Oficina latinoamericana moderna con un laptop mostrando un aviso de privacidad, luz diurna suave.

Sitios web & SEO

Protección de datos en el sitio web: qué exige cada país latinoamericano

Redacción mekyn

Leyes de protección de datos personales en sitios web de Latinoamérica — LGPD, LFPDPPP, Ley 1581 y más. Requisitos prácticos y errores comunes a evitar.

La protección de datos personales dejó de ser un tema técnico reservado a especialistas. En Latinoamérica, cada país ha promulgado su propia ley, con principios comunes pero diferencias importantes. Para una PYME con sitio web — sea un e-commerce, un negocio de servicios o una clínica — cumplir con la normativa local no es opcional: las multas pueden ser considerables y la afectación reputacional, duradera.

El panorama regulatorio por país

A continuación, un resumen de los marcos legales más relevantes para sitios web. La lista no es exhaustiva, pero cubre los países con mayor actividad económica digital.

Brasil — LGPD (Lei Geral de Proteção de Dados, Ley 13.709/2018). Es, con diferencia, la ley más detallada y la que más se asemeja al RGPD europeo. La autoridad de aplicación es la ANPD (Autoridade Nacional de Proteção de Dados). Exige base legal para el tratamiento, derechos del titular (acceso, corrección, eliminación, portabilidad), notificación de incidentes y, en muchos casos, la designación de un DPO (encargado de protección de datos). Las multas pueden llegar al 2% del faturamento con tope de 50 millones de reales por infracción.

México — LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares, 2010). Es anterior a la LGPD brasileña y a la europea. Supletoriamente se aplica el Reglamento. La autoridad es el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales). El aviso de privacidad es el documento central: debe identificar al responsable, las finalidades, las transferencias y los mecanismos para ejercer derechos ARCO (acceso, rectificación, cancelación y oposición).

Argentina — Ley 25.326 de Protección de Datos Personales (2000). Es una de las más antiguas de la región. La autoridad de aplicación es la AAIP (Agencia de Acceso a la Información Pública), que reemplazó a la Dirección Nacional de Protección de Datos Personales. La ley exige consentimiento para el tratamiento, salvo excepciones, e inscripción de las bases de datos en el Registro Nacional. El estándar de protección ha sido considerado adecuado por la Comisión Europea, lo que facilita transferencias internacionales.

Chile — Ley 19.628 sobre Protección de la Vida Privada (1999). Es una de las leyes más antiguas y, según varios análisis, menos robusta que sus pares regionales. Una reforma integral ha sido discutida durante años. Hasta que se apruebe, sigue vigente el texto actual con sus limitaciones. La autoridad es la Agencia de Protección de Datos, creada en 2021.

Colombia — Ley 1581 de 2012 (Régimen General de Protección de Datos). Es una ley marco con decretos reglamentarios que la desarrollan en detalle. La autoridad es la Superintendencia de Industria y Comercio (SIC). El Registro Nacional de Bases de Datos debe mantenerse actualizado. Los derechos del titular son similares a los del RGPD.

Perú — Ley 29733 de Protección de Datos Personales (2011) y su reglamento. La autoridad es la Dirección de Protección de Datos Personales del Ministerio de Justicia. La ley sigue un modelo cercano al europeo. Se actualizó en 2020 con modificaciones sobre consentimiento y transferencia internacional.

Uruguay — Ley 18.331 de Protección de Datos Personales (2008). Es una ley detallada con enfoque de derechos humanos. La autoridad es la Unidad Reguladora y de Control de Datos Personales (URCDP), dependiente de la AGESIC. Tiene un sistema de registro de bases de datos y un régimen fuerte de transferencia internacional.

Paraguay, Ecuador, Bolivia y otros. Varios países tienen proyectos de ley en distintas etapas. Paraguay cuenta con la Ley 1682 de 2001. Ecuador tiene un marco fuerte en su Constitución y la Ley Orgánica de Protección de Datos Personales de 2021.

Qué exige un sitio web en la práctica

Más allá de las diferencias, hay un núcleo común de obligaciones que cualquier sitio web latinoamericano debería cumplir:

Aviso de privacidad o política de privacidad

Todo sitio que recolecta datos personales — y la mayoría lo hace, aunque sea solo a través de formularios de contacto — debe publicar un aviso claro. Debe incluir:

  • Identidad y datos de contacto del responsable.
  • Finalidades del tratamiento, expresadas con claridad.
  • Base legal (consentimiento, ejecución de contrato, interés legítimo, según el país).
  • Destinatarios o categorías de destinatarios, incluyendo transferencias internacionales.
  • Plazo de conservación de los datos.
  • Procedimiento para que el titular ejerza sus derechos.
  • Información sobre cómo presentar una queja ante la autoridad de control.

