¿Los datos de ubicación son datos personales bajo la LGPD?

Sí, los datos de ubicación vinculados a una persona identificada son personales y exigen base legal, finalidad específica y medidas de protección compatibles.

¿Es necesario consentimiento explícito para rastrear?

Para fines de reembolso, la base legal puede ser ejecución de contrato; aun así, la empresa debe informar claramente el tratamiento vía aviso de privacidad.

¿Por cuánto tiempo pueden retenerse los datos?

Mantén por el plazo necesario para fines fiscales (cinco años en Brasil) y descarta o anonimiza después de ese período conforme a política documentada.

Conformidad LGPD con datos de ubicación

Marina Costa — Especialista en Tributación Brasileña

Publicado: 28/8/2025 • Última revisión: 13/6/2026 • 6 min de lectura

Entiende cómo garantizar conformidad con la LGPD al recolectar datos de ubicación para reembolso.

Qué cambia la protección de datos en la captura de ubicación

Las leyes de protección de datos —la LGPD en Brasil y la LFPDPPP en México— establecen reglas estrictas sobre la recolección y el uso de datos personales, y la información de ubicación está claramente incluida en ese alcance.[^lgpd-anpd-20] Cuando una empresa rastrea trayectos por GPS para fines de reembolso de kilometraje, pasa a tratar datos que revelan dónde estuvo el colaborador, en qué horarios y con qué frecuencia.

Por eso, el reembolso basado en GPS no es solo una cuestión operativa: también es una cuestión de privacidad. Tratar estos datos con el mismo rigor aplicado a la información financiera protege tanto a la empresa como al colaborador y evita sanciones de las autoridades de protección de datos.

El consentimiento explícito es el punto de partida

Las empresas deben obtener consentimiento explícito de los empleados antes de recolectar datos de GPS. Ese consentimiento debe ser libre, informado y específico: el colaborador tiene que entender exactamente qué está autorizando y poder negarse sin sufrir represalias.

Quilometragem implementa un aviso de consentimiento claro que explica qué datos se recolectarán, con qué finalidad y por cuánto tiempo se conservarán. En lugar de una cláusula genérica escondida en un contrato, lo ideal es presentar la información de forma directa en el momento de activar el rastreo.

Finalidad y minimización de datos

La normativa exige que los datos se recolecten para finalidades legítimas y específicas. En el caso del reembolso, la finalidad es comprobar la distancia recorrida por trabajo, y nada más. Recolectar ubicación fuera del horario laboral o en traslados personales excede el propósito declarado.

El principio de minimización indica que se recolecte solo lo necesario. Un buen sistema permite que el colaborador inicie y termine el rastreo por trayecto, evitando el monitoreo continuo e innecesario a lo largo del día.

Almacenamiento seguro y control de acceso

Los datos de ubicación deben almacenarse con seguridad, usando encriptación tanto en tránsito como en reposo. Esto significa proteger la información mientras viaja por la red y también mientras está guardada en los servidores.

El acceso debe restringirse solo a personas autorizadas, como los gerentes responsables de aprobar reembolsos y el equipo de finanzas. Cuanto menor sea el número de personas con acceso, menor será el riesgo de fuga o uso indebido de la información.

Derechos de los titulares en la práctica

Los empleados tienen derecho a acceder a sus datos, solicitar su corrección e incluso eliminarlos cuando ya no exista necesidad de retención. Atender estas solicitudes no puede ser un proceso burocrático y lento; la ley prevé plazos y exige una respuesta efectiva.

Implementa procesos claros para recibir y responder estas solicitudes. Un canal definido, con responsable designado, demuestra que la empresa toma en serio los derechos de los titulares y facilita la comprobación de conformidad ante una eventual fiscalización.

Registros, auditoría y rendición de cuentas

Mantén registro de todas las operaciones de procesamiento de datos, incluyendo logs de auditoría que muestren quién accedió a qué información y cuándo. Ese rastro es fundamental para el principio de responsabilidad que prevé la normativa.

En caso de fiscalización, será necesario demostrar conformidad con todos los principios de protección de datos. Tener políticas documentadas, avisos de consentimiento archivados y logs organizados convierte una auditoría potencialmente estresante en un proceso controlado.

Cómo Quilometragem ayuda a mantener la conformidad

Quilometragem fue diseñado pensando en la privacidad: consentimiento claro, encriptación, control de acceso y exportación organizada hacia Clara. El colaborador mantiene el control sobre cuándo el rastreo está activo, y la empresa recibe solo los datos necesarios para aprobar el reembolso.

La combinación de tecnología adecuada y procesos bien definidos es lo que sostiene la conformidad en el día a día. Una herramienta segura sin política clara, o una política sin herramienta, deja vacíos. Tratar ambos en conjunto es el camino más seguro para manejar datos de ubicación de forma responsable.

[^lgpd-anpd-20]: LGPD — Lei nº 13.709/2018 [^anpd-orientacao-20]: ANPD — Orientações sobre tratamento de dados