Você precisa comprimir um PDF para enviar por e-mail. Abre o Google, digita "comprimir pdf online", clica no primeiro resultado, arrasta o arquivo, e em segundos baixa a versão menor. Pronto, problema resolvido — só que não.
Por trás daquele "segundos" há uma cadeia inteira de eventos que você acabou de autorizar: o arquivo saiu do seu computador, viajou pela internet (criptografado, espera-se), foi recebido por um servidor que pode estar em qualquer lugar do mundo, foi descriptografado, processado, possivelmente copiado para backup ou log, e o resultado foi enviado de volta. Esse fluxo é o padrão da indústria de ferramentas online de PDF — e é exatamente o problema.
Este post explica o que está em jogo quando você faz upload de um PDF, com base em casos reais, e mostra a alternativa: ferramentas que processam tudo localmente no navegador.
O ciclo de vida real do seu PDF em uma ferramenta online
Quando você sobe um arquivo em um serviço típico de PDF online, ele passa por estas etapas:
1. Trânsito (upload)
O arquivo deixa seu dispositivo via HTTPS (na melhor das hipóteses). Provedores de rede no caminho (sua operadora, provedor da empresa, eventuais proxies) veem que houve tráfego — não o conteúdo, mas o fato de que algo de tamanho X foi enviado para o domínio Y.
2. Recepção e descriptografia no servidor
O servidor TLS termina a criptografia e o arquivo passa a existir em texto claro na memória do servidor. Daqui em diante, qualquer pessoa com acesso à infraestrutura (administradores, prestadores) pode acessar o conteúdo.
3. Processamento
A operação solicitada (comprimir, juntar, converter) é executada. Frequentemente o arquivo é gravado em disco temporário do servidor — não apenas existe em memória.
4. Logging e métricas
Quase todos os serviços registram metadados da operação: timestamp, IP de origem, nome do arquivo, tamanho, formato. Alguns também registram hashes do arquivo para detectar abuso, o que significa que mesmo "arquivos apagados" deixam uma assinatura permanente.
5. Armazenamento temporário
A maioria das ferramentas mantém o arquivo no servidor por algum tempo após o processamento — geralmente 1-24h, "para que você possa baixar novamente". Durante esse período, o arquivo é vulnerável a qualquer falha de segurança no provedor.
6. Backups
Servidores de produção têm backups automáticos. Arquivos "apagados" podem existir em snapshots, replicações, sistemas de disaster recovery — por dias, semanas ou meses após o "delete" lógico.
7. Acesso a terceiros
A política de privacidade do serviço frequentemente autoriza compartilhamento com:
- Sub-processadores (Amazon AWS, Google Cloud, Cloudflare): a infraestrutura debaixo da ferramenta
- Autoridades governamentais: mediante ordem judicial ou requisição administrativa
- Aquisições corporativas: se a empresa for vendida, os dados fazem parte do ativo
Cada um desses pontos é uma exposição potencial.
Casos reais que viraram notícia
A ideia de que "o servidor é seguro" colide com a realidade. Alguns exemplos públicos:
Smallpdf — vazamento por bug em pré-visualização (2018)
Pesquisadores de segurança identificaram que URLs de pré-visualização do Smallpdf eram previsíveis. Era possível navegar por URLs sequenciais e baixar arquivos de outros usuários — incluindo contratos, holerites e documentos pessoais. O bug foi corrigido após divulgação responsável, mas o vetor existiu por tempo indeterminado.
Conversores de PDF que "esquecem" arquivos em buckets S3 públicos (recorrente)
Pesquisadores periodicamente descobrem buckets S3 mal configurados de ferramentas online de PDF — gigabytes de arquivos de usuários acessíveis sem autenticação. Em 2020, 2022 e 2024 houve casos públicos envolvendo ferramentas de conversão de OCR e PDF→Word com baseamento similar.
O caso PDFelement (2021)
A Wondershare confirmou um incidente em que arquivos enviados para conversão online por usuários da versão freemium ficaram acessíveis por bug em controle de acesso por algumas horas. A empresa notificou afetados e ajustou políticas.
