este artigo descreve a arquitetura e o design do Mandraki. Algumas funcionalidades discutidas estão a ser disponibilizadas progressivamente e poderão ainda não estar disponíveis em todos os planos.

A transcrição baseada em IA e a sumarização de reuniões tornaram-se funcionalidades esperadas nas ferramentas de colaboração empresarial. Poupam tempo, melhoram a acessibilidade e criam registos pesquisáveis de discussões que, de outra forma, existiriam apenas na memória dos participantes.

Mas, para as organizações europeias, estas funcionalidades trazem uma questão séria: para onde está o áudio a ser enviado, quem o está a processar e o que lhe acontece depois?

Na maioria das principais plataformas de colaboração, a resposta é desconfortável. O áudio é transmitido para centros de dados operados por empresas norte-americanas, processado por modelos alojados em infraestrutura controlada pelos EUA e retido sob termos regidos pela lei norte-americana. Para um hospital europeu a discutir cuidados de saúde, um banco a rever estratégia financeira ou um ministério a coordenar políticas, isto não é uma preocupação regulatória abstrata — é um risco real de proteção de dados.

O Mandraki adota uma abordagem fundamentalmente diferente.

Processamento dentro da jurisdição da UE

Todos os componentes do pipeline de IA do Mandraki são executados em infraestrutura hyperscale europeia, dentro da União Europeia. A captura de áudio, o processamento de fala para texto, o modelo de sumarização e o armazenamento dos resultados ocorrem todos em servidores sujeitos à lei da UE, operados por um fornecedor de nuvem de propriedade europeia, sem qualquer empresa-mãe ou exposição jurisdicional norte-americana.

Não se trata de selecionar uma região da UE na consola de um fornecedor de nuvem norte-americano. O nosso fornecedor de infraestrutura é uma empresa europeia, constituída ao abrigo da lei da UE, sem qualquer estrutura de propriedade estrangeira que pudesse criar exposição jurisdicional indireta. Quando o seu áudio é processado pelas funcionalidades de IA do Mandraki, permanece dentro da mesma fronteira soberana que o resto dos seus dados.

Como funciona a transcrição

Quando uma organização ativa a transcrição por IA para uma chamada, o fluxo de áudio é capturado pela nossa Selective Forwarding Unit e enviado para o serviço de transcrição em execução na mesma infraestrutura hyperscale europeia. O modelo de fala para texto processa o áudio em quase tempo real, gerando uma transcrição com marcação temporal e atribuição de oradores.

A transcrição é depois cifrada com a Data Encryption Key da organização — a mesma cifragem de envelope em três camadas que protege todos os outros dados no Mandraki — e armazenada juntamente com o registo da chamada. Para organizações com BYOK, a transcrição é cifrada com a hierarquia de chaves controlada pelo cliente, garantindo total controlo criptográfico.

Após o processamento, o buffer de áudio bruto é descartado da memória. Não é escrito em disco, não é retido para treino de modelos e não é acessível ao pessoal do Mandraki.

Sumarização e funcionalidades inteligentes

Para além da transcrição, o Mandraki oferece sumarização de reuniões baseada em IA. No final de uma chamada (ou a pedido durante a chamada), o modelo de sumarização processa a transcrição para gerar um resumo estruturado: pontos-chave da discussão, decisões tomadas, ações identificadas e questões levantadas.

Estes resumos são concebidos para serem úteis sem serem redutores. Preservam a substância de uma discussão tornando-a percorrível. Para uma chamada de trinta minutos, um resumo típico tem dois a três parágrafos — o suficiente para recordar a um participante os pontos-chave, ou para informar um colega que não pôde estar presente.

Tal como as transcrições, os resumos são cifrados em repouso com a hierarquia de chaves da organização e sujeitos às mesmas políticas de retenção de dados.

A exclusão mútua com E2EE

Acreditamos em ser transparentes quanto às restrições arquiteturais. A transcrição por IA e a cifragem de ponta a ponta são mutuamente exclusivas no Mandraki. Isto não é uma limitação que possamos contornar com engenharia — é uma propriedade fundamental do E2EE.

A cifragem de ponta a ponta significa que o servidor não pode aceder ao conteúdo em texto simples. A transcrição por IA requer que o servidor processe áudio em texto simples. Estes dois requisitos são logicamente incompatíveis.

O Mandraki impõe isto ao nível arquitetural, não apenas através de política. Uma chamada com cifragem de ponta a ponta ativada não pode ter as funcionalidades de IA ligadas e vice-versa. O guarda validateAiE2eeMutualExclusion verifica esta restrição antes de qualquer operação de IA ser permitida.

As organizações escolhem a sua preferência ao nível da chamada ou do canal. Uma empresa poderá usar E2EE para reuniões de direção e discussões jurídicas, ativando a transcrição por IA para reuniões gerais de equipa. A escolha é granular e explícita.

Consentimento e governação

As funcionalidades de IA no Mandraki são governadas a múltiplos níveis, refletindo o princípio de que organizações e indivíduos devem manter o controlo sobre como as suas comunicações são processadas.

Ao nível da organização, os administradores definem uma política de IA: desativada (sem funcionalidades de IA disponíveis, E2EE disponível), opcional (IA disponível mas requer consentimento por chamada dos participantes) ou ativada (IA ligada por defeito). Podem também alternar funcionalidades individuais: transcrição, sumarização, respostas inteligentes e análise de gravações.

Ao nível da chamada, quando a política da organização está definida como opcional, é pedido aos participantes que consintam antes de as funcionalidades de IA serem ativadas. O consentimento é registado com marcação temporal e as funcionalidades específicas consentidas. Se algum participante recusar, a chamada prossegue sem funcionalidades de IA.

Este modelo de consentimento é concebido para cumprir os requisitos do RGPD para tratamento lícito, em particular em jurisdições onde a monitorização de trabalhadores está sujeita a regras estritas. O registo de consentimento fornece um historial auditável que pode ser apresentado às autoridades de proteção de dados, se necessário.

Retenção de dados

O Mandraki suporta três modos de retenção de dados de IA, configuráveis ao nível da organização.

Transitório. O conteúdo gerado por IA (transcrições, resumos) existe em memória durante o processamento e é cifrado e armazenado, mas a entrada bruta (buffers de áudio) nunca é persistida. Este é o único modo disponível para organizações com BYOK.

Sessão. O conteúdo gerado por IA é retido durante a duração da chamada e por um período de tolerância configurável depois, sendo depois automaticamente eliminado.

Persistente. O conteúdo gerado por IA é retido de acordo com a política de retenção de dados da organização, cifrado em repouso e incluído na exportação de dados.

Em todos os modos, o áudio bruto nunca é retido para além da janela de processamento. O Mandraki não utiliza áudio nem transcrições de clientes para treino ou melhoria de modelos. Os modelos de IA não são afinados com dados de clientes.

Uma abordagem europeia à IA no local de trabalho

O Regulamento da IA da UE estabelece categorias de risco e requisitos de transparência para sistemas de IA. Embora as funcionalidades de IA para colaboração, como transcrição e sumarização, se enquadrem geralmente em categorias de menor risco, os princípios de transparência, consentimento e minimização de dados são centrais à abordagem do Mandraki.

Acreditamos que as funcionalidades de IA devem tornar o trabalho mais fácil sem exigir que as organizações comprometam a soberania de dados ou a privacidade dos colaboradores. Processar dentro da jurisdição da UE, cifrar os resultados com chaves controladas pelo cliente, impor consentimento e fornecer controlos granulares de retenção são a forma como concretizamos essa convicção.