CaseFy
Guía Práctica

LGPD en la práctica: 5 procesos que toda empresa necesita tener

La LGPD exige procesos estructurados para atender titulares, gestionar consentimiento, responder a incidentes, elaborar EIPDs y controlar proveedores. Vea cómo implementar cada uno.

Time CaseFy·8 de marzo de 2026·6 min de lectura

La Ley General de Protección de Datos de Brasil (LGPD) está vigente desde 2020. La Autoridad Nacional de Protección de Datos (ANPD) ya aplica sanciones. Aun así, la mayoría de las empresas brasileñas todavía trata la protección de datos como un proyecto jurídico puntual: contrataron un despacho, publicaron una política de privacidad, nombraron un DPO y consideraron el asunto resuelto.

El problema es que la LGPD no exige solo documentos. Exige procesos. Procesos con plazos, responsables, registros y trazabilidad. Cuando la ANPD llega a la puerta — o cuando un titular ejerce sus derechos — tener una política bonita en el sitio no es suficiente. Es necesario demostrar que la organización opera en conformidad con la ley en el día a día.

Este artículo describe cinco procesos que toda empresa necesita para estar en conformidad con la LGPD. Para cada uno, explica qué exige la ley, qué hace la mayoría (o deja de hacer) y cómo estructurar el proceso con etapas, plazos y pista de auditoría.

1. Atención a solicitudes de titulares

Qué exige la ley

El artículo 18 de la LGPD garantiza al titular una serie de derechos: confirmación de tratamiento, acceso a los datos, corrección, anonimización, portabilidad y eliminación, entre otros. La empresa debe responder dentro de un plazo razonable — la ANPD señaló 15 días como referencia.

Qué hace la mayoría

En la práctica, muchas empresas no tienen un canal claro para recibir estas solicitudes. Cuando un titular envía un email pidiendo la eliminación de sus datos, el mensaje llega al SAC, se reenvía al jurídico, que lo reenvía a TI, que no sabe exactamente qué sistemas contienen datos de esa persona. Pasan semanas sin respuesta.

Cómo estructurar el proceso

La atención a solicitudes de titulares debe ser un proceso formal con etapas definidas:

  1. 1Recepción y clasificación — La solicitud entra por canal único. Clasificación por tipo de derecho ejercido. El plazo comienza a contar.
  2. 2Verificación de identidad — Confirmar que quien hace el pedido es efectivamente el titular.
  3. 3Mapeo de datos — Localizar todos los sistemas y bases donde están almacenados los datos del titular.
  4. 4Ejecución — Realizar la acción solicitada (eliminación, corrección, exportación). Documentar lo que se hizo en cada sistema.
  5. 5Respuesta — Comunicar formalmente el resultado dentro del plazo.
  6. 6Registro y archivo — Mantener evidencia completa para fines de auditoría.

En CaseFy, este proceso se transforma en un template con etapas secuenciales. Cada solicitud se convierte en un caso con campos para tipo de derecho, datos del titular y sistemas involucrados. La línea de tiempo registra cada acción automáticamente.

2. Gestión de consentimiento

Qué exige la ley

El consentimiento es una de las bases legales de la LGPD (artículo 7, inciso I). Cuando la empresa recolecta datos con base en el consentimiento, necesita probar que el titular consintió de forma libre, informada e inequívoca. Y el titular puede revocar el consentimiento en cualquier momento.

Qué hace la mayoría

La mayoría de las empresas recolecta consentimiento mediante checkboxes en formularios web. El problema no es la recolección — es la gestión. ¿Dónde está el registro de que ese titular consintió? ¿En qué fecha? ¿Para qué finalidad? Si revocó, ¿cuándo y cómo se procesó?

Cómo estructurar el proceso

La gestión de consentimiento debe cubrir el ciclo completo:

  1. 1Recolección — Registrar el consentimiento con fecha, hora, finalidad específica y medio utilizado.
  2. 2Almacenamiento centralizado — Mantener un registro único y consultable de todos los consentimientos.
  3. 3Monitoreo de validez — Los consentimientos pueden tener plazo. Identificar cuándo necesitan renovación.
  4. 4Revocación — Cuando el titular revoca, procesar en todos los sistemas. Registrar la fecha y el impacto.
  5. 5Auditoría — Generar informes que demuestren la base legal para cada tratamiento.

En CaseFy, cada consentimiento puede rastrearse como un caso individual o agrupado por titular. Campos personalizados registran finalidad, fecha de vencimiento y estado.

3. Respuesta a incidentes de seguridad

Qué exige la ley

El artículo 48 determina que el controlador debe comunicar a la ANPD y al titular la ocurrencia de incidentes de seguridad que puedan acarrear riesgo o daño relevante. La comunicación debe realizarse en plazo razonable — la ANPD recomienda 72 horas.

Qué hace la mayoría

La mayoría de las empresas no tiene un proceso de respuesta a incidentes de datos personales. Cuando ocurre una filtración, el equipo de TI intenta contener el problema técnico. El jurídico es notificado días después. Nadie sabe exactamente qué datos fueron afectados.

