LGPD en Brasil: guía práctica para apps y SaaS

Si tu app o tu SaaS tiene un solo usuario en Brasil, la LGPD ya te toca. No importa si tu empresa está en São Paulo, en Santiago o en Bogotá: lo que define el cumplimiento es de quién son los datos, no dónde está tu servidor. Y la buena noticia es que la mayor parte de lo que la ley te pide se puede revisar y arreglar sin abogados ni proyectos de seis meses.

En esta guía te explico, en lenguaje claro, qué es la LGPD, a quién aplica, qué bases legales puedes usar, qué derechos tienen las personas, qué hace la ANPD y, sobre todo, qué revisar hoy en tu sitio o tu app. Sin alarmismo y sin jerga: la idea es que termines con una lista concreta de tareas.

Qué es la LGPD

La LGPD es la Lei Geral de Proteção de Dados Pessoais, la Ley n.º 13.709 de Brasil. Es la norma marco que regula cómo las organizaciones recolectan, usan, almacenan, comparten y eliminan datos personales de personas en Brasil. Su espíritu es muy parecido al del GDPR europeo: las personas son dueñas de sus datos, y quien los trata debe hacerlo con una base legal clara, de forma transparente y con seguridad razonable.

Un "dato personal" es cualquier información que identifique o pueda identificar a una persona: nombre, email, teléfono, dirección IP, identificadores de cookies, ubicación, historial de uso. La ley también reconoce datos personales sensibles (origen racial o étnico, salud, vida sexual, religión, opiniones políticas, datos genéticos o biométricos), que tienen reglas más estrictas porque su mal uso puede causar más daño.

Nota: la LGPD habla de protección de datos en Brasil como un derecho de las personas, no como un trámite burocrático. Verás que casi todas las obligaciones se reducen a una idea: trata los datos de otros como te gustaría que trataran los tuyos.

A quién aplica (incluso si no estás en Brasil)

Acá está el punto que muchos fundadores pasan por alto. La LGPD aplica a cualquier tratamiento de datos cuando se cumple al menos uno de estos supuestos:

• La operación de tratamiento se realiza en territorio brasileño.
• El tratamiento tiene como objetivo ofrecer bienes o servicios a personas en Brasil, o trata datos de personas que están en Brasil.
• Los datos personales fueron recolectados en Brasil.

Traducido a la práctica: si tienes una landing en español o portugués que capta usuarios brasileños, si cobras a clientes en Brasil, o si simplemente tu app guarda emails de personas que se registraron desde allí, estás bajo el alcance de la ley aunque tu equipo esté fuera del país. Esto es lo que se llama alcance extraterritorial, y es la misma lógica del GDPR.

La ley distingue dos roles que conviene tener claros:

• Controlador (controlador): quien decide para qué y cómo se tratan los datos. Normalmente, tú y tu empresa.
• Operador (operador): quien trata los datos por cuenta del controlador. Aquí entran tus proveedores: hosting, base de datos, email transaccional, analítica, pasarela de pago.

Cuando contratas a un proveedor que toca datos de tus usuarios, sigues siendo responsable de que ese proveedor cumpla. Por eso los contratos con encargados y la lista de sub-procesadores importan tanto, como verás en el checklist.

Las bases legales para tratar datos

No puedes tratar datos personales "porque sí". Necesitas una base legal que justifique cada tratamiento. La LGPD reconoce varias; estas son las que más usan las apps y los SaaS:

Dos cosas clave. Primero: el consentimiento debe ser libre, informado, específico e inequívoco. Una casilla premarcada o un "al usar el sitio aceptas todo" no sirven. Segundo: el interés legítimo es útil, pero no es un comodín; debes poder justificar por qué tu interés no pasa por encima de los derechos de la persona, y a veces conviene documentar ese análisis.

Los derechos del titular

El titular es la persona dueña de los datos. La LGPD le da derechos que tu app debe poder atender, normalmente vía una solicitud al controlador:

• Confirmación y acceso: saber si tratas sus datos y obtener una copia.
• Corrección de datos incompletos o desactualizados.
• Anonimización, bloqueo o eliminación de datos innecesarios o tratados fuera de la ley.
• Portabilidad a otro proveedor.
• Eliminación de datos tratados con consentimiento, cuando lo revoca.
• Información sobre con quién compartiste sus datos.
• Revocación del consentimiento, de forma tan fácil como se otorgó.

En la práctica esto significa tener un canal claro (un email tipo [email protected] o un formulario) y un proceso interno para responder en plazos razonables. No necesitas un portal sofisticado para empezar: necesitas que alguien reciba la solicitud y sepa qué hacer.

El rol de la ANPD

La ANPD (Autoridade Nacional de Proteção de Dados) es la autoridad brasileña que supervisa la LGPD. Emite reglamentos, orienta sobre cómo cumplir, atiende denuncias y puede fiscalizar y sancionar.

La ley contempla sanciones que van desde advertencias hasta multas. Las cifras exactas y los porcentajes aplicables dependen del texto vigente y de los criterios de la propia autoridad, así que, si necesitas el monto preciso para tu caso, verifica el reglamento actualizado de la ANPD en lugar de fiarte de una cifra de internet. Más allá de la multa, el riesgo real para una app joven suele ser otro: la pérdida de confianza y el daño reputacional cuando se filtra que no cuidabas los datos.

