Claro!!

Puedo guardarlo dentro del servidor y para evitar que alguien que conozca la ruta* descargue el fichero, lo guardo con extensión ASP en lugar de PDF, y después lo descargo con tu función con ContentType = "application/pdf", perfecto!!! eso sería perfectamente seguro ¿no? ya que al tener extensión ASP si se introdujera la url directamente intentaría interpretarlo en lugar de descargarlo, no?

* por ejemplo, si alguien le instala un spyware al usuario podría adivinar la ruta del pdf

Muchas gracias