← Volver al Blog
🔐

LGPD en la práctica: lo que toda empresa necesita hacer ahora

⏱ 8 min min de lectura · 📅 28/04/2025 · ✍️ Equipo Infomek

La Ley General de Protección de Datos de Brasil (LGPD — Ley nº 13.709/2018) está en vigor desde septiembre de 2020 y las multas pueden llegar a R$ 50 millones o el 2% de la facturación anual. A pesar de ello, la mayoría de las pequeñas y medianas empresas aún no ha tomado las medidas básicas. Si la suya está en ese grupo, esta guía es para usted.

💡 La LGPD se aplica a cualquier empresa que trate datos personales de personas en Brasil — independientemente del tamaño, sector o volumen de datos tratados.

¿Qué es un dato personal?

Dato personal es cualquier información que identifique o haga identificable a una persona física. Esto incluye: nombre, CPF, correo electrónico, teléfono, dirección, IP, datos de ubicación, comportamiento de navegación, foto, voz y mucho más. Si su empresa recopila cualquiera de estos datos — y con certeza lo hace — la LGPD se aplica a usted.

Los 7 pasos obligatorios

1. Mapear los datos que usted trata

Antes que nada, necesita saber qué datos recopila, dónde están almacenados, quién tiene acceso y adónde van. Esto se llama mapeo de datos (o Data Mapping). Incluye: datos de clientes, proveedores, empleados, prospectos y visitantes del sitio web.

  • ¿Qué sistemas almacenan datos personales? (ERP, CRM, correo electrónico, hojas de cálculo)
  • ¿Quién tiene acceso a estos sistemas?
  • ¿Los datos se comparten con terceros? (contabilidad, finanzas, marketing)

2. Definir la base legal para cada tratamiento

La LGPD exige que todo tratamiento de datos personales tenga una base legal — es decir, una justificación prevista en la ley. Las más comunes para empresas son:

  • Consentimiento: el titular autorizó expresamente (ej: newsletter)
  • Ejecución de contrato: necesario para prestar el servicio contratado
  • Interés legítimo: interés legítimo del responsable, siempre que no perjudique al titular
  • Obligación legal: exigido por ley (ej: datos fiscales para la autoridad tributaria)

3. Crear o actualizar la Política de Privacidad

Su empresa debe tener una política de privacidad clara, accesible y en lenguaje sencillo. Debe informar: qué datos se recopilan, con qué finalidad, con quién se comparten, por cuánto tiempo se almacenan y cómo el titular puede ejercer sus derechos.

⚠️ Las políticas de privacidad copiadas de internet o generadas por IA sin revisión técnica no protegen a su empresa. La política debe reflejar lo que realmente hace.

4. Implementar controles técnicos básicos

La LGPD exige medidas de seguridad adecuadas para proteger los datos. Como mínimo:

  • Cifrado de datos sensibles en reposo y en tránsito (HTTPS obligatorio)
  • Control de acceso — solo quien lo necesita puede acceder a los datos
  • Autenticación fuerte (MFA) para sistemas con datos personales
  • Copias de seguridad con retención definida y pruebas regulares
  • Registro de accesos — quién accedió a qué y cuándo

5. Nombrar un DPO (Delegado de Protección de Datos)

La LGPD exige que toda empresa que trate datos a gran escala nombre un DPO (Data Protection Officer). Para empresas más pequeñas, el DPO puede ser el propio dueño, un empleado designado o una empresa tercerizada especializada. El nombre y contacto del DPO deben ser públicos.

6. Preparar el proceso de respuesta a titulares

Todo titular de datos tiene derechos garantizados por la LGPD: acceso, corrección, eliminación, portabilidad y revocación del consentimiento. Su empresa tiene hasta 15 días para responder solicitudes. Necesita un canal de contacto (correo electrónico, formulario) y un proceso interno para atender estas solicitudes.

7. Plan de respuesta a incidentes

Si ocurre una filtración de datos, la LGPD exige notificación a la ANPD (Autoridad Nacional de Protección de Datos) y a los titulares afectados en un plazo razonable. Necesita un plan documentado: cómo detectar, contener, investigar y comunicar un incidente.

¿Por dónde empezar?

Si está empezando desde cero, la secuencia es: mapeo de datos → política de privacidad → controles técnicos básicos → nombramiento del DPO → formación del equipo. No es necesario hacerlo todo a la vez — lo importante es empezar y documentar el progreso.

📋 La ANPD evalúa la buena fe y el esfuerzo de adecuación. Una empresa que ha iniciado el proceso y tiene documentación del camino recorrido recibe un trato muy diferente al de una que ignoró la ley por completo.

¿Cuánto tiempo lleva?

Un programa básico de conformidad con la LGPD lleva de 60 a 90 días con dedicación. Un programa completo, con todos los controles técnicos implementados y probados, puede llevar de 6 a 12 meses dependiendo de la complejidad del entorno.

Infomek ayuda a empresas en Curitiba con la adecuación técnica a la LGPD: mapeo de datos, implementación de controles de seguridad, DLP, cifrado y preparación para auditorías. Contáctenos para un diagnóstico gratuito.

¿Necesita ayuda para aplicar esto en su empresa?

Infomek tiene más de 30 años de experiencia en infraestructura, seguridad y TI corporativa en Curitiba.

¡Hable con nosotros!