La LGPD también recomienda designar un encargado de protección de datos (encarregado o DPO), que actúa como punto de contacto con la ANPD y con los titulares. Para un equipo pequeño, puede ser una persona del propio equipo con esa responsabilidad asignada.

Principios de seguridad

La LGPD no te entrega una lista cerrada de controles técnicos, pero sí exige medidas técnicas y administrativas adecuadas para proteger los datos frente a accesos no autorizados, pérdida, alteración o destrucción. Los principios que la guían son útiles como brújula:

• Finalidad y necesidad: recolecta solo lo que de verdad necesitas, para un fin claro.
• Seguridad y prevención: protege los datos durante todo su ciclo de vida.
• Transparencia: explica de forma simple qué haces con los datos.
• Responsabilidad (accountability): no basta con cumplir, debes poder demostrarlo.

En lo concreto, "medidas técnicas adecuadas" para una app web hoy incluyen cosas tan básicas como cifrado en tránsito (TLS/HTTPS), control de acceso a las bases de datos, cabeceras de seguridad correctas y manejo prudente de cookies. Lo bueno es que buena parte de esto es observable desde fuera, y por eso un escaneo de tu superficie pública te dice mucho.

Qué revisar en tu sitio o tu app hoy

Esta es la parte accionable. Tómalo como una lista de verificación que puedes recorrer esta misma semana.

1. HTTPS en todo el sitio. Que cargue por HTTPS no basta: redirige todo el tráfico HTTP a HTTPS y revisa que el certificado TLS esté vigente y bien configurado. El cifrado en tránsito es la medida técnica más visible de todas.
2. Cabeceras de seguridad. Verifica Strict-Transport-Security (HSTS), Content-Security-Policy, X-Content-Type-Options y Referrer-Policy. Son señales claras de que tomas en serio la protección de los datos que viajan hacia y desde tu app.
3. Cookies y consentimiento. Lista las cookies que pones antes de cualquier interacción. Las cookies no esenciales (analítica, marketing) requieren consentimiento previo, con opción real de rechazar. Marca tus cookies con atributos seguros (Secure, HttpOnly, SameSite) cuando corresponda.
4. Política de privacidad real. Que diga, en lenguaje claro, qué datos recolectas, con qué base legal, por cuánto tiempo, con quién los compartes y cómo ejercer derechos. Una plantilla genérica copiada no refleja tu app y se nota.
5. Encargados y sub-procesadores. Haz un inventario de todos los proveedores que tocan datos de tus usuarios (hosting, email, analítica, pagos, soporte). Confirma que tienes contratos o cláusulas de tratamiento de datos con cada uno.
6. Transferencias internacionales. Si tu base de datos o tus proveedores están fuera de Brasil, eso es una transferencia internacional. Verifica que exista una base válida para ella y déjala documentada en tu política.
7. Minimización. Revisa tus formularios: ¿pides datos que no usas? Cada campo de más es un riesgo de más. Borra lo que no necesitas y define plazos de retención.
8. Canal de derechos. Publica un correo o formulario para solicitudes de los titulares y asegúrate de que alguien lo monitorea.

Los primeros tres puntos (TLS, cabeceras y cookies) son justamente la parte que un escáner de superficie pública puede evidenciar en minutos. No prueban que cumples toda la LGPD, pero sí muestran de forma objetiva si tus medidas técnicas básicas están en pie o si tienes huecos visibles desde el primer momento.

Un consejo honesto: ninguna herramienta automática reemplaza una revisión legal cuando tratas datos sensibles o a gran escala. Lo que sí hace un escaneo es darte una foto rápida de lo medible, para que priorices y no pierdas tiempo adivinando.

Cómo te ayuda un escaneo

En Pursecure pegas la URL de tu sitio y, en cuestión de minutos, recibes un puntaje de 0 a 100 y una lista de hallazgos ordenados por gravedad. Revisamos lo que se ve desde afuera: si tu TLS está bien configurado, qué cabeceras de seguridad te faltan, cómo están marcadas tus cookies y otras señales técnicas que conectan directo con los principios de seguridad de la LGPD.

Lo distinto es que cada hallazgo viene con un prompt listo para arreglarlo con IA (Claude o Cursor): no solo te decimos "te falta HSTS", te damos el texto para que tu asistente de código lo implemente. Es la diferencia entre un informe que se archiva y una lista de tareas que de verdad cierras.

Conclusión

La LGPD no es un muro infranqueable: es una invitación a tratar los datos de tus usuarios con cuidado y a poder demostrarlo. Para una app o un SaaS que recién arranca, el camino práctico es claro: ten una base legal para cada tratamiento, sé transparente, respeta los derechos de las personas y mantén medidas técnicas razonables, empezando por TLS, cabeceras y cookies.

Si quieres ver en qué punto estás hoy sin teoría, escanea tu sitio en pursecure.app o entra directo a /scan. En minutos tendrás una foto de tus medidas técnicas visibles y los prompts para cerrar las brechas. La protección de datos en Brasil empieza por lo que ya está a la vista.