Document AI APIs (Google, Amazon, Microsoft) — uso indireto
Muitas ferramentas "novas" de OCR online não rodam OCR próprio — repassam para APIs do Google Document AI, Amazon Textract ou Azure Form Recognizer. Você sobe para o site X, X envia para Y, Y processa e cobra X. Você nunca consentiu com o tratamento por Y — mas é onde o documento está.
A LGPD considera essa cadeia inteira sua responsabilidade quando você é o controlador.
O que pode acontecer com o seu documento (cenários práticos)
Os cenários abaixo não são hipotéticos — são derivados de incidentes reais e fluxos comuns na indústria de SaaS:
Cenário 1: Funcionário descontente do prestador
O prestador tem acesso técnico aos servidores. Um administrador desonesto pode copiar conteúdo. Em provedores menores, sem auditoria interna robusta, isso é difícil de detectar.
Cenário 2: Erro de configuração
Bucket S3 público por acidente, URL previsível, autenticação fraca. Tipicamente afeta milhares de arquivos antes de ser descoberto.
Cenário 3: Hack direto ao provedor
Provedor é alvo de ataque, atacante exfiltra a base. Se houve criptografia em repouso com chave gerenciada pelo cliente, o impacto é menor. Se a chave fica com o provedor (o usual), os dados saem em claro.
Cenário 4: Requisição governamental
Autoridade emite ordem judicial pedindo "todos os arquivos enviados pelo IP X entre data Y e Z". Provedor obedece. Você (cliente) pode nem ser notificado.
Cenário 5: Aquisição corporativa
Empresa pequena com sua base de clientes é adquirida por concorrente maior. Termos de privacidade originais não vinculam o adquirente da mesma forma — muitas vezes há janela contratual para mudança unilateral.
Cenário 6: Treinamento de IA
Cláusula cada vez mais comum em termos de uso: "podemos usar dados não identificáveis para melhorar nossos serviços, incluindo treinamento de modelos de IA". O que conta como "não identificável" é definido pelo provedor, não por você.
Quais documentos NÃO devem ir para serviços online
Lista pragmática, ordenada por sensibilidade:
| Tipo de documento | Risco se vazado | Use ferramenta online? |
|---|---|---|
| Processos sob segredo de justiça | Violação OAB + LGPD + Código Penal | ❌ Nunca |
| Prontuário médico | Lei 13.787/18 + LGPD + CFM | ❌ Nunca |
| Holerite, folha de pagamento | LGPD + reputacional | ❌ Evitar |
| Contrato com cláusulas sigilosas | Quebra contratual | ❌ Evitar |
| Declaração de IR / extratos bancários | LGPD + financeiro | ❌ Evitar |
| Documento pessoal (RG, CPF, CNH) de terceiro | LGPD | ❌ Evitar |
| Documento próprio com seus dados | Reputacional | ⚠️ Cuidado |
| Receita técnica / patente em análise | Concorrência | ❌ Nunca |
| Apresentação corporativa interna | Estratégico | ⚠️ Cuidado |
| Documento sem dados pessoais nem confidenciais | Baixo | ✅ Aceitável |
Para qualquer linha "❌", a alternativa é processar localmente — no navegador (como o pdfbr) ou em software instalado.
Como ferramentas client-side resolvem o problema
A solução técnica existe há anos e ficou madura recentemente: WebAssembly + APIs modernas de navegador.
Como funciona o pdfbr
- Você acessa
/ferramentas/... - O navegador baixa o JavaScript + WebAssembly da ferramenta (~1-5 MB, em cache após primeiro acesso)
- Você seleciona o PDF — ele é lido pelo navegador, fica na memória do seu dispositivo
- A operação (comprimir, dividir, OCR etc.) executa via código WebAssembly no seu navegador
- O resultado é gerado no seu dispositivo, salvo via download direto
Em nenhum momento o conteúdo do PDF deixa o seu dispositivo. As únicas requisições à internet (depois do carregamento inicial) são:
- Telemetria anônima (se você consentiu), sem o arquivo
- Confirmação de licença Pro (se aplicável), sem o arquivo
Como auditar
Você não precisa confiar — pode verificar:
Teste 1: offline Carregue a página da ferramenta com internet ligada. Quando estiver pronta, desligue Wi-Fi ou ative modo avião. Use a ferramenta. Continua funcionando = processamento é local.
