RGPD i documents: què diu la llei sobre pujar PDF al núvol
Pujar un PDF amb dades personals a una eina al núvol pot activar deures del RGPD. Què és un tractament, qui és l'encarregat i per què el local guanya.
Arrossegues una factura a una eina en línia gratuïta per reduir-ne el pes. Hi consta el nom d’un client, una adreça, potser un NIF. Cinc segons després tens un fitxer més lleuger i continues amb el teu dia. Acaba de passar alguna cosa amb rellevància legal?
Sota el RGPD, és molt probable que sí. I gairebé ningú no s’ho planteja, perquè el document semblava inofensiu i l’eina semblava gratis.
Això no és assessorament legal. No sóc la teva advocada i cada cas té els seus matisos. Però convé entendre la forma de les regles, perquè canvia la manera com hauries de gestionar documents amb dades d’altres persones.
Què anomena “tractament” el RGPD
Se sol creure que el RGPD va de bases de dades i llistes de màrqueting. La definició real és molt més àmplia. Un tractament és gairebé qualsevol cosa que facis amb dades personals: recollir-les, guardar-les, consultar-les, modificar-les, compartir-les, esborrar-les. El reglament esmenta de forma literal la “consulta” i l‘“ús” com a formes de tractament.
Així que quan el teu PDF conté dades personals (un nom més un telèfon ja n’hi ha prou) i fas alguna cosa amb aquell fitxer, estàs tractant dades personals. Comprimir-lo compta. Unir-lo compta. Convertir-lo compta.
Això per si sol no és cap problema. Les empreses tracten dades personals tot el dia. El que pregunta el RGPD és com ho fas i qui més toca aquestes dades pel camí.
Per què pujar el fitxer fica un “encarregat”
Aquí entra la part del núvol. Quan puges aquella factura a un servei extern, el fitxer surt del teu control i aterra als servidors d’un altre. Aquella empresa passa a tractar les dades personals per compte teu. El RGPD li posa nom: encarregat del tractament. Tu, que vas decidir fer això, ets el responsable del tractament.
En el moment en què apareix un encarregat, el responsable assumeix deures reals. El principal és l’article 28: necessites un contracte per escrit amb aquell encarregat, allò que sol anomenar-se un contracte d’encàrrec de tractament. Ha de deixar clar què poden fer amb les dades, com les protegeixen, quan les esborren i si poden cedir-les a algú més.
Atura’t i pensa en l’eina PDF gratuïta que vas fer servir el mes passat. Vas signar un contracte d’encàrrec amb ells? Vas llegir on són els seus servidors? Vas comprovar qui són els seus subencarregats? Gairebé segur que no. Vas pujar un fitxer amb dades personals d’una altra persona a una empresa amb la qual no tens cap contracte. Aquest és el forat.
La trampa de les transferències internacionals
La cosa es complica quan els servidors són fora de la UE. Enviar dades personals a un proveïdor d’un altre país és una transferència internacional, i el RGPD les restringeix. Necessites una base vàlida, com les clàusules contractuals tipus o una decisió d’adequació per a aquell país.
La majoria de les eines gratuïtes no et diuen on funcionen. El fitxer es podria processar en un centre de dades d’un altre continent, passar per una cua, quedar-se en memòria cau en un bucket d’emmagatzematge, i no tindries manera de saber-ho. Per a una foto de les teves vacances, tant és. Per a un contracte ple de dades de clients, has fet sense voler una transferència internacional que no pots documentar.
Minimització, el principi que tothom oblida
El RGPD té un principi de minimització de dades. Només hauries de tractar les dades personals que de debò necessites, de la manera menys invasiva possible. Hi ha un principi germà: pensa en la privacitat quan dissenyes el procés, no després.
Aplica-ho a una tasca tan simple com comprimir un PDF. Necessites enviar el contracte d’un client al servidor d’un tercer perquè pesi menys? No. La compressió pot passar a la teva pròpia màquina. Enviar-lo fora afegeix un encarregat, un contracte que no tens i potser una transferència que no pots justificar, tot per canviar el pes d’un fitxer. És el contrari de minimitzar.
Per què processar en local s’estalvia gairebé tot això
Aquesta és la part que redueix el problema sencer. Si el fitxer mai no surt del teu dispositiu, cap tercer no el tracta. Sense encarregat, no hi ha contracte de l’article 28 que perseguir. Res no creua una frontera, així que no hi ha transferència que justificar. Continues sent el responsable, continues devent a l’interessat la cura de sempre, però bona part del paperam simplement no aplica, perquè ningú més no va tocar les dades.
Aquesta és la idea darrere de les eines que funcionen senceres al teu navegador. El codi fa la feina en local, a la memòria del teu ordinador, i el teu PDF es queda on és. Així vam construir reader.me. Quan comprimeixes un PDF, el fitxer es processa al teu navegador i mai no arriba a un servidor nostre. Obre les DevTools del navegador, mira la pestanya Network i comprovaràs que no surt res amb el teu document.
Passos pràctics per a empreses i autònoms
Uns hàbits que et mantenen del costat correcte:
- Tracta qualsevol document amb noms, identificadors o dades de contacte com a dades personals. Factures, contractes, currículums i formularis mèdics hi entren tots.
- Abans de pujar res a una eina al núvol, pregunta qui és l’encarregat. No hi ha contracte d’encàrrec ni resposta clara sobre on són els servidors? No hi fiquis dades de clients.
- Fes servir per defecte eines locals per a allò rutinari: comprimir, unir o dividir. Si funciona al teu navegador, no hi ha encarregat que avaluar.
- Porta un registre breu de quins serveis toquen dades personals. El RGPD ja espera que el responsable ho sàpiga.
- Quan de debò necessitis un servei al núvol, tria’n un que ofereixi un contracte d’encàrrec real i et digui on viuen les dades.
Les regles sonen pesades, però l’arranjament del dia a dia és lleuger. La majoria de la feina amb PDF no necessita cap servidor. Deixa el fitxer a la teva màquina i gairebé tot el pes legal mai no arriba a caure sobre tu.
Explora per categoria