Cómo estructurar el proceso

La respuesta a incidentes debe ser un proceso operacional, no un documento de gaveta:

  1. 1Detección y registro — Registrar el incidente inmediatamente: fecha, hora, cómo y quién lo detectó.
  2. 2Clasificación — Evaluar severidad: qué datos fueron afectados, cuántos titulares, qué riesgo potencial.
  3. 3Contención — Acciones técnicas para detener el incidente. Documentar cada medida.
  4. 4Análisis de impacto — Determinar si el incidente requiere comunicación a la ANPD y a los titulares.
  5. 5Comunicación — Si es necesario, preparar y enviar notificaciones con toda la información legalmente requerida.
  6. 6Remediación — Implementar correcciones para evitar recurrencia. Documentar lecciones aprendidas.
  7. 7Cierre — Informe final con línea de tiempo completa del incidente.

En CaseFy, el template de respuesta a incidentes define las etapas, los campos obligatorios y las automatizaciones de plazo. Cuando un incidente se registra, el reloj comienza a contar y el sistema notifica automáticamente a los responsables.

4. Evaluación de Impacto en la Protección de Datos (EIPD)

Qué exige la ley

El artículo 38 prevé que la ANPD puede determinar la elaboración de una Evaluación de Impacto. En la práctica, se recomienda siempre que el tratamiento pueda generar alto riesgo para los titulares: datos sensibles, decisiones automatizadas, monitoreo a gran escala o datos de menores.

Qué hace la mayoría

La mayoría de las empresas no elabora EIPDs. Las que lo hacen generalmente producen un documento único que rápidamente queda desactualizado.

Cómo estructurar el proceso

La EIPD no es un documento — es un proceso con ciclo de vida:

  1. 1Identificación de necesidad — Mapear qué tratamientos requieren EIPD.
  2. 2Levantamiento — Recopilar información sobre el tratamiento: datos involucrados, finalidad, base legal, sistemas, terceros.
  3. 3Análisis de riesgos — Identificar riesgos para los titulares y clasificar por probabilidad e impacto.
  4. 4Medidas de mitigación — Definir controles técnicos y organizacionales para cada riesgo.
  5. 5Revisión y aprobación — DPO y gestores revisan el informe. Registrar aprobaciones.
  6. 6Monitoreo y actualización — Definir periodicidad de revisión. Actualizar cuando haya cambios.

En CaseFy, cada EIPD se convierte en un caso con documentos versionados, campos de clasificación de riesgo y tareas de revisión periódica.

5. Gestión de proveedores y operadores de datos

Qué exige la ley

El artículo 39 establece que el operador debe seguir las instrucciones del controlador. En la práctica, la empresa es corresponsable por lo que sus proveedores hacen con los datos personales compartidos.

Qué hace la mayoría

La mayoría contrata proveedores sin evaluar sus prácticas de protección de datos. Los contratos pueden contener una cláusula genérica de confidencialidad, pero sin obligaciones específicas de LGPD.

Cómo estructurar el proceso

La gestión de proveedores bajo LGPD involucra:

  1. 1Inventario — Mapear todos los proveedores que reciben, acceden o tratan datos personales. Clasificar por volumen y sensibilidad.
  2. 2Evaluación de riesgo — Para cada proveedor, evaluar prácticas de seguridad, políticas de privacidad, certificaciones e historial de incidentes.
  3. 3Adecuación contractual — Garantizar cláusulas específicas: obligaciones de seguridad, deber de comunicación de incidentes, derecho de auditoría, destino de los datos al término.
  4. 4Due diligence periódica — Reevaluar proveedores periódicamente.
  5. 5Gestión de incidentes con proveedores — Cuando un proveedor reporta un incidente, el proceso de respuesta debe activarse.
  6. 6Offboarding — Al terminar el contrato, garantizar que el proveedor elimine o devuelva los datos. Documentar la confirmación.

En CaseFy, cada proveedor puede gestionarse como un caso con etapas que reflejan el ciclo de vida de la relación: evaluación, contratación, monitoreo y terminación.

El denominador común: procesos con pista de auditoría

Los cinco procesos tienen algo en común: la LGPD no solo pide que la empresa haga lo correcto. Pide que demuestre que lo hizo. Eso significa registro de cada decisión, fecha y hora de cada acción, identificación de quién ejecutó cada etapa.

CaseFy es una plataforma de orquestación de procesos. No es una herramienta específica de LGPD. Pero las capacidades que ofrece — templates configurables, etapas con plazos, campos personalizados, documentos versionados, línea de tiempo de auditoría, automatizaciones y formularios externos — son exactamente lo que estos procesos exigen.

Comience gratis →

fin

Organice sus procesos en un solo lugar

Cree su cuenta gratis. Sin tarjeta de crédito. Sin implementación.

Comience gratisVer precios
Plan gratuito para siempreSetup en minutosSoporte incluido

Artículos relacionados

Guía Práctica6 min

Template: proceso de aprobación de contratos en 7 etapas

Leer artículo
Guía Práctica6 min

Cómo crear un proceso de aprobación financiera rastreable

Leer artículo
Guía Práctica6 min

Plantilla: análisis de crédito en 5 etapas (listo para fintechs)

Leer artículo