La politica de privacidad es el documento central del cumplimiento de la LGPD (Ley n.o 13.709/2018). Materializa el principio de transparencia (articulo 6, VI) y es el instrumento principal a traves del cual su empresa informa a los titulares de datos sobre como se recopilan, utilizan, almacenan y comparten sus datos personales. Una politica de privacidad inadecuada no es simplemente una deficiencia documental — es una violacion de la ley que puede resultar en sanciones administrativas, procedimientos legales y danos reputacionales. Esta guia detalla los elementos obligatorios, los errores comunes y las mejores practicas para crear una politica de privacidad conforme a la LGPD, con perspectiva desde el contexto espanol y el papel de la AEPD.
Por que una politica de privacidad es obligatoria
La LGPD no utiliza literalmente la expresion “politica de privacidad”, pero los articulos 6 (principios), 9 (derecho a la informacion) y 18 (derechos de los titulares) hacen este documento implicitamente obligatorio. El articulo 9 determina que los titulares de datos tienen derecho a un acceso facilitado a la informacion sobre el tratamiento de sus datos, que debe ponerse a disposicion de manera clara, adecuada y visible.
En la practica, la ANPD y los tribunales brasilenos esperan que toda organizacion que trate datos personales ponga una politica de privacidad accesible en su sitio web. La ausencia de este documento o su insuficiencia constituye una violacion de los principios de transparencia y libre acceso, exponiendo a la empresa a las sanciones del articulo 52. Este requisito es paralelo al del RGPD (articulos 12 a 14), que la AEPD aplica en Espana conforme a la LOPDGDD.
Elementos obligatorios de una politica de privacidad LGPD
Basandose en los articulos 6, 9, 10 y 18 de la LGPD, su politica de privacidad debe contener los siguientes elementos:
1. Identificacion del responsable y del DPD
Proporcione el nombre completo y los datos de contacto del responsable del tratamiento (su empresa) y del delegado de proteccion de datos (encarregado). El articulo 41 requiere la designacion de un DPD, y el articulo 41, paragrafo 1, exige que su identidad e informacion de contacto se divulguen publicamente, preferiblemente en el sitio web del responsable.
2. Datos personales recopilados
Enumere claramente y especificamente los tipos de datos personales que recopila. No utilice terminos vagos como “diversa informacion personal”. Sea explicito:
- Datos de identificacion: nombre, CPF (identificacion fiscal), numero de identidad, fecha de nacimiento
- Datos de contacto: correo electronico, telefono, direccion
- Datos financieros: datos de tarjeta de credito, historial de transacciones
- Datos de navegacion: direccion IP, cookies, historial de navegacion, informacion del dispositivo
- Datos sensibles (si procede): datos de salud, datos biometricos, origen racial o etnico
3. Finalidades del tratamiento
Para cada categoria de datos recopilados, describa la finalidad especifica del tratamiento (articulo 6, I). Ejemplos:
- “Los datos de contacto se recopilan para el envio de confirmaciones de pedido y comunicaciones de servicio”
- “Los datos de navegacion se recopilan para el analisis del rendimiento del sitio y la mejora de la experiencia del usuario”
- “Los datos financieros se recopilan para el procesamiento de pagos”
Finalidades genericas como “para mejorar nuestros servicios” son insuficientes. La AEPD ha subrayado igualmente esta exigencia de especificidad en el marco del RGPD.
4. Bases legales utilizadas
Indique la base legal (articulo 7) que respalda cada actividad de tratamiento:
- Consentimiento (articulo 7, I) — para marketing, boletines, cookies no esenciales
- Ejecucion de contrato (articulo 7, V) — para procesamiento de pedidos, prestacion de servicios
- Obligacion legal (articulo 7, II) — para retencion de datos fiscales, cumplimiento laboral
- Interes legitimo (articulo 7, IX) — para prevencion de fraude, seguridad
5. Intercambio con terceros
Identifique las categorias de terceros con los que comparte datos personales y las finalidades de este intercambio:
- Procesadores de pago
- Proveedores de alojamiento e infraestructura
- Herramientas de analisis y marketing
- Autoridades publicas (cuando lo exige la ley)
6. Transferencias internacionales
Si transfiere datos personales fuera de Brasil, divulgue:
- Los paises u organizaciones a los que se transfieren los datos
- La base legal de la transferencia (articulo 33)
- Las garantias adoptadas para proteger los datos
7. Plazos de conservacion
Indique cuanto tiempo se conservara cada categoria de datos y los criterios para determinar este plazo (articulo 15). Ejemplo: “Los datos de transaccion se conservan durante 5 anos tras la finalizacion del servicio, conforme a los requisitos fiscales.”
8. Derechos de los titulares de datos
Describa los derechos que los titulares pueden ejercer conforme al articulo 18:
- Confirmacion y acceso
- Correccion
- Anonimizacion, bloqueo o eliminacion
- Portabilidad
- Eliminacion de datos tratados sobre la base del consentimiento
- Informacion sobre el intercambio
- Revocacion del consentimiento
Indique claramente como ejercer estos derechos: canal de contacto (correo electronico, formulario), plazo de respuesta y procedimiento.