Consentimiento para cookies y tecnologías similares

Las cookies no esenciales — analíticas, publicitarias, de personalización — requieren consentimiento previo, expreso e informado en prácticamente todas las legislaciones. Esto significa:

  • Banner o mecanismo equivalente que aparezca antes de la instalación de cookies no esenciales.
  • Opción clara de rechazar, no solo de aceptar.
  • Registro de la prueba del consentimiento.

Sitios que cargan cookies de Google Analytics o Facebook Pixel sin consentimiento están infringiendo la normativa en la mayoría de países.

Seguridad de los datos

Las leyes exigen «medidas técnicas y organizativas apropiadas» para proteger los datos personales. En la práctica, esto se traduce en:

  • HTTPS obligatorio (certificado SSL válido).
  • Contraseñas hasheadas, nunca en texto plano.
  • Acceso limitado por roles cuando hay más de una persona manejando los datos.
  • Copias de seguridad periódicas.
  • Procedimiento de notificación de incidentes.

Derechos del titular

Cada ley reconoce derechos similares. Para un sitio web, los más relevantes son:

  • Acceso: el titular puede preguntar qué datos tiene el responsable sobre él.
  • Rectificación: puede pedir que se corrijan datos incorrectos.
  • Cancelación o supresión: en algunas jurisdicciones, derecho al olvido.
  • Oposición: puede oponerse a ciertos tratamientos, especialmente con fines de marketing directo.
  • Portabilidad: recibir sus datos en formato estructurado y de uso común.

El sitio debe permitir el ejercicio de estos derechos de manera sencilla — un formulario, un correo electrónico dedicado, idealmente los dos.

Cinco errores frecuentes que conviene evitar

  1. Copiar el aviso de privacidad de otro sitio. Los avisos genéricos suelen tener inconsistencias — direcciones en otros países, finalidades que no aplican, menciones a leyes que no corresponden. Cada sitio debe tener su propio aviso, revisado por alguien con conocimiento legal local.

  2. Cargar Google Fonts desde los servidores de Google. Las fuentes que se cargan desde fonts.googleapis.com transmiten la dirección IP del visitante a Google. En algunos países esto se ha interpretado como una cesión de datos sin consentimiento. La solución es simple: descargar las fuentes y alojarlas en el propio servidor.

  3. Embeds de YouTube y redes sociales que cargan al abrir la página. Un video de YouTube insertado con el iframe estándar carga cookies de Google automáticamente. La solución técnica es la carga diferida, sustituyendo el iframe por una imagen que, al hacer clic, carga el video real. Lo mismo aplica para widgets de Facebook, Instagram o Twitter.

  4. Conservar datos para siempre. Las legislaciones limitan la conservación al tiempo necesario para cumplir la finalidad. Una base de datos con leads de hace diez años, sin uso ni justificación, es una vulnerabilidad legal y técnica.

  5. No tener un procedimiento de respuesta a incidentes. ¿Qué hace la empresa si sufre una filtración? ¿A quién contacta? ¿Cómo notifica? Las respuestas no se improvisan: deben estar documentadas antes de que ocurra el problema.

Recomendaciones prácticas para una PYME

Para una pequeña o mediana empresa sin departamento legal, el cumplimiento razonable se construye con tres piezas:

  1. Un aviso de privacidad específico, redactado con apoyo de un abogado local o de una plantilla de calidad adaptada al país.
  2. Una plataforma de consentimiento de cookies — hay opciones gratuitas o de bajo costo (Cookiebot, CookieYes, Complianz, Cookie Script) que se adaptan a la mayoría de legislaciones.
  3. Un procedimiento documentado para responder a solicitudes de titulares y a incidentes de seguridad.

Con estas tres piezas, una PYME cubre la mayor parte de sus obligaciones. Para actividades específicas que manejan datos sensibles — salud, finanzas, datos de menores — la asesoría legal especializada es imprescindible.

La tendencia regional

La región avanza hacia estándares cada vez más cercanos al RGPD europeo. Brasil ya dio el paso con la LGPD. Otros países están modernizando sus leyes. La armonización no es completa, pero la dirección es clara: más derechos para los titulares, más obligaciones para los responsables y autoridades con creciente capacidad de fiscalización.

Para una PYME, la mejor estrategia es construir un nivel de cumplimiento robusto desde el inicio. Adaptarse tarde, cuando la autoridad ya está mirando, es significativamente más costoso. La protección de datos bien entendida no es un freno al negocio: es parte de la infraestructura profesional de cualquier empresa seria.

← Alle Artikel