Drokio — guardián digitalDROKIO
PrivacidadGDPRLFPDPPPHabeas Data

GDPR, LFPDPPP y Habeas Data: guía práctica para ecommerce LATAM en 2026

Si tu WooCommerce recibe tráfico de España, México o Colombia, tenés tres marcos de privacidad encima y ninguno perdona por ignorancia. Esta guía aterriza GDPR (UE), LFPDPPP (México) y Habeas Data (Colombia) a decisiones concretas de WordPress: qué base legal elegís, dónde vive el consentimiento, cuántos años retenés datos, y cuál es la multa real si lo hacés mal.

Drokio··11 min de lectura

Si vendés en internet desde LATAM y tu sitio toca al menos uno de España, México o Colombia, estás bajo tres marcos de privacidad distintos que no se anulan entre sí — se suman. GDPR para la UE, LFPDPPP para México, Habeas Data para Colombia. Cada uno define qué datos podés tocar, con qué base legal, cuánto tiempo los guardás, cómo respondés pedidos del titular y qué pasa cuando hay una brecha.

La mayoría de ecommerce LATAM opera con una política de privacidad genérica copiada de un template, un checkbox de "acepto los términos" al final del checkout, y la esperanza de que nadie se queje. Esa estrategia es cada vez más costosa: los reguladores se están profesionalizando, los titulares están más informados, y el costo real de un incumplimiento no es solo la multa — es el parate operativo para responder, la pérdida de reputación si sale público, y el tiempo legal para limpiar.

Esta guía baja los tres marcos a decisiones concretas de WordPress y WooCommerce: qué base legal elegir para qué, cómo diseñar el consentimiento, cuánto tiempo retener cada tipo de dato, cómo responder pedidos del titular en tiempo, y qué errores cuestan más.

Lo que vas a aprender

  • Cuándo te aplica GDPR aunque tu tienda esté en LATAM, y cómo saber si estás dentro o fuera.
  • Las tres bases legales que usa un ecommerce típico y cómo evitar el error de meter todo bajo "consentimiento".
  • Tabla de retención por tipo de dato para cumplir obligación fiscal sin violar minimización.
  • Cómo diseñar el checkout de WooCommerce para recolectar consentimientos separables y auditables.
  • Diferencia entre pedidos ARCO, derecho al olvido y portabilidad — y cómo responder cada uno en tiempo legal.
  • Qué cambia cuando tenés visitantes UE pasando por un banner de cookies — y por qué la versión "aceptar todo" prendida por default es la multa más evitable.

Los tres marcos, en una página

Empiezan parecidos — todos protegen datos personales — pero difieren en umbrales, derechos y castigos. Lo que debés saber:

GDPR (Unión Europea)

Aplica a cualquier tratamiento de datos de residentes UE, independiente de dónde esté el servidor. Si aceptás euros, tenés sitio en idioma UE (español peninsular, inglés, catalán, portugués europeo), envías a UE, o targeteás UE en ads — estás dentro. El regulador activo más grande de Europa es la AEPD española, y es el que más probablemente te tocaría por cercanía idiomática. Multas hasta 4% facturación global o 20M EUR.

Derechos del titular: acceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones automatizadas. Plazo de respuesta: 30 días (extensible a 90 con justificación).

LFPDPPP (México)

Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Aplica a cualquier persona física o moral que trate datos personales en México. Autoridad: INAI. Multas hasta 320,000 días de salario mínimo (~700K USD). Los datos sensibles (salud, origen racial, ideología) tienen protección reforzada.

Derechos ARCO del titular: Acceso, Rectificación, Cancelación, Oposición. Plazo de respuesta: 20 días hábiles.

Habeas Data (Colombia, Ley 1581/2012)

Régimen colombiano. Aplica a cualquier base de datos en el país o tratada desde Colombia. Autoridad: Superintendencia de Industria y Comercio (SIC). Multas hasta 2,000 SMMLV (~650K USD). Registro Nacional de Bases de Datos (RNBD) obligatorio si procesás datos de más de 100,000 personas.

