7 de abril de 2026 · 4 min · Carol
Por qué la LGPD no es solo una página de privacidad
La mayoría de los sitios trata la LGPD como un enlace en el pie. Cumplir la ley implica banner de consentimiento, base legal por finalidad, contacto del DPO y tracking que respeta el opt-in.
La LGPD (la ley brasileña de protección de datos) es el mayor cambio regulatorio que la web brasileña vivió desde los años 90, pero difícilmente lo notas mirando los sitios por ahí. La mayoría pone un enlace "Política de Privacidad" en el pie, copia un template extranjero adaptado, añade "actualizado conforme la LGPD" en el título — y cree que está al día.
No lo está.
Qué exige realmente la LGPD (visto desde fuera)
Cuando un auditor (humano o automatizado) mira tu sitio, puede verificar cinco cosas sin necesitar acceso interno:
1. Banner de consentimiento antes del tracking
Si el sitio carga Google Analytics, Meta Pixel o cualquier cookie de marketing antes de que el usuario acepte, el consentimiento es inválido. La LGPD exige opt-in previo para datos recolectados con base en el consentimiento (art. 8º).
Cómo lo detecta Sentinela: el probe LGPD hace una petición al sitio sin aceptar nada y verifica si aparecen cookies de tracking en la respuesta inicial. Si aparecen, es el finding lgpd.consent.cookies_before_banner.
2. Política de Privacidad accesible
No basta con que exista — debe estar enlazada desde el pie en todas las páginas, ser accesible sin login, y cubrir los puntos formales: datos recolectados, finalidades, bases legales, retención, derechos del titular.
3. Identificación del controlador
¿Quién es la empresa? Razón social, CNPJ, dirección. Esconder esto detrás de una marca de fantasía es zona gris legal — el titular necesita saber a quién reclamar.
4. Contacto del encargado (DPO)
El art. 41 te obliga a indicar un encargado de protección de datos, con un canal de comunicación públicamente accesible. No basta con poner juridico@empresa.com — debe haber referencia explícita a "DPO" o "Encargado".
5. Derechos del titular
El art. 18 da al titular ocho derechos: confirmación, acceso, corrección, anonimización, portabilidad, eliminación, información sobre compartición, revocación del consentimiento. La política debe explicar cómo ejercer cada uno.
Lo que la LGPD no exige (y mucha gente exagera)
- No exige un icono de tracking ANPD-friendly — eso es celo, no obligación
- No exige un banner con "Aceptar todo / Rechazar todo" simétricos — aunque es buena práctica
- No exige cifrado AES-256 específico — solo "medidas técnicas razonables"
- No exige un informe anual público — solo para controladores de riesgo alto y cuando lo solicite la ANPD
Cómo verificar tu sitio ahora
Puedes correr una auditoría gratuita de Sentinela y ver los findings de la capa LGPD. El probe no sustituye a un abogado, pero pega los errores formales que comete el 80% de los sitios:
- Política inexistente o enlace roto
- DPO ausente o con contacto genérico
- Tracking antes del banner
- Banner sin opción real de rechazar
- Falta de información sobre derechos
¿Y si no estás en conformidad?
La ANPD aplica sanciones administrativas que van desde una advertencia hasta una multa del 2% de la facturación (limitada a R$ 50 millones por infracción). Pero el riesgo real y más común no es la multa — es el daño reputacional: el titular reclama públicamente, se vuelve un post en LinkedIn, una acción colectiva, un ticket de soporte que consume tiempo.
La mayoría de los casos sancionados por la ANPD hasta hoy fue por un incidente de seguridad no comunicado (art. 48) o por negativa de ejercicio de un derecho. Ambos detectables externamente: una filtración ocurre porque el sitio expone .env (también detectado por Sentinela), y un derecho negado se vuelve una queja pública.
Conclusión práctica
La LGPD no es una página. Es una postura observable desde fuera. Haz tres cosas hoy:
- Pon un banner de cookies funcional (impide tracking antes del consentimiento)
- Escribe una política real (no copies un template) con el nombre del DPO
- Audita externamente tu propio sitio — antes de que alguien lo audite por ti
El resto es detalle jurídico que ajustas con el tiempo. Lo básico, cualquier scanner de ASM externo lo identifica en 30 segundos.
Sigue leyendo