Guía de cumplimiento
Cumplimiento del fax online: RGPD, ISO 27001 e HIPAA
El fax online tiene validez legal en cualquier sitio donde la tenga un fax en papel. Que cumpla la normativa es otra cuestión, y se decide en tres puntos: un acuerdo firmado, cifrado de verdad y la prueba de que el proveedor ha sido auditado en lugar de limitarse a afirmarlo. Así funcionan las principales normativas, y estos son los servicios que de verdad las cumplen.
En resumen: un servicio de fax solo «cumple» si el proveedor firma el acuerdo adecuado para tus datos (un contrato de encargado para datos personales, un BAA para datos sanitarios de EE. UU.), los cifra en tránsito y en reposo, y puede mostrar una auditoría independiente. Lo demás es marketing.
Una idea que conviene recordar: auditado vence a autodeclarado. Un informe SOC 2 Tipo 2 o HITRUST que puedas consultar vale más que cualquier sello de «seguridad de nivel bancario».
¿Tiene validez legal un fax online?
Sí, y es un asunto resuelto. Un fax online tiene el mismo peso legal que uno enviado desde una máquina conectada a la línea telefónica. El informe de transmisión funciona como prueba del envío, y por eso juzgados, administraciones, bancos y hospitales siguen recurriendo al fax para documentos firmados y con plazos. Que salga de la nube o del aparato de la oficina no cambia su validez.
Validez legal y cumplimiento de protección de datos son dos comprobaciones distintas. Un fax puede ser perfectamente válido como documento y, aun así, vulnerar la normativa de datos si transporta información regulada a través de un servicio que no tiene acuerdo para tratarla. De esa segunda comprobación trata el resto de esta guía.
Qué hace que un fax online cumpla de verdad
Lo deciden cuatro puntos. Quien cumple el primero pero se salta el resto sigue sin servir para datos regulados.
Cifrado de extremo a extremo
Los documentos deben ir cifrados en tránsito (TLS 1.2 o superior) y en reposo en los servidores del proveedor (AES-256). Un fax que llega en texto plano a una pasarela por correo ya ha fallado antes de salir de tu bandeja.
Un acuerdo firmado
Para datos personales, el RGPD exige un contrato de encargado del tratamiento; para datos sanitarios de EE. UU., HIPAA exige un BAA. En cuanto un proveedor trata datos regulados por tu cuenta, asume responsabilidad legal. Sin acuerdo no hay cumplimiento.
Una auditoría independiente, no una promesa
Hay un abismo entre poner «conforme al RGPD» en una web y un informe SOC 2 Tipo 2 o HITRUST que puedas leer de verdad. Un proveedor auditado ha sido verificado por alguien distinto de sí mismo. Uno autodeclarado, no.
Dónde residen los datos
La ubicación del servidor decide qué ley se aplica. El RGPD favorece el almacenamiento en la UE o en un país con decisión de adecuación. Si tu organización está en España o la UE, la región de datos suele ser decisiva: compruébala antes de firmar.
Cumplimiento por normativa
Qué reglas se aplican depende de qué datos envías y de dónde están todas las partes. Lo común a todas: un acuerdo por escrito y cifrado verificable.
RGPD
UE / España · datos personalesQué exige: Un contrato de encargado del tratamiento (art. 28), una base jurídica, almacenamiento en la UE o en un país adecuado, y cobertura del Marco de Privacidad de Datos UE-EE. UU. cuando los datos viajan a Estados Unidos.
A quién le encaja: Fax.Plus destaca: alojamiento en Suiza bajo uno de los regímenes de protección más estrictos, auditado con ISO 27001 y SOC 2 Tipo II. Dropbox Fax documenta ISO 27018 y cobertura del marco UE-EE. UU. en su centro de confianza.
LOPDGDD
España · prácticaQué exige: La ley española que desarrolla el RGPD. En la práctica, la AEPD se fija en dos cosas primero: dónde residen los datos y si existe un contrato de encargado firmado. El alojamiento en EE. UU. sin garantías adicionales es un problema para muchos sectores.
A quién le encaja: Fax.Plus (alojamiento suizo, privacidad afín a la UE) es lo más sólido aquí. Confirma siempre por escrito el contrato y la región de datos para tu caso de uso concreto.
HIPAA + HITECH
EE. UU. · sanidadQué exige: Un BAA firmado, cifrado, controles de acceso, registros de auditoría y un procedimiento de notificación de brechas. HITRUST y FedRAMP son niveles superiores que suelen exigir grandes redes hospitalarias o agencias federales de EE. UU.
A quién le encaja: Relevante para quien trata datos de pacientes estadounidenses: Documo (BAA en todos los planes, HITRUST), eFax Protect (HITRUST + FedRAMP) e iFax desde el plan Plus (SOC 2 + ISO 27001).
PIPEDA / PHIPA
Canadá · sanidad y generalQué exige: La ley federal PIPEDA, ampliada en Ontario por PHIPA para datos sanitarios. En la práctica: un acuerdo firmado, tratamiento de datos en Norteamérica y cifrado robusto.
A quién le encaja: SRFax está hecho para esto: HIPAA/PHIPA/PIPEDA nativos y cifrado PGP gratis en todos los planes, con cobertura EE. UU./Canadá.
Normas sectoriales
Legal · finanzasQué exige: Los despachos están sujetos al secreto profesional; el sector financiero añade obligaciones propias, y los datos de tarjetas exigen PCI DSS. El denominador común: cifrado, control de acceso y un proveedor que ponga sus obligaciones por escrito.
