Política de privacidad
La versión corta
La mayoría de las políticas de privacidad necesitan 3.000 palabras para decir algo deshonesto. La nuestra las necesita para decir algo honesto. Aquí va el resumen; la versión completa está abajo.
- Nunca vemos tus archivos. Cada herramienta de PDFluna procesa tus documentos en tu navegador. El archivo va de tu dispositivo al JavaScript de nuestro sitio, y luego vuelve a tu dispositivo como descarga — no hay subida.
- Sin cuenta, sin perfil. Nunca tecleas tu nombre, correo o identificador para usar una herramienta. No tenemos nada que registrar contra ti porque no hay un «tú» en nuestra base de datos.
- Analíticas anónimas. Contamos vistas de página y uso de herramientas con Google Analytics 4 (y Plausible como respaldo sin cookies para visitantes que rechacen el consentimiento). Sin identificadores personales, sin contenido de documentos.
- Los anuncios financian el sitio. Los anuncios mostrados en las páginas de herramientas cubren el alojamiento y el desarrollo. Puedes rechazar la personalización en el banner de cookies; las herramientas funcionan igual.
- Correo si nos escribes — solo entonces. La página de contacto te dice qué dirección de correo gestiona qué tema; lo leemos todo y no alimentamos tu mensaje a nada.
Para preguntas concretas, salta a la sección relevante de abajo o escribe a [email protected].
1. Quién opera PDFluna
PDFluna (el sitio en pdfluna.com) es operado por un pequeño equipo independiente. Somos el «responsable del tratamiento» de cualquier información personal procesada a través de este sitio bajo el RGPD UE y el RGPD UK, y la «business» en el sentido del California Consumer Privacy Act (CCPA) y el CPRA.
Para solicitudes de protección de datos, escribe a [email protected]. La página Acerca de tiene más detalles sobre quién construye el proyecto; la página de contacto lista cada dirección de correo que podrías necesitar.
2. Lo que no recopilamos
El párrafo realmente interesante de cualquier política de privacidad es este. La mayor parte de lo que estaría en una política típica no está aquí porque no lo recopilamos en primer lugar:
- Contenido de los documentos. Los PDF, imágenes, hojas de cálculo y documentos Word que procesas nunca salen de tu dispositivo. No vemos los nombres de archivos, ni los recuentos de páginas, ni el texto incrustado, ni ningún otro contenido. Verifícalo tú mismo: abre DevTools → pestaña Red en tu navegador antes de usar una herramienta, y luego observa si hay alguna petición saliente que lleve tu archivo. No la hay.
- Datos de cuenta. Sin registro, sin inicio de sesión, sin perfil, sin nombre, sin recopilación de correo a nivel de herramienta. No hay «tu cuenta» porque no hay cuenta.
- Identificadores persistentes específicos sobre ti. Sin fingerprinting, sin píxeles de seguimiento entre sitios, sin «brokers de datos a los que vendamos». Las cookies (cubiertas abajo) están limitadas a analíticas anónimas y, cuando consientes, a personalización de anuncios; ninguna se enlaza con una identidad del mundo real que almacenemos en nuestro lado.
- Contenido de documentos para entrenar IA. No recopilamos documentos (ver punto uno), así que no hay nada que alimentar al entrenamiento de IA. Tampoco usamos las analíticas anonimizadas para entrenar IA.
- Categorías sensibles de datos personales. Información de salud, datos biométricos, orientación sexual, opiniones políticas, creencias religiosas, afiliación sindical, datos genéticos, antecedentes penales — no recopilamos ninguno. Si tu archivo los contiene, ver el primer punto: no vemos tu archivo.
3. Lo que recopilamos
El sitio recopila una pequeña cantidad de datos — mayoritariamente anónimos, mayoritariamente para mantener las luces encendidas. Aquí va exactamente qué:
3.1. Analíticas anónimas
Vistas de página y recuentos de uso de herramientas vía Google Analytics 4 (ID de medición G-TJKZSLDM8Z). Los puntos de datos se agregan: qué herramienta se abrió, aproximadamente qué país (a nivel de ciudad solamente, no dirección), versión del navegador, tipo de dispositivo. Sin contenido de archivo, sin nombres de archivo, sin identificador de cuenta (porque no hay cuentas). Para los visitantes que rechazan el banner de cookies, GA4 se reemplaza por Plausible — un servicio de analítica sin cookies que no usa identificadores persistentes.