Derechos del titular: conocer, actualizar, rectificar, suprimir. Plazo: 10 días hábiles para consultas, 15 días para reclamos.

Qué tienen en común

Los tres coinciden en seis pilares que podés tratar como plataforma compartida:

  1. Base legal obligatoria — no podés tratar datos sin una justificación legítima explícita.
  2. Información clara al titular — aviso/política de privacidad accesible antes de recolectar.
  3. Minimización — solo los datos estrictamente necesarios para el fin declarado.
  4. Seguridad razonable — medidas técnicas y organizativas proporcionales al riesgo.
  5. Derechos del titular — acceso, rectificación, borrado con plazo respondibles.
  6. Notificación de brechas — reportar al regulador (y a veces a los titulares) cuando hay incidente.

Si cumplís los seis en serio, estás en el 80% del cumplimiento para los tres marcos simultáneamente.

Base legal: la decisión que define todo lo demás

Bajo GDPR hay seis bases legítimas para procesar datos personales. Las tres que usa un ecommerce real:

Ejecución de contrato (Art. 6.1.b GDPR)

Para datos estrictamente necesarios para entregar el pedido. Nombre, dirección de envío, email, teléfono, items del carrito. No necesitás consentimiento porque sin esos datos no podés cumplir el contrato de compra.

Error típico: meter el newsletter bajo "ejecución de contrato" porque lo ofrecés junto con el pedido. Falso — el newsletter no es parte del contrato de compra, es una actividad separada que requiere consentimiento explícito.

Obligación legal (Art. 6.1.c GDPR)

Para datos que la ley te obliga a guardar. Factura con datos fiscales (RFC/NIT/CUIT/DNI), libros contables, registros de facturación. Retenés según el plazo legal fiscal (5-6 años típico) aunque el titular pida borrado.

Importante: cuando contestás un derecho al olvido, tenés que diferenciar qué podés borrar (datos de marketing, preferencias) de qué estás obligado a retener (factura). La respuesta al titular es: "Borramos X, Y, Z; retenemos A, B por obligación fiscal hasta [fecha]".

Consentimiento (Art. 6.1.a GDPR)

Para todo lo demás: marketing por email, cookies de analytics, perfilado, remarketing, compartir datos con partners, programas de puntos opcionales, recomendación personalizada.

El consentimiento debe ser:

  • Libre (no forzado como condición de algo no relacionado)
  • Específico (por propósito, no un checkbox genérico)
  • Informado (con aviso claro antes)
  • Inequívoco (acción activa, no opt-out pre-marcado)
  • Separable (cada propósito, su checkbox)
  • Retirable (tan fácil como otorgarlo)

El error #1 en WooCommerce

El checkout estándar de WooCommerce tiene un checkbox al final que dice "He leído y acepto los términos y condiciones". Muchas tiendas meten ahí también "acepto recibir comunicaciones comerciales" en la misma cláusula.

Por qué está mal: mezcla ejecución de contrato (los términos del pedido) con consentimiento (marketing). Si el titular quiere hacer la compra, no puede rechazar el marketing sin cancelar el pedido. Eso invalida el consentimiento porque no es libre ni separable.

Cómo se hace bien: dos checkboxes separados, ninguno pre-marcado. El primero es obligatorio (términos y condiciones). El segundo es opcional (marketing). Y un tercero si tenés partners (compartir con terceros — también opcional).

Retención: cuánto tiempo guardar cada cosa

La minimización es principio central de los tres marcos. Si no tenés fundamento para retener un dato, tenés que borrarlo.

