← Volver al blog

Cómo redactar un PDF para cumplir con GDPR

Jury D'Ambros··7 min de lectura

Alguien presenta una solicitud GDPR del Artículo 17 — el derecho de supresión. Sacas un PDF que contiene sus datos personales junto a los de otra docena de personas, y ahora tienes que eliminar su información sin destruir el resto del documento. O estás produciendo documentos en respuesta a un requerimiento judicial y necesitas quitar datos personales que no estás autorizado a divulgar. O un informe va a un proveedor externo y debe salir sin nombres de empleados adjuntos.

Estos son los momentos cotidianos donde realmente sucede la redacción (eliminación permanente de contenido) bajo GDPR. Esta guía recorre qué campos quitar, cómo hacer que la eliminación resista una auditoría y los errores comunes que convierten una redacción de buena fe en una brecha de datos notificable.

Qué exige realmente GDPR

El Reglamento General de Protección de Datos, y específicamente el Artículo 17 (derecho de supresión, "derecho al olvido"), otorga a los interesados el derecho a que sus datos personales sean eliminados en determinadas circunstancias. En lo relevante para la redacción, la ley espera que cuando deban eliminarse datos personales — ya sea en respuesta a una solicitud de supresión, un ejercicio de minimización de datos o una divulgación a terceros — la eliminación sea efectivamente real.

Lo que cuenta como "datos personales" bajo GDPR es más amplio de lo que la mayoría imagina. Incluye identificadores directos como nombres, direcciones de correo, números de teléfono y números de identificación nacional. Pero también cubre identificadores indirectos que puedan vincularse a un individuo: direcciones IP, identificadores de dispositivo, números de empleado, fotografías, firmas manuscritas e incluso identificadores pseudonimizados si todavía existe la clave para reidentificarlos. Para datos de salud, financieros o de antecedentes penales, se aplican reglas adicionales de "categoría especial" (Artículo 9), y el listón de protección es aún más alto.

Una redacción que deje los datos originales recuperables dentro del archivo PDF no supera la prueba. Las autoridades de control de toda la UE han tratado de forma consistente los incidentes de redacción recuperable como brechas de datos personales, activando obligaciones de notificación y, en algunos casos, multas administrativas.

Qué campos redactar

Antes de abrir el PDF, decide qué quitar. Una buena lista inicial para un pase de redacción orientado a GDPR:

  • Nombres — nombres completos, nombres preferidos y bloques de firma al pie de las páginas
  • Datos de contacto — direcciones de correo, números de teléfono, direcciones postales, incluidas direcciones parciales como "via Roma 12"
  • Identificadores nacionales e internos — números de identificación fiscal (codice fiscale, NIE, equivalentes a SSN), números de pasaporte, IDs de empleado, números de cliente, números de expediente
  • Fechas que individualicen — fecha de nacimiento, fecha de contratación, fecha de un encuentro médico específico; evita el instinto de quedarte "solo con el año" si combinado con otro atributo reidentifica a la persona
  • Identificadores online — direcciones IP, UUIDs de dispositivo, tokens de sesión, nombres de usuario
  • Datos de salud, financieros y de categoría especial — diagnósticos, prescripciones, números de cuenta, cifras salariales, afiliación religiosa, afiliación sindical
  • Campos de texto libre — notas, comentarios, asuntos de correo, anotaciones manuscritas en formularios escaneados. Filtran más datos personales que cualquier campo estructurado.
  • Metadatos y cabeceras — cabeceras de página que repiten un nombre en cada página, el campo de autor del documento y marcas de tiempo que se vinculen a una persona específica

En caso de duda, peca de redactar. Una redacción que no necesitabas no te cuesta nada; una redacción que no aplicaste es notificable.

Cómo redactar el PDF correctamente

La propiedad más importante de una redacción GDPR es que el contenido eliminado debe ser irrecuperable a partir del archivo exportado. No oculto — eliminado. Este es el flujo:

  1. Trabaja sobre una copia. Mantén el original bajo control de acceso. Tu trabajo de redacción sucede sobre un duplicado para que siempre tengas una referencia para el registro de auditoría.

  2. Sube a una herramienta de redacción que elimine contenido de forma permanente. Abre el documento en RedaktPDF. Evita cualquier herramienta de "marcado PDF" o "anotación" que coloque un rectángulo negro sobre el contenido — esos suelen poder despegarse en segundos. Lo que necesitas es una herramienta que retire físicamente los objetos de texto e imagen subyacentes del PDF.