A quién le encaja: eFax y Fax.Plus traen los conjuntos de certificaciones más amplios; SRFax añade PGP gratis para envíos especialmente sensibles.
¿Te suena nuevo lo del BAA? Empieza por nuestra explicación sencilla: ¿El fax cumple con HIPAA?
Qué servicio cumple cada estándar
De los proveedores de nuestra clasificación 2026. La columna clave es «Auditoría»: es la diferencia entre una afirmación verificada y una promesa.
| Servicio | Acuerdo | Auditoría | Certificaciones | Región de datos | Ideal para |
|---|---|---|---|---|---|
| Documo | BAA — todos los planes | Auditado | HITRUST CSF, SOC 2 Tipo II | EE. UU. | Clínicas / EHR |
| eFax | BAA — plan Protect | Auditado | HITRUST, SOC 2, FedRAMP | EE. UU., 200+ países | Gran empresa y sector público |
| iFax | BAA — desde Plus | Auditado (Pro) | SOC 2 Tipo 2, ISO 27001 | US/UK/CA/IT | Mejor relación calidad-precio auditada |
| Fax.Plus | Encargado · BAA (Enterprise) | Auditado | ISO 27001, SOC 2 Tipo II | Suiza / RGPD | UE / España |
| Dropbox Fax | BAA — de pago (a petición) | Auditado | SOC 2 Tipo 2, ISO 27001/27018 | EE. UU. | Equipos cloud-first |
| SRFax | BAA — todos los planes | Auditado | HIPAA/PHIPA, PGP gratis | EE. UU. / Canadá | Cumplimiento norteamericano |
| CocoFax | BAA — a petición | Autodeclarado | Sin SOC 2 / HITRUST público | Mundial | Presupuesto ajustado (verifica antes de PHI) |
FaxZero, MetroFax y MyFax no ofrecen HIPAA y no están pensados para datos regulados. Los planes y las condiciones cambian: confirma siempre por escrito el BAA o el contrato de encargado vigente antes de enviar información sensible.
Cómo elegir un servicio de fax que cumpla
- Empresa en la UE / España: Fax.Plus — alojamiento suizo, ISO 27001 + SOC 2 Tipo II, contrato de encargado disponible.
- Clínica o consulta con datos de pacientes de EE. UU. (HIPAA): Documo (HITRUST, BAA en todos los planes) o, por mejor relación calidad-precio, iFax Plus (BAA firmado). Lista completa en nuestra guía HIPAA.
- Sanidad: la integración con el historial clínico y la privacidad mandan — consulta mejor servicio de fax para sanidad.
- Canadá (sanidad/legal): SRFax — HIPAA/PHIPA nativos y PGP gratis en todos los planes.
- Despacho de abogados: cifrado, firma electrónica y fiabilidad — consulta mejor servicio de fax para despachos.
- Presupuesto ajustado sin datos regulados: sirve cualquier proveedor auditado; solo no envíes PHI por un servicio autodeclarado.
Esta guía ofrece información general, no asesoramiento jurídico. Tus obligaciones dependen de tu organización, tu jurisdicción y la configuración del servicio: confirma los detalles con tu delegado de protección de datos o tu asesoría legal.
Preguntas frecuentes
¿Tiene validez legal un fax online?
Sí. Un fax online tiene la misma validez legal que un fax en papel, y el informe de transmisión sirve como prueba del envío. Juzgados, administraciones y centros sanitarios aceptan faxes en la nube de forma habitual. Ahora bien, validez legal y cumplimiento de protección de datos son dos cuestiones distintas.
¿Cumple el fax online con el RGPD?
Puede cumplirlo si el proveedor firma un contrato de encargado del tratamiento, almacena los datos en la UE o en un país adecuado y cubre las transferencias UE-EE. UU. mediante el Marco de Privacidad de Datos. Fax.Plus es lo más sólido: alojamiento en Suiza, ISO 27001 + SOC 2 Tipo II. Confirma por escrito el contrato y la región de datos.
¿Por qué importa dónde residen los datos?
La ubicación del servidor decide qué ley se aplica. El RGPD favorece la UE o un país con decisión de adecuación, como Suiza. En España, la AEPD y muchos sectores regulados suelen exigir alojamiento en la UE más un contrato de encargado firmado; el alojamiento en EE. UU. sin garantías adicionales muchas veces no basta.
¿Auditado frente a autodeclarado: cuál es la diferencia?
Auditado significa que un tercero ha verificado los controles —mediante SOC 2 Tipo 2 o HITRUST— y el informe es consultable. Autodeclarado es solo la afirmación del proveedor. Para datos regulados, elige auditado. CocoFax, por ejemplo, menciona HIPAA, RGPD y PHIPA, pero son afirmaciones autodeclaradas, sin auditoría pública.
¿Necesito un BAA o un contrato de encargado?
Depende de los datos y la jurisdicción. Datos sanitarios de EE. UU.: HIPAA exige un BAA. Datos personales de la UE: el RGPD exige un contrato de encargado. Quien trate ambos puede necesitar los dos, más cobertura del marco UE-EE. UU. para la transferencia.
¿Qué servicio de fax online cumple mejor?
Depende de la normativa. RGPD y servidor en la UE: Fax.Plus. Datos sanitarios de EE. UU.: Documo (HITRUST, BAA en todos los planes), eFax Protect (FedRAMP). Mejor relación calidad-precio auditada: iFax Plus con BAA firmado. Canadá: SRFax.
¿Buscas un fax que aguante una auditoría?
Consulta en la clasificación 2026 qué proveedores firman un BAA o un contrato de encargado y superan nuestras comprobaciones de seguridad.