Tabla operativa por tipo de dato:

  • Datos fiscales de factura (RFC, NIT, CUIT, razón social, domicilio fiscal): 5 años México y Colombia, 6 años España. Base legal: obligación legal. Retención fija.
  • Datos de contacto básicos del cliente (nombre, email, dirección de envío, teléfono): mientras haya relación comercial activa + 2 años razonables para historial de compra. Después, anonimizar en el CRM.
  • Historial de pedidos y tickets de soporte: 2-3 años para soporte post-venta y análisis agregado. Después, anonimizar (borrar PII, mantener datos agregados para analytics).
  • Datos de tarjeta (PAN completo): nunca se guardan. Usás tokenización de tu pasarela (Stripe, MercadoPago, Wompi). Los últimos 4 dígitos + brand se pueden guardar para mostrar al cliente "terminada en 4242".
  • Consentimiento de marketing: mientras el consentimiento siga activo. Registrás fecha, versión del texto aceptado, IP y user-agent del momento para auditoría.
  • Cookies analíticas: según tiempo declarado en política (12-24 meses típico). Si el titular retira consentimiento, eliminar de destino (GA, Meta).
  • Logs de acceso al sitio: 90-180 días. Más allá de eso, sin fundamento específico.
  • Backups con PII: rotación de 30 días como estándar. Marcalos como "contienen PII" para que un pedido de borrado los alcance también (regulador pregunta explícitamente por backups).

Datos sensibles — atención reforzada

Si procesás datos sensibles (salud, biométricos, financieros detallados, ideología, orientación sexual, origen étnico), los tres marcos tienen reglas reforzadas:

  • Base legal requiere consentimiento explícito (no tácito) o fundamento específico (contrato de trabajo, tutela judicial).
  • Medidas de seguridad reforzadas (cifrado obligatorio, logs de acceso detallados, rotación de credenciales corta).
  • DPO recomendado aunque no sea obligatorio para datos no sensibles.
  • Evaluación de Impacto en Protección de Datos (DPIA) obligatoria para tratamientos a gran escala.

Ecommerce típico no debería tocar datos sensibles. Si tu producto los requiere (clínica online, plataforma educativa con menores, fintech), el régimen legal cambia y necesitás asesoría específica, no una guía general.

¿Querés proteger tu sitio ahora?

Drako es el plugin de seguridad con IA para WordPress. Instalación en 2 minutos, desde $9/mes.

Conocer Drako →

Diseño del consentimiento en WordPress/WooCommerce

Los seis puntos que debe cumplir el flujo de consentimiento en tu sitio:

1. Aviso de privacidad accesible antes de recolectar

Link visible en el footer, linkeable desde el checkout, desde el formulario de registro, desde el newsletter popup. El usuario debe poder leerlo antes de decidir entregar datos.

Contenido mínimo: quién sos (entidad legal completa), qué datos recolectás, con qué finalidad, base legal por finalidad, tiempo de retención por tipo, destinatarios (con nombres si pasás datos a terceros), derechos del titular y cómo ejercerlos, datos de contacto del responsable.

2. Checkboxes separados, ninguno pre-marcado

Uno por finalidad, con texto claro. Ejemplos:

  • [ ] Acepto los términos y condiciones de compra (obligatorio)
  • [ ] Quiero recibir ofertas y novedades por email (opcional)
  • [ ] Autorizo compartir mis datos con nuestros socios logísticos para seguimiento del envío (opcional)

3. Banner de cookies con rechazo equivalente a aceptación

Si servís a UE, el banner debe tener tres opciones visibles: Aceptar, Rechazar, Configurar. El botón de rechazar no puede ser más chiquito, más escondido o más feo que el de aceptar. La AEPD cerró casos por exactamente eso.

4. Log auditable del consentimiento

Cada vez que un titular otorga consentimiento, guardás: user_id o email, fecha y hora, IP, user-agent, versión del texto legal aceptada, checkbox específico marcado. Este log es tu defensa si te reclaman.

5. Mecanismo de retiro tan fácil como otorgamiento

Si activás consentimiento con un click, tiene que poder retirarse con un click. Link "Darse de baja" en cada email de marketing. Preferencias accesibles en el área de cuenta del cliente. Un formulario público de ejercicio de derechos. El retiro debe propagarse automáticamente a todos los destinos (GA, Meta, Mailchimp, CRM).

