LGPD — Ley brasileña de protección de datos
Última actualización: 2026-05-05
Este documento explica cómo EtiquetaChef cumple la Ley brasileña n.º 13.709/2018 (LGPD). Aquí encuentras el responsable, el encargado (DPO), las bases legales, las categorías de datos, los subprocesadores, los plazos de conservación, la transferencia internacional y cómo ejercer tus derechos como titular.
1. Quién es el responsable
El responsable de los datos personales tratados por EtiquetaChef es la marca EtiquetaChef, responsable de las decisiones de tratamiento, la infraestructura técnica y la atención a los titulares. Contacto general: help@etiquetachef.com.
2. Encargado del Tratamiento de Datos (DPO)
El encargado del tratamiento de datos personales (DPO), conforme al art. 41 de la LGPD, es Jonas R G Filho. El canal directo con el DPO es help@etiquetachef.com (asunto [DPO]). Más detalles sobre identidad, responsabilidades y SLA en la página del DPO.
3. Bases legales (Art. 7 LGPD)
Tratamos datos personales solo bajo las hipótesis legales del art. 7. Las principales aplicables a EtiquetaChef son:
- Ejecución de contrato (V): Aplicada a los datos estrictamente operativos necesarios para entregar el servicio: registro de usuario y tenant, productos, etiquetas, impresiones, facturación.
- Interés legítimo (IX): Aplicada a la telemetría agregada de producto, prevención de fraude y seguridad de la plataforma — siempre con evaluación de proporcionalidad y respeto a los derechos del titular.
- Consentimiento (I): Aplicada a cookies no esenciales y telemetría opcional. El titular puede aceptar o rechazar; el rechazo no impide el uso del servicio.
- Cumplimiento de obligación legal (II): Aplicada cuando la ley, un reglamento o una orden judicial exige conservar o compartir información.
4. Categorías de datos tratados
EtiquetaChef trata las siguientes categorías de datos personales. No tratamos datos de clientes finales de los restaurantes; la app es una herramienta interna de cocina.
| Categoría | Finalidad | Base legal |
|---|---|---|
| Identificación del usuario (email, nombre, idioma) | Crear y mantener la cuenta; entregar comunicaciones operativas. | Ejecución de contrato (V) |
| Datos de autenticación (Firebase Auth, hashes de contraseña gestionados por Google) | Inicio de sesión seguro y recuperación de acceso. | Ejecución de contrato (V) |
| Datos operativos (productos, etiquetas, reglas de caducidad, historial de impresión) | Funcionamiento del servicio de etiquetado. | Ejecución de contrato (V) |
| Datos de facturación (plan, suscripción, recibos vía Stripe) | Cobrar la suscripción, emitir recibos, calcular reembolsos MBG. | Ejecución de contrato (V) |
| Telemetría de uso (eventos de UI, pantallas accedidas) | Mejora del producto y detección de errores. | Interés legítimo (IX) / Consentimiento (I) para telemetría opcional |
| Registros de auditoría | Seguridad, prevención de fraude y obligaciones legales. | Interés legítimo (IX) / Cumplimiento de obligación legal (II) |
| Teléfono (OTP por SMS, cuando aplica) | Autenticación con código único enviado vía Twilio. | Ejecución de contrato (V) |
5. Derechos del titular (Art. 18 LGPD)
La LGPD garantiza al titular los siguientes derechos, ejercibles en cualquier momento:
- Confirmación de tratamiento: Confirmar si hay tratamiento de tus datos personales.
- Acceso a los datos: Obtener una copia de tus datos vía el callable exportUserData en la app, en formato estructurado (JSON/ZIP).
- Corrección de datos: Corregir datos incompletos, inexactos o desactualizados en la app o por solicitud al DPO.
- Anonimización, bloqueo o eliminación: Eliminar definitivamente tu cuenta vía el callable deleteUserAccount — soft-delete de 30 días y eliminación final.
- Portabilidad: Recibir tus datos en formato interoperable (export JSON/CSV/ZIP) para trasladarlos a otro proveedor.
