Sarò diretto: la maggior parte degli sviluppatori web commette una violazione del GDPR ogni settimana senza saperlo.
Cuando un cliente te manda las fotos de su equipo para la página de “Quiénes somos”, tú las abres, las optimizas con TinyPNG o Convertio, y las subes a la web. Flujo de trabajo estándar. Efficiente. Y potencialmente ilegal.
Come mai? Porque esas fotos son datos personales. Y las acabas de mandar a un servidor en Estados Unidos sin consentimiento explícito, sin base legal documentada y sin informar al titular de los datos.
Qué dice el GDPR exactamente
El Reglamento General de Protección de Datos es claro: cualquier tratamiento de datos personales — incluyendo imágenes de personas identificables — requiere una base legal y, en caso de transferencia a terceros, un contrato de encargado de tratamiento o garantías adecuadas.
Cuando subes una foto de empleado a TinyPNG:
- Estás transfiriendo datos personales a Voormedia (empresa holandesa con infraestructura en múltiples países)
- No has informado al trabajador cuya imagen estás procesando
- Probablemente no tienes firmado un Data Processing Agreement con TinyPNG
- Si el servidor donde se procesa está fuera de la UE, estás haciendo una transferencia internacional sin garantías
¿Es probable que la AEPD llame a tu puerta por comprimir una foto? No. ¿Es técnicamente una infracción? sì.
Y en contextos más sensibles — imágenes de menores para una web de colegio, fotografías de pacientes para una clínica, documentos con datos visibles — el riesgo real aumenta exponencialmente.
El problema estructural
L'industria degli strumenti online è stata costruita sull'assunto implicito che i file che elabori non siano sensibili. Per uno sviluppatore che comprime il logo aziendale della sua società, questo è vero. Per chi lavora con dati dei clienti, no.
E la maggior parte di noi lavora costantemente con dati dei clienti senza distinguere tra i due casi.
TinyPNG, Convertio, CloudConvert, iLoveIMG, Squoosh di Google — tutti hanno in comune che i tuoi file passano attraverso i loro sistemi. Alcuni li cancellano in poche ore, altri li trattengono più a lungo. Ma tutti li ricevono.
Una soluzione tecnica elegante
L'alternativa non è complicata: usare strumenti che elaborano i file localmente, nel browser dell'utente, usando WebAssembly.
WebAssembly permette di eseguire codice ad alte prestazioni — lo stesso che funziona nelle applicazioni desktop — direttamente nel browser. Librerie come libvips, Sharp o ffmpeg, compilate in WASM, processano immagini con la stessa qualità delle loro versioni server, ma senza server.
Strumenti come Pixelaso implementano esattamente questo. Conversione di formati, compressione, Ridimensionamento, modifica — tutto avviene sul dispositivo dell'utente. L'immagine non lascia mai il browser. Non c'è trasferimento di dati a terzi perché non ci sono terzi.
Dal punto di vista del GDPR, questo risolve il problema alla radice: se i dati non escono mai dal dispositivo, non c'è trattamento esterno, non c'è trasferimento, non c'è rischio di non conformità.
Implicazioni per il tuo flusso di lavoro come sviluppatore
Si trabajas con imágenes de personas identificables — y casi todos lo hacemos — considera estas medidas:
Documenta qué herramientas usas para procesar datos de clientes. Si son online, revisa sus políticas de privacidad y si ofrecen DPA.
Prefiere herramientas client-side para cualquier archivo que contenga datos personales o sea confidencial.
Informa a tus clientes sobre las herramientas que usas en tu flujo de trabajo. En un contrato de prestación de servicios bien redactado, esto debería estar reflejado.
Valora el impacto real del contexto. Comprimir el banner de una landing de un ecommerce con TinyPNG tiene un riesgo prácticamente nulo. Comprimir fotos del historial de empleados de una empresa tiene un perfil de riesgo muy diferente.
conclusione
No escribo esto para generar pánico. La gran mayoría de usos de herramientas online de procesamiento de imágenes son perfectamente inofensivos en la práctica.
Pero como desarrolladores, tenemos la responsabilidad de entender las implicaciones de las herramientas que usamos y recomendamos. e in 2025, “no lo sabía” es una excusa cada vez menos aceptable.
La buena noticia es que la alternativa técnica existe, es madura, y en muchos casi es incluso más rápida que las soluciones basadas en servidor. La privacidad por diseño no es un obstáculo al flujo de trabajo. Con las herramientas adecuadas, es transparente.
