Guida · 6 min di lettura
Conformità GDPR dei convertitori PDF/A online: checklist 10 punti
Pubblicato il 10 luglio 2026
Caricare un PDF su un convertitore online significa trasferire un dato a un fornitore terzo. Se il PDF contiene dati personali (e di solito ne contiene), questo trasferimento è soggetto al GDPR. Sbagliare convertitore può costare violazioni e sanzioni. Ecco cosa controllare.
Perché il GDPR si applica anche a un "semplice" convertitore
Un PDF di una fattura, di un contratto, di un atto contiene tipicamente: nome, cognome, codice fiscale, indirizzo, partita IVA, dati bancari, contenuti contrattuali. Tutti dati personali ai sensi del Regolamento UE 2016/679 (GDPR). Convertirli online implica:
- Il fornitore del convertitore diventa responsabile del trattamento (art. 28 GDPR) o titolare di un trattamento autonomo, a seconda della struttura.
- Tu, che carichi, sei titolare del trattamento del documento e devi assicurarti che il fornitore offra garanzie adeguate.
La checklist 10 punti
- Server in UE. Verifica nelle privacy policy dove sono fisicamente i server. UE = no Schrems II problemi. USA = serve verificare i meccanismi di trasferimento (Data Privacy Framework, clausole standard) e il rischio è più alto.
- Privacy policy completae in italiano (se il target è italiano). Deve dichiarare titolare, dati trattati, base giuridica, retention, diritti dell'interessato.
- Tempo di retention dei file. I migliori cancellano i file immediatamentedopo la conversione (file effimero in memoria). Altri li mantengono 24h, 7 giorni, o per sempre — tutto a rischio.
- Crittografia in transito (HTTPS/TLS) sempre obbligatoria. Verifica con il lucchetto del browser.
- Crittografia a riposo. Se i file sono salvati (anche temporaneamente) su disco, devono essere cifrati.
- Niente tracking pubblicitario. Convertitori che hanno Google Analytics, Meta Pixel, Hotjar — ogni visita produce profilazione utente. Compatibile col GDPR solo con opt-in informato (cookie banner). Privacy-first usa analytics no-cookie come Umami, Plausible.
- Niente account obbligatorio(a meno che il servizio richieda persistenza). Per una conversione basta l'upload.
- DPA disponibile su richiesta (Data Processing Agreement). I fornitori seri lo offrono firmato. Se non lo hanno o non rispondono, è bandiera rossa per uso aziendale.
- Niente API non documentateverso terze parti. Esamina la network tab del browser durante l'upload: se i file finiscono su CDN americani (Cloudflare US, AWS S3, Google Storage), è un trasferimento extra-UE da valutare.
- Trasparenza sull'infrastruttura. I fornitori seri pubblicano chi usano (provider cloud, CDN). Quelli che "non lo dicono" sono tipicamente quelli che usano provider USA.
Pdfaonline.it e la conformità GDPR
Quello che facciamo:
- Server in Italia (UE), gestione diretta.
- File effimero: il PDF viene caricato, processato in memoria cifrata, restituito, e cancellato immediatamente al termine della richiesta HTTP. Niente storage.
- HTTPS obbligatorio(Let's Encrypt, TLS 1.3).
- Niente tracking pubblicitario, niente cookie di profilazione. Usiamo Umami self-hosted, anonimo (no cookie).
- Niente account utente richiesto.
- Privacy policy completa in italiano disponibile su /privacy.
Domande frequenti
I convertitori internazionali (iLovePDF, SmallPDF) sono GDPR-conformi?
Tecnicamente le grandi piattaforme dichiarano conformità GDPR. Ma server in USA o trasferimenti extra-UE richiedono valutazione caso per caso (Data Privacy Framework). Per studi italiani che gestiscono dati di clienti UE, un fornitore italiano con server in Italia riduce drasticamente i rischi.
Devo informare il cliente prima di convertire un suo documento online?
Dipende dal tipo di trattamento e dal contratto con il cliente. In generale, se il convertitore è un sub-responsabile e l'hai inserito nel registro dei trattamenti, l'informativa al cliente già copre. Se non è ancora nel registro, aggiornalo prima di usarlo per dati sensibili.
Cosa cambia se uso il convertitore solo per i miei documenti personali?
Per dati esclusivamente tuoi (non di terzi) il GDPR non si applica al trattamento per uso personale (art. 2 par. 2 lett. c). Pero` puoi comunque preferire un servizio rispettoso della privacy: meno dati i fornitori raccolgono su di te, meno rischi futuri.
File effimero, server in Italia, niente tracking. Carica con tranquillità.
Apri il convertitoreApprofondimenti correlati
5 errori comuni nella conversione PDF/A (e come evitarli)
Gli sbagli più frequenti quando si converte un PDF in PDF/A: livello sbagliato, font non incorporati, immagini in CMYK,…
Convertire Word in PDF/A in 30 secondi
Come convertire un documento Microsoft Word in PDF/A: opzioni native di Office, limiti, soluzione online. Guida pratica…
Come fare PDF/A su Mac (senza Adobe)
Convertire un PDF in PDF/A su macOS: cosa fa Anteprima, cosa offre Pages, e perche` la soluzione online e` quella piu`…
Validazione PDF/A: come leggere il report veraPDF e correggere gli errori
Cos'e` veraPDF, come si legge un report di validazione PDF/A, top errori comuni e come fixarli. Guida pratica per…
PDF/A per gare CONSIP e MePA: cosa richiede l'amministrazione
I documenti per le gare MePA, CONSIP e altre piattaforme di e-procurement della PA italiana richiedono PDF/A firmati. Q…
PDF/A per il bilancio CCIAA: XBRL e PDF/A insieme
Come depositare il bilancio in Camera di Commercio: il ruolo dell'XBRL come formato primario, e quando il PDF/A en…