6. Mayor edad verificable cuando aplique

En España y muchos países UE, consentimiento digital requiere 14-16 años mínimo según jurisdicción. Para menores necesitás consentimiento parental. En México el umbral es menor pero para datos sensibles de menores siempre hace falta consentimiento del padre/tutor.

Derechos del titular: cómo responder en tiempo

Los tres marcos coinciden: el titular puede solicitar información sobre qué tenés de él, pedir rectificación, pedir borrado, pedir portabilidad, oponerse al tratamiento. Tenés plazos legales estrictos.

GDPR: 30 días

Acceso, rectificación, supresión (derecho al olvido), limitación, portabilidad, oposición. Si necesitás más tiempo podés extender a 90 días total, notificando al titular con justificación en los primeros 30 días.

LFPDPPP México: 20 días hábiles

Para derechos ARCO (Acceso, Rectificación, Cancelación, Oposición). Después de la respuesta, tenés 15 días hábiles para ejecutar.

Habeas Data Colombia: 10-15 días hábiles

10 días para consultas (qué datos tengo), 15 días para reclamos (pido cambio o borrado).

Proceso operativo que funciona

Necesitás un punto de entrada único y trazable. Opciones:

  • Formulario en la web con campos prefabricados (tipo de solicitud, identificación del titular, descripción).
  • Email dedicado tipo privacidad@tudominio.com monitoreado.
  • Verificación de identidad antes de responder — pedís documento o prueba de control del email asociado para evitar suplantación.

Cuando llega una solicitud:

  1. Registrar fecha de entrada (arranca el reloj legal).
  2. Verificar identidad del solicitante.
  3. Identificar qué bases de datos contienen datos de esa persona (CRM, WooCommerce, email marketing, logs, backups). El inventario previo hace la diferencia entre 2 horas y 2 semanas.
  4. Ejecutar la acción (exportar en JSON para acceso, modificar para rectificación, borrar lo que no estés obligado a retener).
  5. Notificar al titular qué hiciste, qué no hiciste y por qué (si retuviste por obligación fiscal, decirlo).
  6. Cerrar el ticket con fecha de resolución. Este log es parte de tu defensa si el regulador pregunta.

Brechas de datos: cuándo y cómo notificar

Si hay incidente que expone datos personales (sitio hackeado, base de datos filtrada, backup público por error), los plazos para reportar son agresivos:

  • GDPR: 72 horas al regulador desde que tomás conocimiento. Si hay riesgo alto para los derechos y libertades de los titulares, también notificás a los afectados individualmente.
  • LFPDPPP México: sin plazo fijo pero debe ser "sin dilación indebida". En la práctica, el INAI espera reportes en horas o pocos días.
  • Habeas Data Colombia: plazo interno razonable, con notificación obligatoria a la SIC para brechas de bases reportadas en el RNBD.

Lo que tenés que tener listo antes de la brecha:

  • Inventario de qué datos tratás y dónde viven.
  • Proceso documentado de detección, contención, evaluación, notificación.
  • Contacto del regulador preparado (AEPD, INAI, SIC según jurisdicción).
  • Template de notificación a titulares afectados.
  • Evidencia forense: logs, snapshots, evidencia de la brecha y de tu respuesta.

La notificación al regulador incluye: descripción del incidente, categorías y número aproximado de titulares afectados, tipos de datos expuestos, consecuencias probables, medidas adoptadas, contacto del responsable.

Transferencia internacional de datos

Si tu hosting, CDN, email marketing o cualquier sub-procesador está fuera de tu jurisdicción, estás haciendo transferencia internacional. Cada marco tiene reglas:

  • GDPR: destinos permitidos son países con "decisión de adecuación" (UK, Argentina, Uruguay, Canadá, Japón, etc.) o requieren salvaguardas adicionales (SCCs — Cláusulas Contractuales Tipo — firmadas con el proveedor, ahora el mecanismo estándar post-Schrems II).
  • LFPDPPP México: requiere cláusulas contractuales específicas con el receptor, informar al titular en el aviso.
  • Habeas Data Colombia: requiere cláusulas contractuales y, para países sin "nivel adecuado", autorización previa de la SIC en algunos casos.

