pdfaonline.it

Guida · 6 min di lettura

Conformità GDPR dei convertitori PDF/A online: checklist 10 punti

Pubblicato il 10 luglio 2026

Caricare un PDF su un convertitore online significa trasferire un dato a un fornitore terzo. Se il PDF contiene dati personali (e di solito ne contiene), questo trasferimento è soggetto al GDPR. Sbagliare convertitore può costare violazioni e sanzioni. Ecco cosa controllare.

Perché il GDPR si applica anche a un "semplice" convertitore

Un PDF di una fattura, di un contratto, di un atto contiene tipicamente: nome, cognome, codice fiscale, indirizzo, partita IVA, dati bancari, contenuti contrattuali. Tutti dati personali ai sensi del Regolamento UE 2016/679 (GDPR). Convertirli online implica:

  • Il fornitore del convertitore diventa responsabile del trattamento (art. 28 GDPR) o titolare di un trattamento autonomo, a seconda della struttura.
  • Tu, che carichi, sei titolare del trattamento del documento e devi assicurarti che il fornitore offra garanzie adeguate.

La checklist 10 punti

  1. Server in UE. Verifica nelle privacy policy dove sono fisicamente i server. UE = no Schrems II problemi. USA = serve verificare i meccanismi di trasferimento (Data Privacy Framework, clausole standard) e il rischio è più alto.
  2. Privacy policy completae in italiano (se il target è italiano). Deve dichiarare titolare, dati trattati, base giuridica, retention, diritti dell'interessato.
  3. Tempo di retention dei file. I migliori cancellano i file immediatamentedopo la conversione (file effimero in memoria). Altri li mantengono 24h, 7 giorni, o per sempre — tutto a rischio.
  4. Crittografia in transito (HTTPS/TLS) sempre obbligatoria. Verifica con il lucchetto del browser.
  5. Crittografia a riposo. Se i file sono salvati (anche temporaneamente) su disco, devono essere cifrati.
  6. Niente tracking pubblicitario. Convertitori che hanno Google Analytics, Meta Pixel, Hotjar — ogni visita produce profilazione utente. Compatibile col GDPR solo con opt-in informato (cookie banner). Privacy-first usa analytics no-cookie come Umami, Plausible.
  7. Niente account obbligatorio(a meno che il servizio richieda persistenza). Per una conversione basta l'upload.
  8. DPA disponibile su richiesta (Data Processing Agreement). I fornitori seri lo offrono firmato. Se non lo hanno o non rispondono, è bandiera rossa per uso aziendale.
  9. Niente API non documentateverso terze parti. Esamina la network tab del browser durante l'upload: se i file finiscono su CDN americani (Cloudflare US, AWS S3, Google Storage), è un trasferimento extra-UE da valutare.
  10. Trasparenza sull'infrastruttura. I fornitori seri pubblicano chi usano (provider cloud, CDN). Quelli che "non lo dicono" sono tipicamente quelli che usano provider USA.

Pdfaonline.it e la conformità GDPR

Quello che facciamo:

  • Server in Italia (UE), gestione diretta.
  • File effimero: il PDF viene caricato, processato in memoria cifrata, restituito, e cancellato immediatamente al termine della richiesta HTTP. Niente storage.
  • HTTPS obbligatorio(Let's Encrypt, TLS 1.3).
  • Niente tracking pubblicitario, niente cookie di profilazione. Usiamo Umami self-hosted, anonimo (no cookie).
  • Niente account utente richiesto.
  • Privacy policy completa in italiano disponibile su /privacy.

Domande frequenti

I convertitori internazionali (iLovePDF, SmallPDF) sono GDPR-conformi?

Tecnicamente le grandi piattaforme dichiarano conformità GDPR. Ma server in USA o trasferimenti extra-UE richiedono valutazione caso per caso (Data Privacy Framework). Per studi italiani che gestiscono dati di clienti UE, un fornitore italiano con server in Italia riduce drasticamente i rischi.

Devo informare il cliente prima di convertire un suo documento online?

Dipende dal tipo di trattamento e dal contratto con il cliente. In generale, se il convertitore è un sub-responsabile e l'hai inserito nel registro dei trattamenti, l'informativa al cliente già copre. Se non è ancora nel registro, aggiornalo prima di usarlo per dati sensibili.

Cosa cambia se uso il convertitore solo per i miei documenti personali?

Per dati esclusivamente tuoi (non di terzi) il GDPR non si applica al trattamento per uso personale (art. 2 par. 2 lett. c). Pero` puoi comunque preferire un servizio rispettoso della privacy: meno dati i fornitori raccolgono su di te, meno rischi futuri.

File effimero, server in Italia, niente tracking. Carica con tranquillità.

Apri il convertitore

Approfondimenti correlati