- Eliminación de datos tratados con consentimiento: Pedir la eliminación de los datos tratados con base en consentimiento (p. ej., telemetría opcional).
- Información sobre compartición: Saber con qué entidades públicas y privadas el responsable comparte tus datos.
- Información sobre la posibilidad de no consentir: Recibir información clara sobre la posibilidad de no dar consentimiento y sus consecuencias.
- Revocación del consentimiento: Revocar consentimientos otorgados anteriormente, en cualquier momento, mediante manifestación expresa.
Puedes ejercer todos los derechos directamente en la app, en la sección "Cuenta y Privacidad" (ruta /privacy), o por correo a help@etiquetachef.com (asunto [DPO]).
6. Subprocesadores (Operadores — Art. 39)
Los siguientes operadores tratan datos personales por nuestra cuenta, bajo contrato e instrucciones específicas. Cada uno es responsable de la seguridad de su propia infraestructura.
| Operador | Finalidad | Datos tratados | Servidor |
|---|---|---|---|
| Google Firebase (Firestore, RTDB, Auth, Storage, Functions, Hosting) | Base de datos, autenticación, hosting y ejecución del backend. | Identificación, datos operativos, facturación, auth, logs. | Firestore + Storage + Functions: southamerica-east1 (Brasil); RTDB: us-central1 (EE. UU.). |
| SendGrid (Twilio) | Envío de correos transaccionales (bienvenida, recuperación, recibos). | Email, nombre, contenido de los correos transaccionales. | Estados Unidos. |
| PostHog Cloud US | Analítica de producto y embudos de conversión. | Eventos de UI agregados, identificador anónimo, idioma, dispositivo. | Estados Unidos. |
| Twilio | Envío de SMS para autenticación con código único (OTP). | Número de teléfono, código OTP generado. | Estados Unidos. |
| Anthropic (uso opcional de IA) | Funciones opcionales de IA (sugerencias de etiquetas, clasificación). | Solo cuando el usuario activa la función; texto enviado a la función. | Estados Unidos. |
| Stripe | Procesamiento de pagos y gestión de suscripciones. | Identificación de facturación, datos de tarjeta (tokenizados; nunca almacenados por nosotros). | Estados Unidos / global. |
7. Transferencia internacional de datos (Art. 33)
Parte de los datos se trata en servidores fuera de Brasil — RTDB en us-central1 (Estados Unidos), además de los operadores SendGrid, PostHog, Twilio, Anthropic y Stripe que operan en Estados Unidos. La adecuación se garantiza mediante las Cláusulas Contractuales Tipo (Standard Contractual Clauses — SCC) firmadas con Google y los demás operadores, conforme al art. 33, II de la LGPD. Firestore, Storage y Functions permanecen en southamerica-east1 (Brasil).
8. Conservación de los datos
Aplicamos los siguientes plazos de conservación:
- Cuenta de usuario eliminada por el titular: soft-delete de 30 días antes de la eliminación definitiva. El titular puede revertir la eliminación durante ese período.
- Tenant (establecimiento) marcado como eliminado: 90 días en estado DELETED antes de la eliminación física, atendiendo a obligaciones fiscales y contractuales residuales.
- Registros de auditoría: hasta 12 meses, salvo deber legal de retención mayor.
- Backups: ciclo de 30 días; los datos eliminados se purgan en los backups posteriores.
9. Cómo ejercer tus derechos
El canal preferente es la sección "Cuenta y Privacidad" dentro de la app (ruta /privacy), con export y eliminación self-service. Alternativamente, escribe a help@etiquetachef.com (asunto [DPO]).
SLA de respuesta: hasta 15 días hábiles desde la recepción de la solicitud, conforme a la práctica recomendada por la ANPD.
10. Autoridad Nacional de Protección de Datos (ANPD)
Si entiendes que tus derechos no fueron atendidos, puedes presentar reclamación ante la Autoridad Nacional de Protección de Datos (ANPD), por el canal oficial en www.gov.br/anpd. La ANPD es el órgano competente para fiscalizar el cumplimiento de la LGPD en Brasil.