1. Qué es la LGPD
La LGPD - Ley nº 13.709/2018 - es la ley brasileña que regula el tratamiento de datos personales por organizaciones públicas y privadas, vigente desde agosto de 2020. Inspirada en el Reglamento General de Protección de Datos europeo (GDPR - Reglamento UE 2016/679), exige que toda operación de tratamiento (recolección, almacenamiento, uso, intercambio, eliminación) tenga una base legal específica. La ley es fiscalizada por la ANPD (Autoridad Nacional de Protección de Datos) y prevé sanciones administrativas que van desde advertencia hasta multa del 2% de la facturación, limitada a R$ 50 millones por infracción. Steply trata todos los datos personales bajo estos parámetros, con gobernanza documentada y revisión periódica de procesos.
2. Datos que tratamos
Steply trata tres categorías de datos personales. (a) Datos identificadores proporcionados voluntariamente mediante el formulario de briefing: nombre, e-mail, teléfono, empresa y descripción del proyecto. (b) Datos de navegación recopilados vía Google Analytics 4 con consentimiento previo - dirección IP truncada, user-agent, páginas visitadas, eventos de clic, tiempo de permanencia y referente. (c) Datos de remarketing recopilados solo con consentimiento explícito a través de LinkedIn Insight Tag y Google Ads, usados para medición de campañas y públicos similares. No recopilamos datos sensibles (origen racial, convicción religiosa, opinión política, salud, vida sexual, biometría) ni datos de menores.
3. Finalidades del tratamiento
Tratamos datos personales para cuatro finalidades claras y específicas: (i) responder a contactos comerciales iniciados por el titular a través del formulario de briefing o por los canales oficiales; (ii) enviar materiales técnicos, propuestas o contenidos solicitados explícitamente por el titular; (iii) medir el desempeño del sitio e identificar puntos de mejora de experiencia, mediante datos agregados de analytics; (iv) realizar remarketing publicitario en plataformas de terceros cuando haya consentimiento expreso. Ninguna de estas finalidades implica venta de datos a terceros, perfilado automatizado con efectos jurídicos o decisiones automatizadas que afecten al titular.
4. Bases legales (Art. 7º LGPD)
Steply utiliza tres bases legales previstas en el Art. 7º de la LGPD. (I) Consentimiento - para cookies de análisis y marketing, recogido mediante banner granular antes de cualquier carga de script de tracking. (V) Ejecución de contrato o de procedimientos preliminares relacionados a contrato - para tratar datos enviados vía formulario de briefing, cuando el titular solicita una propuesta comercial. (IX) Interés legítimo - para fines de seguridad, prevención de fraude y mantenimiento de logs técnicos del sitio. Para titulares en la Unión Europea, estas bases corresponden al Art. 6 del GDPR - apartados (a) consent, (b) contract y (f) legitimate interests, respectivamente. Cada base está documentada internamente con la respectiva evaluación de proporcionalidad y necesidad.
5. Derechos del titular (Art. 18 LGPD / GDPR Arts. 15-22)
El titular tiene derecho, en cualquier momento y sin coste, a: (1) confirmación de la existencia del tratamiento; (2) acceso a los datos; (3) corrección de datos incompletos, inexactos o desactualizados; (4) anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en disconformidad; (5) portabilidad de los datos a otro proveedor; (6) eliminación de los datos tratados con consentimiento; (7) información sobre las entidades públicas y privadas con las que Steply compartió datos; (8) información sobre la posibilidad de no otorgar consentimiento y sus consecuencias; (9) revocación del consentimiento; y (10) oposición al tratamiento realizado bajo alguna de las hipótesis de dispensa de consentimiento, en caso de incumplimiento de la ley. Estos derechos corresponden a los Arts. 15 a 22 del GDPR y pueden ejercerse por los canales descritos abajo.