En la práctica, si usás hosting en EE.UU. (AWS, Google Cloud, Cloudflare), necesitás firmar SCCs con esos proveedores (disponibles públicamente en sus portales de compliance) y declarar la transferencia en tu aviso de privacidad.

Los errores más caros

Los patrones que más multas generan, en orden de frecuencia:

  1. Banner de cookies con "Aceptar todo" grande y verde, "Rechazar" chiquito y gris. Multa casi segura si la AEPD te mira.
  2. Checkbox de newsletter pre-marcado en el checkout. Invalida el consentimiento entero.
  3. Política de privacidad genérica copiada sin datos específicos de tu tienda (tu entidad legal, tus finalidades concretas, tus destinatarios). Es fácilmente identificable como template.
  4. No responder pedidos ARCO/derecho al olvido o responderlos tarde. Cada solicitud ignorada es una denuncia al regulador esperando suceder.
  5. Retener datos sin fundamento después de borrar la cuenta del cliente. Minimización violada.
  6. Guardar datos de tarjeta completos en logs o base de datos. Violación grave de PCI-DSS + privacidad combinadas.
  7. No tener inventario de qué datos tenés y dónde viven. Cuando llega la brecha o el pedido, te tomás semanas para responder, lo cual agrava la sanción.

Cierre

Cumplir GDPR + LFPDPPP + Habeas Data en serio no es una casilla de compliance — es una decisión de diseño que toca tu checkout, tu CRM, tu email marketing, tu hosting, tus backups y tu atención al cliente. El trabajo concreto: definir base legal por finalidad, redactar aviso específico a tu tienda, implementar consentimientos separables con log auditable, fijar políticas de retención por tipo de dato, documentar el proceso de respuesta a derechos del titular con plazos, firmar SCCs con tus sub-procesadores internacionales, y tener un plan de brecha ensayado. Hacer esto hoy cuesta tiempo; hacerlo cuando te llega la notificación del regulador cuesta la multa más el parate operativo, más el costo legal, más el daño reputacional. La asimetría es tan fuerte que la pregunta real no es si cumplir, es si empezás esta semana o la que viene.

Preguntas frecuentes

Si mi tienda está en Colombia y vende solo a colombianos, ¿el GDPR me aplica?

No por defecto. El GDPR aplica cuando (a) tenés un establecimiento en la UE, o (b) ofrecés bienes/servicios a residentes de la UE, o (c) monitoreás comportamiento de residentes de la UE. Si aceptás pesos colombianos, enviás solo a Colombia, tu sitio está en español y no corrés ads en la UE, estás fuera de GDPR. Ahora: si aceptás euros, tenés versión del sitio en inglés o catalán, hacés envíos a España, o usás Meta Ads targeteando UE — entrás. La frontera es el comportamiento comercial, no la IP del servidor.

¿Qué base legal uso para procesar datos en un checkout de WooCommerce?

Tres bases legítimas típicas para ecommerce: (1) Ejecución de contrato — para datos estrictamente necesarios para entregar el pedido (nombre, dirección, email, teléfono, items). No necesita consentimiento porque sin esos datos no hay pedido. (2) Obligación legal — para datos fiscales que tenés que guardar por años (factura, RFC/NIT, datos de facturación). (3) Consentimiento — para todo lo demás: marketing por email, perfilado, cookies no esenciales, remarketing. Separá mentalmente estas tres rutas; meter todo bajo consentimiento genérico es el error más común y te deja vulnerable si el usuario retira el consentimiento.

¿Cuánto tiempo retengo los datos del cliente después de una compra?