  3. Aplica whiteout en cada aparición. Recorre el documento página por página. Presta especial atención a: cabeceras y pies de página recurrentes (fáciles de pasar por alto), campos de formulario con valores pre-rellenados, filas de tabla, bloques de firma y cualquier página de anexo escaneada. Para escaneos basados en imagen, activa OCR para que la herramienta pueda encontrar texto dentro de la imagen y permitirte apuntarlo con precisión.

  4. Exporta y verifica. Descarga el PDF redactado y ábrelo en un visor aparte. Prueba tres cosas: (a) copia y pega desde la región redactada — no deberías obtener nada; (b) busca un término redactado — no debería coincidir; (c) si dispones de un inspector de PDF, mira el flujo de contenido y confirma que los objetos han desaparecido. Estas tres comprobaciones llevan menos de un minuto y son la diferencia entre una redacción defendible y una responsabilidad legal.

  5. Registra la redacción. Anota qué se redactó, de qué documento, cuándo y bajo qué base legal (p. ej. "solicitud de supresión Artículo 17 REF-2026-0142"). Si te lo cuestionan, te pedirán este registro.

Para documentos especialmente sensibles, considera subirlos con una cuenta iniciada para que el archivo esté cifrado de extremo a extremo en tu navegador antes de llegar a nuestros servidores — el texto en claro nunca sale de tu dispositivo.

Errores comunes que convierten una redacción en una brecha

Unos pocos patrones explican casi todas las redacciones GDPR fallidas.

Superposiciones de caja negra que en realidad no son redacciones. Un rectángulo pintado sobre texto en una herramienta de anotación de PDF no es redacción. El texto subyacente permanece en el flujo de contenido del archivo y puede recuperarse con un copiar y pegar. Lo tratamos con más profundidad aquí. Si tu flujo de trabajo alguna vez produjo un documento usando "dibuja una forma sobre el texto", asume que cada redacción que hiciste así es recuperable.

Olvidar los metadatos. Los metadatos del documento (autor, título, asunto, palabras clave) viajan con el archivo. Una redacción por lo demás perfecta que deja "Autor: Jane Doe" en los metadatos no ha eliminado a Jane Doe del archivo. Limpia los campos de metadatos como parte de la exportación, o usa una herramienta que lo haga por ti.

Dejar cabeceras y pies de página recurrentes sin tocar. Muchos documentos llevan el nombre del interesado en la parte superior o inferior de cada página. Es fácil redactar el nombre grande y en negrita de la página 1 y olvidar la pequeña cabecera que lo repite en las páginas 2 a 40.

Excesiva dependencia del search-and-destroy. Buscar "John Smith" y redactar cada acierto pasa por alto firmas manuscritas, iniciales ("JS") y variantes del nombre. Haz siempre un pase visual página por página tras cualquier barrido automatizado.

Mantener identificadores parciales "porque son inofensivos". Una fecha de nacimiento, un código postal y un empleador combinados pueden reidentificar a la mayoría de individuos. Bajo GDPR, esa combinación es dato personal. Trátala como tal.

Trabajar sobre la copia final, no sobre un duplicado. Si la redacción corrompe el archivo o te das cuenta de que se te pasó un campo tras exportar, quieres el original intacto.

Hacer la redacción defendible

Cuando una autoridad de control revisa cómo tu organización gestionó una solicitud de supresión, le importan dos cosas: si los datos personales realmente se eliminaron y si puedes mostrar que seguiste un proceso deliberado. Tres hábitos cubren ambos:

  • Usa una herramienta cuya redacción sea permanente y esté documentada. Deberías poder señalar una declaración de que la herramienta elimina contenido a nivel de objeto del archivo, no visualmente.
  • Verifica cada redacción antes de su publicación. El proceso de tres comprobaciones de arriba (copiar y pegar, búsqueda, inspección) debería ser un paso fijo en tu flujo.
  • Mantén un registro de auditoría breve. Documento, campos redactados, base legal, fecha, operador. Una fila por redacción. Cuando un DPO (delegado de protección de datos) o regulador pregunte, tendrás la respuesta.

Para más detalle sobre la mecánica subyacente de la redacción, consulta cómo redactar información sensible de un PDF y redacción de PDF vs. superposición de caja negra. Cuando estés listo, abre la herramienta de redacción de RedaktPDF y empieza con un duplicado del archivo.

¿Listo para probar RedaktPDF?

Edita, redacta y anota PDF directamente en tu navegador — gratis y cifrado.

Empezar

Herramientas relacionadas

Artículos relacionados