6. Cómo ejercer sus derechos
Para ejercer cualquiera de los derechos listados arriba, envíe un e-mail a privacidade@steply.com.br conteniendo: (i) identificación del titular (nombre completo y e-mail usado en el contacto original, u otro medio de verificación); (ii) descripción clara del pedido (acceso, corrección, eliminación, portabilidad, revocación, oposición, etc.). Steply responderá en hasta 15 días hábiles, conforme al plazo recomendado por la ANPD. Si la solicitud involucra eliminación, realizaremos el procedimiento y enviaremos confirmación por escrito, manteniendo solo el mínimo necesario para cumplir obligaciones legales. Si el titular no está de acuerdo con la respuesta recibida o no obtiene retorno, puede escalar la reclamación directamente a la ANPD - Autoridad Nacional de Protección de Datos - a través del sitio oficial gov.br/anpd.
7. Cookies - preferencias y control
En el primer acceso, el sitio muestra un banner de consentimiento granular con tres categorías independientes: Necesarios (siempre activos, indispensables para el funcionamiento del sitio - sesión, seguridad, preferencia de idioma); Análisis (Google Analytics 4, activado solo tras la aceptación); Marketing (Google Ads y LinkedIn Insight Tag, activados solo tras aceptación explícita). Antes de cualquier aceptación, ningún script de tracking, pixel o cookie de terceros se carga - solo los estrictamente necesarios. El titular puede revisar y modificar sus elecciones en cualquier momento haciendo clic en "Preferencias de cookies" en el pie de página o usando el botón a continuación. La revocación tiene efecto inmediato y no afecta tratamientos anteriores realizados con base en el consentimiento entonces vigente.
Gestionar preferencias de cookies
8. Compartición y operadores
Steply, en calidad de Controlador, comparte datos personales con un conjunto restringido de Operadores estrictamente necesarios para la prestación del servicio, todos bajo contrato con cláusulas específicas de protección de datos (DPA - Data Processing Agreement). Operadores actuales: Google LLC (Google Analytics 4 y Google Ads, datos de analytics y remarketing); Microsoft Corporation / LinkedIn (LinkedIn Insight Tag, datos de remarketing B2B); Hostinger, Vercel y AWS (hosting, CDN y almacenamiento de assets); proveedor de e-mail transaccional (envío de respuestas y materiales solicitados). Las transferencias internacionales de datos ocurren a países con nivel adecuado de protección o mediante cláusulas contractuales estándar (SCCs), conforme al Art. 33 de la LGPD y al Capítulo V del GDPR.
9. Retención de datos
Aplicamos plazos de retención proporcionales a la finalidad de cada tratamiento. Datos del formulario de briefing: mantenidos mientras dure la relación comercial activa y por 5 años más tras el último contacto, plazo prescriptivo del Código Civil brasileño (Art. 206). Logs de acceso al sitio (IP, fecha/hora, user-agent): 6 meses, conforme exigencia del Art. 15 del Marco Civil de Internet brasileño (Ley nº 12.965/2014). Cookies analíticas (Google Analytics 4): hasta 24 meses por evento. Cookies de marketing (Google Ads, LinkedIn): hasta 13 meses por evento. Tras el vencimiento del plazo aplicable, los datos son eliminados o anonimizados de forma irreversible, salvo cuando exista obligación legal de retención más larga (por ejemplo, obligaciones fiscales o contables).
10. Encargado (DPO) y canal de contacto
Steply mantiene un Encargado del Tratamiento de Datos Personales (DPO), conforme a la exigencia del Art. 41 de la LGPD, con la función de recibir comunicaciones de los titulares y de la ANPD, orientar internamente y adoptar providencias. Encargado: Equipo Steply de Protección de Datos. Canal oficial para todos los asuntos de privacidad: privacidade@steply.com.br. Dirección para correspondencia postal: dominio steply.com.br (Brasil). Para escalación por teléfono, utilice el WhatsApp oficial +55 31 8267-3330. Toda comunicación por estos canales se trata con confidencialidad y se registra con fines de rendición de cuentas (accountability), conforme al principio del Art. 6º, X de la LGPD.