Respuesta práctica por tipo de dato: datos fiscales (factura, RFC, CUIT, NIT) → 5 años en México y Colombia, 6 años España, por obligación fiscal. Datos de contacto para marketing → solo mientras el consentimiento siga activo; si no hubo consentimiento explícito, borrar a los 12-24 meses de la última compra. Datos de tarjeta → nunca (usá tokenización de la pasarela; PCI-DSS prohíbe guardarlas). Logs de acceso → 90-180 días salvo obligación legal específica. Backups con datos personales → no más de 30 días rotación estándar; marcalos como tal para no ser sorprendido por un pedido ARCO/derecho al olvido.

¿La multa de GDPR es real o solo susto? ¿Quién la cobra en LATAM?

Real y cobrada. GDPR tope: 4% de facturación global anual o 20M EUR, lo que sea mayor. El regulador español (AEPD) es el más activo de Europa cobrando multas pequeñas (1K-50K EUR) a tiendas online medianas por cosas como cookies sin consentimiento o no responder pedidos ARCO. LFPDPPP México: el INAI puede multar hasta 320,000 días de salario mínimo (~700K USD). Superintendencia de Industria y Comercio (SIC) en Colombia: hasta 2,000 SMMLV (~650K USD). En LATAM las multas grandes son raras pero las medianas (20K-100K USD) son frecuentes y destructivas para un ecommerce chico.

¿Tengo que nombrar un DPO (Data Protection Officer) si soy un ecommerce chico?

GDPR lo exige si: (a) sos autoridad pública, (b) hacés monitoreo sistemático a gran escala, o (c) procesás categorías sensibles a gran escala (salud, biométricos, ideología). Para un ecommerce típico de WooCommerce, no estás obligado aunque igual es buena práctica designar un responsable interno. LFPDPPP México: no obligatorio para privados de cualquier tamaño pero se recomienda. Habeas Data Colombia: no es obligatorio. La clave no es el título sino el rol: alguien tiene que ser responsable de responder pedidos ARCO/derecho al olvido en 10-30 días, mantener el RAT (Registro de Actividades de Tratamiento) y ser el punto de contacto cuando hay brecha.

¿Necesito consentimiento para las cookies de Google Analytics y Meta Pixel?

En UE (GDPR + ePrivacy): sí, obligatorio, con banner que permita rechazo tan fácil como aceptación. Google Analytics en su versión default sin consent = multa casi segura; AEPD ya cerró casos por esto. Meta Pixel = igual, consentimiento previo obligatorio. En México y Colombia el marco es más laxo — la LFPDPPP habla de aviso de privacidad pero no requiere banner activo de cookies. Ahora: si tu tienda sirve a ambos mercados, el default debe ser el más estricto (banner europeo para todos) o implementar geo-detection para mostrar el banner solo a IPs UE. La geo-detection es confiable ~95% y legalmente aceptable; un visitante con VPN europea no debería romper tu compliance si hacés best-effort documentado.

Leé también

Privacidad

Clasificar y anonimizar PII en WordPress: guía práctica de retención de datos

Cómo etiquetar qué datos son PII en tu WordPress, cuánto tiempo deberías retenerlos y qué técnica de anonimización aplica en cada caso. Hashing, tokenización, generalización y supresión, con ejemplos reales de WooCommerce.

17 de abril de 202610 min de lectura
Privacidad

DPAs con hosting, CDN y plugins: el inventario de sub-procesadores que tu WordPress necesita

Cómo firmar los Data Processing Agreements correctos con tu hosting, CDN, pasarela de pago y plugins SaaS. Cláusulas que son red flags, plantilla mínima defendible y el inventario vivo que tu auditoría exige.

20 de abril de 202611 min de lectura
Privacidad

Logs con PII: el riesgo silencioso que tu auditoría de WordPress está ignorando

Access logs, logs de plugins, WooCommerce logs y logs de email transaccional acumulan emails, IPs y teléfonos sin que nadie los revise. Cómo auditarlos, sanitizarlos y definir retención sin perder observabilidad.

19 de abril de 202611 min de lectura