3.2. Logs de acceso del servidor
Los logs estándar del servidor web en nuestro proveedor de alojamiento registran la URL solicitada, marca de tiempo, dirección IP (truncada cuando es posible), código de estado HTTP y user agent. Se conservan para diagnóstico de seguridad (investigación DDoS, detección de abuso) y rotan automáticamente. No contienen contenido de documentos.
3.3. Correspondencia por correo
Si nos escribes a [email protected] o [email protected], el correo y cualquier adjunto que incluyas aterrizan en nuestro buzón compartido. Mantenemos los hilos de correo mientras la conversación está activa y los archivamos después. Escribe a [email protected] con tu hilo original para borrar los registros — lo haremos en 30 días.
3.4. Datos publicitarios
Las páginas de herramientas muestran anuncios servidos por Google AdSense. Cuando consientes la personalización de anuncios mediante el banner de cookies, AdSense usa cookies ad-tech estándar para limitar la frecuencia, prevenir el fraude por clic y servir anuncios relevantes. Cuando rechazas la personalización, AdSense sirve anuncios no personalizados (que aún depositan un pequeño subconjunto de cookies para prevención de fraude) y las analíticas de PDFluna pasan al servicio Plausible sin cookies. Detalles completos sobre lo que recopila AdSense y cómo darse de baja a nivel de Google en policies.google.com/technologies/ads.
4. Cookies y tecnologías similares
Abajo va la lista completa de cookies que el sitio deposita, qué hace cada una, cuánto dura y quién la deposita. No usamos ninguna otra. La política completa de cookies con los mecanismos de exclusión está en /cookies/.
| Cookie | Finalidad | Duración | Origen | Tipo |
|---|---|---|---|---|
_ga, _ga_TJKZSLDM8Z |
Identifica anónimamente un navegador recurrente para que podamos contar visitantes únicos y agregar estadísticas de vistas de página. Sin identificadores personales. | 2 años (caduca automáticamente) | Google Analytics 4 | Analítica |
pdfluna_consent |
Almacena tu elección en el banner de cookies (aceptar / rechazar) para que no preguntemos en cada página. Solo se deposita después de tu interacción con el banner. | 6 meses | PDFluna (primera parte) | Estrictamente necesaria |
__gads, __gpi, IDE |
Depositadas por Google AdSense para limitar la frecuencia de los anuncios, prevenir el fraude por clic y servir anuncios relevantes cuando no has rechazado la personalización. Los visitantes de la UE que rechazan el consentimiento ven anuncios no personalizados, que aún depositan un pequeño subconjunto de estas cookies para prevención de fraude. | 13 meses (máx.) | Google AdSense | Publicidad |
Los visitantes de UE y Reino Unido ven un banner de cookies antes de que se depositen cookies no esenciales; los visitantes de fuera de la UE obtienen el consentimiento por defecto según la ley local aplicable. Puedes cambiar tu elección en cualquier momento desde el enlace «Preferencias de cookies» en el pie de página.
5. Cómo usamos los datos
Procesamos la pequeña cantidad de datos que recopilamos para un pequeño conjunto de finalidades claramente definidas. Cada una corresponde con una base legal del Artículo 6 del RGPD:
- Hacer funcionar el sitio. Logs del servidor, telemetría básica de seguridad. Base legal: interés legítimo (mantener el sitio funcionando).
- Entender el uso agregado. Vistas de página de analítica, recuentos de uso de herramientas. Base legal: consentimiento en jurisdicciones que lo requieren (UE/UK), interés legítimo en otras. Honramos las señales Do Not Track y Global Privacy Control cuando el navegador las envía.
- Financiar el sitio mediante anuncios. Publicidad mostrada vía Google AdSense. Base legal: consentimiento en jurisdicciones que lo requieren; para usuarios que rechazan, los anuncios no personalizados se sirven bajo interés legítimo.
- Responder a tus mensajes. Cuando nos escribes. Base legal: interés legítimo (responder a preguntas entrantes); contractual cuando eres un contacto de prensa / negocio.
No usamos estos datos para: construir un perfil de ti entre sitios, vender a brokers de datos, entrenar modelos de IA, tomar decisiones automatizadas con efecto legal, ni ninguna finalidad no listada arriba.
6. Terceros con los que trabajamos
Una lista corta y completa de las empresas que tocan los datos que pasan por el sitio. No usamos ninguna otra sin actualizar esta sección antes.
- Google (Analytics 4 + AdSense). Opera la pila de analítica y publicidad. Su política de privacidad: policies.google.com/privacy. Google puede transferir datos a EE. UU.; su representante UE y las Cláusulas Contractuales Tipo cubren la transferencia.
- Plausible Analytics. Respaldo de analítica sin cookies para usuarios que rechazan el consentimiento en el banner de cookies. Alojado en la UE; sin cookies, sin identificadores personales, conforme con el RGPD por diseño. Política de privacidad en plausible.io/privacy.
- Cloudflare. Red de distribución de contenido y capa de seguridad. Ve los mismos datos a nivel de conexión que tu ISP y cualquier CDN ve: IP, URL solicitada, user agent. No ve el contenido de los archivos (nunca se envía). Política de privacidad en cloudflare.com/privacypolicy.
- Proveedor de alojamiento. ADM.tools (alojamiento compartido estilo cPanel). Almacena los archivos HTML/PHP/CSS/JS estáticos que componen el sitio, más los logs de acceso del servidor descritos en la sección 3.2.
- Bibliotecas JavaScript servidas desde CDN públicos (jsdelivr, unpkg, cdnjs). El navegador las recupera directamente cuando cargas una página de herramienta. El CDN ve una petición desde tu IP de un archivo público, exactamente como hace para cualquier visitante de cualquier sitio que use ese CDN. No se envían datos personales. Fijamos versiones específicas de cada biblioteca; lista completa en la página Acerca de.
7. Tus derechos
Bajo el RGPD (UE/UK), el CCPA / CPRA (California) y leyes similares, tienes un conjunto definido de derechos sobre los datos personales que tenemos sobre ti. Incluso donde la ley no se aplique formalmente a ti, honramos estas solicitudes por principio:
- Derecho a saber / acceso. Pregunta qué datos personales tenemos sobre ti. Para la mayoría de los visitantes, la respuesta honesta es «ninguno que podamos identificar contigo específicamente» — las analíticas son anónimas. Si nos has escrito antes, el hilo de correo es lo que tenemos.
- Derecho a la supresión / borrado. Pídenos borrar los datos que tenemos. Para correspondencia por correo, es directo; borraremos el hilo en 30 días.
- Derecho a la rectificación. Pídenos corregir datos inexactos. Mismo canal que el borrado.
- Derecho a oponerse a la venta / compartición (CCPA). No vendemos información personal. No la compartimos con terceros para publicidad comportamental entre contextos en el sentido del CCPA.
- Derecho a oponerse a las analíticas + publicidad. Rechaza el banner de cookies; las analíticas pasan a Plausible sin cookies y los anuncios pasan a no personalizados. O usa los controles estándar del navegador (Do Not Track, Global Privacy Control).
- Derecho a presentar una reclamación. Si crees que hemos gestionado mal tus datos, puedes reclamar a tu autoridad de control local. Residentes UE: tu Autoridad Nacional de Protección de Datos. UK: la ICO. Preferiríamos que nos dieras primero la oportunidad de corregir — escribe a [email protected] — pero el derecho existe igualmente.
Para ejercer cualquiera de estos derechos, escribe a [email protected] con el prefijo de asunto [Privacy] y una breve descripción de la solicitud. Respondemos en 30 días (el límite legal del RGPD); típicamente mucho antes. Podemos pedir prueba de identidad si la solicitud es ambigua, ya que no tenemos forma de verificarla a nivel de cuenta.
8. Tiempo de conservación
Períodos de conservación concretos, sin la vaguedad de «el tiempo que sea necesario»:
- Contenido de los documentos: nunca recibido, nunca conservado.
- Logs de acceso del servidor: 30 días, luego rotan automáticamente.
- Analíticas anónimas (GA4): 14 meses, luego se agregan y se borran los datos a nivel de usuario según la configuración de retención por defecto de GA4 de Google.
- Analíticas anónimas (Plausible): indefinidamente, pero sin ningún identificador personal en ningún sitio — los datos son estadísticos desde el momento en que se recopilan.
- Cookies: como se lista en la tabla de cookies de la sección 4.
- Correspondencia por correo: conservada mientras la conversación esté activa, archivada hasta 3 años después para contexto si vuelves a escribir, luego borrada. O antes a tu solicitud.
9. Transferencias internacionales de datos
El sitio está alojado en la UE (específicamente por ADM.tools). Algunos terceros que usamos procesan datos en otras regiones:
- Google (Analytics, AdSense): puede transferir datos a EE. UU. Google se apoya en el Marco de Privacidad de Datos UE-EE. UU. y las Cláusulas Contractuales Tipo para la transferencia.
- Cloudflare (CDN): usa una red distribuida globalmente; los datos a nivel de conexión pueden procesarse en cualquiera de sus centros de datos según el más cercano a ti. Cloudflare se apoya en las Cláusulas Contractuales Tipo para transferencias transfronterizas.
Si tus derechos como interesado o las regulaciones locales requieren garantías adicionales, escribe a [email protected].
10. Privacidad de menores
PDFluna no está dirigido a usuarios menores de 16 años, y no recopilamos conscientemente datos de menores. El sitio no requiere ninguna cuenta, así que de todas formas no tendríamos manera de verificar la edad. Si eres padre, madre o tutor y crees que se han procesado datos de tu hijo a través del sitio, escribe a [email protected] y borraremos todo lo que podamos identificar.
11. Seguridad
La mejor postura de seguridad es no tener los datos en primer lugar, y ese es nuestro comportamiento por defecto para el contenido de los documentos. Para los datos que sí tenemos:
- HTTPS en todas partes. Todo el tráfico del sitio se sirve en TLS; tanto el CDN como el origen aplican HTTPS. Las peticiones HTTP se redirigen 301 a HTTPS.
- Endurecimiento del servidor. Reglas de denegación para rutas sensibles (
/includes/*devuelve 403), encabezadosX-Content-Type-OptionsyReferrer-Policyestrictos,Permissions-Policyrestrictivo en cámara / micrófono / geolocalización. - Seguridad del correo. Nuestras cuentas de correo usan autenticación de 2 factores; el acceso está limitado a las personas que lo necesitan.
- Sin promesas que no podamos cumplir. Ningún sistema es perfectamente seguro. Si una brecha afecta alguna vez datos que tenemos sobre ti, notificaremos a las autoridades de control relevantes en 72 horas según el Artículo 33 del RGPD y te lo haremos saber directamente vía tu último correo conocido.
12. Cambios en esta política
Actualizamos esta política cuando hay un cambio real — nueva funcionalidad, nuevo tercero, nueva base legal, nuevo período de conservación. La fecha de «Última actualización» en lo alto de la página refleja el cambio significativo más reciente; las modificaciones menores de copia no la avanzan.
Si un cambio afecta cómo se procesan tus datos existentes (raro pero posible), lo destacaremos con un banner en la página de inicio durante 30 días. Para usuarios que nos hayan dado un correo, también enviaremos un aviso directo.
13. Cómo contactar con nosotros
Para cualquier cosa que tenga que ver con tus datos o esta política, el buzón correcto es:
Incluye el prefijo de asunto [Privacy] y una breve descripción de qué pides; el buzón dedicado clasifica más rápido que el general. Para temas no relacionados con privacidad (preguntas generales, reportes de bugs, prensa), consulta la página de contacto completa.