Seré directo: la mayoría de desarrolladores web cometen una infracción del GDPR cada semana sin saberlo.
Cuando un cliente te manda las fotos de su equipo para la página de «Quiénes somos», tú las abres, las optimizas con TinyPNG o Convertio, y las subes a la web. Flujo de trabajo estándar. Eficiente. Y potencialmente ilegal.
¿Por qué? Porque esas fotos son datos personales. Y las acabas de mandar a un servidor en Estados Unidos sin consentimiento explícito, sin base legal documentada y sin informar al titular de los datos.
Qué dice el GDPR exactamente
El Reglamento General de Protección de Datos es claro: cualquier tratamiento de datos personales — incluyendo imágenes de personas identificables — requiere una base legal y, en caso de transferencia a terceros, un contrato de encargado de tratamiento o garantías adecuadas.
Cuando subes una foto de empleado a TinyPNG:
- Estás transfiriendo datos personales a Voormedia (empresa holandesa con infraestructura en múltiples países)
- No has informado al trabajador cuya imagen estás procesando
- Probablemente no tienes firmado un Data Processing Agreement con TinyPNG
- Si el servidor donde se procesa está fuera de la UE, estás haciendo una transferencia internacional sin garantías
¿Es probable que la AEPD llame a tu puerta por comprimir una foto? No. ¿Es técnicamente una infracción? Sí.
Y en contextos más sensibles — imágenes de menores para una web de colegio, fotografías de pacientes para una clínica, documentos con datos visibles — el riesgo real aumenta exponencialmente.
El problema estructural
La industria de las herramientas online se construyó sobre el supuesto implícito de que los archivos que procesas no son sensibles. Para un desarrollador que comprime el logo corporativo de su empresa, esto es verdad. Para uno que trabaja con datos de clientes, no.
Y la mayoría de nosotros trabajamos con datos de clientes constantemente sin distinguir entre ambos casos.
TinyPNG, Convertio, CloudConvert, iLoveIMG, Squoosh de Google — todos tienen en común que tus archivos pasan por sus sistemas. Algunos los borran en horas, otros los retienen más tiempo. Pero todos los reciben.
Una solución técnica elegante
La alternativa no es complicada: usar herramientas que procesen los archivos localmente, en el navegador del usuario, usando WebAssembly.
WebAssembly permite ejecutar código de alto rendimiento — el mismo que corre en aplicaciones de escritorio — directamente en el navegador. Librerías como libvips, Sharp o ffmpeg, compiladas a WASM, procesan imágenes con la misma calidad que sus versiones de servidor, pero sin servidor.
Herramientas como Pixelaso implementan exactamente esto. Conversión de formatos, compresión, redimensionado, edición — todo ocurre en el dispositivo del usuario. La imagen nunca abandona el navegador. No hay transferencia de datos a terceros porque no hay terceros.
Desde el punto de vista del GDPR, esto resuelve el problema de raíz: si los datos nunca salen del dispositivo, no hay tratamiento externo, no hay transferencia, no hay riesgo de cumplimiento.
Implicaciones para tu flujo de trabajo como dev
Si trabajas con imágenes de personas identificables — y casi todos lo hacemos — considera estas medidas:
Documenta qué herramientas usas para procesar datos de clientes. Si son online, revisa sus políticas de privacidad y si ofrecen DPA.
Prefiere herramientas client-side para cualquier archivo que contenga datos personales o sea confidencial.
Informa a tus clientes sobre las herramientas que usas en tu flujo de trabajo. En un contrato de prestación de servicios bien redactado, esto debería estar reflejado.
Valora el impacto real del contexto. Comprimir el banner de una landing de un ecommerce con TinyPNG tiene un riesgo prácticamente nulo. Comprimir fotos del historial de empleados de una empresa tiene un perfil de riesgo muy diferente.
Conclusión
No escribo esto para generar pánico. La gran mayoría de usos de herramientas online de procesamiento de imágenes son perfectamente inofensivos en la práctica.
Pero como desarrolladores, tenemos la responsabilidad de entender las implicaciones de las herramientas que usamos y recomendamos. Y en 2025, «no lo sabía» es una excusa cada vez menos aceptable.
La buena noticia es que la alternativa técnica existe, es madura, y en muchos casos es incluso más rápida que las soluciones basadas en servidor. La privacidad por diseño no es un obstáculo al flujo de trabajo. Con las herramientas adecuadas, es transparente.