Teste 2: inspeção de rede Abra DevTools (F12) → Network → execute a operação. Você verá zero requisições POST com o arquivo no body. Há apenas requisições de scripts (já cached) e telemetria mínima.
Teste 3: hash do arquivo Calcule o SHA-256 do arquivo antes e depois do processamento. Compare com o que aparece em DevTools — se o hash não está sendo transmitido em requisição alguma, o arquivo não vazou.
✅Por que isso é diferente de software instalado
Software desktop instalado também é local, mas exige instalação, atualizações manuais, espaço em disco, autorização de administrador. WebAssembly no navegador é zero-install, sempre atualizado, multi-plataforma (Windows, Mac, Linux, mobile) — com o mesmo nível de privacidade.
Custo da privacidade: vale a pena?
O cálculo é direto:
Custo de usar ferramenta com upload:
- Quase sempre gratuito ou barato
- Performance no servidor (rápido)
- Mas: assume risco de vazamento, descumprimento LGPD, perda de cliente
Custo de usar ferramenta local:
- Pode ser gratuito (pdfbr free tier) ou pagamento único (pdfbr Pro: R$ 147)
- Performance depende do seu hardware (mas modernos são suficientes)
- Sem upload = sem risco de vazamento na cadeia
Para profissionais que lidam com documentos sensíveis, o cálculo é óbvio. Para uso pessoal eventual, o risco é menor mas existe.
Ferramentas que processam local
Todas as ferramentas do pdfbr rodam 100% no seu navegador via WebAssembly. Auditável: desligue a internet após carregar e veja funcionar.
Perguntas frequentes
Mas o site usa HTTPS, então é seguro?
HTTPS protege o transporte (entre seu navegador e o servidor). Não diz nada sobre o que o servidor faz com o dado depois. HTTPS é necessário, não suficiente.
Eu apago do meu lado, então tá ok?
Você apaga sua cópia. A cópia no provedor + cópias em backups + logs + replicações continuam existindo por tempo definido pelo provedor, não por você.
Mas eu confio em iLovePDF / Smallpdf / Adobe — são empresas grandes
Empresas grandes têm processos mais maduros, sim. Mas:
- São alvos atraentes para ataque
- Estão fora do Brasil (transferência internacional regulada)
- Termos podem mudar (treinamento de IA é cláusula nova em muitos serviços)
- Aquisições e mudanças corporativas mudam responsabilidades
Confiar em empresas grandes é razoável para uso pessoal. Para uso profissional com dados de terceiros, é insuficiente sob a LGPD.
Processamento local é mais lento?
Para arquivos pequenos (até ~10 MB), o tempo é equivalente — diferença em milissegundos. Para arquivos grandes (50+ MB), o servidor de uma ferramenta tradicional tem CPU/RAM dedicadas, então é mais rápido que seu laptop. Mas mesmo aí o pdfbr processa em 30s-2min, o que é aceitável para a maioria dos casos profissionais.
Funciona em qualquer dispositivo?
Funciona em qualquer navegador moderno (Chrome, Firefox, Safari, Edge) com WebAssembly habilitado — incluindo celular. Para arquivos grandes em celular, performance é limitada — prefira desktop.
O pdfbr não recebe absolutamente nada do meu arquivo?
Correto. O que o pdfbr recebe (com sua autorização via banner de consentimento):
- Page views (qual página você visitou)
- Eventos de uso de ferramenta (qual ferramenta você abriu, sem o conteúdo)
- Conversões de checkout (se você assinou Pro)
Tudo isso é sobre comportamento de uso, não sobre os arquivos. Se você desligar consentimento de analytics, nem isso é coletado.
Existe ferramenta web 100% local que faz OCR em português?
Sim — o OCR de PDF do pdfbr usa Tesseract.js com modelo brasileiro pré-treinado, rodando inteiramente no navegador via WebAssembly. Veja Como Fazer OCR em PDF Escaneado em Português.
Leia também: