Cuando una abogada en Madrid prepara el borrador de un acuerdo de divorcio y necesita combinar tres documentos en un solo PDF para enviárselo a su cliente, el reflejo natural es buscar “unir PDF online”, hacer clic en el primer resultado y subir los archivos. En cinco segundos, el trabajo está hecho. En esos mismos cinco segundos, datos personales protegidos por el secreto profesional del abogado y por el RGPD han salido de su ordenador hacia un servidor de un tercero — en el mejor caso ubicado dentro de la Unión Europea, en otros casos en Estados Unidos o en países sin decisión de adecuación.
Este artículo se dirige a usuarios hispanohablantes — particulares, autónomos, pymes y profesionales en España y América Latina — que necesitan herramientas PDF gratuitas pero también quieren entender qué implica jurídicamente cada opción. La premisa es sencilla: no todas las herramientas PDF son equivalentes desde el punto de vista de la protección de datos, y la elección correcta depende del contenido del documento, no de la marca de la herramienta.
Compararemos seis herramientas populares contra criterios objetivos: dónde se procesan los archivos, qué marco jurídico aplica, qué interfaz ofrecen en español y qué coste tienen. El objetivo no es desaconsejar ningún servicio reputado — todos los grandes proveedores cumplen el RGPD y tienen historiales razonables de seguridad — sino dar al lector el criterio para decidir por sí mismo.
El marco regulatorio: RGPD, LFPDPPP y las leyes nacionales hispanoamericanas
Para entender por qué la elección de herramienta PDF importa, conviene tener presentes los marcos legales más relevantes para el lector hispanohablante.
España y Unión Europea — RGPD y LOPDGDD. El Reglamento (UE) 2016/679 (RGPD) es la norma marco aplicable directamente en los 27 estados miembros desde el 25 de mayo de 2018. En España se complementa con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Los artículos clave del RGPD para herramientas PDF son: artículo 5 (principios de licitud, lealtad, transparencia, minimización y limitación del plazo de conservación), artículo 25 (privacidad desde el diseño y por defecto), artículo 28 (encargado del tratamiento), artículo 32 (seguridad del tratamiento), artículo 35 (evaluación de impacto cuando exista alto riesgo) y los artículos 44 a 50 (transferencias internacionales). La Agencia Española de Protección de Datos (AEPD) es la autoridad de control en España.
México — LFPDPPP y LGPDPPSO. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, 2010) regula el tratamiento de datos personales por entidades privadas en México. Su Reglamento (2011) y los Lineamientos del Aviso de Privacidad complementan el marco. Para el sector público, aplica la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO, 2017). Tras la reforma constitucional de diciembre de 2024 que extinguió el INAI, las facultades de control están en proceso de reubicación institucional; la fiscalización corresponde ahora principalmente a la Secretaría Anticorrupción y Buen Gobierno y los órganos estatales. Las sanciones bajo la LFPDPPP pueden alcanzar 320.000 días de salario mínimo (aproximadamente 23 millones de pesos mexicanos) y, en caso de datos sensibles, multiplicarse por dos.
Argentina — Ley 25.326. La Ley de Protección de Datos Personales argentina, vigente desde el año 2000, fue una de las primeras de la región. Argentina cuenta con decisión de adecuación de la Comisión Europea desde 2003, lo que facilita las transferencias UE-Argentina sin necesidad de mecanismos adicionales. La Dirección Nacional de Protección de Datos Personales (DNPDP) es la autoridad de control. A finales de 2023 se debate en el Congreso un proyecto de actualización integral que modernizaría la ley aproximándola al RGPD.
Colombia — Ley 1581 de 2012. La Ley Estatutaria 1581 de 2012 y su Decreto Reglamentario 1377 de 2013 conforman el marco colombiano. La Superintendencia de Industria y Comercio (SIC) ejerce el control. Colombia cuenta con régimen de Habeas Data (artículo 15 de la Constitución) y reconoce expresamente los derechos ARCO. Las transferencias internacionales requieren que el país destinatario brinde niveles adecuados de protección o, en su defecto, que existan cláusulas contractuales o el consentimiento expreso del titular.
Chile — Ley 19.628 y nueva Ley 21.719. La Ley 19.628 sobre Protección de la Vida Privada (1999) ha sido durante décadas el marco chileno, considerablemente más laxo que sus equivalentes regionales. La Ley 21.719, publicada en diciembre de 2024 y con vigencia plena el 1 de diciembre de 2026, moderniza profundamente el marco chileno aproximándolo al RGPD: crea la Agencia de Protección de Datos Personales, introduce el principio de responsabilidad demostrada (accountability), reconoce derechos ARCO+P (acceso, rectificación, cancelación, oposición y portabilidad), exige notificación de brechas y regula las transferencias internacionales con criterios similares al Capítulo V del RGPD. Las empresas chilenas que operan con datos personales deben prepararse para este cambio antes de diciembre de 2026.
La cuestión de las transferencias internacionales tras Schrems II
La sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020 en el asunto C-311/18 (Schrems II) cambió radicalmente el panorama de las transferencias internacionales de datos. El TJUE invalidó el Escudo de Privacidad UE-EEUU y reforzó la exigencia de que cualquier transferencia internacional fuera del EEE debe garantizar un nivel de protección “esencialmente equivalente” al ofrecido por el RGPD.
En la práctica, para los usuarios europeos esto significa:
- Transferencias dentro del EEE (España, Francia, Alemania, Italia, etc.): libres, sin restricciones adicionales bajo el RGPD.
- Transferencias a países con decisión de adecuación (Suiza, Reino Unido, Andorra, Argentina, Canadá -comercial-, Israel, Japón, Nueva Zelanda, Uruguay, Corea del Sur, Estados Unidos -con el Data Privacy Framework de 2023-): permitidas sin mecanismos adicionales.
- Transferencias a otros países (incluidos muchos casos en Estados Unidos no acogidos al Data Privacy Framework): requieren Cláusulas Contractuales Tipo (CCT) actualizadas en 2021, normas corporativas vinculantes (BCR), o consentimiento expreso del interesado para cada transferencia.
Para herramientas PDF, esto se traduce en una pregunta clave: ¿dónde se procesa físicamente el archivo cuando lo subes? La respuesta cambia el análisis jurídico aplicable.
Para usuarios en Latinoamérica, las reglas son análogas pero gobernadas por cada legislación nacional. Por ejemplo, una empresa mexicana que sube datos personales de empleados a un servidor en España debe cumplir el artículo 36 de la LFPDPPP: el responsable garantizará que el receptor asuma los mismos compromisos de protección que regían en México.
Lo que pasa cuando subes un PDF con datos personales
Imagina el escenario más común: el departamento de Recursos Humanos de una pyme española tiene que enviar al gestor externo las nóminas mensuales de 40 empleados en un PDF de 25 MB. El gestor solo acepta archivos por debajo de 10 MB. El responsable de RRHH abre iLovePDF, sube el archivo, comprime y descarga la versión reducida. Diez segundos.
Vamos a desmenuzar qué ocurre jurídicamente en esos diez segundos:
- Datos personales involucrados: 40 nombres y apellidos, 40 DNIs, 40 cuentas bancarias, 40 importes brutos y netos, retenciones, cotizaciones a la Seguridad Social. Bajo el RGPD, son datos personales (artículo 4.1). Los importes salariales no son datos especialmente sensibles del artículo 9, pero sí están protegidos.
- Quién es el responsable y quién es el encargado: la pyme actúa como responsable del tratamiento (artículo 4.7). iLovePDF, al procesar los datos por cuenta de la pyme, actúa como encargado del tratamiento (artículo 4.8).
- ¿Hay contrato de encargado del tratamiento?: el artículo 28 RGPD exige que la relación responsable-encargado se rija por un contrato u otro acto jurídico vinculante. iLovePDF ofrece un Data Processing Agreement (DPA) estándar descargable desde su sitio web. Si la pyme nunca lo ha firmado o aceptado expresamente, técnicamente está incumpliendo el artículo 28.
- ¿Hay transferencia internacional?: iLovePDF tiene su sede en Barcelona (España) y procesa principalmente en infraestructura europea. Para una pyme española, NO hay transferencia internacional. Para una empresa mexicana que use iLovePDF sí habría transferencia internacional, sujeta al artículo 36 LFPDPPP.
- ¿Era necesaria una EIPD?: el artículo 35 RGPD exige Evaluación de Impacto cuando exista un alto riesgo para los derechos y libertades. El procesamiento puntual de nóminas mediante una herramienta de compresión cloud, en sí mismo, probablemente no alcanza ese umbral, pero el uso sistemático y a escala podría hacerlo.
- ¿Se informó a los empleados?: el principio de transparencia (artículo 5.1.a) y los artículos 13-14 RGPD exigen informar a los interesados sobre los tratamientos. Difícilmente la política de privacidad laboral menciona “iLovePDF” o “Smallpdf” por nombre.
Ninguno de estos puntos es necesariamente catastrófico, pero todos requieren respuesta documentada si llega una inspección de la AEPD o una reclamación de un empleado. La forma estructural más simple de evitar todo este análisis es no subir el archivo en primer lugar: procesarlo localmente en el navegador del responsable de RRHH. Si el archivo no sale del dispositivo, no hay encargado del tratamiento, no hay transferencia internacional, no hay nuevo riesgo que evaluar.
Comparativa de 6 herramientas PDF gratis
La siguiente tabla compara seis herramientas habituales para usuarios hispanohablantes, con foco en aspectos relevantes para el RGPD y las leyes regionales:
| Herramienta | Lugar de procesamiento | Marco jurídico aplicable | UI en español | Coste (versión gratis) | Cumplimiento RGPD |
|---|---|---|---|---|---|
| imisspdf | Navegador del usuario (local) | El archivo no sale del dispositivo — no hay tratamiento por encargado externo | Sí, español completo | Gratis (sin límites diarios) | No aplica artículo 28 al no haber transferencia |
| iLovePDF | España (UE) | RGPD directamente aplicable | Sí, español nativo (sede en Barcelona) | Gratis con límites | Sí, DPA estándar disponible |
| Smallpdf | Suiza (decisión de adecuación) | RGPD aplica vía adequacy | Sí, parcial | Gratis con límites | Sí, DPA disponible |
| PDF24 Tools | Alemania (UE) | RGPD directamente aplicable | Sí, traducción al español | Gratis sin límites | Sí, ISO 27001 |
| Adobe Acrobat Online | Estados Unidos (principalmente) | Requiere CCT o DPF tras Schrems II | Sí, español de España y LatAm | Gratis muy limitado | Adobe certifica DPF |
| Foxit Online | EEUU + China | Requiere análisis adicional para China | Parcial | Gratis con marca de agua | DPF, pero China complica el análisis |
Algunas observaciones para interpretar la tabla:
iLovePDF tiene una ventaja jurídica única para usuarios europeos. Al estar la empresa fundada y radicada en Barcelona, los archivos procesados por usuarios de la UE no salen del EEE en ningún momento. Para usuarios españoles que prefieren herramientas en la nube por su comodidad, iLovePDF es probablemente la opción más sólida desde el punto de vista jurídico. Para usuarios latinoamericanos, sigue habiendo transferencia internacional, pero hacia una jurisdicción (UE) considerada robusta.
Smallpdf opera desde Suiza, país con decisión de adecuación de la Comisión Europea desde el año 2000 (actualizada en 2021). Las transferencias UE-Suiza están legitimadas sin mecanismos adicionales. Para LatAm, la robustez del marco suizo facilita el cumplimiento.
PDF24 es una empresa alemana con servidores en la UE. Para usuarios europeos, no hay transferencia internacional. Ofrece también una versión de escritorio (PDF24 Creator) gratuita para Windows que procesa localmente — equivalente, en términos de privacidad, a una herramienta in-browser. La versión gratuita web es de las más generosas del mercado (sin límites diarios significativos).
Adobe Acrobat Online es la opción menos favorable jurídicamente desde una perspectiva europea o latinoamericana centrada en la protección de datos. Adobe está adherida al Data Privacy Framework (DPF) UE-EEUU desde 2023, lo que reabre la posibilidad de transferencias sin CCT, pero el DPF está bajo escrutinio de las autoridades europeas y un eventual Schrems III podría invalidarlo (como ocurrió con sus dos predecesores). Para uso ocasional con documentos no sensibles, es una opción viable; para tratamiento sistemático de datos personales, hay alternativas con menos exposición.
Foxit tiene presencia en EEUU y China. Foxit Software tiene su sede en Fremont, California, pero la matriz histórica y parte significativa del desarrollo están en Fuzhou (China). Para responsables europeos o latinoamericanos, esto añade una capa de análisis adicional: la transferencia a China no está cubierta por ninguna decisión de adecuación y la Ley de Ciberseguridad y la Ley de Protección de la Información Personal chinas plantean cuestiones específicas sobre acceso gubernamental. La mayoría de departamentos de cumplimiento europeos exigen documentación adicional antes de autorizar el uso para datos personales.
Casos de uso específicos por tipo de documento
La elección de herramienta correcta depende fuertemente del contenido del archivo. Recomendaciones por categoría:
DNI, NIE, pasaporte, escaneos de documentos de identidad
Los documentos de identidad contienen datos identificativos directos, foto biométrica del titular y, en algunos casos, datos como nacionalidad o lugar de nacimiento. La combinación es especialmente útil para la suplantación de identidad y el fraude.
Recomendación: herramientas in-browser (imisspdf) o de escritorio local (PDF24 Creator). Evitar la subida a servicios cloud salvo necesidad operativa concreta y, en ese caso, preferir iLovePDF (UE) o PDF24 Tools (UE) sobre Adobe o Foxit.
Nóminas, contratos laborales, certificados de cotización
Contienen nombre completo, DNI, número de la Seguridad Social, cuenta bancaria, importe salarial bruto y neto, retenciones, antigüedad, categoría profesional. Son datos personales que, además, pueden revelar información sensible sobre la situación económica del trabajador.
Recomendación: herramientas in-browser para procesamiento individual; para volúmenes grandes (gestorías, asesorías laborales) considerar PDF24 Creator de escritorio combinado con imisspdf web para acceso desde distintos dispositivos. Si se opta por servicio cloud, formalizar DPA con el proveedor y reflejar el uso en el registro de actividades del tratamiento.
Declaraciones de IRPF, IVA, modelos tributarios
La Agencia Tributaria española y el SAT mexicano generan PDF con datos económicos completos. En España, el modelo 100 (IRPF) y el modelo 200 (Impuesto sobre Sociedades) contienen información económica detallada que, en manos no autorizadas, expone al titular a riesgos de extorsión y fraude.
Recomendación: tratamiento local exclusivamente. No hay buen motivo para subir una declaración tributaria a un servidor de terceros — todas las manipulaciones útiles (combinar varios PDF, comprimir, añadir páginas) pueden hacerse en el navegador.
Historias clínicas, informes médicos, recetas
Los datos de salud son datos de categoría especial bajo el artículo 9 RGPD y reciben protección reforzada. Su tratamiento exige consentimiento explícito o alguna de las bases ampliadas del artículo 9.2.
Recomendación: herramientas in-browser obligatorio. Las consultas médicas, clínicas y hospitales deberían establecer en sus políticas internas que el procesamiento de PDF con datos de salud se hace exclusivamente local. Para volúmenes hospitalarios, considerar despliegue interno de herramientas open source (PdfArranger, ocrmypdf) sobre servidores propios.
Escrituras, contratos notariales, documentos registrales
Las escrituras y contratos notariales contienen identificación completa de las partes, valoraciones económicas, condiciones contractuales que pueden ser confidenciales. Algunos contratos tienen cláusulas de confidencialidad que prohíben expresamente comunicarlos a terceros.
Recomendación: tratamiento local exclusivamente. Para despachos de abogados, esto entronca con el secreto profesional (artículo 542 LOPJ y artículo 32.1 EGAE en España).
Comparativa por país: qué considerar según tu residencia
España: iLovePDF (Barcelona, UE) es la opción con menor fricción jurídica para usuarios particulares y pymes. imisspdf (in-browser) es la opción con menor exposición jurídica posible. PDF24 Tools (Alemania, UE) es una alternativa europea robusta. Para documentos públicos sin datos personales, cualquier herramienta es adecuada.
México: para particulares, cualquier herramienta europea es preferible a una estadounidense desde el punto de vista de la LFPDPPP. iLovePDF y PDF24 procesan en UE; Smallpdf en Suiza. imisspdf in-browser elimina por completo la cuestión de transferencia internacional al no salir el archivo del dispositivo del usuario en territorio mexicano.
Argentina: gracias a la decisión de adecuación UE-Argentina, las transferencias bidireccionales son fluidas. iLovePDF y PDF24 son opciones cómodas. La modernización en curso de la Ley 25.326 puede aproximar aún más el marco al RGPD.
Colombia, Perú, Chile: en ausencia de decisiones de adecuación con la UE, las transferencias requieren cláusulas contractuales o consentimiento expreso. Las herramientas in-browser eliminan estructuralmente la cuestión. La inminente entrada en vigor de la Ley 21.719 chilena (diciembre 2026) hace especialmente recomendable que las empresas chilenas revisen ya sus stacks de herramientas en la nube.
Estados Unidos hispanohablantes (Florida, Texas, California): el marco federal estadounidense es más laxo, pero California (CCPA/CPRA), Virginia, Colorado y otros estados tienen leyes específicas. Para datos de residentes californianos, las herramientas in-browser tienen los mismos beneficios estructurales que en Europa.
Stack recomendado para uso profesional
Para autónomos, despachos y pymes hispanohablantes que quieran organizar su uso de herramientas PDF con criterio:
Capa 1 — Predeterminada (datos personales, documentos confidenciales): imisspdf in-browser. Sin coste, sin registro, sin envío de archivos. Cobre todas las operaciones habituales (unir, dividir, comprimir, convertir, OCR, firma, marca de agua, ocultar datos).
Capa 2 — Apoyo (documentos no sensibles, fichas técnicas, materiales públicos): iLovePDF (España, UE) o PDF24 Tools (Alemania, UE) si se prefieren funciones cloud o procesamiento desde móvil sin RAM suficiente.
Capa 3 — Escritorio offline (volúmenes altos): PDF24 Creator (Windows). Útil para gestorías que procesan cientos de nóminas o asesorías que tratan altos volúmenes de documentos sensibles diariamente.
Capa 4 — Cloud estadounidense (documentos públicos, integración con flujos Adobe): Adobe Acrobat Online si ya se dispone de licencia y se trabaja con materiales que no contengan datos personales. Para flujos de firma con valor probatorio bajo eIDAS, considerar Acrobat Sign o Signaturit (proveedor español).
Sobre imisspdf y por qué nació in-browser
Como nota de transparencia: imisspdf es una herramienta construida con arquitectura in-browser por diseño. La elección no es casual: al procesar los archivos íntegramente en el navegador del usuario, se eliminan estructuralmente las preguntas sobre transferencias internacionales, encargados del tratamiento, DPA, y EIPD. Para usuarios europeos, esto significa que el RGPD se cumple en su faceta más fácil de demostrar: el archivo nunca abandonó el dispositivo del responsable.
La interfaz está disponible en español (con localización completa, no traducción automática). Los algoritmos de compresión, unión, OCR y firma son los mismos que utilizan las herramientas comerciales, pero ejecutados localmente vía WebAssembly y bibliotecas open source. No hay suscripciones, no hay marcas de agua, no hay límites artificiales.
Herramientas disponibles: unir, dividir, comprimir, convertir (Word/Excel/PowerPoint/JPG desde y hacia PDF), editar, OCR, firmar, marca de agua, números de página, ocultar datos (redacción real, no rectángulos negros), proteger con contraseña, eliminar contraseña, rotar, recortar, organizar páginas.
Conclusiones
Para particulares: la respuesta sencilla es usar imisspdf u otra herramienta in-browser para cualquier documento que contenga datos personales propios. Para documentos públicos, cualquier herramienta es adecuada.
Para autónomos y pymes: organizar el stack en capas según sensibilidad. La capa predeterminada debería ser in-browser para minimizar la documentación de cumplimiento. iLovePDF/PDF24 cloud para apoyo. Documentar el uso en el registro de actividades del tratamiento (artículo 30 RGPD).
Para despachos profesionales (abogados, médicos, asesores): el deber de secreto profesional refuerza la recomendación in-browser. Considerar también despliegue interno de herramientas open source para volúmenes altos.
Para grandes empresas con DPO: la elección no es ya entre “usar herramienta gratis” o “no usarla”, sino entre dos arquitecturas. Una arquitectura cloud-first exige DPA, EIPD, registro detallado, formación. Una arquitectura in-browser-first reduce drásticamente la carga documental al eliminar el encargado externo. Las grandes consultoras europeas están migrando progresivamente hacia esta segunda opción para todas las manipulaciones documentales rutinarias.
Prueba imisspdf en español
Si los argumentos del artículo encajan con tu caso de uso, imisspdf ofrece 17 herramientas PDF (unir, dividir, comprimir, convertir, firmar, editar, OCR, marca de agua, ocultar datos y más) completamente en tu navegador. Sin subida, sin registro, sin marca de agua, sin límite de tamaño más allá de la RAM de tu dispositivo. Interfaz disponible en español.
Para profundizar:
- Listado completo de herramientas PDF
- Acerca de imisspdf
- Preguntas frecuentes
- Precios y planes futuros
Preguntas frecuentes
El bloque FAQ al principio del artículo cubre las preguntas más comunes. Para más comparativas, consulta también la versión portuguesa centrada en LGPD brasileña: Ferramentas PDF Grátis Online 2026 (LGPD Brasil). Para la perspectiva indonesia (UU PDP), referencia transversal: Alat PDF Online Gratis Indonesia (UU PDP 2026). Para una lista de verificación general de seguridad al elegir herramientas PDF: PDF security checklist.
Fuentes
- Reglamento (UE) 2016/679 (RGPD) — versión consolidada DOUE
- Ley Orgánica 3/2018 LOPDGDD — BOE
- Sentencia Schrems II (C-311/18) — TJUE
- LFPDPPP México — Diario Oficial de la Federación
- Ley 25.326 Argentina — InfoLEG
- Ley Estatutaria 1581 de 2012 Colombia — SIC
- Ley 21.719 Chile — Biblioteca del Congreso Nacional
- Agencia Española de Protección de Datos — Guías
- Comisión Europea — Decisiones de adecuación
- Data Privacy Framework UE-EEUU 2023
Frequently asked questions
El RGPD (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016) es la norma marco de protección de datos personales en la Unión Europea, aplicable desde el 25 de mayo de 2018. Afecta a las herramientas PDF en línea porque la mayoría de servicios populares (iLovePDF, Smallpdf, Adobe Acrobat Online) procesan los archivos en servidores que pueden estar dentro o fuera del Espacio Económico Europeo. Cuando un PDF contiene datos personales — nóminas, contratos laborales, escaneos del DNI, historias clínicas — subirlo a un servidor de terceros constituye un tratamiento por encargo (artículo 28 RGPD) y, si el servidor está fuera del EEE, una transferencia internacional regulada por el Capítulo V (artículos 44 a 50).
Generalmente sí, pero con matices. iLovePDF tiene su sede en Barcelona (España, UE) y procesa archivos en servidores europeos: para usuarios españoles y de cualquier otro estado miembro de la UE, esto significa que NO existe transferencia internacional bajo el RGPD. Smallpdf opera desde Suiza, país que cuenta con una decisión de adecuación de la Comisión Europea, por lo que las transferencias UE-Suiza están legitimadas. Para México, la LFPDPPP exige que el responsable garantice un nivel de protección equivalente al exigido por la ley mexicana cuando transfiere datos a terceros, y la UE generalmente cumple ese estándar. Adobe Acrobat Online (servidores en EEUU) requiere mecanismos adicionales como las Cláusulas Contractuales Tipo (CCT) tras la sentencia Schrems II del TJUE de 16 de julio de 2020.
El RGPD establece dos niveles de sanciones administrativas en el artículo 83. El primer nivel alcanza hasta 10 millones de euros o el 2% del volumen de negocio total anual mundial del ejercicio financiero anterior, la cuantía que sea mayor — aplicable a infracciones del artículo 8 (consentimiento de menores), 11 (datos que no requieren identificación), 25 (privacidad desde el diseño), 32 (seguridad del tratamiento), entre otros. El segundo nivel alcanza hasta 20 millones de euros o el 4% del volumen de negocio anual mundial — aplicable a infracciones de los principios básicos (artículo 5), bases jurídicas del tratamiento (artículo 6), derechos del interesado (artículos 12-22) y transferencias internacionales (Capítulo V). La AEPD española ha impuesto sanciones de hasta 10 millones de euros (Vodafone, Caixabank). La autoridad francesa CNIL multó a Google con 50 millones en 2019.
La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entrará en plena vigencia el 1 de diciembre de 2026, sustituyendo en gran medida a la Ley 19.628 de 1999. Es la modernización más relevante del marco chileno y está fuertemente inspirada en el RGPD europeo. Crea la Agencia de Protección de Datos Personales como autoridad de control independiente, introduce sanciones de hasta 20.000 UTM (aproximadamente 1,3 millones de dólares estadounidenses según el valor de la UTM a fecha de redacción), reconoce derechos ARCO+P (acceso, rectificación, cancelación, oposición, portabilidad), exige notificación de brechas y regula las transferencias internacionales con criterios similares al Capítulo V del RGPD. Las empresas chilenas tienen hasta diciembre de 2026 para adecuarse.
Cuando el archivo contiene datos personales sensibles o sujetos a confidencialidad profesional: nóminas, contratos laborales, expedientes médicos, declaraciones tributarias, escaneos de documentos de identidad, contratos comerciales en negociación, expedientes judiciales. Una herramienta in-browser procesa el archivo en la memoria del propio dispositivo del usuario, sin enviarlo a ningún servidor externo. Esto elimina por construcción la pregunta sobre transferencias internacionales (no hay transferencia), evita la necesidad de un contrato de encargado del tratamiento con el proveedor, simplifica la evaluación de impacto en protección de datos (EIPD) y reduce drásticamente la superficie de ataque. Para PDF sin datos personales (folletos públicos, materiales de marketing, papers académicos publicados), cualquier herramienta en la nube es perfectamente adecuada.
Related articles
Convert PDF to PDF/A: Long-Term Archival Format Explained (2026 Guide)
Convert PDF to PDF/A in 2026. What PDF/A is, the levels explained (1a vs 2b vs 3u vs 4), what gets stripped, and when you actually need it.
Convert JPG to PDF Online Free (2026 Guide: Multiple Images, Order, Quality)
Convert JPG to PDF online free. 2026 guide to multi-image PDFs: drag to reorder, DPI choice, HEIC/iPhone files, and the receipts-to-PDF workflow.
Best Free PDF Editor 2026 (8 Tools Compared: Edit, Sign, Convert, Privacy)
Best free PDF editor 2026: 8 tools compared on privacy, real editing, OCR, signup, and watermarks. Honest picks by use case, not paid placement.