Qué es la LGPD
La LGPD (Lei Geral de Proteção de Dados, Ley General de Protección de Datos) es la versión brasileña del RGPD, que entró oficialmente en vigor en agosto de 2020. Establece las reglas que deben cumplir todas las organizaciones que traten datos personales de brasileños (sin importar dónde se encuentren). El organismo regulador es la ANPD (Autoridade Nacional de Proteção de Dados, Autoridad Nacional de Protección de Datos de Brasil).
Multas por incumplimiento: hasta el 2 % de la facturación anual, con un tope de R$ 50 millones (por cada infracción). Además existen sanciones administrativas como la publicación del incumplimiento, órdenes de corrección y suspensión de la actividad. Las empresas transfronterizas (incluidas las chinas) quedan dentro del ámbito de la LGPD siempre que traten datos de brasileños.
Requisitos centrales de la LGPD
- Tener una base legal (base legal): consentimiento / contrato / obligación legal / interés legítimo, entre 10 opciones.
- Tener una finalidad clara (finalidade): hay que informar del uso antes de tratar los datos.
- Principio de minimización: recopilar solo los datos necesarios, sin abusar.
- Derechos del titular de los datos: el usuario puede consultar, corregir, eliminar y exportar sus propios datos.
- Seguridad de los datos: cifrado, anonimización, control de acceso.
- Cumplimiento de las transferencias internacionales: transferir datos a países no sujetos a la LGPD requiere condiciones adicionales.
- Notificación de fugas en 72 horas: los incidentes de fuga de datos deben notificarse a la ANPD y a los usuarios afectados.
- DPO, encargado de protección de datos: las organizaciones que tratan grandes volúmenes de datos deben designar un DPO.
Capacidades clave de la pasarela de datos LGPD de TF Fiscal
1. Cifrado y anonimización a nivel de campo
La pasarela de la API identifica automáticamente los campos de PII (información de identificación personal) (CPF, nombre, teléfono, correo electrónico, domicilio, etc.) durante la transmisión y el almacenamiento, y aplica cifrado a nivel de campo AES-256. Al exportar informes admite la anonimización automática (por ejemplo, mostrar el CPF como ***.456.789-**).
2. Gestión de la finalidad de uso y la base legal
Cada llamada a la API debe declarar la finalidade (finalidad) y la base legal (base legal). La plataforma mantiene una matriz de cumplimiento "finalidad-base-campos de datos" y rechaza automáticamente, con un aviso, las llamadas que no cumplen las reglas.
3. Atención a los derechos del titular de los datos (DSR)
Ofrece una API para recibir y atender las solicitudes de derechos del titular de los datos de los usuarios brasileños:
- Derecho de acceso (Acesso): exportar todos los datos de ese usuario.
- Derecho de rectificación (Correção): actualizar datos erróneos.
- Derecho de supresión (Eliminação): eliminar por completo (dentro de lo permitido por la ley).
- Derecho de portabilidad (Portabilidade): exportar en un formato estructurado.
- Derecho de oposición (Oposição): detener un tratamiento de datos concreto.
Todas las respuestas deben completarse en un plazo de 15 días (requisito de la ANPD).
4. Auditoría de cumplimiento de transferencias internacionales
Cuando los datos salen de Brasil hacia la matriz en China o a un tercer país, se registran automáticamente el hecho de la transferencia, la finalidad, la ubicación del receptor y la base de la transferencia (consentimiento del usuario / contrato / decisión de adecuación / cláusulas contractuales tipo). Para aportar pruebas ante una revisión aleatoria de la ANPD.
5. Gestión del período de conservación de datos
Establece un período de conservación para cada tipo de dato, archivándolos o eliminándolos automáticamente al vencer. Por ejemplo:
- Datos de facturación: 5 años (requisito de la ley tributaria de Brasil).
- Información de contacto de marketing: 1 año (se depura tras un período sin nueva interacción).
- Intentos de registro fallidos: 30 días.
6. Respuesta a incidentes de fuga de datos
Monitoreo de accesos anómalos + alertas automáticas + plantillas y procesos complementarios para la notificación a la ANPD.
Escenarios de uso típicos
- Plataformas C2C transfronterizas: tratamiento de información personal como la identidad de vendedores brasileños y el PIX de cobro.
- Comercio electrónico transfronterizo: recopilación del domicilio, el teléfono y el CPF de los consumidores brasileños.
- Acceso de la matriz en China a datos de Brasil: transferencia anonimizada de los datos necesarios para informes de BI y análisis de mercado.
- Proveedores de SaaS: aportar evidencia de cumplimiento a sus propios clientes, evitando que estos lo cuestionen.
- Finanzas / seguros: escenarios de KYC de alta intensidad.
Precios
- Paquete estándar de cumplimiento LGPD: desde R$ 499/mes, incluye llamadas a la pasarela de cumplimiento, plantillas de cumplimiento LGPD y log de auditoría.
- Soluciones personalizadas para grandes empresas: para clientes que tratan grandes volúmenes de datos personales, tienen necesidades de transferencia internacional o requieren un consultor DPO in situ, ofrecemos un servicio a medida uno a uno: incluye recursos de auditoría independientes, auditoría de cumplimiento de transferencias internacionales, proceso de respuesta de emergencia ante la ANPD, simulacros de cumplimiento, etc. Contacte con ventas para obtener una cotización →
- Consultoría de cumplimiento: primera evaluación gratuita de 1 hora.
Comparativa del valor del cumplimiento
Una sola infracción de la LGPD conlleva una multa de hasta R$ 50 millones. Una suscripción a la pasarela de cumplimiento de unos pocos miles de reales al año es el seguro con la mejor relación coste-beneficio.
Preguntas frecuentes
P: ¿Las empresas chinas también deben cumplir la LGPD?
Sí. El artículo 3 de la LGPD establece que la LGPD se aplica siempre que se traten datos de titulares que se encuentren en territorio brasileño (sin importar dónde esté el responsable del tratamiento). La recopilación de información de usuarios brasileños por parte del comercio electrónico chino entra en este supuesto.
P: ¿Qué tan grande es la diferencia con el RGPD?
El marco es casi idéntico; las principales diferencias: (1) el regulador de la LGPD es la ANPD (en el RGPD son las DPA de cada país); (2) el tope de la multa es R$ 50 millones (en el RGPD es 20 millones de euros o el 4 % de la facturación mundial); (3) la LGPD tiene 10 bases legales (el RGPD tiene 6). El marco de cumplimiento del RGPD puede reutilizarse, pero las cláusulas concretas deben revisarse.
P: ¿Es obligatorio designar un DPO?
En principio, toda organización que trate datos personales debería designar un DPO. Pero la ANPD concede ciertas exenciones a las microempresas. Los clientes Enterprise pueden contar con el servicio complementario de consultor DPO de TF Fiscal.
P: ¿Se pueden almacenar los datos en China?
Sí, pero se considera una "transferencia internacional" y debe cumplir los requisitos del artículo 33 de la LGPD (como el consentimiento del usuario, la obligación contractual, la decisión de la ANPD, etc.). La pasarela de datos de TF Fiscal registra automáticamente la base de la transferencia.
Soluciones relacionadas