RGPD y documentos: qué dice la ley sobre subir PDF a la nube
Subir un PDF con datos personales a una herramienta en la nube puede activar deberes del RGPD. Qué es un tratamiento, quién es el encargado y por qué lo local gana.
Arrastras una factura a una herramienta online gratuita para reducir su peso. Lleva el nombre de un cliente, una dirección, quizá un NIF. Cinco segundos después tienes un archivo más ligero y sigues con tu día. ¿Acaba de pasar algo con relevancia legal?
Bajo el RGPD, es muy probable que sí. Y casi nadie se lo plantea, porque el documento parecía inofensivo y la herramienta parecía gratis.
Esto no es asesoramiento legal. No soy tu abogada y cada caso tiene sus matices. Pero conviene entender la forma de las reglas, porque cambia el modo en que deberías manejar documentos con datos de otras personas.
Qué llama “tratamiento” el RGPD
Se suele creer que el RGPD va de bases de datos y listas de marketing. La definición real es mucho más amplia. Un tratamiento es casi cualquier cosa que hagas con datos personales: recogerlos, guardarlos, consultarlos, modificarlos, compartirlos, borrarlos. El reglamento menciona de forma literal la “consulta” y el “uso” como formas de tratamiento.
Así que cuando tu PDF contiene datos personales (un nombre más un teléfono ya basta) y haces algo con ese archivo, estás tratando datos personales. Comprimirlo cuenta. Unirlo cuenta. Convertirlo cuenta.
Eso por sí solo no es un problema. Las empresas tratan datos personales todo el día. Lo que pregunta el RGPD es cómo lo haces y quién más toca esos datos por el camino.
Por qué subir el archivo mete a un “encargado”
Aquí entra la parte de la nube. Cuando subes esa factura a un servicio externo, el archivo sale de tu control y aterriza en los servidores de otro. Esa empresa pasa a tratar los datos personales por cuenta tuya. El RGPD le pone nombre: encargado del tratamiento. Tú, que decidiste hacer esto, eres el responsable del tratamiento.
En el momento en que aparece un encargado, el responsable asume deberes reales. El principal es el artículo 28: necesitas un contrato por escrito con ese encargado, lo que suele llamarse un contrato de encargo de tratamiento. Tiene que dejar claro qué pueden hacer con los datos, cómo los protegen, cuándo los borran y si pueden cedérselos a alguien más.
Para y piensa en la herramienta PDF gratuita que usaste el mes pasado. ¿Firmaste un contrato de encargo con ellos? ¿Leíste dónde están sus servidores? ¿Comprobaste quiénes son sus subencargados? Casi seguro que no. Subiste un archivo con datos personales de otra persona a una empresa con la que no tienes contrato. Ese es el agujero.
La trampa de las transferencias internacionales
La cosa se complica cuando los servidores están fuera de la UE. Enviar datos personales a un proveedor de otro país es una transferencia internacional, y el RGPD las restringe. Necesitas una base válida, como las cláusulas contractuales tipo o una decisión de adecuación para ese país.
La mayoría de las herramientas gratuitas no te dicen dónde funcionan. El archivo podría procesarse en un centro de datos de otro continente, pasar por una cola, quedarse en caché en un bucket de almacenamiento, y no tendrías forma de saberlo. Para una foto de tus vacaciones, da igual. Para un contrato lleno de datos de clientes, has hecho sin querer una transferencia internacional que no puedes documentar.
Minimización, el principio que todos olvidan
El RGPD tiene un principio de minimización de datos. Solo deberías tratar los datos personales que de verdad necesitas, de la manera menos invasiva posible. Hay un principio hermano: piensa en la privacidad cuando diseñas el proceso, no después.
Aplícalo a una tarea tan simple como comprimir un PDF. ¿Necesitas enviar el contrato de un cliente al servidor de un tercero para que pese menos? No. La compresión puede ocurrir en tu propia máquina. Mandarlo fuera añade un encargado, un contrato que no tienes y quizá una transferencia que no puedes justificar, todo por cambiar el peso de un archivo. Es lo contrario de minimizar.
Por qué procesar en local se salta casi todo esto
Esta es la parte que reduce el problema entero. Si el archivo nunca sale de tu dispositivo, ningún tercero lo trata. Sin encargado, no hay contrato del artículo 28 que perseguir. Nada cruza una frontera, así que no hay transferencia que justificar. Sigues siendo el responsable, sigues debiendo al interesado el cuidado de siempre, pero buena parte del papeleo simplemente no aplica, porque nadie más tocó los datos.
Esa es la idea detrás de las herramientas que funcionan enteras en tu navegador. El código hace el trabajo en local, en la memoria de tu ordenador, y tu PDF se queda donde está. Así construimos reader.me. Cuando comprimes un PDF, el archivo se procesa en tu navegador y nunca llega a un servidor nuestro. Abre las DevTools del navegador, mira la pestaña Network y comprobarás que no sale nada con tu documento.
Pasos prácticos para empresas y autónomos
Unos hábitos que te mantienen del lado correcto:
- Trata cualquier documento con nombres, identificadores o datos de contacto como datos personales. Facturas, contratos, currículums y formularios médicos entran todos.
- Antes de subir algo a una herramienta en la nube, pregunta quién es el encargado. ¿No hay contrato de encargo ni respuesta clara sobre dónde están los servidores? No metas datos de clientes ahí.
- Usa por defecto herramientas locales para lo rutinario: comprimir, unir o dividir. Si corre en tu navegador, no hay encargado que evaluar.
- Lleva un registro breve de qué servicios tocan datos personales. El RGPD ya espera que el responsable lo sepa.
- Cuando de verdad necesites un servicio en la nube, elige uno que ofrezca un contrato de encargo real y te diga dónde viven los datos.
Las reglas suenan pesadas, pero el arreglo del día a día es ligero. La mayoría del trabajo con PDF no necesita servidor alguno. Deja el archivo en tu máquina y casi todo el peso legal nunca llega a caer sobre ti.