El problema que no sabías que tenías
Si tu empresa envía facturas, pedidos, albaranes o cualquier documento con datos de clientes por una aplicación de mensajería convencional, esos datos pasan por servidores que probablemente no están en Europa. O si lo están, pertenecen a una empresa sujeta a legislación extranjera. El RGPD tiene algo que decir al respecto.
La normativa europea de protección de datos exige saber dónde están tus datos, quién tiene acceso a ellos y bajo qué jurisdicción. Cuando usas una app de mensajería con servidor central, tus documentos pasan por una infraestructura que no controlas. Los datos de tus clientes quedan almacenados — aunque sea temporalmente — en máquinas que pertenecen a otra empresa, en otro país, bajo otras leyes.
Lo que cambia cuando no hay servidor
En una comunicación punto a punto, los datos van directamente del dispositivo del remitente al del destinatario. No pasan por ningún servidor intermedio. No se almacenan en ninguna infraestructura de terceros. El documento sale de tu ordenador en Lugo y llega al ordenador de tu cliente en Barcelona. O en Berlín. O en Lisboa. Pero nunca pasa por Silicon Valley.
Esto no es un detalle técnico menor. Aquí no se cumple el RGPD con esfuerzo y buena voluntad. Se cumple porque la arquitectura hace imposible incumplirlo. No hay transferencia internacional de datos porque no hay transferencia a ningún tercero. Los datos están en tu dispositivo y en el de tu interlocutor. En ningún sitio más.
Para quién importa esto
Si eres abogado y envías un contrato a un cliente por mensajería, los datos de ese contrato pasan por un servidor. Si eres asesor fiscal y compartes una declaración de impuestos, esos datos pasan por un servidor. Si eres médico y envías un informe a un paciente, los datos sanitarios pasan por un servidor. En todos esos casos, estás delegando la custodia de información confidencial en una empresa que no has elegido y que no controlas.
No es que estés haciendo algo mal a propósito. Es que la herramienta que usas no te da otra opción. La única forma de que tus datos profesionales no pasen por servidores de terceros es que la comunicación sea directa. Sin intermediarios. De tu pantalla a la suya.
Cumplimiento automático
Con una comunicación P2P, no necesitas auditar dónde están los servidores de tu proveedor de mensajería. No necesitas verificar que cumple con el Privacy Shield o con las cláusulas contractuales estándar de la UE. No necesitas añadir una cláusula en tu política de privacidad explicando que tus datos "pueden ser procesados fuera del Espacio Económico Europeo". Nada de eso aplica, porque no hay ningún tercero procesando tus datos.
El cumplimiento no depende de la buena voluntad de nadie. No depende de un contrato de procesamiento de datos con un proveedor. No depende de que una empresa estadounidense mantenga su compromiso con la legislación europea. Depende de la arquitectura. Y la arquitectura es verificable, inmutable y no cambia de opinión.
La pregunta para tu próxima auditoría
La próxima vez que alguien te pregunte dónde están los datos de tus clientes, la mejor respuesta posible es: "En mi dispositivo y en el suyo. En ningún otro sitio." No hace falta un informe de cien páginas. No hace falta un DPO que revise los contratos con proveedores. La privacidad de los datos de tus clientes está garantizada por diseño, no por promesas.