anonym.legal

By · Last updated 2026-06-05

Tornar al BlogGDPR i Compliment

Treball remot i GDPR: la inconsistencia de plataforma

Els equips a l'oficina utilitzen programari d'escriptori complet. Els treballadors remots utilitzen aplicacions web amb configuracions potencialment diferents. La normativa exigeix que els controls siguin iguals en ambdos casos.

June 5, 20266 min llegit
remote work GDPRplatform consistencyhybrid workplace privacytechnical controlsGDPR compliance

Treball remot i GDPR: el problema del buit de plataforma.

Actualitzat per al 2026.

La majoria de programes de compliment del GDPR van ser construits per a l'oficina. Tot el personal utilitzava estacions de treball gestionades. El departament de TI establia una configuracio en cada maquina. La configuracio era uniforme.

El treball remot i hibrid ho va canviar. Avui, la mateixa persona pot processar dades personals des d'una estacio de treball a l'oficina el dilluns i des d'un portatil a casa el divendres. L'obligacio del GDPR no canvia segons la ubicacio. Els controls tecnics sovint si que ho fan.

Per que la ubicacio crea un buit

L'article 32 del GDPR es clar: les organitzacions han d'aplicar mesures tecniques adequades per protegir les dades personals. La norma no diu "a l'oficina". S'aplica allà on es processen les dades.

Quan les eines a l'oficina i les eines en remot difereixen, tambe ho fan els controls. Aquest buit es el problema de compliment.

Actualment existeixen quatre patrons de treball dins de la majoria d'equips.

  • Treballadors a l'oficina en estacions de treball gestionades amb programari desplegat per TI.
  • Treballadors remots en maquinari personal: gestionat per l'empresa o BYOD.
  • Treballadors mobils en el dispositiu que tinguin a ma, amb control limitat de la configuracio.
  • Treballadors hibrids que alternen entre ambdos entorns cada setmana.

Cada entorn pot executar eines, versions i configuracions diferents. L'article 32 del GDPR s'aplica als quatre.

Que esperen els tribunals ara

Els tribunals han deixat clar que la politica sola no satisfa l'article 32 del GDPR. Es requereix evidencia de controls tecnics operatius.

Una politica que demana al personal que anonimitzi les dades abans d'utilitzar eines d'IA no es un control tecnic. La mesura que fa que l'anonimitzacio tingui lloc es el control. Si aquesta mesura no es desplega de manera consistent entre entorns d'oficina i remots, el control falla. Un control inconsistent no es un control compliant.

Quatre arees on cal mantenir la consistencia

Per a les eines d'anonimitzacio de PII, la consistencia entre ubicacions significa quatre coses.

Cobertura d'entitats: Es detecten els mateixos tipus d'entitats a l'oficina i a casa. No aproximadament els mateixos: exactament els mateixos. Motors de deteccio diferents signifiquen que la cobertura no es pot provar com a igual.

Llindars de confianca: El mateix llindar activa l'anonimitzacio automatica en ambdos llocs. Una entitat marcada amb un 87% de confianca a l'oficina no hauria de rebre nomes un avis a casa.

Configuracio de presets: El preset "GDPR Standard" de l'equip de compliment s'aplica en ambdos entorns. L'emmagatzematge al servidor significa que els canvis arriben a cada punt d'acces alhora.

Pista d'auditoria: El processament des de casa i des de l'oficina apareix en un registre centralitzat. No hi ha un registre remot separat per conciliar mes tard.

El risc de l'aplicacio d'escriptori versus l'aplicacio web

Moltes organitzacions despleguen una aplicacio d'escriptori per als usuaris a l'oficina i una aplicacio web per al personal remot. Fins i tot del mateix proveidor, aquests dos productes poden divergir.

  • Els cicles d'actualitzacio difereixen. L'aplicacio d'escriptori pot anar diverses versions per darrere de l'aplicacio web.
  • La herencia de configuracio pot fallar. Un preset actualitzat a l'aplicacio web pot no arribar a l'escriptori.
  • El registre es pot dividir. L'aplicacio d'escriptori pot escriure registres locals mentre l'aplicacio web registra de manera centralitzada.

La prova de compliment es simple: podeu demostrar que la mateixa deteccio es va executar en cada document? Si la resposta requereix fusionar dos formats de registre diferents, els controls no estan alineats.

Com funciona la cobertura independent de la plataforma

La resposta practica es una API de deteccio al servidor utilitzada per totes les interficies. L'aplicacio d'escriptori, l'aplicacio web i l'extensio del navegador criden al mateix motor. S'executa un sol model. El resultat es el mateix a tot arreu.

Aquest enfocament gestiona les quatre arees de consistencia.

  • La deteccio s'executa al servidor. La cobertura es identica entre interficies.
  • Els llindars s'estableixen una vegada i s'apliquen per l'API. No hi ha deriva per client.
  • Els presets viuen al servidor. Cada interficie els carrega en temps d'execucio.
  • Tots els events van a una base de dades d'auditoria. Una sola consulta cobreix tot l'equip.

El departament de TI desplega l'extensio del navegador als treballadors remots amb el mateix preset que l'aplicacio d'escriptori. Un sol document de configuracio cobreix tots els entorns.

Cas d'estudi: equip empresarial

Un equip de compliment de 35 persones va trobar un buit de plataforma durant una auditoria interna. L'equip tenia 20 membres a Munic i 15 en remot a Alemanya i els Paisos Baixos.

El personal a l'oficina utilitzava una eina de PII d'escriptori per a Windows amb mes de 285 tipus d'entitats i un preset GDPR. El personal remot utilitzava una eina web d'un proveidor diferent. Cobria uns 80 tipus d'entitats i no tenia cap preset GDPR. Mateix equip. Mateixes dades. Eines diferents.

L'equip es va unificar en una sola plataforma.

  • Aplicacio d'escriptori instal.lada en les estacions de treball gestionades a l'oficina de Munic.
  • Aplicacio web amb el mateix preset per a tot el personal remot.
  • Extensio de Chrome desplegada a tots els dispositius per a l'us d'IA al navegador.
  • El departament de TI gestiona un sol preset. Es sincronitza automaticament amb totes les interficies.

Desprec de la unificacio, l'equip va produir un document de Mesures Tecniques que cobria els 35 membres. Una pista d'auditoria. Una revisio de configuracio trimestral. La constatacio de l'auditoria interna es va tancar en 8 setmanes.

Vegeu mes informacio sobre la documentacio d'auditoria a la guia de compliment legal. Per als controls tecnics en practica, vegeu la visio general de seguretat.

Conclusio

El treball remot no va canviar el GDPR. Va canviar on es processen les dades. Aquest canvi va exposar un buit que les configuracions uniformes a l'oficina havien ocultado.

Els controls tecnics consistents signifiquen la mateixa deteccio, els mateixos llindars i la mateixa pista d'auditoria. S'apliquen independentment de on treballi l'empleat. Un enfocament al servidor fa que la consistencia sigui el valor per defecte. La fragmentacio de plataforma fa que la inconsistencia sigui el valor per defecte.

Informeu-vos sobre com anonym.legal desplega controls de PII unificats en entorns remots i a l'oficina.

Fonts

  • GDPR Article 32: Security of processing. gdpr-info.eu/art-32-gdpr/.
  • EDPB Guidelines 4/2019 on Data Protection by Design. edpb.europa.eu.
  • ICO Accountability and Governance guidance. ico.org.uk.

Articles Relacionats

GDPR i Compliment

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i Compliment

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i Compliment

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.