Documentos en la nube y GDPR: una checklist pragmática

Confiar los propios documentos a un servicio externo es una decisión sensata: menos infraestructura que gestionar, más automatización. Pero los documentos empresariales contienen datos personales — nombres, direcciones, números de IVA, importes — y eso abre la puerta al GDPR. Aquí tienes una checklist concreta, sin pánico y sin lenguaje burocrático.

No hace falta ser jurista para hacer las preguntas correctas. Hay que saber qué pedir al proveedor, qué incluir en el contrato y qué verificar periódicamente. El cumplimiento no es un evento puntual: es como el mantenimiento de una instalación.

1. Dónde viven los datos

La primera pregunta es geográfica: ¿dónde se almacenan y se analizan físicamente los documentos? Una infraestructura íntegramente europea simplifica enormemente el cumplimiento, porque evita las transferencias fuera de la UE y las garantías adicionales correspondientes. Pregúntalo siempre, y déjalo por escrito.

Atención a los detalles: «servidores en Europa» no basta si el procesamiento de IA o el backup acaban en otro sitio. Pregunta por la región de compute, la región de almacenamiento, la región de disaster recovery. Y si usan subcontratistas (hosting, correo transaccional), deben figurar en el registro de tratamientos y en el DPA.

2. Durante cuánto tiempo permanecen

El GDPR ama la minimización: no conservar datos más de lo necesario. Un buen servicio te deja configurar el periodo de conservación y, sobre todo, elimina automáticamente los documentos caducados. La conservación «para siempre» es cómoda pero es un riesgo, no una funcionalidad.

• Periodo de conservación configurable por organización
• Eliminación automática y definitiva pasada la ventana
• Eliminación bajo demanda de un documento concreto o de un cliente entero
• Pruebas de eliminación (registros) para auditorías internas

3. Quién puede acceder

En un servicio multicliente, la pregunta clave es: ¿mi empresa ve solo sus propios datos? El aislamiento entre clientes debe estar garantizado a nivel técnico e, idealmente, verificado por pruebas automáticas. En el frente interno, cuenta quién dentro del personal del proveedor puede acceder y con qué registros.

Para los despachos profesionales el tema es aún más delicado: un asesor que gestiona cien clientes no puede permitirse una «fuga» entre organizaciones. Roles, permisos y registro de auditoría no son opcionales.

4. IA y tratamiento de los datos

Con la IA de por medio, dos preguntas más: ¿se usan tus documentos para entrenar modelos? ¿Y dónde se ejecuta el procesamiento? Las respuestas correctas son «no» y «en la UE». Además, el AI Act europeo añade obligaciones de transparencia: un buen proveedor te las explica sin rodeos.

Pregunta también por la retención de registros de inferencia, si existen prompts que incluyen datos documentales, y cómo gestionan los incidentes (notificación de brecha de datos en 72 horas al responsable del tratamiento).

5. Contrato y roles

Tú eres el responsable del tratamiento sobre los datos de tus clientes y proveedores; el proveedor del servicio de extracción suele ser encargado (processor). Hace falta un DPA claro: objeto, duración, finalidad, medidas de seguridad, subencargados, asistencia para los derechos de los interesados.

El cumplimiento no es un sello: es la suma de decisiones concretas sobre dónde, durante cuánto y para quién.

Checklist rápida antes de firmar

• DPA disponible y firmable
• Datos en la UE (almacenamiento + compute)
• Retención configurable con eliminación automática
• Aislamiento multi-tenant documentado
• Ningún entrenamiento con tus documentos sin consentimiento explícito
• Procedimientos de exportación y eliminación bajo demanda

Si un proveedor lo ofrece enseguida y sin rodeos, es buena señal. LOCRAI nace con estas respuestas ya preparadas — porque la confianza, en materia de datos, se gana antes incluso de pedirla.