9. Medidas de seguridad
Describa, en terminos generales, las medidas tecnicas y administrativas adoptadas para proteger los datos personales (articulo 46). No revele detalles que puedan comprometer la seguridad, pero demuestre que se aplican medidas razonables: cifrado, control de acceso, monitorizacion, copias de seguridad.
10. Cookies y tecnologias de seguimiento
Si su sitio web utiliza cookies, pixeles de seguimiento o tecnologias similares, describa:
- Los tipos de cookies utilizados (esenciales, analiticos, de marketing)
- Las finalidades de cada tipo
- Como los usuarios pueden gestionar sus preferencias de cookies
Para gestionar el consentimiento de cookies de manera conforme, puede utilizar un banner de cookies gratuito y conforme al RGPD.
Errores comunes de las politicas de privacidad
1. Copiar de otro sitio web. Una politica de privacidad que no refleja sus practicas reales de tratamiento viola el principio de transparencia. La ANPD espera que su politica sea especifica para su organizacion. La AEPD ha sancionado igualmente a empresas en Espana por politicas de privacidad genericas.
2. Utilizar el consentimiento como unica base legal. Muchas empresas declaran que todo tratamiento se basa en el consentimiento cuando en realidad se apoyan en la ejecucion de un contrato o una obligacion legal. Esto genera problemas cuando un titular revoca su consentimiento para un tratamiento que no dependia de el.
3. Omitir el DPD. La LGPD requiere la designacion de un DPD (articulo 41). Omitir esta informacion de su politica de privacidad es una violacion evidente.
4. No mencionar las transferencias internacionales. Si utiliza servicios como Google Analytics, AWS, Stripe o Mailchimp, sus datos se transfieren fuera de Brasil. Estas transferencias deben divulgarse.
5. Lenguaje inaccesible. La LGPD exige que la informacion se proporcione de manera clara y adecuada (articulo 9). El exceso de jerga juridica viola este requisito. La AEPD tambien recomienda un lenguaje claro y sencillo.
6. No actualizar regularmente. Sus practicas de tratamiento evolucionan: nuevos proveedores, nuevas funcionalidades, nuevos tipos de datos. Su politica debe mantenerse al dia con estos cambios.
Diferencia entre politica de privacidad y condiciones de uso
Son documentos distintos con finalidades diferentes:
Politica de privacidad: Explica como recopila, utiliza y protege los datos personales. Fundada en la LGPD. Obligatoria para cualquier sitio web que recopile datos.
Condiciones de uso: Establecen las reglas de uso de su sitio web o servicio. Fundadas en el Codigo Civil y el Codigo de Proteccion del Consumidor. Definen responsabilidades, restricciones de uso y propiedad intelectual.
Ambos documentos son necesarios y deben ser complementarios, con referencias cruzadas cuando corresponda.
Cuatro enfoques para crear su politica de privacidad
Contratar a un abogado especializado
Coste: 5.000 a 15.000 BRL. Plazo: 2 a 4 semanas.
Un abogado especializado en proteccion de datos analiza sus flujos de datos, identifica las bases legales aplicables y redacta una politica a medida. Recomendado para empresas con tratamiento complejo de datos sensibles o transferencias internacionales significativas.
Usar una herramienta de IA generica
Coste aparente: 0 BRL. Coste real: una politica que parece completa pero omite elementos obligatorios.
Las herramientas de IA genericas no auditan sus flujos de datos reales y frecuentemente producen politicas que mezclan requisitos del RGPD y la LGPD sin la adaptacion adecuada al contexto brasileno.
Copiar una plantilla gratuita
Coste: 0 BRL. Riesgo: alto.
Las plantillas gratuitas son genericas y nunca adaptadas a su actividad especifica. La ANPD espera que cada politica refleje las practicas reales de la organizacion, no un texto estandar.
Usar un generador de documentos legales especializado
Coste: 19,90 € a 49,90 €. Plazo: menos de 10 minutos.
Un generador especializado hace preguntas sobre su empresa, sus datos, sus proveedores y sus practicas, y produce una politica de privacidad adaptada a los requisitos de la LGPD. Incluye bases legales, derechos de los titulares, informacion del DPD y divulgaciones de transferencias internacionales.
Para verificar rapidamente la conformidad de su sitio, utilice nuestro escaner de conformidad gratuito. Consulte tambien nuestra guia completa de la LGPD y nuestra comparacion LGPD vs RGPD.
Conclusion
Una politica de privacidad es mas que un documento legal — es la expresion concreta del compromiso de su empresa con la proteccion de los datos personales de sus clientes y usuarios. Conforme a la LGPD, debe ser especifica, transparente, accesible y actualizada. Con la ANPD aplicando activamente la ley y los tribunales brasilenos cada vez mas sensibles a las cuestiones de privacidad, invertir en una politica de privacidad adecuada es una de las acciones de cumplimiento con mejor retorno que puede emprender. Para las empresas espanolas sujetas tambien al RGPD y a la supervision de la AEPD, un enfoque coordinado garantiza la conformidad en ambas jurisdicciones. No espere a una notificacion o una demanda para actuar — proteja a sus clientes y a su empresa ahora.